一個人學(xué)會了武功，如果他用來除暴安良，那他就是俠；如果他用來打家劫舍，那就是盜。一個普通人掌握了網(wǎng)絡(luò)安防技術(shù)，是選擇變成走火入魔的堂吉訶德，持矛企圖逆轉(zhuǎn)科技方向的風(fēng)車？還是選擇科技向善充盈自己的成長之路、向社會播撒愛和思考？23歲的腹黑有自己的答案。

作者 | 劉冰一

編輯 | 陳彩嫻

武俠世界有“兵器譜”，黑客江湖也有自己的榜單，腹黑就是“中國白帽黑客榜”上的一枚新星。

1998年出生的腹黑（高昌盛），是 CTF（Capture The Flag）戰(zhàn)隊 W&M 創(chuàng)始人、國內(nèi)知名安全團(tuán)隊白帽 100 負(fù)責(zé)人、第46屆世界技能大賽網(wǎng)絡(luò)安全項目國家集訓(xùn)隊隊員、工信部“車聯(lián)網(wǎng)漏洞分析專家工作組”專家，也是網(wǎng)絡(luò)安全工程師培訓(xùn)教材《網(wǎng)絡(luò)安全Java代碼審計實戰(zhàn)》的第一作者。

在強敵環(huán)伺的信息安全賽事中，他屢屢打敗來自名校名企對手。但這樣一位“天才白帽黑客”，他的教育背景卻只是職業(yè)學(xué)院，相關(guān)技術(shù)基本是自學(xué)來的。

圖注：腹黑

他上初中時，別的同學(xué)還在網(wǎng)吧打游戲，他就沉迷于逛論壇找bug，靠提交漏洞逐步實現(xiàn)經(jīng)濟(jì)獨立。高中，他已經(jīng)“混”進(jìn)大學(xué)組參加網(wǎng)絡(luò)安全競賽拿到第一名，但因為“尚未成年”遭到驅(qū)賽。

近來，他因參與兩季螞蟻集團(tuán)舉辦的 ATEC 科技精英賽《燃燒吧，天才程序員》出圈，作為攻防選手通過偵破黑產(chǎn)的信息，為 AI 研究者提供所需的特殊樣本推進(jìn)科技反詐。同時，黑客結(jié)合 AI 推進(jìn)網(wǎng)絡(luò)安全的協(xié)作模式，也為可信 AI 提供了有益的探索。

今天，我們走近不走尋常路的他，聆聽他的故事。

1

瘋起來連自己都打

搶一血，是每個 CTFer 心中原始的貪癡嗔。

腹黑對著滿屏的代碼抓心撓腮，挖 BUG 是他玩的最溜的事，絕對不能輸！當(dāng)絞盡腦汁突然發(fā)現(xiàn)漏洞，第一個提交題目 flag 獲得一血的瞬間，一種舒爽充斥四肢百骸，他瞅了瞅還在眉頭緊鎖盯著顯示器的對手，扯出一抹得意的笑。

這是他第 4，5……已經(jīng)記不清不知道多少次參加 CTF 比賽了，反正他現(xiàn)在的江湖地位可以叉著雙臂隨便跟小輩們吹牛，還能讓對方心滿意足感慨一句“學(xué)到了”。

CTF（Capture The Flag）又叫奪旗賽，是網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)人員進(jìn)行技術(shù)競技的一種比賽形式。參賽團(tuán)隊之間通過進(jìn)行攻防對抗、程序分析等形式，從比賽環(huán)境中得到一串具有一定格式的字符串或其他內(nèi)容并提交得分，現(xiàn)已成為全球范圍網(wǎng)絡(luò)安全圈流行的競賽形式。

電視劇《親愛的，熱愛的》將 CTF 推向了社會大眾視野，腹黑就是電視劇中的那位牽頭的“韓商言”，為了使自己的 CTF 戰(zhàn)隊 W&M 發(fā)展壯大 ，他不惜連哄帶騙、出賣色相、持續(xù)忽悠 CTF 圈里打比賽的人——快加入我們戰(zhàn)隊，走過路過不要錯過，帶你躺贏帶你飛。

圖注：腹黑（右）在CTF比賽現(xiàn)場

你還別提，還真有人給忽悠瘸了，加入 CTF 這個福禍不明的比武擂臺。

CTF競賽模式具體分為三類：解題模式（Jeopardy）、攻防模式（Attack-Defense）和混合模式（Mix）。

在攻防模式的CTF賽制中，參賽雙方通過挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對手服務(wù)來得分，修補自身服務(wù)漏洞進(jìn)行防御來避免丟分。參賽選手拼的不僅是智力和技術(shù)，也有體力上的較量（比賽一般會持續(xù)48小時及以上），以及團(tuán)隊分工配合協(xié)作的考量。

聽起來超正氣？幻想一下：CTF 的世界里，玩家擁有輕靈的金手指，擺脫沉重的肉體束縛，手持代碼鑄成的利刃，滌蕩人世間的不公……這太優(yōu)雅了是不是？

醒一醒！真實的 CTF 賽場上伴隨著高壓和刺激，賽場經(jīng)常碰到“世界名?！?、“超強大腦”等來頭不小的對手。腹黑和他的隊友常常為了解題啥都顧不得，光著膀子，踩著拖鞋，吃飯全靠外賣，比賽全靠熬夜。一比就是幾周，每天睡一兩個小時吊口仙氣，比完一場連睡兩天才能回血。決賽的房間可能也慘不忍睹，吃剩的外賣來不及扔，地上甚至能找到幾雙臭襪子。

正所謂，苦你心智、勞你筋骨、餓你體膚，空乏你身，卻不一定每次都降你大獎牌和大紅包。

酒壯慫人膽，腹黑還有喝酒一計。有一次比賽，他拉著其他戰(zhàn)隊的人喝酒，在一杯杯深藏功與名的小酒里對手果然醉倒，第二天全體遲到。腹黑辯解他本人“又菜又愛喝”，誰知道對手更不能喝啊。

總之，跟他做隊友可收獲滿滿的安心，做對手就很可怕了，他在技術(shù)上和戰(zhàn)術(shù)上都很有一套。

圖注：腹黑（第一排右一）和隊友共研賽題

賽場會碰到各種意外情況，攻防選手思維不能太常規(guī)，要不很難發(fā)現(xiàn)隱藏 Flag。在腹黑參加比賽的過程中，刪除服務(wù)器的代碼這種“瘋起來連自己都打”的事情他也做的，因擔(dān)心電腦被入侵后失去機密，干脆刪除服務(wù)器自毀。

通過比賽可以和各路大神碰撞出來不同的火花，刷新信息安全的前沿認(rèn)知，研究更多的技術(shù)技巧，以比賽的形式證明自己——所以腹黑很享受比賽。

據(jù)不完全統(tǒng)計，腹黑先后獲得2019年ByteCTF線上賽第一名、2020年SCTF國際網(wǎng)絡(luò)安全奪旗賽第一名、“第五空間”網(wǎng)絡(luò)安全創(chuàng)新能力大賽一等獎、2021年智能網(wǎng)聯(lián)汽車破解懸賞賽第一名、第四屆“強網(wǎng)杯”全國網(wǎng)絡(luò)安全挑戰(zhàn)賽二等獎等等優(yōu)異成績。

圖注：部分參賽證

2

白帽黑客成長記

渴望證明自己，幾乎是每個青年行走江湖的人生驅(qū)動力。只是在腹黑的身上，這份渴望多了一份純粹，即腹黑本人對網(wǎng)絡(luò)安全的熱愛。

憑借多年的參賽經(jīng)歷，雖然年紀(jì)輕輕，但腹黑在網(wǎng)安世界里已經(jīng)小有名氣。“CTF戰(zhàn)隊W&M創(chuàng)始人”，聽起來不乏一方掌門人的氣勢，即使沒有達(dá)到叱咤風(fēng)云的震懾力，但放在一個23歲少年的身上，也足以傳遞不容小覷的潛力。

有人也許會好奇：這塊“鋼鐵”是怎么煉成的？

先說了，你若想聽一個造神的故事，這里沒有。

腹黑的學(xué)歷背景是職業(yè)學(xué)院，?？?。得失相倚，他在興趣上投注了過多的精力，學(xué)業(yè)和興趣之間沒能很好地平衡。高考失利恍若一記悶拳打下，但他還是“從一個失誤中反省出夢想”——將自己的報考志愿全都填為自己感興趣的信息安全專業(yè)。2017年，他入學(xué)臺州科技職業(yè)學(xué)院的信息安全與管理專業(yè)。

但草蛇灰線，他對技術(shù)的偏執(zhí)有跡可循。

世紀(jì)之交，《黑客帝國》等電影讓人們認(rèn)識到黑客這樣酷炫的身份存在，當(dāng)時的電影海報貼滿大街小巷，吸引了無數(shù)科幻迷。2000年的《萬王之王》開啟了中國的網(wǎng)游新篇章，網(wǎng)吧的黃金時代就此到來，許多“網(wǎng)蟲”的互聯(lián)網(wǎng)初體驗從此開始。

圖注：1999年《黑客帝國》電影海報

腹黑出生于1998年，他的成長地浙江溫州緊跟時代脈搏，沿街的網(wǎng)吧招牌如雨后春筍般涌現(xiàn)。江浙人聰慧精干，對于新興事物積極主動，吸收迅速。他的成長無法回避全民擁抱互聯(lián)網(wǎng)的趨勢，也從很小便對網(wǎng)絡(luò)、黑客、網(wǎng)絡(luò)安全技術(shù)產(chǎn)生關(guān)注和興趣。

童年的腹黑，妥妥一枚“熊孩子”。

他讓父母格外頭疼：精力旺盛、好奇心強、經(jīng)常一溜煙找不到人……有次，他和一群小伙伴跑到家附近的山上玩，那是座比較危險的墳山，他和小伙伴無意間打死了一條蛇，回家也不敢吭聲，查了資料發(fā)現(xiàn)居然是眼鏡蛇，后怕不已。

拆家壞器常有的事，他還經(jīng)常偷偷跑網(wǎng)吧，被他爸爸?jǐn)Q著耳朵就回來了，也不好好寫作業(yè)，常惹得爸爸追著打，媽媽從中調(diào)和。

初二暑假在家，他一時興起想破解鄰居家的 Wi-Fi 密碼，于是翻看網(wǎng)上資料找尋破解方法。雖然最終沒能成功，但是陰差陽錯的，他打開了一扇有著神奇魔力的大門——

他第一次知道網(wǎng)絡(luò)是有很多漏洞的，慢慢接觸到“網(wǎng)絡(luò)安全”領(lǐng)域。當(dāng)時年齡小，他挖到一個漏洞就去網(wǎng)絡(luò)炫耀，在論壇上，大家對技術(shù)很是崇拜，他會因為這種崇拜激勵自己找到更高級的漏洞，別人挖到一個，他就決心要挖到一個更厲害的。

不過，他對游戲不感興趣，去網(wǎng)吧是想嘗試一些“奇怪”的東西，比如，琢磨怎么開掛不被封號；發(fā)掘一些繞過收費系統(tǒng)的漏洞等——小時候零花錢少，他便想方設(shè)法免費上網(wǎng)。

當(dāng)時，他只覺得自己做的事情“好玩”，并不知道這是“黑客”行為。隨著接觸的深入，他逐漸了解到紅客文化、白帽子……慢慢地，他對“黑客”群體產(chǎn)生了一些敬畏和別樣的情愫。

互聯(lián)網(wǎng)誕生之初，黑客還是一個中性的概念。直到1988年，康奈爾大學(xué)的在讀研究生羅伯特·莫里斯的一個測試程序中的代碼變成了危險的蠕蟲病毒，這個程序?qū)⒉挥嬈鋽?shù)的數(shù)據(jù)和資料毀于一夜之間。無意之間誕生于網(wǎng)絡(luò)的蠕蟲病毒開啟了人類在網(wǎng)絡(luò)世界博弈的新篇章，與此同時，黑客一詞被賦予了“網(wǎng)絡(luò)攻擊者”的含義。

所謂的白帽黑客，相對于使用技術(shù)作惡的黑帽黑客/駭客，是鍛煉技能、技術(shù)為善、合法賺取賞金的黑客。成為一名白帽黑客，要懂得編程、善于逆向思維、知曉如何對抗程序員寫的層層防護(hù)，最重要的是要有道德底線。

在黑產(chǎn)團(tuán)伙眼中，白帽黑客絕對是一群傻瓜，拿著價值幾十萬上百萬的漏洞，去換取幾百元、幾千元的賞金。

每個男孩都有個英雄夢，腹黑中二地認(rèn)為，白帽黑客是正義的化身！在現(xiàn)代網(wǎng)絡(luò)世界里，黑客就是除暴安良的時尚英雄。這個英雄也許是一個經(jīng)年蟄伏在網(wǎng)絡(luò)深處，擁有獨立的靈魂，凝視著深淵，隨時為正義揭竿而起的綠林游俠。

圖源網(wǎng)絡(luò)

后來，腹黑發(fā)現(xiàn)一個專門反饋各種系統(tǒng)漏洞的平臺。他嘗試提交一些自己發(fā)現(xiàn)的漏洞，居然可以賺取報酬！從那個時候開始，他逐漸不跟家里伸手要錢，靠找漏洞和參賽獎金養(yǎng)活自己。

到了高二，他開始接觸 CTF，報名時誤填了大學(xué)組，結(jié)果他一個高中生拿到了大學(xué)組一等獎，興致勃勃地準(zhǔn)備線下決賽，決賽前才突然接到不能參賽的通知，因為核查他的年齡是未成年。結(jié)果，他終究沒能參加決賽，但主辦方還是給了他線上賽的一等獎。

有了一些名氣之后，一個深圳舉辦的信息安全大會邀請他參會，對于一個還在念書的高中生來說，獨自出遠(yuǎn)門機會甚少，他的阿姨還犯嘀咕：“這孩子不會是被騙去傳銷組織了吧？”但最終他的父母還是支持他去了，因為經(jīng)過長期觀察，家人發(fā)現(xiàn)他并非“不務(wù)正業(yè)”，對他搗鼓電腦態(tài)度有了轉(zhuǎn)變，逐漸理解和支持他。

他在家有了自己的小工作臺，擺滿了風(fēng)槍、電路板等亂七八糟的東西，包攬了家里所有手機、電腦等電子電器的維修工作。

圖注：工作臺角落

初涉網(wǎng)絡(luò)信息安全圈子時，他想了一個拉風(fēng)的 ID 名——“腹黑攻”，在鍵盤上 F、H、G 三個字母是連著的，打字不順手，便把“攻”字去掉了，不過腹黑一詞倒是很貼合他不按套路出牌、機靈愛玩的性格特點。如今，“腹黑”在圈里已經(jīng)是個響亮的名字。

一個合格的黑客要掌握匯編、操作系統(tǒng)、數(shù)據(jù)結(jié)構(gòu)、離散數(shù)學(xué)、TCP協(xié)議、實戰(zhàn)等等技術(shù)；還需要每天留出大量的學(xué)習(xí)時間，每一項新的技術(shù)出現(xiàn)，黑客就必須在最短的時間內(nèi)學(xué)會，并且做到方方面面的精通，一個黑客一旦停止學(xué)習(xí)，僅靠吃老本用不了多久便會成為一個平庸之輩。

腹黑像是天生就是吃這碗飯的，從初中接觸到網(wǎng)絡(luò)安全漏洞開始，他每天便留出大量時間死磕技術(shù)難題，以中有足樂者，廢寢忘食地沉浸在技術(shù)世界里常有的事。

但命運的饋贈，早在暗中標(biāo)上價碼。腹黑的文化課并未像在網(wǎng)絡(luò)技術(shù)上表現(xiàn)的那般出彩。2017年，他收拾好行囊，赴臺州科技職業(yè)學(xué)院上學(xué)。

不爭饅頭爭口氣，他決心要在自己擅長的地方玩出點名堂。

入學(xué)后便是天高任鳥飛，他去往全國各處比賽實戰(zhàn)，“野路子”終于找到了“大部隊”。所幸，在網(wǎng)絡(luò)安全的世界中，技能等級優(yōu)于學(xué)歷證書，腹黑憑借自己的一技之長，找到了更廣闊的的舞臺，也展現(xiàn)出在網(wǎng)絡(luò)安全研究方面的天賦。

通過競賽和活動，他認(rèn)識了更多信息安全競賽隊友，他經(jīng)常泡在資料中尋找解題方法，憑借精湛的技術(shù)和一腔熱愛，他拿獎拿到手軟，畢業(yè)時證書獎狀厚厚一摞。

圖注：部分獲獎證書

后來，他還將在做專業(yè)比賽選手時的知識與經(jīng)驗構(gòu)逐漸形成相對完整的網(wǎng)絡(luò)安全知識體系，出版了《網(wǎng)絡(luò)安全Java代碼審計實戰(zhàn)》一書。這本書深入淺出地介紹了基礎(chǔ)Java開發(fā)環(huán)境搭建、代碼審計環(huán)境搭建、常見漏洞的成因以及審計和修復(fù)的技巧和代碼審計實戰(zhàn)，作為網(wǎng)絡(luò)安全工程師入門教材受到了廣泛的歡迎。

圖注：《網(wǎng)絡(luò)安全Java代碼審計實戰(zhàn)》書樣

投身正義的“黑客”腹黑，在安全研究這條路上的成就越來越多，信念也愈加堅定：他想做網(wǎng)絡(luò)世界的守護(hù)者。

3

圈內(nèi)與圈外

現(xiàn)在，腹黑是安恒車聯(lián)網(wǎng)天問實驗室的主任，主要研究車聯(lián)網(wǎng)與物聯(lián)網(wǎng)車輛安全，成了一名“白帽”衛(wèi)士。

圖注：腹黑工作

但網(wǎng)絡(luò)安全的場景多樣，要成為一名俠客，腹黑深知光打比賽是不夠的。如果把守護(hù)技能比喻成一把劍，那么純網(wǎng)絡(luò)安全領(lǐng)域的比賽只能算“小試牛劍”。要想更上一層樓，化身“SSS”級大師，必須到更豐富的場景中，比如個人隱私防護(hù)。

隱私保護(hù)是“可信AI”的四個核心之一，強調(diào)使用差分隱私、聯(lián)邦學(xué)習(xí)等AI技術(shù)，使 AI 模型在為用戶提供精準(zhǔn)服務(wù)時保護(hù)用戶隱私。但如今，傳統(tǒng)的防御方式已經(jīng)難以有效抵擋日益復(fù)雜的黑產(chǎn)攻擊。

近兩年，腹黑就參加了螞蟻集團(tuán)主辦的《燃燒吧 天才程序員》，將黑客技術(shù)運用到 AI 中，協(xié)助 AI 研究者挖掘黑產(chǎn)攻擊手段和欺詐交易特征，作網(wǎng)絡(luò)安全與 AI 技術(shù)創(chuàng)新的結(jié)合。在這次比賽中，腹黑不僅涉獵了AI，還成功出圈。

腹黑參加過兩季天才程序員。

他回憶第一季報名時打趣：當(dāng)時他是在網(wǎng)絡(luò)上看到賽事信息，打眼一看“一百萬獎金”？此等金錢主義罪過，我不下地獄誰下？不難，他通過了層層層層層面試拿到了參賽資格。

賽場碰到了很多賽圈老友，像小刀、gml。節(jié)目保密做的賊好，賽前完全不知道賽制的，甚至禁止選手見面，他和小刀幾人偷吃夜宵曾被導(dǎo)演抓了個現(xiàn)行，節(jié)目開始錄制拿到技術(shù)文件隱約猜出應(yīng)該是內(nèi)網(wǎng)滲透相關(guān)的題目，據(jù)他回憶，當(dāng)時心里很沒底了，因為工作性質(zhì)原因，他很少接觸域滲透，此行可能兵敗。

那也不能白來啊，玩就是了唄。他選擇用畢生所學(xué)來“攪屎”，最開始時還尊重比賽規(guī)則地攪，只對漏洞進(jìn)行相應(yīng)的暴力修復(fù)（在CTF線下賽挺常見的）。當(dāng)他發(fā)現(xiàn)其他隊伍也在搗亂時，他開始了進(jìn)一步的攪屎，rm-rf 了整個 Web 目錄，上傳了他的黑頁搞對手心態(tài)。

圖注：腹黑攻入對手頁面

第一季被老友小刀欺負(fù)了，他跟小刀約賽第二季一雪前恥，節(jié)目組鑒于他第一季的出色表現(xiàn)直接給他免試，第二季開賽關(guān)頭，得知小刀把他鴿了。

腹黑的小腦袋瓜兒迅速盤了盤，卷土重來勢必是有優(yōu)勢的，他決定第二季賽出風(fēng)采。

他提前做一些功課，想以一個優(yōu)美的姿勢參與本次上鏡的比賽。他信誓旦旦地告訴節(jié)目 PD：“這次一定不卷！我要躺平！我就是來混的！”

真到比賽時，大家拉他吃飯他不吃，喊他睡覺他不去。節(jié)目 PD 問他“你不是說你不卷了嗎？”腹黑打趣：“男人說的話你也敢信？”贏這種信念天然地刻在他的基因里，一旦投入到工作狀態(tài)，“卷”、“拼”就是他甩不掉的特質(zhì)。

第二季賽題是可信 AI，主辦方將攻防選手引入節(jié)目環(huán)節(jié)中開啟賽題。攻防選手幫助 AI 選手獲取有異于普通用戶的黑產(chǎn)用戶的資料，幫助 AI 選手獲取特征值，建立更加可靠的模型。在本節(jié)目中，像腹黑這樣的攻防選手通過偵破黑產(chǎn)的信息，攻入黑產(chǎn)系統(tǒng)，截獲、抓取黑產(chǎn)的數(shù)據(jù)資料，為 AI 研究者提供所需的特殊樣本，幫助 AI 選手進(jìn)行增量學(xué)習(xí)。

結(jié)果很好，腹黑率先取得優(yōu)勢，為隊友爭取到額外時間。他所在的隊伍贏得沒有懸念，最終獲得冠軍。

這一實踐啟迪了黑客可與 AI 結(jié)合推進(jìn)網(wǎng)絡(luò)安全，也為可信 AI 的發(fā)展提供了有益的探索。AI+X的“X”中，黑客技術(shù)也能有一席之地。這讓腹黑這位白帽衛(wèi)士很有成就感。

網(wǎng)絡(luò)安全越是風(fēng)嚴(yán)霜重，越需要守護(hù)者春風(fēng)化雨，讓黑產(chǎn)等不法分子如鯁在喉。

腹黑揮揮手：他在黑產(chǎn)防御上的征途也只是寫了一個開頭，后事如何，就江湖見分曉。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))/雷峰網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。