黑客群体的露面说明互联网公司开始回馈IT行业了，

揭开中国黑客群体的神秘面纱 年薪数百万

2015-04-26 09:59:45 15259 次阅读 14 次推荐 稿源：经济观察报 33 条评论

 

在网络世界有专属的代号，那里才是他们最习惯的“世界”作为360Vulcan黑客团队的领头人，“MJ0011”最终还是决定不把他的“战利品”放在 360公司的历史荣誉展览室里。一拿到全球最知名的黑客大赛——Pwn2Own的冠军，公司的几位老板就下命令式地要求他把决赛中所使用的那部电脑给“贡献”出来。

他还真是非常认真地跟团队的成员商量过这件事，但不出意外， 几乎没有得到任何积极的回应。“他们都太低调了，就想把自己关在实验室里，最好谁都不知道。”这群跟“MJ0011”一样的人，在网络世界都有着一个专属 于自己的虚拟代号，那里才是他们最习惯的“世界”，所以久而久之，真实的名字似乎都没那么重要了。

但即便如此，还是有很多同事直接间接地认识了他们。“MJ0011”就经常碰到第一次见面的同事问类似的问题，“听说你们年薪几百万，还拿着大把股票？”对此，他只能笑笑。

“Ir0nSmith” 也在经历着一夜成名的境况。在今年的“3·15晚会”上，他把最近在国外黑客圈特别流行的“绵羊墙”搬到了舞台上，在一个已经被黑客处理过的公共WiFi 下，所有接入用户的信息都会被展示到屏幕上。就像他当天做的那样，用户的邮箱密码、发在朋友圈的自拍照等，都被“劫持”了。结果，“Ir0nSmith” 也成了360公司的名人。

像他俩这样的人物，在360还有几十个。除了时不时地会蹦出诸如“360攻破特斯拉”之类的新闻之外，他们在做的 任何事情都不为人所知。“MJ0011”领导的攻防实验室和漏洞研究实验室还好，他们还会向安全产品部门输出一些核心技术。“Ir0nSmith”负责的 硬件和无线领域，几乎是纯粹的研究，而且多数都是目前很难商业化的技术。

“所以，（养黑客）这个事只有在大公司里才有，而且会越来越贵。”“MJ0011”现在已经深刻感觉到挖一个人有多难，从去年开始，尤其是最高深的漏洞安全人才，动辄几百万元，甚至是上千万元。

“但老周（360董事长兼CEO周鸿祎）还是特喜欢挖那些有潜质的团队。”“MJ0011”在行业里属于“大牛”级，他在公司内部直接向总裁齐向东汇报，只要齐在北京，他们每周都会见一次。

内部也的确曾有人质疑过老板的决定，在他们看来，如此高的代价并没有得到足够的回报。齐向东则完全不听这一套，“我们现在就是要树大旗，做一个大平台，形成人才高地。有这么一批高水平的人，是我们在物联网时代提供全方位服务的基础。”

在 今年两个团队相继“露脸”之后，齐的底气就更足了。几个团队都提出了增员的需求，他想都没想就同意了。反而是拿到批条的“MJ0011”有些为难，“有几 家公司已经开出大价钱挖团队去打明年的Pwn2Own（全世界最著名、奖金最丰厚的黑客大赛）了，价格估计又会涨不少。”

困境

这 可是与2010年之前有着天壤之别，那时安全人员的行业平均月薪只有三到五千元。在很长一段时间里，网络安全技术人员的待遇甚至普遍要低于IT行业的平均 水平。因此，美国知名的杀毒巨头 McAfee从2005年开始，就疯狂挖角中国的黑客人才，他们开出的薪水在当时看来非常夸张：年薪30万元，可这比国外的行业水平还是低不少。

国内最知名的安全团队Keen Team的负责人王琦，在2007年时是微软中国安全响应中心的创始人。突然有一天，他接到美国总部的电话，派他去找一个人。总部发现在报告给Windows操作系统的漏洞中，这个人的名字出现频率极高。

他就是现在鼎鼎大名的吴石，但当王琦找到他时完全惊呆了。这个后来被国内黑客圈奉为“精神导师”的年轻人住在一个小黑屋里，公司已经两年没有给他发工资了，生活穷困潦倒。

大师级的人物只能如此，这让当时冒出来的一批有才华的年轻人颇为沮丧，他们开始一个个地进入“黑色产业”。

赚钱开始变得极其容易。他们做出大批的网络游戏盗号木马、远程控制木马等各类木马产品和黑客工具，然后以一个独家性的条款出售给“包马人”，之后就是大规模的散布和盗取。

“那时候，不需要高深的技术，一个小黑客每个月可以赚上百万、上千万。”王琦清楚地记得他当时发现了一个非常好的技术苗子，有一天这个人在自己的博客里写了一句话：“我突然觉得天都变了，整个世界都不一样了”。王之后再也没见过他，只是听说他后来还开上了法拉利。

这种状况盛极一时，持续了数年，搞得整个中国互联网乌烟瘴气，黑客这个圈子也被踩到了脚底下。甚至直到现在，这种恶性的影响都没有完全消散。

黑客在国外是分为“白帽子”和“黑帽子”的，上述的那些做黑色产业的就是黑帽子，而白帽子从不利用黑客技术去从事非法活动，他们更多的是为了研究漏洞，并将发现的漏洞汇报给厂商。

而在国内，黑客就等同于黑帽子，王琦就曾无数次地拒绝采访，“我们不想被媒体炒作成少年黑客的无聊形象。”

“Ir0nSmith”很早就来到了360，不过早期他的工作是保证公司内部的电脑和服务器不被黑客攻击。出于兴趣爱好，他和同事们也会做出各种安全报告提供给别的厂商，“但人家总是认为我们瞎捣乱，他们对此很警惕，特别反感我们能‘黑’进他们内部系统这件事。”

吴 石已经失望透顶了，因为周围的朋友或是过得惨淡，或是在做着黑产。在离开微软之后的很长一段时间里，他都不愿碰及跟安全相关的任何事。王琦多次邀请他加入 Keen　Team，他非常抵触，王琦总是劝他，“我们虽然看不到蛋糕，但你会揉面，他会生火，我们可以先做个馒头出来养活自己，这样至少大家都不会走 （做黑产）。”

就这样，Keen Team不温不火地做了两三年。无法想象的是，在去年3月之前，只有《福布斯》对他们做过一次采访，吴石得到的评价很高，“发现的漏洞比苹果整个安全团队的两倍还多”。直到被腾讯发现和投资，成为后者战略级的“门客”，这个团队才逐渐为人所知。

分水岭

现在看来，2013年的“斯诺登事件”是个明显的分水岭。虽然360、腾讯和阿里巴巴在2010年就开始争抢安全人才，但在此期间，安全人员的平均薪水只是与IT行业其他工种持平。

“忽然一下子就高了。”“MJ0011”说。“Tombkeeper”以千万年薪转会腾讯这件事在圈里成了一个标杆，这个被尊称为“TK教主”的“黑客大牛”目前是腾讯玄武安全实验室的总监，实际上，他的大部分工作也都是纯粹的研究。

实际上，这时的中国黑客们已经有了很多出路。他们跟国外的黑客团队一样，一边靠挖漏洞挣钱。如ZDI、VeriSign这样的美国漏洞公司会用很高的价格收购黑客手中的漏洞，然后再转手卖给大公司、政府等；另一边也直接服务这些大公司和政府，给他们提供一些安全的服务。

但 正如VeriSign东亚区总监周铭所说的那样，这个行业不仅需要天赋，还要有一定的运气成分，“有的人技术很好，但一辈子可能只发现一两个漏洞。”而且 政府的“监管”也越来越严格，这些稍微有点名气的黑客都在政府的名单上，Keen　Team的成员几乎每天都会接到“国家安全部门”的电话和约访。

那 还不如加入大公司了，尤其是他们给的薪水足以过上富裕的生活，于是，中国知名的黑客一个个地被大公司“收编”。包括冰刃的作者PJF、狙剑的作者 SnipeSword、MalwareDe-fender的 作者sandworm、Real-TimeDefender的作者DJ……都去了360。腾讯则是直接和间接地拥有了“TK教主”和Keen Team。

然 而一个无法回避的现实就是，中国第二代黑客因为黑色产业的猖獗明显断层，而且这还影响到了第三代黑客的成长。在美国，黑客一开始就不是一个贬义词。你可以 到处看到写着“Hacker”的涂鸦墙，在开往Menlo　Park的路上，你会看到写着“1　Hacker　Way（黑客路1号）”的路牌，那就是 facebook的总部。黑客在这里更多的代表着一种具有钻研、探索精神的文化，描述了一批极具想象力的人。

而国内的大学本科教育完全没有开设这方面的课程，黑客也是上不了台面的职业。有趣的是，国内多数的知名黑客甚至都不是学计算机出身的。“TK教主”毕业于安徽医科大学临床医学系，360里最神秘的“小熊”是考古学的博士。

“我 的团队完全是社会招聘，现在发现一个好苗子实在太难了。”“MJ0011”最近见了一个研一的学生，他的技术并没有多牛，而是只有他在看了 “MJ0011”最近发表的一篇博客之后，认真地去实施了一遍，还提出了一个小问题。“MJ0011”都有点感动了，“做这行，兴趣是最重要的。”

没有被黑色产业卷走的这群黑客，有着一个比较统一的性格标签，他们跟吴石一样的“道德洁癖”。吴石会因为王琦自言自语的一句“为达目的，不择手段”而发怒，其实王只是想表达自己的决心，“为了让兄弟们活好，再大的委屈都可以忍受。”

“MJ0011”讲得最多的竟然是“价值观”，这根本不像是一个酷酷的黑客该说的词，但的确如此，“一般一上来问我薪水的人，我都不太喜欢，其实真正的大牛并不太在意这些，他们会有一种特别的正义感和责任感。”

前不久，吴石在朋友圈里转发了一篇题为《数学界的扫地僧们》，“搞学问要宅，就算你智商200，现在这个环境下不努力不静心也是不行的。送给天才少年们。”这在黑客圈里被狂转。

包括吴石在内的几个中生代“大牛”，都有一种宿命感。他们无一例外地选择大公司，正是希望能通过自己的一言一行，以及做事的逻辑和方法，为这个圈子留下点人才和“规矩”。于是，他们愿意出现在各种校园的黑客大赛上，虽然直到现在，公开演讲还都是一道难题。

“很明显，从前年开始，圈子里就开始把精力放在技术上，他们不会去关注谁挣了多少钱，而是在比谁先攻破了特斯拉，这至少给行业带来了点正向的引导。”王琦说。

在去年的第一届GeekPwn上，各路不知名的民间黑客实现了一连串令人惊叹的事实：用微信“无人驾驶”特斯拉；让已经关机的手机自动拍照，监听现场的声音；无需木马或钓鱼，让打到别人账户的钱在途中悄无声息转到黑客的账户上……

尤其是当“TK教主”出现时，全场的年轻黑客们都疯狂了，“现在的孩子都开始崇拜这些中国黑客了，不像我们那时候，一水儿的外国人，一辈子都见不到一次。”Keen　Team的一个成员就坐在我身边，他不住地感慨。

齐向东有一次在内部半开玩笑地说道，“如果足球要从娃娃抓起，那么网络攻防起码要从高中抓起。”但“MJ0011”心里清楚这有多难，资本的力量的确让黑客们看到了希望，可是离他们想要的“春天”，还是很远。