白帽黑客不是“砸人家玻璃” 王琦

张晓媚王琦，行业别名“大牛蛙”，国内顶尖的白帽黑客团队KEEN的创始人兼CEO。他所创办的KEEN公司的研究团队曾在全世界最著名、奖金最丰厚的黑客大赛Pwn2Own上连续三年获得五个冠军，也是有着“黑客奥运会”之称的GeekPwn国际性智能软硬件挑战赛的主办方

张晓媚

王琦，行业别名“大牛蛙”，国内顶尖的白帽黑客团队KEEN的创始人兼CEO。他所创办的KEEN公司的研究团队曾在全世界最著名、奖金最丰厚的黑客大赛Pwn2Own上连续三年获得五个冠军，也是有着“黑客奥运会”之称的GeekPwn国际性智能软硬件挑战赛的主办方。

王琦对《第一财经日报》记者强调，不同于“骇客”，GeekPwn是关注未来智能安全的黑客赛事，初衷是披露漏洞，改善安全人才培养土壤。白帽黑客做的事不是“砸人家玻璃”。

10月24日，GeekPwn2015国际性智能软硬件挑战赛上，大疆无人机、小米手机、华为手机、智能摄像头、拉卡拉收款宝POS机、多款O2O类APP的移动支付、奇酷手机的指纹支付……超过40款主流软硬件产品被选手一一攻破。

24日当天，支付宝于第一时间发布回应称，有极客演示的某美甲APP系统的漏洞与支付接口无关，原因是商户APP发送付款单据给支付应用时,在商户APP内部被中间人劫持并篡改所致，支付宝已第一时间联系该美甲APP,并愿意为其紧急修复提供帮助。

360也于25日发微博称，“感谢KeenTeam对360奇酷手机安全作出的努力，360安全应急响应中心第一时间对收到的安全报告进行响应，目前已进入验证漏洞流程。”

“有漏洞不代表有问题，安全是个独立的东西，白帽黑客做的事不是‘砸人家玻璃’，我们的初衷是披露漏洞，改善安全人才培养土壤。”王琦表示。

上海交大硕士毕业后，王琦先在一家公司做安全产品开发，2005年加入微软，负责网络安全方面的工作。虽然那时互联网已经兴起，但网络安全还处于较为新兴的领域。王琦和他的伙伴们认为，用他们的技术，可以做出更适应市场需求更有价值的产品，而当时国内也缺乏好的安全公司。所以，他和同事朋友一起组建了KeenTeam，正式踏上了组建安全团队的创业之路。

“未知攻，焉知防，厂商产品的安全性有说服力，很多时候反而体现在对抗过，经历过攻击而不倒。”王琦告诉《第一财经日报》记者，在物联网前的PC时代、移动互联网时代，像谷歌、微软、腾讯等，都曾经历过无数攻击，它们建立了一整套完善的安全体系。

“除了不断强化自身的安全能力，这些大企业通常都会以非常开放的心态，去支持甚至奖励全社会来挖掘自家产品的漏洞。”这也是王琦理想中这个行业应该有的样子。不过，这个行业在国内普及度极低，企业也多对“白帽黑客”的存在并不理解。

“勇于承认自身有问题的企业并不多。特别是在国内，很多企业并没有太多安全的意识，对于我们行为的目的性也表示怀疑。所以，即使高含金量的安全能力，最终还是会陷入低接受度的窘境。”王琦感慨。

王琦把为厂商提供高级安全检测比喻成“体检”，“我们先要告诉别人体检很重要，并向别人证明我们能检查出别人检查不出的问题。安全公司知道很多人是病人，可有些人不在乎。所以我们还不得不承担用户教育的责任：体检不是让你花现在的钱，而是为了让你身体好从而未来有更好的发展。”

事实上，电子产品、信息产品、智能产品由于复杂性决定了其在设计、开发、测试中存在了不同程度的“缺陷”和“问题”，厂商也是在不断的迭代过程中寻求功能与体验的平衡。白帽黑客利用自己的专业知识和能力，通常会发现类似产品的缺陷和问题，但这也并不意味着这些产品质量有问题。

不过，“直到现在，回老家别人问我你是干吗的，我说做安全的，人就说‘哦，你是360的’。”王琦笑道。

“我们人力也有限，不可能做个执法部门。”王琦对《第一财经日报》记者表示，“希望能够真正能够培养好尊重知识、尊重人、尊重白帽黑客的环境，希望厂商对自己的安全问题抱有负责任的态度。”