0
5 月 27 日凌晨 5 點 22 分,百度安全馬杰寫了一條為 DEF CON CHINA 1.0 造勢的長信息(指路原文《給你2000萬,你想用來做什么?》)。
“給你 2000 萬,你想用來做什么?”
“我們設想,這個社區必然不僅限于網絡安全,它應該是泛安全的,應該是打破條條框框束縛的,應該是極富創造力的。中國有十四億人,如果在美國他們都能夠形成一個如此之龐大、繁榮的社區,我們腳下的這片土地,我們身邊的這群極客,沒有理由做不到。他們只是需要一個屬于自己的社區,一個屬于中國但又能與世界無限連通的社區,一個能夠向他們發出召喚的社區。”
“事實上,對于我的東家來說,投入如此之大去引進DEF CON,去辦一場極客大會似乎并不算是個劃算的買賣。不帶量、不帶貨、甚至都不幫著挖個漏洞什么的,近乎公益的事情,在這個經濟的低潮中尤其艱難,也尤為珍貴。但當我們有朝一日回看它帶來的價值時,希望我會覺得一切努力、一切堅持、一切爭議都是值得的。”
“2000萬,是我為大家做的一場實驗,成了,讓我們舉杯相慶,敗了,會有后起之秀。”
說實話,在此之前,我是不太相信馬杰辦一場世界頂級黑客大會是“沒有目的”的。
一個月前,我還寫過一篇稿件,叫《和世界頂級黑客再次辦大會,百度安全要什么》。
我從三個角度闡述了這場大會對百度及百度安全的影響:
第一,為百度和百度安全強化“工程師文化”“極客”的標簽;
第二,百度安全要繼續與百度的“AI”調性保持一致,強化“AI安全”的定位。
第三,馬杰與世界著名黑客、大會發起人 Jeff Moss 想構建跨越中美的極客 ( 黑客)社區文化。
后來,我認真地盯著馬杰的眼睛,問出了我心中的疑惑:“你說我猜得對不對,你們到底要什么?”
馬杰無奈了:“大家老問我要什么,我真的不要什么。”
看他說得情真意切,我有點動搖。
我想起了曾被忽略的故事。
幾年前,馬杰還在創業公司安全寶,從那時開始,安全寶就贊助了當時一支尚未被人知曉的 CTF 戰隊“藍蓮花”,這支戰隊源自清華大學的網絡安全技術競賽和研究團隊。
2013年,藍蓮花成為華人世界歷史上首支成功闖入 DEF CON 黑客大會 CTF 全球總決賽的隊伍。
2014年,藍蓮花連續第二次入圍 DEF CON CTF 全球總決賽,并獲得第五名的優秀戰績,是中國參與 CTF 網絡安全技術競賽成績最為突出的一支國際知名戰隊。
“馬杰不停地問我們,怎么樣做得更好,我們從從藍蓮花一直往下走,當時沒有什么特別功利的想法,就覺得為什么中國沒有頂尖戰隊呢?清華的小朋友們雖然有熱情,但是沒錢,而且沒有經驗,他們也沒有打過 DEF CON 。”馬杰的同事回憶,當時馬杰所在安全寶資助藍蓮花,不僅僅是從資金上支援,包括與戰隊一起規劃成長路徑,分析國內外比賽,甚至細致到哪些比賽適合第一站打,通過不斷地練級通關訓練戰隊。
正因為不斷錘煉,中國第一支頂級國際 CTF 強隊誕生,而從這支戰隊走出去的選手在安全行業開辟了屬于年輕人的新天地。
我把這件事理解為馬杰及其團隊播下的一顆“走出去”的種子,而DEF CON CHINA 則是他們“引進來”的一顆種子。
去年才是第一屆 DEF CON CHINA ,但栽種人馬杰和Jeff Moss 都挺忐忑,當時,國內還沒有這種規模和形式的安全活動——它真的挺特殊的,它不僅有演講者正兒八經講議題的模式,還有注重實操、體驗和互動的 Village 和 Workshop,有關商業的展位被擠在一個小小的屋子里——因為商業從來不是這個大會重要的主題,互動和交流才是這個黑客大會的重心。
也因此,你才能看到一拳錘到爆的游戲機被“hack”的場景,你也能看到背著一個自制大菠蘿天線走來走去的黑客,你甚至能看到一群人圍在一起研究機械鎖和電子鎖,以及一場黑客音樂會。
我曾問馬杰和 Jeff Moss,這種大會到底能給中外的安全從業者們帶來什么?
Jeff 說:“每個人都應該各謀其位、各司其職,我所能夠做的通過建立這樣一個全球性的社區,并且讓更多人參與其中,在這過程當中通過他們熱情的參與,幫助我們的政策決定者,在進行決策過程中做得更加合理化,并且讓他們充分認識科技到底能夠發揮什么樣的功效,尤其一些極客有時候比建立這個體系的人更了解,所以說我們應該通過科技,通過這樣的一種會議或者行動,讓更多的人參與其中。”
馬杰的想法是一樣的:“我相信我們這個社區一樣會慢慢變大,咱們有這么大的人口基數和技術群體,我覺得某一天,它一定會成長為特別大的極客圈子的派對,我特別期待這天。”
馬杰希望,自己努力推動的安全社區能讓更多的人了解,通過溝通和合作促進安全生態的生長。
去年,他們也不知道這個大會能做成什么樣。今年,馬杰更有信心了。
我想,還有一件事給了馬杰一些激勵。
被稱為“沙漠之城”的毛烏素沙漠經歷了 60 年的治理,變成了毛烏素森林。
馬杰多次提及此事,甚至想在這個黑客大會上為它籌款,認為毛烏素的改造代表了一種極客精神。也許,他也曾揣摩,在毛烏素沙漠種下第一棵樹的人是什么樣的感受,他可曾預見今日的世界?也許,馬杰也想親手“種下這么一棵樹”,看看安全生態能因此變成什么樣。
“中國其實在技術社區里面,包括我們日常做產品,我們自己也能意識到,有時我們比較喜歡取得快速成效,比較喜歡取巧,都講要聰明,但感覺精明多過聰明,真正的技術還是要能花時間去種樹的,從頭種樹。一樣的,從頭做一點技術,做一點社區,開放一點代碼,都是非常基礎的事情,做著做著就變了。”馬杰說。
文藝如馬杰,也終歸還是一個商業公司的安全“策劃人”。雖然我曾試圖脫離“文藝”看“商業”,又拋開“商業”看“本心”,但不得不承認,馬杰要的“開放”“培育”“生態”都會影響百度安全事業部的發展。
至此,我終于理解了,為什么去年百度安全將七大技術開源匯成“七種武器”,來解決云管端以及大數據和算法層面的一系列安全風險問題。
百度安全定位“AI 安全”后到底是種怎樣的打法,他們今年已經做了什么,想必也是大家關心的話題。
馬杰:我們試圖在解決三個層面的安全問題。我們從三個視角來看一個事情的安全,最基礎的視角是工程師視角,看代碼層面本身,這是比較傳統的公司的程序員和測試人員重點關注的事情,大量安全問題是這兒引起的,再往前一步,大部分安全團隊做的是——從安全人員或者說黑客視角看有什么樣的安全問題,比如有沒有內存溢出,有沒有泄露,屬于安全領域的問題。這兩塊我們一直在做,我們還在做數學家層面的安全問題,前面兩個都是以發現問題為主的,到了第三個層面,我們希望用一些偏數學的方法去證明代碼是安全的。
美國和國內協作在做這個研究,現在一部分成果在往落地轉化,這個東西還是挺前沿的,在數學領域存在很多年,但是在工業界一直用不起來。或者說在工業界一直無法大規模使用,因為使用成本極高,沒有好用的工具,大量靠人參與,一點點調整、做證明。所以,這個東西不可規模化,可能為了幾萬行代碼,一個團隊可能要干好幾個月,不具備工程性。干幾個月是好的情況,不好的情況是發散了,最后掙不出來,這是經常發生的情況。我們做的事情就是通過我們的實踐經驗,把這個東西變成自動駕駛中可以用的技術,證明代碼是安全的,非常難,但是非常有價值。
馬杰:我們和阿里、騰訊、各大高校以及政府機構都建立了比較深的合作關系。
比如,我們和復旦和中科院在隱私方面進行深度合作,和國家計算機病毒應急處理中心在隱私檢測技術上也有合作,國家計算機病毒應急處理中心是公安部的隱私檢測最底層技術的支持方。這款工具檢測的是app的隱私合規,在我們的網站上也可以申請使用。
我們和中科院有一些合作,他們的密碼學分析走得很靠前,我們在一些實際落地上有案例和應用,百度這么大的體系需要使用。
我們和泰爾實驗室在 IoT 安全方面共同推出了很多檢測報告,我們聯合泰爾實驗室一起對所有市面上的智能音箱、智能電視進行了檢測,并且推出了檢測報告。希望大家了解這個生態,這個生態是有問題的,我們不得不承認,同時這個東西是可以解決的,但這個事情不是百度一家能解決的,所有的檢測報告和檢測內容也會向其他廠家開放。
云方面我們也一直在做,云本身有安全問題,另外,云上有新的安全產品的形態,也一直在迭代,云肯定是我們關注的。我們也關注 IoT 這些設備,比如小度在家、百度音箱的安全性。
2017年,我們把品牌和定位做了升級,做了一些調整和方向確認,在很長時間內不會改的,就是 AI 安全,周邊還有云、移動、車、IoT,這些都是我們盯著的方向。
我們不太可能每年冒出一個新技術,其實我們之前把 AI 安全這個方案定好之后,基本上盯著這幾個方向持續做,包括對車各個方面的研究,具體到算法、產品。整個自動駕駛系統有很多面,算法主要是機器視覺這些方面的。還有很多傳感器方面的,之前講過指紋什么的,原來我們研究傳感器的人在車上研究車的GPS、4G模塊。
馬杰:安全肯定不是百度的主戰場,這是我們非常明確的。我們主要的職責還是保護百度整個生態、AI的生態、百度伙伴的生態,所以在 to B 層面上,我們主要以開源的方式對外輸出一些我們現在進行的研究和核心技術,讓生態能夠更好的運轉起來,這是我們主要的目的。我們的服務壓力更大,掙錢不是我們的第一目標。不管百度的搜索生態,AI 生態都是一個巨大的生態,這個生態如果做好了,給公司產生的價值更大,我們最近的黑產對抗案例,因為監管部門沒有處理完,我不說細節,牽涉到的金額達幾千萬,我們止損的金額也是上千萬的。你賣產品得賣多少才能有好幾千萬,但是我所制止的損失就有這么多了。
馬杰:打擊黑灰產一方面是保護生態,另外一個方面,這也是該做的公益的一部分,就是用自己的技術實力讓搜索生態變得更好一點,其實說回來還是這么俗的事兒,但是就像剛才說的對隱私的打擊,事實上這個生態就變了,只不過這個是用戶感受到的,其實我們打了很多小東西,只不過有時底層用戶不一定感受得到。比如,在搜索結果里面,很多和隱私相關的東西是搜索不到的,這都是我們先做處理的。以前搜索不干預的話,很多身份證號、QQ號、手機號都是可以搜出來的,很沒有安全感。我們現在做了識別和干預,我們既不想影響搜索的體驗,又不想用戶隱私被暴露,但就是有那么多網站不負責任地貼出來這些隱私信息。怎么辦?我也不能把它關了,但可以干預搜索結果。
**調查**
作為一個安全從業者/愛好者/吃瓜群眾,給你2000萬,你要怎么花?歡迎文末留言。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
