阿里安全白帽挖漏洞做公益

近日，阿里巴巴安全部安全专家木雁收到了2462封来自贫困山区孩子的感谢信，这源于他2016年10月参与的一个公益众测项目。 pro。这场比赛，也成为他加入阿里的一个契机。2015年7月，从电子科技大学本科毕业后，他就直接加入阿里云，做安全防御相关的工作。 flag)意为“夺旗赛”，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。起源于1996年defcon黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。

白帽子与安全众测

为提升自身信息安全水位，招募白帽子帮忙寻找自身网站或业务系统的漏洞、并以挖出漏洞质量为白帽子分配一定数额奖金成为众多企业的选择。企业通常会采取与众测平台合作的方式，举办众测比赛。

先知众测是阿里云为白帽黑客和企业打造的一个特殊中间平台，在这个平台上，企业发出安全测试需求，白帽黑客依据“测试需求”给出测试报告，企业依据报告的有效性给予白帽黑客一定现金奖励。

2016年9月，有企业找到先知，想要在阿里内部招募白帽子。当时先知负责人是阿里云首席安全科学家吴瀚清，他找到阿里公益专家华山谈起了合作。

2015年9月10日，马云通过全员邮件提出倡议：从2015财年开始，阿里人每年完成3小时的公益志愿服务。技术人员怎么发挥特长做公益?将白帽子们挖漏洞所获的奖金捐出去，未尝不是一次好的尝试。

华山帮忙对接了中国扶贫基金会，一个月后，先知公益众测正式敲定。

此次公益众测项目的参与方包含来自阿里安全、阿里云、蚂蚁金服、高德等多个bu的20多位技术人员。

2016年10月份，木雁在阿里内网看到招募信息，主动报了名。除了被一个小女孩“想要一副水彩笔画画”的梦想所触动外，也在于他曾得到过帮助。

受捐助小学生写给阿里安全前沿技术研究专家木雁的信

2008年，木雁读高三，已经钻研了两年技术的他希望寻求新的突破。恰在那时，家境不太好的他申请到了一笔2000元的扶贫基金，随后他买了人生一部智能手机——“应该是摩托罗拉产的第一代智能机。”

“当时大家都在冲刺高考的时候，我已经接触了linux，等大家都在玩windows，我已经接触到另一个领域了。”木雁回忆，如果不是这台通过助学基金买的手机，很多技术知识会延后学到，可能命运也就不一样了。

“不论黑客还是白帽子，挖漏洞的过程都一样，但结果不一样，黑客可能会拿挖到的漏洞去**，白帽子就会把这个漏洞上报给，让他们及时采取修复措施。”木雁说，“这是黑客和白帽子的比较大区别。”

“做公益众测这件事，其实是在帮他们完成一些小梦想。”木雁说，“我希望能帮助他们。”

从攻击者到防御者

“第一次通过先知用技术去做公益，能用自己擅长的方式——技术去帮助一些人，我很喜欢这样的模式。”阿里云安全工程师千霄认为这个点子好，于是报名参加。

在他看来，一些技术人员都比较宅，通过参加众测比赛，获得排名，公司可以了解到这些技术人员的能力，进而将人才挖掘出来。众测平台给了白帽子们一个合法的渠道去提交漏洞、与厂商建立联系，另外也可引导黑客向白帽子转变，形成良好的风气。

高中时，千霄就开始自学网络安全技术了，为了买黑客x档案——一本黑客入门级杂志、售价十元，他需要每天省一点吃晚饭的钱，“一个月才能省下这10块钱。”大二下学期起，他就通过参与各平台众测、挖漏洞获得奖金的方式缴纳学费和生活费、养活自己了。

2014年，他参加了阿里举办的ctf并获得第二名。除了2万多元的现金奖励，他还获得了2台macbook pro。这场比赛，也成为他加入阿里的一个契机。2015年7月，从电子科技大学本科毕业后，他就直接加入阿里云，做安全防御相关的工作。

ctf(capture the flag)意为“夺旗赛”，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。起源于1996年defcon黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。

“在高中、大学时，我更多可能会从攻击入侵者的视角去思考问题，会想着如何挖出一个系统漏洞，来阿里后，我更多会站在防御者视角去思考问题，就是怎么找到别的黑客在攻击，看他有没有攻击成功，我们怎么去做防御。”说起自己加入阿里云后的转变，千霄说，作为一个白帽子，不仅要懂得攻击逻辑，防御和对安全建设上的思考也是必备的技能。

收到2462封感谢信

朗泽是千霄的同事，他与千霄有着相似的成长经历，二人同为90后，也在同一家公司同一个部门就职，早在大学参加众测比赛时就相识。

“我们之前经常做这些测试，其实投入产出比很低，测试好几个星期，可能就挖出一两个漏洞。”朗泽说，虽然投入产出不成正比，但因擅长做众测，所以看到这样的项目，只要条件允许，还是都会积极参与。

众测在技术方面很具有挑战性，多数参赛人员均是把这次公益众测当成了一次练手的机会。在三个月时间里，他们利用自己下班时间及双休日来找漏洞。每次挖到漏洞，大家还会分享经验，进行技术交流。

但千霄和朗泽都震惊于木雁挖漏洞的效率和思路，“他效率很高，一开始一天一两个，而且用的是完全不同的思路和想法。”

三个多月后，20多名技术人员共获得46.46万元奖金，超过360等企业奖金之和，可谓力压群雄。其中，木雁以挖到13个漏洞的成绩拔得头筹，获得24.62万元奖金。

2017年4月，这46.46万元通过中国扶贫基金会的“爱心包裹”项目，捐给了重庆石柱土家族自治县7所小学的4646个孩子们，包裹中包含文具、美术用品等物品。时隔一年后，木雁收到这些孩子们寄来的2462封感谢信。

“每发现一个高危漏洞，就相当于获得一定额度的现金，就等于帮助了更多小孩子。”木雁说，“我努力了，就能帮助别人;再努力一点，就能帮助更多人。”

技术是冰冷的，但可以用技术去做有温度的事，这是阿里白帽子们的共识。

千霄说：“对我们来说，能帮到这些孩子们，都还是挺开心的。”

技术与年轻人

“工作上做的再出色，也只是工作，但对我来说，因为公益项目是利用我的业余时间做的，也会产生社会价值，所以影响会更加深远。”千剑说。他是阿里巴巴安全部技术专家，其作为技术负责人帮助国家禁毒办搭建的全国青少年毒品预防教育数字化平台——青骄第二课堂”已于今年6月25日正式推出。

据悉，“青骄第二课堂”的开发与维护落在阿里的肩上，是基于阿里巴巴之前成功开发公安部“团圆”系统的成功经验。但这个项目的成功也并非一人之功。

千剑介绍道，这个平台既有面向学生的功能、也有面向管理者的功能，其中，管理者的功能尤其复杂，相当于一个中型、大型的网站，技术水平要求极高，他必须组建技术团队，“我就在各种群里发布信息，招募技术人员来做志愿者，还要求志愿者要遵守‘利用个人时间做、不计入个人kpi、要对业务结果负责’三项要求。”

看似苛刻的要求却迅速吸引了很多人的关注。抱着“人人做公益”的理念，来自阿里安全、阿里云、钉钉等bu的18名阿里员工组成了志愿者队伍，开始推动“青骄第二课堂”项目的落地。

这一项目从2017年11月立项，仅用一个月就上线了第一个比较简单的版本，今年3月份上线完整的版本，5月发布h5版本(即手机上适配的版本)，6月正式在浙江和云南两个省进行推广和试点，目前已有近90万学生注册。

按照国家禁毒办的规划，他们希望通过“互联网+禁毒教育”的创新模式，向全国2亿青少年提供科学系统的毒品预防教育知识，提高防范意识，远离毒品侵害。

千剑表示，取名“青骄第二课堂”是希望将禁毒作为切入点，如果把“互联网+教育”这个公益模式走通，或许将来他们可以向更多领域扩展，“比如说，从小孩子入手，从小增强他们对电信诈骗相关信息的认知。”

“用先进的技术做比较有温度的产品，用安全技术赋能公益事业，是阿里安全参与许多公益项目的初心。”阿里巴巴集团合伙人、首席风险官郑俊芳如是说。