周鸿祎：黑客 站在十字路口的孤独者

　　21ic通信网讯，这是360网站安全总监小赵在7月份写的一篇博客。小赵接触到这样一个小黑客，初中生，他不知道自己站在十字路口上，他只想发现漏洞攒钱买一台笔记本电脑。小赵不断用路标把他从充满诱惑的十字路口引开。

小赵是360“库带计划”的负责人。国内外的安全高手如果发现了网站的漏洞提交给360，就会得到现金奖励。发现了漏洞，360会帮助软件公司和开发者及时推出漏洞补丁，防止被黑客“拖库”。

黑客是永远徘徊在十字路口的一群人，各种诱惑，黑路还是白路，考验着人性，决定着前途。今天，我们得到一个好消息：这个小黑客初中毕业进入了一家澳洲的安全公司，规模不大。今年9月，这位小黑客将参加360主办的中国互联网安全大会。

说在前面：本文有感而发，并无对任何人和产业的诋毁。只是说说自己内心对选择的一点感触，请各位不要对号入座。

十年前，别人说我是个黑客，我会觉得很骄傲；十年后，有人说我是黑客，我会立刻纠正他。

十年前，可以随意看到身边的人意气风发的给人讲自己是个黑客，做过哪些入侵；十年后，曾经圈内叱咤风云的人物都已经销声匿迹，低调地做着自己的事儿。

十年的时间，黑客圈巨变，刑法修正案对黑客行为的立法让这个灰色的圈子彻底变黑。掌握web安全技术的传统黑客们孤独的站在十字路口，一边是充满诱惑的黑产圈子，一边是严厉的法律制裁和身边朋友进监狱的案例。究竟该何去何从？一念之差可能人生的轨迹就会有天渊之别。

相信圈内的朋友都有过这样的内心挣扎，做黑产、“项目”每年能赚到几百甚至上千万，而做白每年苦逼的能赚到几十万就算不错。究竟要怎样选择？哪条路才是对的？我也曾经挣扎过，但内心的传统观念还是让我选择了保守，去做一份web安全的工作，去做一款web安全的产品，踏踏实实的赚每一分钱，舒舒服服的睡每一个觉。

初始道路的选择不是像职业规划那样简单的行为选择，而是内心对于自我的深度定位和对底线的明晰划分。说简单一些，十字路口，内心的挣扎就像有一部电影中决定是否把自己出卖给魔鬼来换取永生一样。一旦选择了黑，内心也会随之变化，就会认为自己成为了那个世界的人，就会习惯那个世界的规则。熊猫烧香作者李俊我想就是那种自我心理暗示极强的人，自我认定为不普通的人，自然也不会习惯普通人的生活，再次打擦边球再次被捕，虽说有运气差的因素，但某种程度上来说是必然的。

一旦选择了黑，就会背负原罪，而且一生无法洗白。所以，十字路口的抉择对一个人的影响其实是一生的。

还有一件事对我的触动很深，让我觉得我现在所做的事情是极有意义的。付费漏洞收集平台的最大作用本来是为了最快最全的收集漏洞，但其实对站在十字路口的人却有了灯塔的作用，虽然是点点光芒不像黑产霓虹灯那样绚丽夺目，但在选择的天枰上这点点光芒确实可以改变很多人的人生轨迹。

每天都有很多白帽子向我们提交很多漏洞，我们评估验证后给他们付费。一天我偶然接触到了一个漏洞提交者，短暂交流后发现他居然是个初中生。他的技术非常非常初级，只能找到一些很浅的漏洞，所以能付给他的钱也很少。他对我说：自己的家庭条件不好，自己学习努力挖漏洞就是想赚钱买一台笔记本电脑。

那一刻我的心被触动了，久违了的触动，仿佛看到了自己之前的影子，鼻子一酸当时就想对他说送他一台。但一转念，我决定用另一种方式帮助他实现自己的目标。我开始对他进行一些技术上的指导，帮助他找到更多更严重的漏洞，同时在心理层面引导他走白帽子的路。因为我很清楚，挖漏洞提交赚钱比做黑产赚钱要难的多也要慢的多。这个孩子就像是一个站在十字路口的人，笔记本就是他的清晰目标，向左只需1步就可以拿到笔记本，向右却需要100步。

让我感到欣慰的是，这个小小的白帽子(我想此刻可以这么称呼他了)挖出的漏洞等级越来越高，从最基本的XSS到了高危SQL注入。他本人也非常勤奋，略算一下，近3个月的时间他得到的漏洞奖励也基本可以买到一台主流配置的笔记本电脑了。

我不确定自己是否真的能影响这个小朋友一直走白的道路，但我对自己工作的认识全然不同了，我现在要做的就是做大付费漏洞收集平台，让更多的漏洞到我的手上，让更多的人在选择的十字路口能够看见这边的点点星火。