作者| Cici

編輯| 吳懟懟

一個多世紀以前，馬克斯·韋伯的《新教倫理與資本主義精神》成為對工業時代的精神的經典闡述。21世紀，在信息時代的代表人物眼里，黑客精神將反叛舊日的新教倫理，成為新的時代精神。黑客代表一種充滿激情和創造力的態度。你即使從未使用過計算機，也可能是一名黑客。

這是曾經的技術神童，現在工作于赫爾辛基大學和美國加利福尼亞大學伯克利分校的派卡·海曼在其《黑客倫理與信息時代精神》一書中所提出的觀點。

為這本書寫序且貢獻卓著的另外兩個人鼎鼎大名，一位是李納斯·托沃茲，計算機行業內最受尊敬的黑客之一，Linux操作系統的創始人，另一位是《信息時代》的作者曼紐爾·卡斯特斯。

在他們看來，最初的黑客精神，行為主要不是由金錢，而是創造一個同行社區認為有價值的事物的欲望所激發的。對新教工作倫理而言，工作被看成一種必須做而必須做的義務。

但在黑客精神中，你必須去關懷，你必須去玩，你必須心甘情愿去探索。對黑客而言，計算機不是賺錢的工具，計算機本身是一種熱愛，一種社交，計算機就是創造力，就是世界的窗戶。

我們已經見證了眾多探路的黑客用計算機改變世界，我們也在眾多科幻小說和影視作品里看到黑客的身影。而實際上，黑客并沒有那么遙遠，黑客就在我們身邊。

GeekPwn（國際安全極客大賽）就是那個承載黑客精神的「社區」之一。如果你去過一次GeekPwn現場，就可以體會到極客群體對于技術瘋狂的熱愛，以及極客群體在背后默默做的事情，其實深切影響了我們的生活以及社會的進程。

01

1024只屬于極客

互聯網從業者們對數字極為敏感，一些和數字有關的節日和「梗」隨著這幾年國內互聯網的蓬勃發展已經深入人心。在10月24日民間程序員節這天，GeekPwn 國際安全極客大賽在上海迎來五周年第十屆。

早晨9點不到，已經有非常多的觀眾結伴組隊而來，還有不少人拖著行李箱趕來。如果你是一個非互聯網技術從業者，一定會很好奇，一個名字聽起來「不明覺厲」的安全攻防大賽為什么有這樣大的吸引力？

自第一屆起，GeekPwn就開始發現培養安全人才，已經向安全圈輸出了大批安全技術骨干力量，而賽事本身也在不斷求新求變，在消費電子、智能家電、機器人、AI、大數據等領域都有卓越的安全貢獻。

在過去GeekPwn的舞臺上，參賽選手和場下觀眾幾乎是全程處于亢奮狀態，因為他們在這里見證最新的iOS系統被破解，第一次特斯拉被破解，第一次POS機被盜刷等等的「第一次」。

這些是每屆極客大賽的高光，但大牛蛙（GeekPwn發起人）卻說，今年的極客大賽有些不一樣。

2018年，極客大賽提出將時間背景放在2049，討論當奇點來臨，人類被失控的人工智能控制后如何應對。黑客可能是拯救人類的最后機會。今年，比賽變了，不變的是黑客使命和精神的延續。大牛蛙說，「我們承認數字化世界帶給我們的美好，也承認數字化世界帶給我們的不美好。」在當下，我們是否能夠通過消滅現實當中的不完美，來實現完美的未來，一個安全的未來？

即便你是一個不懂技術更不懂安全的普通用戶，也能在在這里找到了非常多自己正在關心的議題。無論是主會場的不同主題的現場安全比賽，還是華為200萬重金求漏洞、騰訊云拿出150萬獎金池給安全研究者,抑或是外部展臺各個廠商提供幾十萬元獎金支持參會者找出技術漏洞，它們都與現實生活的安全息息相關。

都說極客是孤獨的，是喜歡宅著的，那可能是我們的誤讀。今年的極客大賽充滿社交屬性和屬于程序員的萌點，比如帶著閃著不同顏色燈的胸牌的參會者，就踴躍在現場進行交互點亮。都說互聯網從業者不善社交，但他們為了集齊顏色「召喚神龍」，一點都不羞澀。

與他們的交談也進一步解答了我的疑問，這個大賽的吸引力在哪里？

有兩位男生正是從廈門遠道而來，工作都與安全相關。他們提到主會場第一個現場比賽，即圖像對抗樣本挑戰賽，也就是利用對圖片的修改欺騙人工智能。讓AI犯錯，這也是GeekPwn的傳統項目。人工智能對圖片的辨別機制與我們大腦并不相同，在評委的解釋下，可以理解成這是一場基于數字、夾角、距離和坐標的欺騙「游戲」。

當然，實際操作并沒有那么簡單。多個戰隊成功利用圖片對抗樣本針對圖像分類器發起攻擊，最后，TSAIL戰隊在第三關「人臉識別攻擊」中用圖片成功欺騙Clarifai人臉識別系統，讓AI將黃健翔識別成了「美國第一千金「伊萬卡」，并最終以229.77分的累計得分，成功拿到GeekPwn2019 CAAD CTF圖像對抗樣本攻防賽的第一名。

02

解決問題的俠客或社會的瞭望者

如果平時關注新聞、隱私以及安全，一定不會錯過幾天前的一條新聞：一名科技博主利用專業設備，在一間布滿80多個針孔攝像頭的房間挑戰反偷拍，但還是沒能找到其中的大多數。

這場挑戰的發起者正是GeekPwn。

關于反偷拍，不由讓我想到去年夏天的經歷。當我抵達臺北進入捷運站后，第一件驚訝的事是竟然不用安檢，第二件事則是站內的公廁幾乎都貼著標語：已進行反偷拍檢測。

后來我回來查了一次，發現大概是這樣的機制：每月至少一次例行反針孔攝像偵測，另外還有每月1-2次不定期偵測。

但這個頻率以及技術層面已經在韓國被證實并不夠用。2012年-2017年，韓國偷拍案件從2400起上升到6470起。50名政府員工需要負責檢查首爾的超過2萬間公廁，檢查結果卻都顯示2016和2017兩年內沒有發現任何偷拍攝像頭。

在極客大賽現場，關于反偷拍也有一場比賽。在25平米的場地中，一共有近二十個攝像頭，這些攝像頭被GeekPwn重新設計，提升勘測難度，組委會甚至“變態”到用若干智能設備和降溫系統來迷惑選手。

在之前，普通用戶以及科技博主都以物理方法為主：觀察房間內可疑物品、借助輔助設備進行確認。但在現場難度卻被大大提升，所有物品都被布簾覆蓋，選手無法通過肉眼判斷攝像頭是否存在，需要成為靠技術說話的硬核「閉眼玩家」。

識別盡可能多，而且不允許識別錯誤，在評委看來，很難達到一種平衡，有的團隊技術很好準確率很高，但是識別出的數量太少。最終，所有參賽選手均沒有達到比賽要求的最低得分，沒有團隊獲獎。

盡管本年度的挑戰以失敗告終，看起來目前沒沒有最好的解決方案，但這卻提醒了我們問題存在的嚴重性。偷拍產業鏈逐漸浮出水面，已成為社會之痛。暴露問題引起關注，未嘗不是吸引更多安全從業者在未來投入技術解決問題的好方法。

另一件事有關假新聞。

關于假新聞的產生機制其實主要有兩種。一種是對關鍵事實的篡改，這主要由媒體、記者承擔責任。另一種是因為技術漏洞，網站被攻擊或是賬號被盜產生了黑客想要大家看到的假新聞。

現場一支韓國團隊向我們展示了這種方式。如果描述這個過程，那就是寫代碼只花1分鐘，翻譯溝通確認花了3分鐘，一條黃健翔整容的新聞就出現在了網站上。

主持人黃健翔問了一個我很想知道的問題：作為小白，如何知道我們家里的設備被黑？

評委陳良現場回答說，如果這個設備真的是被攻破或者是通過一些高級的手段做一些隱匿的植入一些「后門」，你完全沒有辦法察覺到它存在。也就是說，廠商此時肩負更大責任，應該更加積極的響應這些問題修補技術漏洞，作為用戶一定要勤于更新，規避一些風險。

另一個層面，這也是極客精神的體現。安全永遠是相對的，極客們有時候是一個俠客，可以出手解決問題；有時候又像是社會這艘航船上的瞭望者，及時發現暗礁與島嶼。

03

有時是一個人的打怪升級

更多是一群人的協作互助

1984年，伯瑞爾·史密斯在第一屆世界黑客大會上說，任何職業者都可以是黑客，你可以是個木匠黑客；它與高科技無關，只要你無比關心你手中的產品就表明你是個成功的黑客。

黑客本身就是超脫于工作本身存在的。記得去年，騰訊安全玄武實驗室首次披露了在安卓手機中普遍應用的屏下指紋技術的嚴重漏洞——「殘跡重用」漏洞。這一漏洞源頭并非手機廠商，而是屏下指紋芯片廠商，屬于屏下指紋技術設計層面的問題。利用該漏洞，攻擊者只需一秒鐘就可解鎖手機。

玄武實驗室的掌門「TK 教主」于旸就是業內知名的白帽子。他曾在2016 年發現了微軟歷史上影響最廣泛的漏洞。現在他不是一個人戰斗，而是領銜了了一個「門派」——被稱為 「漏洞挖掘機」的玄武實驗室。這個實驗室的安全員馬彬和陳昱曾搭檔發現了iPhone 的Face ID技術漏洞。

今年，陳昱又在GeekPwn 2019攻破了超聲波屏下指紋識別技術，這也是國際首次。整個過程是驚險刺激且直白的，在觀眾接觸過一個玻璃水杯后，陳昱先是拿出手機拍攝觀眾留存在水杯上的指紋，隨后在手機上調試之后「克隆」了一個全新的指紋，利用這個「新指紋」通過了該觀眾提前錄好指紋的3臺手機和2臺考勤機的指紋識別，一共破解了使用電容、光學和超聲波三種技術類型的指紋驗證設備。

對于TK、陳昱、馬彬這樣的極客來說，挖掘漏洞是一個打怪升級的過程。而修復漏洞，其實是多方聯合協作的過程。關于GeekPwn，有一條很重要，選手在現場展示的攻克漏洞，會在第一時間內告知廠家。這意味著大賽除了用技術解決現實問題之外的最大優勢，它是合法、安全且全面的。

比如去年在展示「殘跡重用」漏洞之前，安全玄武實驗室就已經通過和手機廠商及上游芯片供應鏈的協作聯動，修復了這個漏洞。今年的指紋識別問題，玄武實驗室也已與多家指紋驗證設備提供商進行溝通，推動解決。

除了面部和識別方面的安全與我們的實際生活日益密切，云安全也是一個繞不開的話題。此前Facebook大面積的用戶隱私泄露，引發了世界范圍內的恐慌。

當云成為重要的基礎設施，成為萬物的底層后，其安全的重要性不言而喻。

在GeekPwn 2019，就有全世界首個基于真實通用云環境的安全挑戰賽。《網絡安全法》實施后，對于白帽子來說，限制更加嚴格。白帽子修復網絡漏洞的前提，是發現網絡漏洞，而對自身發掘漏洞行為是否合法，如何合法地繼續展開漏洞挖掘工作，是白帽子面臨的一個重要問題。

為了促成此次比賽順利進行，騰訊安全云鼎團隊聯合GeekPwn團隊設計了幾十套方案，三個多月封閉作戰，甚至投入幾百萬費用去搭建一個真實的、適用于選手比賽的云上環境，并且完全復現主流云平臺的架構、技術和系統軟硬件環境。

在云安全挑戰賽現場，前期100多支報名隊伍中選出來的6支隊伍發起了11750次攻擊，最好的成績是攻克到16道有效賽題中的第9道，最終未能有戰隊突破最后一個級別的挑戰。

這個結果其實在云鼎實驗室的預料之中。云計算技術復雜、體系龐大,網絡安全研究人員自己想廣泛深入研究較為困難。這也就是為什么云鼎實驗室要聯合GeekPwn搭建這樣一個比賽平臺，這樣做不僅為研究人員提供了一個真實環境的平臺,同時因為覆蓋環節全面,更有利于研究人員的實踐。

中國信通院發布的《云計算發展白皮書(2019)》談到，目前，我國云安全產品不斷豐富，促進了云用戶安全防護水平的極大提升。一方面，云計算廠商在強化自身安全能力的同時，紛紛將自身安全能力產品化輸出；另一方面，安全廠商積極布局云計算安全解決方案，將積累的豐富安全經驗適配于云環境。

事實上，騰訊、華為、小米等廠商就是這么做的。為應對產業互聯網環境下的安全問題，騰訊安全協同騰訊云，共同構建了「一個基礎底座，兩個安全中臺，攻防兩面一體」的核心安全能力，為產業打造更安全的云環境。可以看到，白帽黑客不再是孤軍奮戰，他們越來越重視協作，為企業和硬件的安全性做更多的努力。

正如GeekPwn創始人大牛蛙所言，每個頂級的黑客都是藝術家，他們享受那種破解的成就感。對于黑客白帽而言，他們曾經是數字時代的冒險家與探險者，是依靠個人創造力為社會解決問題的斗士和俠客。如今，他們依靠全產業的協作和守望相助，成為數字經濟時代的建筑師。

吳懟懟工作室原創出品

吳懟懟，自媒體藝人，人人都是產品經理2017年度作者，新榜2018年度商業觀察者，騰訊全媒派榮譽導師，虎嗅、36氪、鈦媒體、數英等專欄作者。

原標題：《我在GeekPwn中看到的極客精神》

閱讀原文