十年安全战争，为什么黑客大牛都去腾讯？

文 | 史中

2007年，乔老爷子刚从口袋里掏出第一代 iPhone，“微信”还不存在，也没人想过手机扫码就能付钱。

那是互联网“上古时代”，喜欢上网的人可能还被称为“网虫”。

就是在那一年，中国网虫们有一份共同记忆：某天打开电脑，桌面上的图标都变成了魔性又狡黠的熊猫，手擎三炷香。作为未经人事的小奶狗，至少当时我是被这幅图景吓坏了。

这就是“熊猫烧香”病毒。

这个病毒着实影响了一些人的生活轨迹，比如当年的黑客 Killer。

当时 Killer 正在创业，做一款名为“超级巡警”的杀毒软件，这件事自然撞到他的枪口。他在当天午后3点拿到这个病毒样本，晚上12点左右就上线了针对“熊猫烧香”的专杀工具（中间他还悠哉地吃了晚饭）。熊猫烧香成了“爆款”，他的超级巡警随即也被“哄抢”，以至于下载服务器都被挤瘫痪了。

Killer 没有想到，自己毫无防备地见证并轻轻改写了中国网络安全的历史。他同样没有预料，多年之后，自己会加入中国最大的互联网公司腾讯，成为七大安全实验室之一“云鼎实验室”的掌门人。

在我看来，这并不是偶然的人生际遇，而是一种必然。顶级网络安全大牛和腾讯公司这两个看上去气质迥异的词，最终会紧紧地走到一起。

为了更清楚地表达这种必然性，我想先从最近十年的“安全战争”说起。

 一、十年的安全战争和 BAT 的角色 

客观地说，熊猫烧香的技术并不精巧，造成的实际损失也未必很大。但它席卷中国的姿态成为一个坚硬的里程碑，很多我们更为熟悉的事情都以此为起点。

不仅是 Killer 亲眼见证了病毒的十年演变，腾讯反病毒实验室的掌门人马劲松同样把这些看在眼里。在采访中他曾对我描述了这样一个脉络：

2010年以前的病毒，更多的是以炫技为目的，谋求爆炸性的效果。

而2010年之后的病毒，开始转向以盈利为目的，追求闷声发大财。

这件事其实挺有意思的。我突然想到一件类似的事儿：小时候老师询问全班同学的理想，大家异口同声：科学家！而最近几年，孩子们的回答可能一水儿变成了：创业！

如同现实社会，在病毒作者的群体，也有一道泾渭分明的理想主义和现实主义的分水岭。以熊猫烧香的作者李俊为例：

1、最早之所以会把熊猫烧香放出来，主要的目的是为了满足自己的虚荣心，他因此被捕。

2、出狱之后的李俊，决定干一番正经的失业。最金钱的诱惑还是打败了他。他因为经营赌博网站二进宫。

仿佛专门为了警醒世人，他一个人完整演绎了从“为名”到“为利”的心态转变，从“单一制造病毒”到“团队布局黑产”这两个历史阶段，这不禁让人唏嘘。

李俊在看守所帮民警修电脑。

站在今天，事情更严重。几乎所有的病毒都和黑产相关联：

很多合法注册的公司，办公室这边的人搞正常的服务，另一边的人负责制造病毒。让人毛骨悚然。

如果大致描绘一个当今流行病毒的“使命”，大概是这样：某个病毒费尽心机进入到你的电脑或手机，只是为了篡改你的搜索引擎从而拿到流量分成；或者后台安装某个游戏拿到渠道分成；或者推广某个色情、赌博、传销产品，进而进行广告推销或诈骗。

这些黑产的传播扩散场景，和我们日常使用的服务紧密相连。所以，今天黑色产业链不会独立存在，它们一定是依附于互联网各个产业的吸血鬼。

正是因为占据了中国互联网的大半壁江山，各大巨头顺理成章地成为黑产“吸血”的最佳对象。有意思的事，在BAT三家里，被黑产喜欢的程度是有区别的：

距离个人安全最远的，当属阿里巴巴。因为无论是从马云最初的设想，还是它的发展路径来看，阿里的基因都是偏向ToB的。淘宝网做成ToC的巨头，算是一个不大不小的意外。而阿里巴巴如今对于安全最强的要求应该在于蚂蚁金服和阿里云。蚂蚁金服偏重金融安全，技术场景比较单一，主要是数据风控和身份认证。而阿里云安全偏重企业级服务，不在此文讨论之列。

距离个人安全稍近的，是百度。黑产会想法设法利用搜索引擎的规则，把自己的非法网站推广给“目标人群”。一旦被黑产恶意利用，会严重影响到百度的口碑和信誉，所以百度在这一层面的安全投入非常大。

而距离个人安全最近的，是腾讯。对于腾讯来说，旗下的社交产品QQ和微信覆盖了几乎全中国的终端网民，而游戏、音乐、视频等等业务也基本是每人每天必用的服务。从这一点上看，腾讯是名副其实的“ToC 之王”。凡是想要从普通人身上赚到黑钱的人，都会试图取道腾讯家的产品来“开展业务”。

可见，基因决定了腾讯注定是BAT中最最没有办法“安静地做一个巨头”的公司。而恰巧腾讯麾下有10亿用户，几乎涵盖了这个国家所有会上网的人。

安全这杆大旗，必须腾讯来扛。这事没得选。

二、腾讯安全的第一役 

从腾讯的角度看，公司利益已经和用户利益高度绑定：无论是反病毒还是反黑产，最终的目的都是保护“用户安全”。

而在2010年左右，微软的 Windows 系统可谓“千疮百孔”，自身的防护和免疫机制远没有今天健全。雪上加霜的是，中国的网民一夜之间被互联网席卷，很多人实际上都在“裸奔”，安全意识堪忧。

这种情况，唯有一种产品形态适合国人，那就是对电脑全局管理的管家类产品。

（QQ 电脑管家的前身是 QQ 医生，这只企鹅果然是 Cosplay 的鼻祖。）

刚才提到，由于基因的缘故，腾讯为了保护自家业务和上亿用户，推出这类产品的需求最为迫切。（我在另一篇文章《远征漠北——腾讯的黑产战争》中，曾经提到这个逻辑。感兴趣的朋友可以戳蓝字阅读）于是有了2010年中国互联网史上里程碑的一幕：腾讯推出“腾讯电脑管家”。此役引起的连锁反应就是：“3Q大战”。

当然，360是管家类产品的开山鼻祖，之所以我一直小心翼翼地避开 360，是因为它是中国互联网巨头中的异类。

在我的分类中，如QQ一类的软件，是第一梯队，有实际的功能；而类似于管家类的软件，是第二梯队，起保障作用。而 360 在第一梯队产品较弱的情况下，直接卡位第二梯队产品，虽然战略惊艳，但这也注定它和第一梯队的领头羊必有“遭遇战”。说到这，历史上发生的事情就可以被解释为必然：

1、因为腾讯是 ToC 产品的领头羊，360 遇到的对手只会是腾讯；

2、由于缺乏第一梯队的软件，这一战 360 占劣势。

当然，这是商业竞合，在此暂不深入讨论。

回到腾讯对黑产的战争。

腾讯电脑管家是一步好棋，它集成了腾讯反病毒实验室的杀毒能力（当然最初推出管家的时候，反病毒实验室还没有挂牌，但杀毒软件团队已经完整齐备），也具备了主动拦截和防御的能力。以 PC 病毒木马为核心的黑产，立刻被戳中了眉心。

但很快，电脑管家就“不够用”了。

如自然界的变幻莫测一样，在2012年之后，人们的生活重心已经完全向手机之上迁移。所以那时，不仅通过 PC 传播的病毒数量没有减少，手机木马、垃圾短信、诈骗电话又成为了新的黑产模式。更可怕的是，黑产开始利用系统漏洞，大批制造自动化的扫描攻击武器。

以前腾讯的对手是单打独斗的小混混，现在对手变成了占山为王的割据武装。眼看形势不妙。这种对抗局势在中国互联网历史中根本没有发生过。

任何一种黑产如果快速爆发，都可能危及到腾讯的大批用户，甚至进一步危及到社会的安定。毫无疑问，腾讯原有的安全力量需要一次巨大的扩充。果不其然，2016年，腾讯“一怒之下”接连成立七大安全实验室。

三、顶级大牛去腾讯 

提到腾讯安全的七大实验室，可谓“全明星”阵容。那些在中国网络安全史中叱咤风云的传奇黑客，最后都落脚到腾讯。

这背后必有逻辑。

七大实验室的领头人中，不仅有刚刚提到的老黑客 Killer（云鼎实验室），瑞星大咖马劲松（反病毒实验室），还有移动安全老兵李伟（移动安全实验室），还有从07年就在QQ内部开始做反诈骗的李旭阳（反诈骗实验室），还有三位后来加入的重量级漏洞大神吴石（科恩实验室）、TK（玄武实验室）和袁哥（湛泸实验室）。

这是七大实验室掌门人，点开可看高清无码大图，如果你想的话。。。

坊间传闻，其中几位实验室创始人的“转会费”都是天价。肯付出这么多成本，可以从另一个侧面看出：1、腾讯比其他公司更需要这些大牛。2、相比其他公司，这些大牛更喜欢腾讯。

无论是一直在腾讯内部的老兵，还是新加盟的大咖，其实帮助腾讯建立了一套全面的安全体系。腾讯显然希望：这套体系，足以对暗中蛰伏的黑产大军形成压倒性的技术优势。

我试着帮你整理一下，这几位大咖在腾讯内部产品生态中的分工和背后的逻辑。

1、C端安全能力

PC和手机，是所有用户的两大入口。一旦这个入口被黑客突破，进入电脑或手机之中，坏人就可以直接接触到用户数据，后面的对抗难度陡然增加。

所以正如古代战争中的城门一样，守好城门不失是所有战争的首要条件。所以在这条通路上，必须有反病毒实验室戍卫。

而由于手机 App 的特殊形态，重要的资料往往在 App 内部。所以一旦黑客进入了手机，会尝试利用 App 漏洞进一步攻击，这就需要移动安全实验室把第二道关。

有了这两道关卡，大部分的黑产就都可以被拒之门外了。这是一条必须坚守的底线，它可以把腾讯体系内的风险收敛在可控范围内。

2、反诈骗安全能力

在所有的黑产中，诈骗这件事有点特殊。因为它只是部分利用了移动设备，主要的“诈骗流程”全部是人和人之间用语言进行的。所以面对这种黑产，腾讯纯粹守卫自己的一亩三分地就变得 hold 不住了。

从2016年开始，李旭阳带领的反诈骗实验室就投入到了“守护者计划”中，联合警方、银行、运营商等各个方面的力量，把反诈骗实验室的技术能力输出给合作伙伴，联合打击诈骗、传销和黑产。

在腾讯所有的安全建设中，反诈骗的工作是最具社会效益的，也是最需要生态协作的，这个在《远征漠北——腾讯的黑产战争》中有详述。

有了反诈骗能力，基本上收敛了腾讯面对的外部风险。

3、云安全能力

云安全能力主要是指保卫云计算的安全，Killer 带领的云鼎实验室，研究方向是最为 ToB 的一个，在此不展开。

4、前瞻安全能力

前瞻安全能力，对于普通的公司而言，是最没有用的。但对于腾讯来说，恰恰是最有用的。

以人称“黑客教主”的TK为例，他经常可以找到软件逻辑中的底层问题，这类问题一旦被发现，影响范围极其广泛。最近一次的 2018 年初，他就带领玄武实验室发现了普遍存在于各大 App 中的漏洞，这个漏洞一旦被黑客掌握，就可以在你不知情的情况下，“克隆”一个一模一样的 App，然后窃取你的隐私信息。（在浅黑科技的文章《这两个黑客真猥琐》中，有详细的讲述。）这个发现，让整个行业的安全水平都有了一次提升。

画面左边就是 TK（于旸），右面托腮沉状的是来自知道创宇的大牛，黑哥。（知道创宇被腾讯重仓投资，处于腾讯生态之中。）

我觉得，腾讯投入巨大资源保持前瞻安全能力，原因有二：

1、由于腾讯的产品几乎覆盖了每个中国人，所以一旦最新的攻击方法出现在黑产手里，很可能被他们用于攻击腾讯的产品；

2、腾讯的很多软件已经成为世界级，和苹果、安卓等其他大厂的服务耦合紧密，一旦对方爆出漏洞，会直接影响到腾讯产品和用户的安全。

所以你会看到，主打前瞻能力的这几个实验室，不仅经常自查腾讯自身软件的安全性，还会经常给苹果、谷歌提交安全漏洞。

以上四种能力，像是一座城池的四面围墙。“大牛把守，城高万丈”，腾讯才真正可以松口气，更加从容地保护用户。而腾讯如果保护好自己的用户，就等同于保护好了全中国网民。

你可以说这是小马哥的济世情怀，也可以说这是领跑者的宿命。我更愿意从另一个角度来理解腾讯在安全上的付出：

从历史进程上看，互联网巨头的命运已经和网络安全紧紧联系在一起，而这个过程是不可逆的。

四、仅有大咖还远远不够 

腾讯和网络安全的深度捆绑，已经成为一个事实。但安全建设几乎永远没有终局。

在腾讯刚刚发布的《腾讯安全2017年度互联网安全报告》结尾章节，提示了2018年网络安全八大趋势，我截图在这：

《腾讯安全2017年度互联网安全报告》基本介绍了这一年中国用户面临的安全态势以及腾讯所做的努力，其中有详细的描述，在此我就不摘录了。

其中提到了物联网、人工智能对抗、数字勒索，涉及到了非常新的安全领域。

随便举三个例子：

1、2016年底，黑客利用病毒（Mirai）控制了全球大量摄像头的流量，发起攻击造成美国大断网，至今这类病毒在全球有增无减。

2、2017年5月，Wannacry 勒索病毒席卷全球，短短几天就让很多学校网络和民生服务系统瘫痪。

3、2017年中，中国警方打掉了一个利用人工智能破解验证码的团伙，他们的人工智能技术，已经可以把破解成功率提升到80%。

Wannacry 在中国的感染范围。

这些黑客新玩法意味着新的战场，当然也意味着新的武器和新的士兵。

据我所知，腾讯七大安全实验室和其他安全部门都在全力吸收顶尖的安全人才。但吸引人才这件事，还是要点技巧的。

袁哥曾经对我解释来腾讯的原因：“TK、吴石都在，我了解他们，对他们的为人都很认同。安全这个行业就是人聚人。”

当时我没有仔细体会，现在想来此话颇有深意。

如同很多其他行业一样，安全人才看重的不仅是钱（当然，TK 在回答自己为什么离开绿盟时有一句名言：“原因很多，主要是钱。”），还有相当重要的因素是心理感受。

举两个例子：

1、你可能听说过一年一度的黑客破解秀“极棒”，这就是由腾讯安全支持的。

这个从2015年就开始举办的活动，吸引了全中国甚至世界各地的黑客前来参加。站在极棒的舞台上上，不仅可以获得动辄十几万的奖金，还能被全国的观众所看到。

用极棒创始人王琦的话说，“网络安全人才再也不用在丈母娘面前低头了。”他们享受了本应属于他们的荣光。这几年，参加极棒的优秀黑客，有很多都最终进入了腾讯序列。看到这些，我才真正体会腾讯是如何把生态玩到出神入化的。（有关极棒，可以参考浅黑科技之前的文章《黄健翔为什么会主持“黑客秀”》）

2017年极棒（GeekPwn），主持人是黄健翔。

2、腾讯在人才上的另一个布局，是 2017年启动的 TCTF。

TCTF 是一场黑客大赛，国内外的站队齐聚一堂，展开一场攻防大戏。TCTF 专门设立了“新人邀请赛”，参赛的门槛相比而言低一些，大部分是信息安全专业的学生。

这个比赛同样是高规格地对外传播，给选手带来了很多荣誉和奖金。而且选手一旦进入这个比赛，也有很大机会被腾讯收入麾下，这就是“腾讯安全百人计划”。

这种人才招纳机制形成了巨大的虹吸效应，吸引更多对网络安全感兴趣的年轻人加入。（有关TCTF，可以参考浅黑科技之前的文章《黑客都用什么电脑？这里有一份极简版TCTF黑客大赛装X指南》）

诸如此类，还有很多。

至此我才真正明白袁哥所谓的“人聚人”究竟意味着什么。一项事业最大的悲哀就是后继无人。而一旦有顺畅的机制可以源源不断地“人聚人”，那么再强大的敌人都不足为惧。

                         在2017年的 TCTF 上，可以看到来自全国各地的选手，他们都是未来网络安全的中坚力量。

回望2007年，熊猫烧香已经成为遥远得有些模糊的往事。这么多年，太多事情发生，以至于他们内在的逻辑会被时光的湍流打散。

我觉得，如果有机会站在长河岸边，慢慢遥望那些往事，一定会看到某些真相。而我们需要真相。

这十年里，我们有了新的朋友。但蓦然回首，老朋友还一直在身旁。

这是一种幸福。

再自我介绍一下吧。我叫史中，是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友，可以搜索微博：史中方枪枪，或者加我微信，shizhongst。

不想走丢的话，你也可以关注我的自媒体公众号“浅黑科技”。