前言：“創(chuàng)造未知，指的是創(chuàng)新，未知是過去沒有的東西，惠及世界指的是，我們希望利用這些巨大的力量，去改變世界，讓世界變的更美好。我們相信只要把力量往正確的方向去引導(dǎo)，就可以改變世界，造福世界?！薄┒淬y行創(chuàng)始人羅清籃

黑客、紅客、黑帽、白帽、邪惡、正義……自誕生的那一天起，黑客技術(shù)就像硬幣的兩面，被美化也被丑化，有人推崇也有人鄙棄。

發(fā)展到今天，企業(yè)對(duì)于黑客技術(shù)又愛又恨，一方面企業(yè)安全依賴于此，另一方面，黑客又造成企業(yè)很多損失，掌握這些技術(shù)的人也就一直游走在法律的邊緣。

最近幾天，世紀(jì)佳緣抓捕白帽和烏云停擺事件，讓白帽這個(gè)本來小眾的詞語突然間火了起來。

羅清籃和他的漏洞銀行似乎一夜之間被推到了聚光燈下，不論媒體還是公眾，大家都把目光投向了這個(gè)似乎從不曾關(guān)注的領(lǐng)域。

“他們并不是一個(gè)純粹商業(yè)化的群體，而是一群技術(shù)宅，希望外界不要有太多的打壓。”這是漏洞銀行創(chuàng)始人羅清籃對(duì)白帽的認(rèn)知，而他做的，就是把這群白帽聚集起來，用他們掌握的黑客技術(shù)為企業(yè)安全保駕護(hù)航。

“信息安全世家”的少年黑客

對(duì)于出身“信息安全世家”這個(gè)稱號(hào)，羅清籃覺得有些夸張了。

“家里正好有親戚是中國(guó)第一代的信息安全公司的創(chuàng)始人之一，所以從小就耳濡目染。小學(xué)時(shí)候就開始研究網(wǎng)絡(luò)安全技術(shù)，逆向過CIH病毒，用WPE修改過游戲封包，用Softice動(dòng)態(tài)調(diào)試過破解軟件，逐漸開始熱愛起了這個(gè)行業(yè)?！?/p>

羅清籃的熱愛很快就帶給了不一樣的成果，初中時(shí)他就已經(jīng)是《黑客防線》的特約作者。

當(dāng)時(shí)初中和高中，沉迷于黑客技術(shù)的羅清籃基本上都沒有怎么學(xué)習(xí)，所有時(shí)間每天通宵研究網(wǎng)絡(luò)安全。那時(shí)候不像現(xiàn)在，網(wǎng)絡(luò)安全還沒有很多法律的約束和條例，對(duì)于他來說也是最自由的時(shí)光。

當(dāng)時(shí)羅清籃對(duì)緩沖區(qū)溢出非常感興趣，就開始研究一些能夠主動(dòng)防御黑客入侵的防護(hù)系統(tǒng)。

后來寫的一個(gè)驅(qū)動(dòng)級(jí)的進(jìn)程授權(quán)工具被第二十屆青少年科技創(chuàng)新大賽入選，在人民大會(huì)堂頒發(fā)了當(dāng)年的計(jì)算機(jī)網(wǎng)絡(luò)安全方向的全國(guó)一等獎(jiǎng)，當(dāng)時(shí)科協(xié)主席周光召把獎(jiǎng)杯放他手上的時(shí)候，他還覺得不可思議。

“我從未想過自己寫的工具居然得到了那么多專家的認(rèn)可”也正是這個(gè)大獎(jiǎng)，讓他獲得了保送的資格。

當(dāng)時(shí)他放棄了交大的保送特招，到了東華大學(xué)學(xué)習(xí)信息安全專業(yè)，師從中國(guó)第一代研究信息安全的專家曹奇英教授。

第一次創(chuàng)業(yè)嘗試，拒絕360的收購

進(jìn)入大學(xué)的羅清籃依然浸泡在網(wǎng)絡(luò)安全的世界里，參加各種黑客比賽之余，他組織了一個(gè)社團(tuán)——大學(xué)網(wǎng)絡(luò)協(xié)會(huì)。2009年他上大三，從社團(tuán)里挑了一幫伙伴，辦起了公司。

2009年，那時(shí)候社會(huì)還沒有推行現(xiàn)在的"雙創(chuàng)"，候創(chuàng)業(yè)環(huán)境非常難，沒有人看好創(chuàng)業(yè)者，特別是網(wǎng)絡(luò)安全創(chuàng)業(yè)者，與他一起創(chuàng)業(yè)的是自他高中時(shí)代起就認(rèn)識(shí)的沉浸網(wǎng)絡(luò)安全的老司機(jī)。

當(dāng)時(shí)，正好依托上海市世博會(huì)的安全項(xiàng)目，羅清籃開始了創(chuàng)業(yè)的旅程。第一個(gè)產(chǎn)品叫“WEB宙斯盾”，是裝在主機(jī)上的軟件應(yīng)用防火墻(WAF)。那時(shí)候網(wǎng)絡(luò)安全市場(chǎng)完全沒有起來，必須依靠一些政府和大型機(jī)構(gòu)的項(xiàng)目才能存活。

公司創(chuàng)立不久之后，就收到了360的收購邀約。當(dāng)時(shí)360的資總監(jiān)王奕找到他們，說接下來360要進(jìn)入企業(yè)安全市場(chǎng)，他們做的硬件產(chǎn)品支持"Zero-Copy"的透明網(wǎng)橋WAF正好是一個(gè)他們認(rèn)為還不錯(cuò)的產(chǎn)品。

360當(dāng)時(shí)邀請(qǐng)羅清籃和另外一個(gè)合伙人去了北京，那時(shí)候360還不大，只有1千多人，在一個(gè)創(chuàng)業(yè)園區(qū)里。

當(dāng)時(shí)360請(qǐng)出了他們的WEB安全專家趙武來、進(jìn)行技術(shù)考察，完成考察后去見了當(dāng)時(shí)的360VP譚曉生但是最后收購以羅清籃的拒絕而告終。

“之所以謝絕了360的邀請(qǐng)是因?yàn)楦杏X我們還想自己嘗試創(chuàng)業(yè)，畢竟沒有體驗(yàn)過九死一生的感覺，想要在年輕的時(shí)候多體驗(yàn)下?！?/p>

從“烏云”得到的啟發(fā)

2013年年底，羅清籃被一家名為烏云（WooYun）的平臺(tái)所吸引。其模式為通過白帽提交、公開企業(yè)的漏洞。“由于媒體對(duì)漏洞曝光趨之若鶩，該平臺(tái)的知名度迅速升溫?！绷_清籃很受啟發(fā)?！盀踉崎_創(chuàng)了漏洞提交的先河?！?/p>

但是對(duì)于烏云的模式，羅清籃也清晰的看到了弱點(diǎn)在哪里?！安簧倏蛻敉Ψ锤袑⒙┒垂_。”

曾有一家在美國(guó)納斯達(dá)克上市公司的CTO對(duì)他抱怨道：“當(dāng)時(shí)烏云上公開了一個(gè)公司系統(tǒng)漏洞，股價(jià)遭受影響，當(dāng)天跌了5%。”

這讓他很受觸動(dòng)，“如果我們做一個(gè)漏洞提交平臺(tái)，但是不曝光企業(yè)的漏洞，而是對(duì)接白帽與企業(yè)，讓企業(yè)盡快修補(bǔ)漏洞，這樣企業(yè)的認(rèn)同度是否會(huì)更高呢？”

在羅清籃的設(shè)想中，白帽發(fā)現(xiàn)提交企業(yè)的漏洞后，企業(yè)為其付費(fèi)。但由于黑客行業(yè)混亂，加之不知企業(yè)付費(fèi)意愿如何，羅花了很長(zhǎng)時(shí)間走訪驗(yàn)證。

他發(fā)現(xiàn)很多企業(yè)是痛并快樂著。“首先他們也接受烏云的這種曝光形式，雖然有一些聲譽(yù)上的影響，但是幫企業(yè)提早發(fā)現(xiàn)了隱患?！绷_清籃笑言，“我們希望企業(yè)不痛也能快樂?！?/p>

但是也有企業(yè)對(duì)白帽心存恐懼。比如，企業(yè)授權(quán)黑客測(cè)試系統(tǒng)，他找到了10個(gè)漏洞，但是只告訴企業(yè)7個(gè)，自己留了3個(gè)可能去做其它交易。“這會(huì)讓企業(yè)無形中遭受損失，由于經(jīng)過授權(quán)，也不好糾責(zé)?！?/p>

此外，一些企業(yè)對(duì)于安全問題存在偏見和忽視?！坝械钠髽I(yè)不愿意讓白帽提交漏洞，他擔(dān)心白帽除了會(huì)獲取利益外，會(huì)持續(xù)不斷地提交漏洞，或者引起黑帽的關(guān)注?！?/p>

有些處于早期的企業(yè)，忙于業(yè)務(wù)本身，并不愿在安全上投入。“等之后業(yè)務(wù)做大出現(xiàn)問題，他們?cè)偻鲅蜓a(bǔ)牢，發(fā)現(xiàn)付出的成本更大，我見過很多鮮活的例子?！?/p>

2015年年初，漏洞銀行網(wǎng)站上線，羅沒有大張旗鼓宣傳，而是默默地做起內(nèi)測(cè)?！跋纫屍髽I(yè)提升對(duì)安全的認(rèn)知度，并且靠市場(chǎng)機(jī)制聚攏白帽群體，或許能讓黑帽轉(zhuǎn)白帽。”

為企業(yè)和白帽搭起一座橋

網(wǎng)站上線后，羅清籃邀請(qǐng)了幾十家之前積累的企業(yè)用戶參與，平臺(tái)同時(shí)入駐了一批圈內(nèi)知名的白帽?！叭堪酌迸笥阎g互相介紹。”

為了能夠順利的進(jìn)行測(cè)試，羅清籃設(shè)置了幾個(gè)規(guī)則。

首先，內(nèi)測(cè)企業(yè)要授權(quán)允許平臺(tái)上的白帽測(cè)試查找漏洞?！斑@樣規(guī)避了法律風(fēng)險(xiǎn)?！?；其次，平臺(tái)對(duì)白帽有保護(hù)機(jī)制。

“例如一些重點(diǎn)項(xiàng)目的測(cè)試，會(huì)對(duì)白帽的身份和IP進(jìn)行備案。防止出現(xiàn)發(fā)現(xiàn)10個(gè)漏洞只告訴7個(gè)的情況?！绷_清籃還更新了傳統(tǒng)的漏洞評(píng)級(jí)模式，開發(fā)了聯(lián)合診斷模式。

經(jīng)過半年內(nèi)測(cè)，平臺(tái)匯集了約3000個(gè)白帽，約500家企業(yè)，每月提交漏洞約1000個(gè)。年中，羅清籃覺得模式跑通，決定正式運(yùn)營(yíng)漏洞銀行。

漏洞銀行的業(yè)務(wù)流程如下：企業(yè)入駐授權(quán)檢測(cè)——白帽找出漏洞后提交——平臺(tái)給出技術(shù)評(píng)級(jí)——企業(yè)給出危害評(píng)級(jí)，并根據(jù)兩項(xiàng)評(píng)級(jí)為該漏洞定價(jià)?！鞍讯▋r(jià)的權(quán)限交給企業(yè)?！?/p>

費(fèi)用由企業(yè)通過平臺(tái)支付給白帽，白帽不與企業(yè)直接溝通?！鞍酌笔且蝗杭夹g(shù)人員，不太懂商務(wù)那一套；企業(yè)方可能認(rèn)為白帽在拿漏洞威脅?！?/p>

平臺(tái)從中做溝通，制定標(biāo)準(zhǔn)和規(guī)則?！拔覀儠?huì)告訴企業(yè)其它平臺(tái)的定價(jià)范圍，任他們參考。”

如果出現(xiàn)企業(yè)故意低價(jià)或者不出價(jià)的情況，白帽可向平臺(tái)反饋申訴。倘若問題出在白帽身上，比如白帽出現(xiàn)黑色交易、威脅企業(yè)等極端行為，平臺(tái)會(huì)直接封號(hào)并凍結(jié)賬號(hào)。

同時(shí)為提高白帽的活躍度，今年3月，他上線社區(qū)欄目“PWN”（黑客俚語，代表攻擊成功）。在這里，黑客可以自由發(fā)表觀點(diǎn)、上傳檢測(cè)報(bào)告（必須對(duì)企業(yè)信息打碼處理）、分享新技術(shù)等。

每周和每月，平臺(tái)會(huì)對(duì)白帽個(gè)人或團(tuán)體做聲望排行榜。評(píng)價(jià)范圍包括其所寫的PWN文，發(fā)現(xiàn)漏洞質(zhì)量、數(shù)量等?！芭琶壳暗某爽F(xiàn)金獎(jiǎng)勵(lì)外，還會(huì)被邀請(qǐng)參加線下沙龍交流等活動(dòng)?！?/p>

“黑”與“白”的一線之隔

羅清籃對(duì)于漏洞銀行的發(fā)展很有信心，但是不可否認(rèn)的是“黑”與“白”在很多時(shí)候還是一線之隔。

“都游走在法律的邊緣。”安全專家李夏（化名）表示，“黑客”是把漏洞賣到黑市上，謀取巨額利益。“白帽”是把漏洞提交給廠商，讓廠商及時(shí)修復(fù)漏洞保護(hù)用戶信息。

按照業(yè)內(nèi)資深人士的說法，“白帽”查漏洞行為從法律角度是沒有合法規(guī)定的，只是現(xiàn)在幾個(gè)漏洞平臺(tái)由政府支持，所以處于一個(gè)“不算違法”的情況。

和“黑客”販賣網(wǎng)絡(luò)漏洞獲得的高額收入相比，“白帽”更多被認(rèn)為是“情懷主義”。

獵豹移動(dòng)安全專家李鐵軍說，在國(guó)外，微軟、谷歌等科技公司都會(huì)給“白帽”專門的獎(jiǎng)勵(lì)，并且加上榮譽(yù)公告。

“價(jià)格都在幾千美元到幾萬美元不等，”李鐵軍說，這當(dāng)然不能與“黑客”相比，一個(gè)高危漏洞在黑市上賣出上百萬美元都很正常。

“白帽不能沾那些事情，一旦沾了的話，就回不了頭?！崩钕奶貏e強(qiáng)調(diào)。

對(duì)于“白帽”近來被推到風(fēng)口浪尖，羅清籃有自己的看法。

“這個(gè)群體非常低調(diào)，而且都是技術(shù)控，他們并沒有太多獲取利益的想法，更多是想展現(xiàn)自己的技術(shù)?！绷_清籃說道，“我對(duì)現(xiàn)在這種抵制‘白帽’的聲音不太認(rèn)同。

“白帽”這個(gè)群體有他們存在的價(jià)值，前段時(shí)間美國(guó)的五角大樓搞眾測(cè)，也邀請(qǐng)了眾多“白帽”參與，發(fā)現(xiàn)了相當(dāng)多的漏洞，提前為國(guó)家封堵了大量的潛在損失。解決問題的關(guān)鍵是合適的流程和降低風(fēng)險(xiǎn)的手段，而不是去抵制一群人。

漏洞銀行的價(jià)值觀是“創(chuàng)造未知，惠及世界”。羅清籃解釋“創(chuàng)造未知，指的是創(chuàng)新，未知是過去沒有的東西，惠及世界指的是，我們希望利用這些巨大的力量，去改變世界，讓世界變的更美好。我們相信只要把力量往正確的方向去引導(dǎo)，就可以改變世界，造福世界。”

盡管現(xiàn)在關(guān)于“白帽”還有很多爭(zhēng)論，羅清籃堅(jiān)信他們正在做的事對(duì)這個(gè)社會(huì)是有利的。而獲得資本青睞的他，相信能夠在這條路上走的更遠(yuǎn)。

版權(quán)聲明

本文由一起上整理編輯。轉(zhuǎn)載時(shí)，請(qǐng)注明轉(zhuǎn)載來源及作者姓名。如有其它需求，請(qǐng)聯(lián)系我們（微信號(hào)：LC-1030）。

關(guān)于我們

一起上（www.17shang.cc）是關(guān)注青年創(chuàng)業(yè)的社群驅(qū)動(dòng)型媒體，志在發(fā)現(xiàn)和報(bào)道青年創(chuàng)業(yè)，構(gòu)建青年創(chuàng)業(yè)交流與合作平臺(tái)。

您也可以關(guān)注我們的官方微信公眾號(hào)（ID：ctoutiao），給您更多好看的內(nèi)容。