5 月 27 日凌晨 5 點(diǎn) 22 分，百度安全馬杰寫了一條為 DEF CON CHINA 1.0 造勢(shì)的長(zhǎng)信息（指路原文《給你2000萬，你想用來做什么？》）。

“給你 2000 萬，你想用來做什么？”

“我們?cè)O(shè)想，這個(gè)社區(qū)必然不僅限于網(wǎng)絡(luò)安全，它應(yīng)該是泛安全的，應(yīng)該是打破條條框框束縛的，應(yīng)該是極富創(chuàng)造力的。中國有十四億人，如果在美國他們都能夠形成一個(gè)如此之龐大、繁榮的社區(qū)，我們腳下的這片土地，我們身邊的這群極客，沒有理由做不到。他們只是需要一個(gè)屬于自己的社區(qū)，一個(gè)屬于中國但又能與世界無限連通的社區(qū)，一個(gè)能夠向他們發(fā)出召喚的社區(qū)?！?/strong>

“事實(shí)上，對(duì)于我的東家來說，投入如此之大去引進(jìn)DEF CON，去辦一場(chǎng)極客大會(huì)似乎并不算是個(gè)劃算的買賣。不帶量、不帶貨、甚至都不幫著挖個(gè)漏洞什么的，近乎公益的事情，在這個(gè)經(jīng)濟(jì)的低潮中尤其艱難，也尤為珍貴。但當(dāng)我們有朝一日回看它帶來的價(jià)值時(shí)，希望我會(huì)覺得一切努力、一切堅(jiān)持、一切爭(zhēng)議都是值得的?！?/strong>

“2000萬，是我為大家做的一場(chǎng)實(shí)驗(yàn)，成了，讓我們舉杯相慶，敗了，會(huì)有后起之秀?！?/strong>

說實(shí)話，在此之前，我是不太相信馬杰辦一場(chǎng)世界頂級(jí)黑客大會(huì)是“沒有目的”的。

一個(gè)月前，我還寫過一篇稿件，叫《和世界頂級(jí)黑客再次辦大會(huì)，百度安全要什么》。

我從三個(gè)角度闡述了這場(chǎng)大會(huì)對(duì)百度及百度安全的影響：

第一，為百度和百度安全強(qiáng)化“工程師文化”“極客”的標(biāo)簽；

第二，百度安全要繼續(xù)與百度的“AI”調(diào)性保持一致，強(qiáng)化“AI安全”的定位。

第三，馬杰與世界著名黑客、大會(huì)發(fā)起人 Jeff Moss 想構(gòu)建跨越中美的極客 ( 黑客）社區(qū)文化。

后來，我認(rèn)真地盯著馬杰的眼睛，問出了我心中的疑惑：“你說我猜得對(duì)不對(duì)，你們到底要什么？”

馬杰無奈了：“大家老問我要什么，我真的不要什么?！?/p>

看他說得情真意切，我有點(diǎn)動(dòng)搖。

走出去

我想起了曾被忽略的故事。

幾年前，馬杰還在創(chuàng)業(yè)公司安全寶，從那時(shí)開始，安全寶就贊助了當(dāng)時(shí)一支尚未被人知曉的 CTF 戰(zhàn)隊(duì)“藍(lán)蓮花”，這支戰(zhàn)隊(duì)源自清華大學(xué)的網(wǎng)絡(luò)安全技術(shù)競(jìng)賽和研究團(tuán)隊(duì)。

2013年，藍(lán)蓮花成為華人世界歷史上首支成功闖入 DEF CON 黑客大會(huì) CTF 全球總決賽的隊(duì)伍。

2014年，藍(lán)蓮花連續(xù)第二次入圍 DEF CON CTF 全球總決賽，并獲得第五名的優(yōu)秀戰(zhàn)績(jī)，是中國參與 CTF 網(wǎng)絡(luò)安全技術(shù)競(jìng)賽成績(jī)最為突出的一支國際知名戰(zhàn)隊(duì)。

“馬杰不停地問我們，怎么樣做得更好，我們從從藍(lán)蓮花一直往下走，當(dāng)時(shí)沒有什么特別功利的想法，就覺得為什么中國沒有頂尖戰(zhàn)隊(duì)呢？清華的小朋友們雖然有熱情，但是沒錢，而且沒有經(jīng)驗(yàn)，他們也沒有打過 DEF CON ?！瘪R杰的同事回憶，當(dāng)時(shí)馬杰所在安全寶資助藍(lán)蓮花，不僅僅是從資金上支援，包括與戰(zhàn)隊(duì)一起規(guī)劃成長(zhǎng)路徑，分析國內(nèi)外比賽，甚至細(xì)致到哪些比賽適合第一站打，通過不斷地練級(jí)通關(guān)訓(xùn)練戰(zhàn)隊(duì)。

正因?yàn)椴粩噱N煉，中國第一支頂級(jí)國際 CTF 強(qiáng)隊(duì)誕生，而從這支戰(zhàn)隊(duì)走出去的選手在安全行業(yè)開辟了屬于年輕人的新天地。

引進(jìn)來

我把這件事理解為馬杰及其團(tuán)隊(duì)播下的一顆“走出去”的種子，而DEF CON CHINA 則是他們“引進(jìn)來”的一顆種子。

去年才是第一屆 DEF CON CHINA ，但栽種人馬杰和Jeff Moss 都挺忐忑，當(dāng)時(shí)，國內(nèi)還沒有這種規(guī)模和形式的安全活動(dòng)——它真的挺特殊的，它不僅有演講者正兒八經(jīng)講議題的模式，還有注重實(shí)操、體驗(yàn)和互動(dòng)的 Village 和 Workshop，有關(guān)商業(yè)的展位被擠在一個(gè)小小的屋子里——因?yàn)樯虡I(yè)從來不是這個(gè)大會(huì)重要的主題，互動(dòng)和交流才是這個(gè)黑客大會(huì)的重心。

也因此，你才能看到一拳錘到爆的游戲機(jī)被“hack”的場(chǎng)景，你也能看到背著一個(gè)自制大菠蘿天線走來走去的黑客，你甚至能看到一群人圍在一起研究機(jī)械鎖和電子鎖，以及一場(chǎng)黑客音樂會(huì)。

我曾問馬杰和 Jeff Moss，這種大會(huì)到底能給中外的安全從業(yè)者們帶來什么？

Jeff 說：“每個(gè)人都應(yīng)該各謀其位、各司其職，我所能夠做的通過建立這樣一個(gè)全球性的社區(qū)，并且讓更多人參與其中，在這過程當(dāng)中通過他們熱情的參與，幫助我們的政策決定者，在進(jìn)行決策過程中做得更加合理化，并且讓他們充分認(rèn)識(shí)科技到底能夠發(fā)揮什么樣的功效，尤其一些極客有時(shí)候比建立這個(gè)體系的人更了解，所以說我們應(yīng)該通過科技，通過這樣的一種會(huì)議或者行動(dòng)，讓更多的人參與其中?！?/p>

馬杰的想法是一樣的：“我相信我們這個(gè)社區(qū)一樣會(huì)慢慢變大，咱們有這么大的人口基數(shù)和技術(shù)群體，我覺得某一天，它一定會(huì)成長(zhǎng)為特別大的極客圈子的派對(duì)，我特別期待這天?！?/p>

馬杰希望，自己努力推動(dòng)的安全社區(qū)能讓更多的人了解，通過溝通和合作促進(jìn)安全生態(tài)的生長(zhǎng)。

去年，他們也不知道這個(gè)大會(huì)能做成什么樣。今年，馬杰更有信心了。

我想，還有一件事給了馬杰一些激勵(lì)。

被稱為“沙漠之城”的毛烏素沙漠經(jīng)歷了 60 年的治理，變成了毛烏素森林。

馬杰多次提及此事，甚至想在這個(gè)黑客大會(huì)上為它籌款，認(rèn)為毛烏素的改造代表了一種極客精神。也許，他也曾揣摩，在毛烏素沙漠種下第一棵樹的人是什么樣的感受，他可曾預(yù)見今日的世界？也許，馬杰也想親手“種下這么一棵樹”，看看安全生態(tài)能因此變成什么樣。

“中國其實(shí)在技術(shù)社區(qū)里面，包括我們?nèi)粘Ｗ霎a(chǎn)品，我們自己也能意識(shí)到，有時(shí)我們比較喜歡取得快速成效，比較喜歡取巧，都講要聰明，但感覺精明多過聰明，真正的技術(shù)還是要能花時(shí)間去種樹的，從頭種樹。一樣的，從頭做一點(diǎn)技術(shù)，做一點(diǎn)社區(qū)，開放一點(diǎn)代碼，都是非?；A(chǔ)的事情，做著做著就變了?！瘪R杰說。

百度安全的打法

文藝如馬杰，也終歸還是一個(gè)商業(yè)公司的安全“策劃人”。雖然我曾試圖脫離“文藝”看“商業(yè)”，又拋開“商業(yè)”看“本心”，但不得不承認(rèn)，馬杰要的“開放”“培育”“生態(tài)”都會(huì)影響百度安全事業(yè)部的發(fā)展。

至此，我終于理解了，為什么去年百度安全將七大技術(shù)開源匯成“七種武器”，來解決云管端以及大數(shù)據(jù)和算法層面的一系列安全風(fēng)險(xiǎn)問題。

百度安全定位“AI 安全”后到底是種怎樣的打法，他們今年已經(jīng)做了什么，想必也是大家關(guān)心的話題。

雷鋒網(wǎng)：提出 AI 安全一年多以來，你們的打法究竟是怎樣？

馬杰：我們?cè)噲D在解決三個(gè)層面的安全問題。我們從三個(gè)視角來看一個(gè)事情的安全，最基礎(chǔ)的視角是工程師視角，看代碼層面本身，這是比較傳統(tǒng)的公司的程序員和測(cè)試人員重點(diǎn)關(guān)注的事情，大量安全問題是這兒引起的，再往前一步，大部分安全團(tuán)隊(duì)做的是——從安全人員或者說黑客視角看有什么樣的安全問題，比如有沒有內(nèi)存溢出，有沒有泄露，屬于安全領(lǐng)域的問題。這兩塊我們一直在做，我們還在做數(shù)學(xué)家層面的安全問題，前面兩個(gè)都是以發(fā)現(xiàn)問題為主的，到了第三個(gè)層面，我們希望用一些偏數(shù)學(xué)的方法去證明代碼是安全的。

美國和國內(nèi)協(xié)作在做這個(gè)研究，現(xiàn)在一部分成果在往落地轉(zhuǎn)化，這個(gè)東西還是挺前沿的，在數(shù)學(xué)領(lǐng)域存在很多年，但是在工業(yè)界一直用不起來?；蛘哒f在工業(yè)界一直無法大規(guī)模使用，因?yàn)槭褂贸杀緲O高，沒有好用的工具，大量靠人參與，一點(diǎn)點(diǎn)調(diào)整、做證明。所以，這個(gè)東西不可規(guī)?；?，可能為了幾萬行代碼，一個(gè)團(tuán)隊(duì)可能要干好幾個(gè)月，不具備工程性。干幾個(gè)月是好的情況，不好的情況是發(fā)散了，最后掙不出來，這是經(jīng)常發(fā)生的情況。我們做的事情就是通過我們的實(shí)踐經(jīng)驗(yàn)，把這個(gè)東西變成自動(dòng)駕駛中可以用的技術(shù)，證明代碼是安全的，非常難，但是非常有價(jià)值。

雷鋒網(wǎng)：你們主要做了哪些？

馬杰：我們和阿里、騰訊、各大高校以及政府機(jī)構(gòu)都建立了比較深的合作關(guān)系。

比如，我們和復(fù)旦和中科院在隱私方面進(jìn)行深度合作，和國家計(jì)算機(jī)病毒應(yīng)急處理中心在隱私檢測(cè)技術(shù)上也有合作，國家計(jì)算機(jī)病毒應(yīng)急處理中心是公安部的隱私檢測(cè)最底層技術(shù)的支持方。這款工具檢測(cè)的是app的隱私合規(guī)，在我們的網(wǎng)站上也可以申請(qǐng)使用。

我們和中科院有一些合作，他們的密碼學(xué)分析走得很靠前，我們?cè)谝恍?shí)際落地上有案例和應(yīng)用，百度這么大的體系需要使用。

我們和泰爾實(shí)驗(yàn)室在 IoT 安全方面共同推出了很多檢測(cè)報(bào)告，我們聯(lián)合泰爾實(shí)驗(yàn)室一起對(duì)所有市面上的智能音箱、智能電視進(jìn)行了檢測(cè)，并且推出了檢測(cè)報(bào)告。希望大家了解這個(gè)生態(tài)，這個(gè)生態(tài)是有問題的，我們不得不承認(rèn)，同時(shí)這個(gè)東西是可以解決的，但這個(gè)事情不是百度一家能解決的，所有的檢測(cè)報(bào)告和檢測(cè)內(nèi)容也會(huì)向其他廠家開放。

云方面我們也一直在做，云本身有安全問題，另外，云上有新的安全產(chǎn)品的形態(tài)，也一直在迭代，云肯定是我們關(guān)注的。我們也關(guān)注 IoT 這些設(shè)備，比如小度在家、百度音箱的安全性。

2017年，我們把品牌和定位做了升級(jí)，做了一些調(diào)整和方向確認(rèn)，在很長(zhǎng)時(shí)間內(nèi)不會(huì)改的，就是 AI 安全,周邊還有云、移動(dòng)、車、IoT，這些都是我們盯著的方向。

我們不太可能每年冒出一個(gè)新技術(shù)，其實(shí)我們之前把 AI 安全這個(gè)方案定好之后，基本上盯著這幾個(gè)方向持續(xù)做，包括對(duì)車各個(gè)方面的研究，具體到算法、產(chǎn)品。整個(gè)自動(dòng)駕駛系統(tǒng)有很多面，算法主要是機(jī)器視覺這些方面的。還有很多傳感器方面的，之前講過指紋什么的，原來我們研究傳感器的人在車上研究車的GPS、4G模塊。

雷鋒網(wǎng)：騰訊和阿里都在將內(nèi)部的一些安全技術(shù) to B ，百度安全呢？

馬杰：安全肯定不是百度的主戰(zhàn)場(chǎng)，這是我們非常明確的。我們主要的職責(zé)還是保護(hù)百度整個(gè)生態(tài)、AI的生態(tài)、百度伙伴的生態(tài)，所以在 to  B 層面上，我們主要以開源的方式對(duì)外輸出一些我們現(xiàn)在進(jìn)行的研究和核心技術(shù)，讓生態(tài)能夠更好的運(yùn)轉(zhuǎn)起來，這是我們主要的目的。我們的服務(wù)壓力更大，掙錢不是我們的第一目標(biāo)。不管百度的搜索生態(tài)，AI 生態(tài)都是一個(gè)巨大的生態(tài)，這個(gè)生態(tài)如果做好了，給公司產(chǎn)生的價(jià)值更大，我們最近的黑產(chǎn)對(duì)抗案例，因?yàn)楸O(jiān)管部門沒有處理完，我不說細(xì)節(jié)，牽涉到的金額達(dá)幾千萬，我們止損的金額也是上千萬的。你賣產(chǎn)品得賣多少才能有好幾千萬，但是我所制止的損失就有這么多了。

雷鋒網(wǎng)：對(duì)于協(xié)助打擊黑灰產(chǎn)這部分還有什么要做的嗎？

馬杰：打擊黑灰產(chǎn)一方面是保護(hù)生態(tài)，另外一個(gè)方面，這也是該做的公益的一部分，就是用自己的技術(shù)實(shí)力讓搜索生態(tài)變得更好一點(diǎn)，其實(shí)說回來還是這么俗的事兒，但是就像剛才說的對(duì)隱私的打擊，事實(shí)上這個(gè)生態(tài)就變了，只不過這個(gè)是用戶感受到的，其實(shí)我們打了很多小東西，只不過有時(shí)底層用戶不一定感受得到。比如，在搜索結(jié)果里面，很多和隱私相關(guān)的東西是搜索不到的，這都是我們先做處理的。以前搜索不干預(yù)的話，很多身份證號(hào)、QQ號(hào)、手機(jī)號(hào)都是可以搜出來的，很沒有安全感。我們現(xiàn)在做了識(shí)別和干預(yù)，我們既不想影響搜索的體驗(yàn)，又不想用戶隱私被暴露，但就是有那么多網(wǎng)站不負(fù)責(zé)任地貼出來這些隱私信息。怎么辦？我也不能把它關(guān)了，但可以干預(yù)搜索結(jié)果。

**調(diào)查**

作為一個(gè)安全從業(yè)者/愛好者/吃瓜群眾，給你2000萬，你要怎么花？歡迎文末留言。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。