“你們買給我的書包里有我們非常需要的文具……原來(lái)我們只能到處去借，……我知道你們是自己辛苦賺來(lái)的錢，謝謝對(duì)我們學(xué)習(xí)的關(guān)心……”

近日，阿里巴巴安全部安全專家木雁收到了2462封來(lái)自貧困山區(qū)孩子的感謝信，這源于他2016年10月參與的一個(gè)公益眾測(cè)項(xiàng)目。

白帽子與安全眾測(cè)

為提升自身信息安全水位，招募白帽子幫忙尋找自身網(wǎng)站或業(yè)務(wù)系統(tǒng)的漏洞、并以挖出漏洞質(zhì)量為白帽子分配一定數(shù)額獎(jiǎng)金成為眾多企業(yè)的選擇。企業(yè)通常會(huì)采取與眾測(cè)平臺(tái)合作的方式，舉辦眾測(cè)比賽。

先知眾測(cè)是阿里云為白帽黑客和企業(yè)打造的一個(gè)特殊中間平臺(tái)，在這個(gè)平臺(tái)上，企業(yè)發(fā)出安全測(cè)試需求，白帽黑客依據(jù)“測(cè)試需求”給出測(cè)試報(bào)告，企業(yè)依據(jù)報(bào)告的有效性給予白帽黑客一定現(xiàn)金獎(jiǎng)勵(lì)。

2016年9月，有企業(yè)找到先知，想要在阿里內(nèi)部招募白帽子。當(dāng)時(shí)先知負(fù)責(zé)人是阿里云首席安全科學(xué)家吳瀚清，他找到阿里公益高級(jí)專家華山談起了合作。

2015年9月10日，馬云通過(guò)全員郵件提出倡議：從2015財(cái)年開始，阿里人每年完成3小時(shí)的公益志愿服務(wù)。技術(shù)人員怎么發(fā)揮特長(zhǎng)做公益？將白帽子們挖漏洞所獲的獎(jiǎng)金捐出去，未嘗不是一次好的嘗試。

華山幫忙對(duì)接了中國(guó)扶貧基金會(huì)，一個(gè)月后，先知公益眾測(cè)正式敲定。

此次公益眾測(cè)項(xiàng)目的參與方包含來(lái)自阿里安全、阿里云、螞蟻金服、高德等多個(gè)BU的20多位技術(shù)人員。

2016年10月份，木雁在阿里內(nèi)網(wǎng)看到招募信息，主動(dòng)報(bào)了名。除了被一個(gè)小女孩“想要一副水彩筆畫畫”的夢(mèng)想所觸動(dòng)外，也在于他曾得到過(guò)幫助。

受捐助小學(xué)生寫給阿里安全前沿技術(shù)研究專家木雁的信

2008年，木雁讀高三，已經(jīng)鉆研了兩年技術(shù)的他希望尋求新的突破。恰在那時(shí)，家境不太好的他申請(qǐng)到了一筆2000元的扶貧基金，隨后他買了人生一部智能手機(jī)——“應(yīng)該是摩托羅拉產(chǎn)的第一代智能機(jī)。”

“當(dāng)時(shí)大家都在沖刺高考的時(shí)候，我已經(jīng)接觸了Linux，等大家都在玩Windows，我已經(jīng)接觸到另一個(gè)領(lǐng)域了。”木雁回憶，如果不是這臺(tái)通過(guò)助學(xué)基金買的手機(jī)，很多技術(shù)知識(shí)會(huì)延后學(xué)到，可能命運(yùn)也就不一樣了。

“不論黑客還是白帽子，挖漏洞的過(guò)程都一樣，但結(jié)果不一樣，黑客可能會(huì)拿挖到的漏洞去套現(xiàn)，白帽子就會(huì)把這個(gè)漏洞上報(bào)給官方，讓他們及時(shí)采取修復(fù)措施。”木雁說(shuō)，“這是黑客和白帽子的最大區(qū)別。”

“做公益眾測(cè)這件事，其實(shí)是在幫他們完成一些小夢(mèng)想。”木雁說(shuō)，“我希望能幫助他們。”

從攻擊者到防御者

“第一次通過(guò)先知用技術(shù)去做公益，能用自己擅長(zhǎng)的方式——技術(shù)去幫助一些人，我很喜歡這樣的模式。”阿里云安全工程師千霄認(rèn)為這個(gè)點(diǎn)子好，于是報(bào)名參加。

在他看來(lái)，一些技術(shù)人員都比較宅，通過(guò)參加眾測(cè)比賽，獲得排名，公司可以了解到這些技術(shù)人員的能力，進(jìn)而將人才挖掘出來(lái)。眾測(cè)平臺(tái)給了白帽子們一個(gè)合法的渠道去提交漏洞、與廠商建立聯(lián)系，另外也可引導(dǎo)黑客向白帽子轉(zhuǎn)變，形成良好的風(fēng)氣。

高中時(shí)，千霄就開始自學(xué)網(wǎng)絡(luò)安全技術(shù)了，為了買《黑客X檔案》——一本黑客入門級(jí)雜志、售價(jià)十元，他需要每天省一點(diǎn)吃晚飯的錢，“一個(gè)月才能省下這10塊錢。”大二下學(xué)期起，他就通過(guò)參與各平臺(tái)眾測(cè)、挖漏洞獲得獎(jiǎng)金的方式繳納學(xué)費(fèi)和生活費(fèi)、養(yǎng)活自己了。

2014年，他參加了阿里舉辦的CTF并獲得第二名。除了2萬(wàn)多元的現(xiàn)金獎(jiǎng)勵(lì)，他還獲得了2臺(tái)MacBook pro。這場(chǎng)比賽，也成為他加入阿里的一個(gè)契機(jī)。2015年7月，從電子科技大學(xué)本科畢業(yè)后，他就直接加入阿里云，做安全防御相關(guān)的工作。

CTF（Capture The Flag）意為“奪旗賽”，在網(wǎng)絡(luò)安全領(lǐng)域中指的是網(wǎng)絡(luò)安全技術(shù)人員之間進(jìn)行技術(shù)競(jìng)技的一種比賽形式。起源于1996年DEFCON全球黑客大會(huì)，以代替之前黑客們通過(guò)互相發(fā)起真實(shí)攻擊進(jìn)行技術(shù)比拼的方式。

“在高中、大學(xué)時(shí)，我更多可能會(huì)從攻擊入侵者的視角去思考問題，會(huì)想著如何挖出一個(gè)系統(tǒng)漏洞，來(lái)阿里后，我更多會(huì)站在防御者視角去思考問題，就是怎么找到別的黑客在攻擊，看他有沒有攻擊成功，我們?cè)趺慈プ龇烙?rdquo;說(shuō)起自己加入阿里云后的轉(zhuǎn)變，千霄說(shuō)，作為一個(gè)白帽子，不僅要懂得攻擊邏輯，防御和對(duì)安全建設(shè)上的思考也是必備的技能。

收到2462封感謝信

朗澤是千霄的同事，他與千霄有著相似的成長(zhǎng)經(jīng)歷，二人同為90后，也在同一家公司同一個(gè)部門就職，早在大學(xué)參加眾測(cè)比賽時(shí)就相識(shí)。

“我們之前經(jīng)常做這些測(cè)試，其實(shí)投入產(chǎn)出比很低，測(cè)試好幾個(gè)星期，可能就挖出一兩個(gè)漏洞。”朗澤說(shuō)，雖然投入產(chǎn)出不成正比，但因擅長(zhǎng)做眾測(cè)，所以看到這樣的項(xiàng)目，只要條件允許，還是都會(huì)積極參與。

眾測(cè)在技術(shù)方面很具有挑戰(zhàn)性，多數(shù)參賽人員均是把這次公益眾測(cè)當(dāng)成了一次練手的機(jī)會(huì)。在三個(gè)月時(shí)間里，他們利用自己下班時(shí)間及雙休日來(lái)找漏洞。每次挖到漏洞，大家還會(huì)分享經(jīng)驗(yàn)，進(jìn)行技術(shù)交流。

但千霄和朗澤都震驚于木雁挖漏洞的效率和思路，“他效率很高，一開始一天一兩個(gè)，而且用的是完全不同的思路和想法。”

三個(gè)多月后，20多名技術(shù)人員共獲得46.46萬(wàn)元獎(jiǎng)金，超過(guò)360等企業(yè)獎(jiǎng)金之和，可謂力壓群雄。其中，木雁以挖到13個(gè)漏洞的成績(jī)拔得頭籌，獲得24.62萬(wàn)元獎(jiǎng)金。

2017年4月，這46.46萬(wàn)元通過(guò)中國(guó)扶貧基金會(huì)的“愛心包裹”項(xiàng)目，捐給了重慶石柱土家族自治縣7所小學(xué)的4646個(gè)孩子們，包裹中包含文具、美術(shù)用品等物品。時(shí)隔一年后，木雁收到這些孩子們寄來(lái)的2462封感謝信。

“每發(fā)現(xiàn)一個(gè)高危漏洞，就相當(dāng)于獲得一定額度的現(xiàn)金，就等于幫助了更多小孩子。”木雁說(shuō)，“我努力了，就能幫助別人；再努力一點(diǎn)，就能幫助更多人。”

技術(shù)是冰冷的，但可以用技術(shù)去做有溫度的事，這是阿里白帽子們的共識(shí)。

千霄說(shuō)：“對(duì)我們來(lái)說(shuō)，能幫到這些孩子們，都還是挺開心的。”

技術(shù)與年輕人

“工作上做的再出色，也只是工作，但對(duì)我來(lái)說(shuō)，因?yàn)楣骓?xiàng)目是利用我的業(yè)余時(shí)間做的，也會(huì)產(chǎn)生社會(huì)價(jià)值，所以影響會(huì)更加深遠(yuǎn)。”千劍說(shuō)。他是阿里巴巴安全部高級(jí)技術(shù)專家，其作為技術(shù)負(fù)責(zé)人幫助國(guó)家禁毒辦搭建的全國(guó)青少年毒品預(yù)防教育數(shù)字化平臺(tái)——青驕第二課堂”已于今年6月25日正式推出。

據(jù)悉，“青驕第二課堂”的開發(fā)與維護(hù)落在阿里的肩上，是基于阿里巴巴之前成功開發(fā)公安部“團(tuán)圓”系統(tǒng)的成功經(jīng)驗(yàn)。但這個(gè)項(xiàng)目的成功也并非一人之功。

千劍介紹道，這個(gè)平臺(tái)既有面向?qū)W生的功能、也有面向管理者的功能，其中，管理者的功能尤其復(fù)雜，相當(dāng)于一個(gè)中型、大型的網(wǎng)站，技術(shù)水平要求極高，他必須組建技術(shù)團(tuán)隊(duì)，“我就在各種群里發(fā)布信息，招募技術(shù)人員來(lái)做志愿者，還要求志愿者要遵守‘利用個(gè)人時(shí)間做、不計(jì)入個(gè)人KPI、要對(duì)業(yè)務(wù)結(jié)果負(fù)責(zé)’三項(xiàng)要求。”

看似苛刻的要求卻迅速吸引了很多人的關(guān)注。抱著“人人做公益”的理念，來(lái)自阿里安全、阿里云、釘釘?shù)菳U的18名阿里員工組成了志愿者隊(duì)伍，開始推動(dòng)“青驕第二課堂”項(xiàng)目的落地。

這一項(xiàng)目從2017年11月立項(xiàng)，僅用一個(gè)月就上線了第一個(gè)最簡(jiǎn)單的版本，今年3月份上線完整的版本，5月發(fā)布H5版本（即手機(jī)上適配的版本），6月正式在浙江和云南兩個(gè)省進(jìn)行推廣和試點(diǎn)，目前已有近90萬(wàn)學(xué)生注冊(cè)。

按照國(guó)家禁毒辦的規(guī)劃，他們希望通過(guò)“互聯(lián)網(wǎng)+禁毒教育”的創(chuàng)新模式，向全國(guó)2億青少年提供科學(xué)系統(tǒng)的毒品預(yù)防教育知識(shí)，提高防范意識(shí)，遠(yuǎn)離毒品侵害。

千劍表示，取名“青驕第二課堂”是希望將禁毒作為切入點(diǎn)，如果把“互聯(lián)網(wǎng)+教育”這個(gè)公益模式走通，或許將來(lái)他們可以向更多領(lǐng)域擴(kuò)展，“比如說(shuō)，從小孩子入手，從小增強(qiáng)他們對(duì)電信詐騙相關(guān)信息的認(rèn)知。”

“用先進(jìn)的技術(shù)做最有溫度的產(chǎn)品，用安全技術(shù)賦能公益事業(yè)，是阿里安全參與許多公益項(xiàng)目的初心。”阿里巴巴集團(tuán)合伙人、首席風(fēng)險(xiǎn)官鄭俊芳如是說(shuō)。