乌云科普_方小顿已经出来了，乌云会重新开放吗_新手网安教学

乌云科普_方小顿已经出来了，乌云会重新开放吗_新手网安教学

乌云是不是会重新开放，也许要交给剑心本人来回答。

我觉得，大家应该乐观，因为乌云所代表的白帽文化，永远都不会消失。

不久前，我有机会采访了曾是乌云上提交漏洞分数最多的白帽子，猪猪侠。他是众多白帽子眼里的大神和偶像。他加入了阿里巴巴的先知漏洞平台。我觉得他的想法，也许能为这个问题提供一些参考。

以下是正文

>猪猪侠，从乌云到先知

在电影《海洋深处》里，从小以捕鲸为生的主人公，不顾怀孕妻子的劝阻，毅然决定再次加入航海捕鲸的队伍，奔赴生死难料的大海。临别时，他对妻子说：“It's all I know.”（让我去吧，这是我所懂的全部。）

波涛如怒，前路沉浮。

这大概就是每个人面对职业理想时的“标准剧本”。

“猪猪侠”坐在我面前。

他是中国最著名的白帽子之一。见到他，我很激动。

猪猪侠，王昱>

在讲述猪猪侠的故事之前，我觉得自己有义务对他的职业做一下解释。

所谓白帽子，全称应该是“白帽子黑客”，他们像一剂疫苗，帮助企业和政府测试系统中存在的漏洞，及时修复以免于被坏人入侵。

互联网时代的大潮越汹涌，

白帽子越成为一个不可忽视的职业。

有人把他们比作金庸式的侠客。因为这个职业的精神内核无疑是惩恶扬善。有人把他们视为又一种程序员。因为企业会根据他们提交漏洞代码的“危险程度”，付给他们报酬。有人把他们看做危险和不确定性。因为白帽子的后缀词终究是“黑客”，人们大多对黑客二字抱有一种复杂的“敬畏”。

如此，白帽子的职业和捕鲸人也许有些相似，都散发着悲剧的宿命：

因为他们手上有剑，而他们手上又必须有剑。

所以每个白帽子，都需要用全部气力平衡他人的“敬”和“畏”。

“敬”“畏”二字，把中国白帽子不长的历史泾渭分明地标注为两个阶段：乌云时代和后乌云时代。

在乌云时代：乌云漏洞平台曾经以一己之力扛起了白帽子的精神大旗、技术大旗和商业大旗，却因为挑动了人们的“畏”，而在2016年关停。在后乌云时代：其他漏洞平台都在试图团结白帽子，展现他们让人“敬”的一面。用更加合规的方法，为企业提供漏洞测试服务。这些平台大概有：360 补天众测、阿里先知平台、威客众测、漏洞盒子等等。

猪猪侠是非常独特的存在。

他用“亲自书写历史”的方式，跨越了这两个时代：

他成名于乌云，曾经是乌云上提交漏洞分数最多的白帽子，是众多白帽子眼里的大神和偶像。猪猪侠对于乌云，大概就相当于冯小刚之于华谊兄弟那样不可或缺。在“后乌云时代”，猪猪侠选择加入了阿里巴巴，2018年1月，他成为了阿里“先知平台”的老大。

这样的身份转换，既在情理之中，又在意料之外。

站在历史的路口上，我猜你可能会关心这些问题：

1、猪猪侠在白帽圈儿有超高人气，却在乌云关停之后的两年间销声匿迹，是什么动力让他回归社区视野？

2、作为前乌云最高人气的白帽子，人们是否会把他认作“遗老”，奉为“正朔”？

3、猪猪侠要把先知平台带向什么地方？

4、猪猪侠是否愿意，或者能否扛起白帽子的商业大旗，甚至是精神大旗？

理解这段历史的人会明白，以上每一个问题，都掺杂了悲欢取舍、进退抉择、人的野心和向往。

一、猪猪侠

见过他的人，一定同意我的评价。

猪猪侠像一种惰性气体。大部分时间他都非常稳定，却不时散发出一种执拗的气息。

这种稳定在乌云时代就有所凸显。

乌云承载的东西很复杂，包括白帽子的技术信仰、处世哲学，甚至是情绪。但是作为常年霸榜的猪猪侠，他给外界展示的形象却是克制而低调地寻找漏洞，提交漏洞，开发自动化的工具，接着寻找漏洞，提交漏洞。

猪猪侠不是那种把一万种武功都练一遍的人，而是把一种武功练一万遍的人。

我更喜欢简单和纯粹的东西。

他解释说。

不久前，先知白帽大会在北京召开。现场没有赞助商，没有展位。只有一个大厅，没有特别的嘉宾坐席，所有人平等地坐在一起。这是一场纯粹的技术人员之间的演讲，交流。

这就是我心中技术大会该有的样子。技术交流就只是技术交流。我把自己认为美好的东西呈现给大家，自然会吸引志同道合的朋友。

猪猪侠说。

我发现，猪猪侠并不从一开始就要做一个英雄，甚至此时此刻也没有想做一个英雄。

他甚至有些惶恐。先知平台，是国内硕果仅存的几个漏洞平台之一。接棒先知，于情于理都是一个前途未卜的重担，是一种和自己深深绑定的责任。如果接过这个担子，也许意味着在历史的路口做出选择的人，就是他自己。

但乌云没了，总要有人做些什么。

他终于说服自己，用这个简单到不能再简单的理由。

二、先知

在猪猪侠的记忆里，先知平台经历了很多嬗变。

2016年，它脱胎于阿里云“首席黑客”道哥（吴翰清）的构想。

先知 1.0 只有一个简单的功能：阿里用真金白银收漏洞，然后把这些漏洞用于自身的安全防护之中。 先知 2.0，彼时的掌舵人笑然把它变成了众测平台，和当年乌云的模式类似，一群白帽子帮助企业寻找他们的漏洞，企业为之付费。先知3.0，它又扩展成为众包服务平台，业务除了涉及众测，还有合规服务，企业安全培训等等。

平心而论，我觉得从2016建立到发展至今，先知平台磕磕绊绊。

《出埃及记》记载，先知摩西曾劈开红海，带领他的子民回到应许之地。>

究其原因，不难理解：

1、作为先知的发起人，道哥无疑是一个有理想主义情怀的人。 而作为承载道哥理想主义的作品，先知这个“众测平台”却注定要面对并不乐观的商业环境（后文还会详细解释），挣扎在 KPI 的生死线上。换句直白的话说，先知平台并没有取得阿里云预想中的市场份额。2、有乌云在前，先知只能跟随。

现在乌云没了。猪猪侠在这样的情况下会做什么呢？

第一件事就是把先知变得更“纯粹”。他砍掉了合规、培训等等业务，把先知平台收缩为一个更纯粹的“众测平台”。众测，几乎是未来一段时间内，先知平台的唯一业务。

三、猪猪侠的尝试

“要么一开始就不做，要做就全力以赴。”这是猪猪侠，还有一众精英的人生哲学。在他对于先知平台的想象中，一队“神秘人物”是必不可少的。

决定接手之后，猪猪侠已经开始为先知探路。

其实，当年乌云已经走出了一条路：从漏洞平台，到众测平台，再配合漏洞扫描平台。这是一条颇为标准的发展路径。

先知是在乌云的影子下成长的。

猪猪侠非常明确地说。他觉得，被证明好的东西，当然要继承下来。

所以先知平台的路径是这样：

1、漏洞平台；2、众测平台；3、结合“人+机器”的全面漏洞服务平台

从近期来看，猪猪侠的主要努力都在第二步——让先知成为最好的“众测平台”。

为了实现这个目标，他试图组建一个神秘的“先知红队”。

先知红队，是一个核心白帽子团队。这个团队仅仅有20人。是全中国地绝世高手。他们会组成一个非常稳定的团体，为银行、政府等A类客户进行众测。

猪猪侠宣布先知红队成立。>

为什么要成立一个“先知红队”呢？

其实，作为众测行业的元老，猪猪侠非常明确地看到，众测有非常明显的一利一弊：

1）利：能找到更多的漏洞猪猪侠说，Linux 创始人林纳斯·托瓦兹说过一句著名的话：“足够多的眼睛,就可让所有问题浮现”。而众测模式中，白帽子可以在自由的时间，用自由地方法测试企业的漏洞。事实证明，众测比一般的渗透测试效果好四五倍，价格却只是后者的零头。2）弊：不容易赢得信任然而，自由从来都是有代价的。猪猪侠说，“很多大企业，例如国有四大银行，目前对众测模式是非常谨慎的。因为他们对这些白帽子有“失控感”。”这导致它很难赢得大企业的信任。事实上，现在所有国内的众测平台，都很难拿到国有四大行这一级别的单子。

猪猪侠一语中的。之前我说到的，众测行业面临的“并不乐观的商业环境”，也是指这个。

众测平台要想生存，首先要解决“信任”的问题。

而先知红队凝聚了他的理想情怀，他们将用严苛的规则要求自己，成为一代白帽子的精神表率，也成为中国第一个被大企业认可和信任的众测团队。

四、信任

众测平台要赢得信任，只能靠口碑。

所以猪猪侠的设想是：

1.组建“先知红队”时，对其中每一个白帽子都进行系统的面试、综合考核、背景调查、职业道德培训。2.以自己的公司阿里云作为背书，如果白帽子出现问题，阿里云为其承担责任。3.从小一些的企业开始，逐渐积累口碑，最终获得大企业的信任。

为了保证口碑，阿里云不仅要为“红队”背书，自己的的员工也会“亲自扛枪”，成为红队一员，目前20人中，有5人来自阿里，包括猪猪侠本人也是先知红队20人之一。

在猪猪侠的设想中：

之前，由于口碑，企业虽然有需求，但是不敢把自己的系统拿出来众测。之后，有了口碑，企业会为这样的众测付出更多的钱，还愿意把本来不能众测的业务拿来众测，这样，市场也会变得更大。

这种设想并非没有成功的例子。众测模式的发明者，美国最大的众测平台“”，曾经为五角大楼做过渗透测试，美国政府和军方对它的信任可见一斑。而在之前我对 COO 王宁的专访里，问到她成功的秘诀，她给出的答案也很简单：“尊重规则。”

为了避免企业和白帽子对漏洞价值产生分歧，在一开始的规则里要尽可能明确地写明漏洞价值判断的标准。为了避免白帽子越权测试企业网络，要严格设定规则，只有取得公司授权，才可以进行测试。为了获得大企业的信任，漏洞平台要以中立的身份设立沟通调解的机制，用心设置工作流程。

这和猪猪侠的想法不谋而合。

只有尊重规则，才能赢得口碑。只有口碑，才能让大企业放心地走入众测；只有让大企业走入众测，众测市场才能真正稳定；只有众测市场稳定，才会让白帽子这个职业，作为一个整体获得更多尊严，获得更有想象力的报酬。

在他心里，“惩恶扬善，取财有道”这八个字应该是这个时代，白帽子职业，最有尊严的生存方式。

五、重塑一个社区

一个让人唏嘘的现状是，中国“标准以上”的白帽子人数很少。在猪猪侠看来，也许只有200-300人。这些优秀的白帽子被各大众测平台和 SRC（企业应急响应中心）争抢。这在一定程度上使得优秀白帽子的价格非常高。

猪猪侠，包括一众精英白帽子都知道：培养更多优秀的白帽子，这个事业才会后继有人。

其实在这篇文章里，我反常地强调了很多次“职业”。这个词听起来不性感，但却挑动了很多人的焦虑。

和猪猪侠聊过之后，我坚信了两个判断：

1、任何一条职业道路，都需要靠金钱来指引。2、任何一条职业道路，也都需要成就感来加持。

猪猪侠深知：

成就感，是一个白帽子自我评价里非常重要的部分。但它同时也是奢侈品。（客观上讲，获得成就感，比去专柜里买一块几十万的手表难得多。）而猪猪侠本人，也曾是“乌云成就感体系”的受益者。所以，他要为白帽子复刻一个成就感的来源——一个技术交流论坛。

这个论坛类似于当年成就无数黑客大牛的“乌云知识库”，却比乌云知识库更简洁。其上只有众测相关的内容。

每次众测结束，白帽子的高质量技术文章会通过脱敏之后，发到论坛上，接受各路黑客的讨论学习。

美团王兴说过，一个物体的质量越高，引力就越大。在高质量的社区里，也许会有更多人从门口张望的孩子，成为人们尊敬同时拥有高自尊的白帽子。而他们才是未来。

比成就感更底层的，是价值观。在乌云时代，猪猪侠的克制，实际上代表了与乌云不尽相同的另一种价值观。我猜这种价值观随着他掌握先知平台，将会得到了更大的生存空间。

猪猪侠要用先知平台凝聚这样一批白帽子：

1、他们热爱荣誉，却深知甜美的东西，同样有危险的一面。2、他们更多地询问自己的内心，把“白帽子”作为一种职业，尊重规则而不是情绪。3、他们要先学会用脑，再学会用剑。

读懂这些，我感到一种平静的力量。

图片截取自《勇敢的心》（1995）>

六、勇敢的心

时代总会莫名把一个人推向风口浪尖。

当然在这之前，它从不询问你是否已准备好。

猪猪侠和很多纵情于赛博空间的黑客一样，简单、敏感、期待确定性，甚至更简单，更敏感，更期待确定性。

但历史中镌刻的名字，无不诉说一个相同的故事：当你以为所有人都会明哲保身时，总有人挺身而出。

站在历史的悬崖上：

乌云的创始人方小顿是理想主义者，先知的掌舵人猪猪侠同样是理想主义者。如果要比较的话，方小顿如一团火，而猪猪侠如一条河。他们也许殊途但毕竟同归。

我猜这两年的经历，猪猪侠会比旁人更多的彷徨和思考。但就像罗曼·罗兰所说：世界上只有一种英雄主义,就是看清生活的真相之后依然热爱生活。

每一次自己或他人走入歧路，都至少关闭了一种错误的可能。余下的选择虽然艰险，但在最远处可以看到一丝光亮。

我难言先知一定会成功，但梦想总是值得一试。正如《勇敢的心》中那句台词：我们不需要胜利，只需要战斗。

猪猪侠的小目标是获得业内最好的口碑。但仅仅是这个小目标，也许就需要五年、十年的坚持付出。这是一条更为漫长，更为水滴石穿的路。

问题在于，他背后的阿里云是否能够佛系地支撑起这样一个跨度长久的计划？我试着站在阿里云的角度来观察：

众测平台的市场规模，是商业公司最为看中的。猪猪侠说，现在中国众测的市场大概是2亿人民币。而阿里云显然知道，如果运作得法，未来的众测市场会比现在大十倍甚至百倍。所有仍然坚持在众测市场上的公司，他们无所畏惧的投入，其实都在等待那一天。

所以，从商业的角度上说，先知会比我们想象中更顽强。

而对于猪猪侠，或者他的同类，这些生于斯长于斯的白帽子，他们过去，现在，将来都会战斗在这片土地上。纵然短暂离开，也终会回来。

正如那句台词所说：

“这是我的一切。”

~

网络安全学习，我们一起交流

~