最近，有人問雷鋒網(wǎng)宅客頻道（微信ID：letshome），你覺不覺得物聯(lián)網(wǎng)領(lǐng)域最近動作頗多？

是的，一個明顯感受是——大家對 IoT 安全的興趣越來越濃了。

11 月 28 日，小米開了一場 IoT 開發(fā)者大會，發(fā)布了 IoT 開發(fā)者計劃，百度也加入了這場合作，要引入百度的 AI 能力。如果你留心一下，會發(fā)現(xiàn)那天下午還有一個 IoT 安全峰會的分會場，在最后一個議程中，小米安全 CSO 陳洋、清華大學(xué)教授段海新、百度安全事業(yè)部總經(jīng)理馬杰、騰訊極棒大賽創(chuàng)始人王琦、長亭科技聯(lián)合創(chuàng)始人楊坤以及 360 的楊卿一同坐在了臺上。

他們要宣布合作？那倒沒有。但是，各家對于 IoT 安全的態(tài)度可見一斑。

小米的 IoT 安全主要聚焦在自家及生態(tài)鏈產(chǎn)品上，并不包括對其他產(chǎn)品的攻防研究，除非“家里也有余糧時，才會對其他家的產(chǎn)品做一些攻防研究”。這無可厚非，畢竟小米及生態(tài)鏈產(chǎn)品的市場占有率可以說明，小米正緊緊把控著智能硬件的入口。

同月初，百度安全成立了一個 OASES 智能終端安全生態(tài)聯(lián)盟，這個聯(lián)盟里囊括了安全廠商犇眾信息、Keen 公司（極棒黑客大賽主辦方）、NewSky Security（青天科技，主攻物聯(lián)網(wǎng)設(shè)備安全）、騰御安（TYA，Linux 內(nèi)核安全專家團隊）等攻防能力很強的技術(shù)團隊。雖然，這次百度安全說的是要“緊靠 AI ”，開放 AI 生態(tài)上的多項安全能力，但落地點依然在智能終端領(lǐng)域。

至于騰訊，它宣告得也很早。9 月 10 日，騰訊與無錫市高新區(qū)聯(lián)合成立了國內(nèi)首個TUSI（騰訊用戶安全基礎(chǔ)設(shè)施）物聯(lián)網(wǎng)聯(lián)合實驗室，同時與英特爾開發(fā)區(qū)塊鏈技術(shù)，推動構(gòu)建物聯(lián)網(wǎng)安全能力。

不在臺上的阿里也有個 ICA 聯(lián)盟，也稱 IoT 合作伙伴計劃。ICA 聯(lián)盟構(gòu)架由 5 個模塊構(gòu)成，分別是接口、低功耗廣域網(wǎng)、安全、數(shù)據(jù)和測試認證。

360 雖然是安全廠商，但也專門搞了 IoT 安全？

是的。11 月 21 日，楊卿在朋友圈發(fā)布了一張招人海報，宣告 360 IoT 安全研究院成立。

事實上，雷鋒網(wǎng)了解到，楊卿所在的無線電安全、劉建皓所在的智能網(wǎng)聯(lián)汽車安全等安全領(lǐng)域做出的研究其實也都與物聯(lián)網(wǎng)安全有關(guān)，但為什么還要特地成立一個 IoT 安全研究院？這個研究院和之前360 在物聯(lián)網(wǎng)上布局的力量有什么關(guān)系？他們到底要做些什么？

帶著這些疑問，雷鋒網(wǎng)跟 360 IoT 安全研究院的兩位負責(zé)人李康與楊卿聊了聊。

實問實答

李康：CGC 機器人競賽項目 UGA Disekt 的華人領(lǐng)隊，目前是 360 網(wǎng)絡(luò)安全北美研究院負責(zé)人，IoT 安全研究院院長。

楊卿：360 無線電安全研究院掌門人、UnicornTeam獨角獸團隊首席黑客楊卿，IOT安全研究院副院長，知乎有人評價顏值非常高。

楊卿（右一）

1.雷鋒網(wǎng)：為什么要成立 IoT 安全研究院，是因為大家都朝著這里使勁了嗎？

楊卿：前段時間的小米發(fā)布會上，雷軍說小米有 8500 萬個 IoT 設(shè)備掛在網(wǎng)上，日活躍率約有1000萬臺，這說明 IoT 設(shè)備真正用起來了。一用起來， IoT 安全有多重要？我就不贅述了。

其實 360 各安全團隊這些年做的很多事情都跟 IoT 相關(guān)，但沒有一個完全聚焦這個方向去的團隊，但 IoT的安全又是極其重要且不容忽視，所以公司希望要成立一支專心于這個方向深挖技術(shù)并合理轉(zhuǎn)化輸出造福IoT 產(chǎn)業(yè)的安全研究機構(gòu)，這就是 360 IoT安全研究院的設(shè)立的由來。

2.雷鋒網(wǎng)：兩位怎么分工？

楊卿：李康老師在安全界有很深的積累，安全技術(shù)視野更遠，方向感更強。但因為李康老師同時負責(zé)360 北美網(wǎng)絡(luò)安全和 IoT 安全兩個研究院的全局規(guī)劃, 所以我會一同負責(zé) IoT 安全研究院的一些事務(wù)，包括招聘、部分日常工作跟進等，和李康老師“搭班子”的工作模式我本人也是第一次嘗試，還蠻期待的。

李康：楊卿客氣了。一方面像他講的，他會做很多細節(jié)的東西，我可能會想一些更多的新的潛在威脅形式，或者說發(fā)現(xiàn)新問題，有這種分工。

3.雷鋒網(wǎng)：360 物聯(lián)網(wǎng)安全研究院將研究哪些？

李康：我先解釋一下，我們對于 IoT 的定義。我們考慮的物聯(lián)網(wǎng)安全，不僅僅是過去大家說智能攝像頭、音箱等，我們理解的物聯(lián)網(wǎng)還有更廣義的設(shè)備——物聯(lián)網(wǎng)是萬物互聯(lián)，比如基礎(chǔ)設(shè)施，包括電站、智能電表等關(guān)鍵設(shè)備，這些也和互聯(lián)網(wǎng)聯(lián)動，整個 IoT 安全研究院關(guān)心的是更廣義的 IoT 設(shè)備的安全問題。

這些設(shè)備的安全隱患有可能引發(fā)很嚴重的安全問題。比如，過去我們關(guān)心攝像頭安全，一方面是有隱私泄露的問題，另一方面被劫持的攝像頭也被用來攻擊互聯(lián)網(wǎng)上的服務(wù)。但是一旦涉及互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施，影響會更大。不安全的 IoT 設(shè)備也可能對物理世界造成威脅，比如導(dǎo)致一個城市斷電，水系統(tǒng)污染，影響的不僅僅是個人，很可能是很大范圍的城市。

2015 年白宮發(fā)生了一次斷電事件，整個白宮的人不得不撤離。這么重要的地方為什么會斷電？原來，事故發(fā)生在 40 英里外，馬里蘭州一個變電站的智能設(shè)備出了問題。但具體是怎么壞的，我不太清楚。 估計只是一次故障，但也存在有人故意搗亂的可能。

如果有人惡意直接攻擊防守嚴密地白宮供電系統(tǒng)，這可能很困難，但把幾十英里外不同的州的設(shè)備作為目標，這類攻擊造成危害的可能性會提高。

在歐洲的安全會議上，曾有一個展示項目，攻擊的目標是家庭智能燈泡，燈泡可以遠程控制時間、顏色。比如在巴黎，我能通過這種方法控制幾萬個燈泡，不光能讓這些燈泡開關(guān)，還能讓它們協(xié)同產(chǎn)生同步的用電或者停止用電的行為，這樣的行為會對電網(wǎng)系統(tǒng)造成威脅。

所以 IoT 安全不僅僅是單一設(shè)備的問題。 對于 IoT 安全的考慮，我們以單一設(shè)備為起點，要考慮設(shè)備自身的安全，還要考慮對物理世界的影響，也要考慮新的威脅形式。

楊卿：我會協(xié)助李康老師，并按照老周提出的“大安全”理念，結(jié)合我們的創(chuàng)新能力與前瞻視野去打造團隊，鉆研技術(shù)。

我在小米安全峰會的圓桌上提到，看到小米安全團隊的朋友演講時多次提到“無線電安全”，并做了諸多GPS 干擾、偽基站網(wǎng)絡(luò)劫持等這些在“連”這個層面危及 IoT 設(shè)備的技術(shù)分享時，我深有感觸。2014年，360 就成立了獨角獸這樣的團隊，做無線通信安全這方面的事情，寫了本“無線電”安全的書來率先定義了“無線電安全”，未來我想我們會全面建立覆蓋整個信息安全研究的體系和安全攻防輸出能力。

4.雷鋒網(wǎng)：你們自己也推出了很多硬件產(chǎn)品，大部分針對家用場景，近期 IoT安全院會主打針對家用的場景嗎？

楊卿：從老周最早的免費殺毒到現(xiàn)在，其實我們一直以來都在給用戶提供各種安全上的服務(wù)和產(chǎn)品，所以為了應(yīng)對層出不窮的新興威脅，對于to C 的 IoT 智能產(chǎn)品安全攻防和智能技術(shù)，我們依舊會研究和投入。

5.雷鋒網(wǎng)：你們和小米都在家庭智能設(shè)備上有布局，會有相關(guān)合作嗎？

楊卿：我看到小米之前也在連接層面測試過其智能設(shè)備的安全能力，360 之前在物聯(lián)網(wǎng)安全上有一些能力積累，這些能力是可以復(fù)用的，如果小米的智能設(shè)備需要我們這些能力，我們隨時歡迎。我跟陳洋也算是多年朋友，以后考慮合作。

6.雷鋒網(wǎng)：兩位同時負責(zé)的無線電安全研究院、北美安全研究院，這兩個部門和 IoT 安全研究院有結(jié)合點嗎？

李康：我們現(xiàn)在做了很多關(guān)于人工智能系統(tǒng)軟件本身的安全分析、測試的工作，我們覺得今后很多 IoT 設(shè)備也會和人工智能進行很強的結(jié)合，即設(shè)備的智能性越來越強。

我的團隊在人工智能現(xiàn)有的公開平臺發(fā)現(xiàn)了一些漏洞，人工智能程序的設(shè)計開發(fā)人員一般都用一些公開平臺在，我們做了一些研究，其實是幫助那些平臺做修復(fù)。

另外，我們發(fā)現(xiàn)人工智能，尤其是圖像識別、語音識別這方面的應(yīng)用，大家對其安全的關(guān)注度還不夠，我們發(fā)現(xiàn)程序設(shè)計里還是有很多點可能會受到攻擊。所以，我們現(xiàn)在也會提很多建議，讓大家注意在哪些地方做修復(fù)。

楊卿：IoT 設(shè)備高度依賴無線通信，很多產(chǎn)品也都有 WiFi 模塊、NFC 模塊、藍牙、GPS 模塊等，360 很多的智能聯(lián)網(wǎng)安全產(chǎn)品在設(shè)計時，就會引入信息安全團隊來做整體安全評估，從底層硬件通信、無線電連接協(xié)議、Web 與移動端應(yīng)用實現(xiàn)，云端及業(yè)務(wù)平臺測，長年以來積累了豐富的漏洞經(jīng)驗與安全設(shè)計與防護體系。

我們在無線電安全研究做了許許多多無線與硬件安全相關(guān)的事情和 IoT 安全相關(guān)。未來我們?nèi)詴^續(xù)聚焦在無線通信，不管是4G、5G，Zigbee、Lora 還是 NBIoT，這些無線通信技術(shù)哪一個都有可能被未來的IoT設(shè)備大量使用。所以我認為無線電安全與 IoT 安全的協(xié)作會更加的緊密。

7.雷鋒網(wǎng)：很多互聯(lián)網(wǎng)企業(yè)在搞 IoT 平臺，你們也會搞嗎？

楊卿：我們的智能產(chǎn)品本身也需要這樣的平臺去支撐，所以我們本身擁有一套依靠自己安全團隊的嚴苛測試評估體系后打造并不斷完善支撐的 IoT 平臺，但我認為這種“安全能力”是可以通過有效的轉(zhuǎn)化輸出，與各類 IoT 企業(yè)形成聯(lián)動合作共同提高 IoT 產(chǎn)業(yè)整體安全基線的。

8.雷鋒網(wǎng)：現(xiàn)在 IoT 研究院有多少人？要做成多大的規(guī)模？

楊卿(笑)：兩個人，李康老師和我。

在人員招聘風(fēng)格上，我們不看重學(xué)歷，技術(shù)能力為先，但因為是做安全，所以也更看重品德。所以，IoT 研究院現(xiàn)在的重任就是招人。

我篤信這樣一件事——即使你在做錯的事，招到好的人，錯的事情也可能變成對的。如果你在做對的事情，招錯了人，對的事也可能無疾而終。所以，我們想要招對的人。我希望招一些有志向且勤奮，有自己職業(yè)規(guī)劃方向感強的人，有志向其實就成功了一半。一個人有志向就會有激情，就會知道先積累，再成長，再去賺錢，會有大局觀。

9.雷鋒網(wǎng)：做了這么多才要想著賺錢，這樣意味著給大家的工資不夠高嗎？

楊卿：那倒不是，我們以不輸于業(yè)內(nèi)薪酬標準的硬條件加上自由的學(xué)習(xí)成長平臺的軟條件等候和我們志同道合的朋友的加入，也歡迎大家給李康老師和我發(fā)簡歷。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。