0
5 月 27 日凌晨 5 点 22 分,百度安全马杰写了一条为 DEF CON CHINA 1.0 造势的长信息(指路原文《给你2000万,你想用来做什么?》)。
“给你 2000 万,你想用来做什么?”
“我们设想,这个社区必然不仅限于网络安全,它应该是泛安全的,应该是打破条条框框束缚的,应该是极富创造力的。中国有十四亿人,如果在美国他们都能够形成一个如此之庞大、繁荣的社区,我们脚下的这片土地,我们身边的这群极客,没有理由做不到。他们只是需要一个属于自己的社区,一个属于中国但又能与世界无限连通的社区,一个能够向他们发出召唤的社区。”
“事实上,对于我的东家来说,投入如此之大去引进DEF CON,去办一场极客大会似乎并不算是个划算的买卖。不带量、不带货、甚至都不帮着挖个漏洞什么的,近乎公益的事情,在这个经济的低潮中尤其艰难,也尤为珍贵。但当我们有朝一日回看它带来的价值时,希望我会觉得一切努力、一切坚持、一切争议都是值得的。”
“2000万,是我为大家做的一场实验,成了,让我们举杯相庆,败了,会有后起之秀。”
说实话,在此之前,我是不太相信马杰办一场世界顶级黑客大会是“没有目的”的。
一个月前,我还写过一篇稿件,叫《和世界顶级黑客再次办大会,百度安全要什么》。
我从三个角度阐述了这场大会对百度及百度安全的影响:
第一,为百度和百度安全强化“工程师文化”“极客”的标签;
第二,百度安全要继续与百度的“AI”调性保持一致,强化“AI安全”的定位。
第三,马杰与世界著名黑客、大会发起人 Jeff Moss 想构建跨越中美的极客 ( 黑客)社区文化。
后来,我认真地盯着马杰的眼睛,问出了我心中的疑惑:“你说我猜得对不对,你们到底要什么?”
马杰无奈了:“大家老问我要什么,我真的不要什么。”
看他说得情真意切,我有点动摇。
我想起了曾被忽略的故事。
几年前,马杰还在创业公司安全宝,从那时开始,安全宝就赞助了当时一支尚未被人知晓的 CTF 战队“蓝莲花”,这支战队源自清华大学的网络安全技术竞赛和研究团队。
2013年,蓝莲花成为华人世界历史上首支成功闯入 DEF CON 黑客大会 CTF 全球总决赛的队伍。
2014年,蓝莲花连续第二次入围 DEF CON CTF 全球总决赛,并获得第五名的优秀战绩,是中国参与 CTF 网络安全技术竞赛成绩最为突出的一支国际知名战队。
“马杰不停地问我们,怎么样做得更好,我们从从蓝莲花一直往下走,当时没有什么特别功利的想法,就觉得为什么中国没有顶尖战队呢?清华的小朋友们虽然有热情,但是没钱,而且没有经验,他们也没有打过 DEF CON 。”马杰的同事回忆,当时马杰所在安全宝资助蓝莲花,不仅仅是从资金上支援,包括与战队一起规划成长路径,分析国内外比赛,甚至细致到哪些比赛适合第一站打,通过不断地练级通关训练战队。
正因为不断锤炼,中国第一支顶级国际 CTF 强队诞生,而从这支战队走出去的选手在安全行业开辟了属于年轻人的新天地。
我把这件事理解为马杰及其团队播下的一颗“走出去”的种子,而DEF CON CHINA 则是他们“引进来”的一颗种子。
去年才是第一届 DEF CON CHINA ,但栽种人马杰和Jeff Moss 都挺忐忑,当时,国内还没有这种规模和形式的安全活动——它真的挺特殊的,它不仅有演讲者正儿八经讲议题的模式,还有注重实操、体验和互动的 Village 和 Workshop,有关商业的展位被挤在一个小小的屋子里——因为商业从来不是这个大会重要的主题,互动和交流才是这个黑客大会的重心。
也因此,你才能看到一拳锤到爆的游戏机被“hack”的场景,你也能看到背着一个自制大菠萝天线走来走去的黑客,你甚至能看到一群人围在一起研究机械锁和电子锁,以及一场黑客音乐会。
我曾问马杰和 Jeff Moss,这种大会到底能给中外的安全从业者们带来什么?
Jeff 说:“每个人都应该各谋其位、各司其职,我所能够做的通过建立这样一个全球性的社区,并且让更多人参与其中,在这过程当中通过他们热情的参与,帮助我们的政策决定者,在进行决策过程中做得更加合理化,并且让他们充分认识科技到底能够发挥什么样的功效,尤其一些极客有时候比建立这个体系的人更了解,所以说我们应该通过科技,通过这样的一种会议或者行动,让更多的人参与其中。”
马杰的想法是一样的:“我相信我们这个社区一样会慢慢变大,咱们有这么大的人口基数和技术群体,我觉得某一天,它一定会成长为特别大的极客圈子的派对,我特别期待这天。”
马杰希望,自己努力推动的安全社区能让更多的人了解,通过沟通和合作促进安全生态的生长。
去年,他们也不知道这个大会能做成什么样。今年,马杰更有信心了。
我想,还有一件事给了马杰一些激励。
被称为“沙漠之城”的毛乌素沙漠经历了 60 年的治理,变成了毛乌素森林。
马杰多次提及此事,甚至想在这个黑客大会上为它筹款,认为毛乌素的改造代表了一种极客精神。也许,他也曾揣摩,在毛乌素沙漠种下第一棵树的人是什么样的感受,他可曾预见今日的世界?也许,马杰也想亲手“种下这么一棵树”,看看安全生态能因此变成什么样。
“中国其实在技术社区里面,包括我们日常做产品,我们自己也能意识到,有时我们比较喜欢取得快速成效,比较喜欢取巧,都讲要聪明,但感觉精明多过聪明,真正的技术还是要能花时间去种树的,从头种树。一样的,从头做一点技术,做一点社区,开放一点代码,都是非常基础的事情,做着做着就变了。”马杰说。
文艺如马杰,也终归还是一个商业公司的安全“策划人”。虽然我曾试图脱离“文艺”看“商业”,又抛开“商业”看“本心”,但不得不承认,马杰要的“开放”“培育”“生态”都会影响百度安全事业部的发展。
至此,我终于理解了,为什么去年百度安全将七大技术开源汇成“七种武器”,来解决云管端以及大数据和算法层面的一系列安全风险问题。
百度安全定位“AI 安全”后到底是种怎样的打法,他们今年已经做了什么,想必也是大家关心的话题。
马杰:我们试图在解决三个层面的安全问题。我们从三个视角来看一个事情的安全,最基础的视角是工程师视角,看代码层面本身,这是比较传统的公司的程序员和测试人员重点关注的事情,大量安全问题是这儿引起的,再往前一步,大部分安全团队做的是——从安全人员或者说黑客视角看有什么样的安全问题,比如有没有内存溢出,有没有泄露,属于安全领域的问题。这两块我们一直在做,我们还在做数学家层面的安全问题,前面两个都是以发现问题为主的,到了第三个层面,我们希望用一些偏数学的方法去证明代码是安全的。
美国和国内协作在做这个研究,现在一部分成果在往落地转化,这个东西还是挺前沿的,在数学领域存在很多年,但是在工业界一直用不起来。或者说在工业界一直无法大规模使用,因为使用成本极高,没有好用的工具,大量靠人参与,一点点调整、做证明。所以,这个东西不可规模化,可能为了几万行代码,一个团队可能要干好几个月,不具备工程性。干几个月是好的情况,不好的情况是发散了,最后挣不出来,这是经常发生的情况。我们做的事情就是通过我们的实践经验,把这个东西变成自动驾驶中可以用的技术,证明代码是安全的,非常难,但是非常有价值。
马杰:我们和阿里、腾讯、各大高校以及政府机构都建立了比较深的合作关系。
比如,我们和复旦和中科院在隐私方面进行深度合作,和国家计算机病毒应急处理中心在隐私检测技术上也有合作,国家计算机病毒应急处理中心是公安部的隐私检测最底层技术的支持方。这款工具检测的是app的隐私合规,在我们的网站上也可以申请使用。
我们和中科院有一些合作,他们的密码学分析走得很靠前,我们在一些实际落地上有案例和应用,百度这么大的体系需要使用。
我们和泰尔实验室在 IoT 安全方面共同推出了很多检测报告,我们联合泰尔实验室一起对所有市面上的智能音箱、智能电视进行了检测,并且推出了检测报告。希望大家了解这个生态,这个生态是有问题的,我们不得不承认,同时这个东西是可以解决的,但这个事情不是百度一家能解决的,所有的检测报告和检测内容也会向其他厂家开放。
云方面我们也一直在做,云本身有安全问题,另外,云上有新的安全产品的形态,也一直在迭代,云肯定是我们关注的。我们也关注 IoT 这些设备,比如小度在家、百度音箱的安全性。
2017年,我们把品牌和定位做了升级,做了一些调整和方向确认,在很长时间内不会改的,就是 AI 安全,周边还有云、移动、车、IoT,这些都是我们盯着的方向。
我们不太可能每年冒出一个新技术,其实我们之前把 AI 安全这个方案定好之后,基本上盯着这几个方向持续做,包括对车各个方面的研究,具体到算法、产品。整个自动驾驶系统有很多面,算法主要是机器视觉这些方面的。还有很多传感器方面的,之前讲过指纹什么的,原来我们研究传感器的人在车上研究车的GPS、4G模块。
马杰:安全肯定不是百度的主战场,这是我们非常明确的。我们主要的职责还是保护百度整个生态、AI的生态、百度伙伴的生态,所以在 to B 层面上,我们主要以开源的方式对外输出一些我们现在进行的研究和核心技术,让生态能够更好的运转起来,这是我们主要的目的。我们的服务压力更大,挣钱不是我们的第一目标。不管百度的搜索生态,AI 生态都是一个巨大的生态,这个生态如果做好了,给公司产生的价值更大,我们最近的黑产对抗案例,因为监管部门没有处理完,我不说细节,牵涉到的金额达几千万,我们止损的金额也是上千万的。你卖产品得卖多少才能有好几千万,但是我所制止的损失就有这么多了。
马杰:打击黑灰产一方面是保护生态,另外一个方面,这也是该做的公益的一部分,就是用自己的技术实力让搜索生态变得更好一点,其实说回来还是这么俗的事儿,但是就像刚才说的对隐私的打击,事实上这个生态就变了,只不过这个是用户感受到的,其实我们打了很多小东西,只不过有时底层用户不一定感受得到。比如,在搜索结果里面,很多和隐私相关的东西是搜索不到的,这都是我们先做处理的。以前搜索不干预的话,很多身份证号、QQ号、手机号都是可以搜出来的,很没有安全感。我们现在做了识别和干预,我们既不想影响搜索的体验,又不想用户隐私被暴露,但就是有那么多网站不负责任地贴出来这些隐私信息。怎么办?我也不能把它关了,但可以干预搜索结果。
**调查**
作为一个安全从业者/爱好者/吃瓜群众,给你2000万,你要怎么花?欢迎文末留言。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
