幾點看法：關於阿里的「月餅事件」

文 | 闌夕

1、阿里的HR，幾乎每隔一年，就會在知乎火上一次，而且已經有了段子：阿里內網的技術升級，永遠來自HR的強力驅動。曾經因為馬雲抱怨內網信息總是外泄，HR連夜催著技術給每個員工的訪問界面增加了一層肉眼不可識別的單獨匹配代碼，這樣在截圖出去的時候，技術可以根據圖片鎖定是誰截的這張圖。去年，阿里的HR又偽造離職談話記錄，被憤怒的離職員工貼到知乎，阿里對HR只是處以記過處分，而負責開發內網的團隊則因「安全事故」——就是讓離職員工看到面談記錄——被打了不合格的績效。有人翻出馬雲在2010年聲稱「阿里內網要向全社會開放、公開透明是阿里的企業文化」的發言，倒是證明了言多必失的古老道理。

2、「月餅事件」在兩個圈子裡呈現出了截然不同的輿論傾向，我的微信朋友圈裡——成員多以互聯網從業者為主——大部分都為那四個程序員叫屈，認為阿里的奇葩HR又是在展示他們價值觀的地板，而在微博上，那些將之視作公共事件的看客，則大都奇怪於為什麼開除這種監守自盜的員工也會引起軒然大波。毋庸置疑的是，觀念的迥異取決於立場的割裂，每個人都試圖扮演其中一方的角色，並將利益得失代入其中，有人體驗居安思危，有人感到為民除害。

3、在看到當時員工的自述之前，我也以為這幾個程序員是用了多麼高端的技術手段攻破了阿里的安全系統，結果原來僅僅只是寫了一個不間斷提交申請的腳本，在網頁端完成了秒殺活動所需要的行為條件。這種做法，委實和春運時期網民們通過各種工具到12306搶票沒有任何分別，當12306升級演算法時你們倒是罵得痛快覺得又給人民添堵了，怎麼換到這次事件里你們又站在道德的制高點上大罵作弊者不要臉了呢。

4、即使是為了保障公平的目的，前置的制度設計也遠比後置的解釋權力要更加有效，阿里本身沒有對活動做出「同一帳號只能購買一次」的設置，導致重複購買都被算入庫存消耗，有人陰差陽錯且在沒有造成實際損失——那幾個程序員主動向上級報備了這次事故——的情況下，這差不多是教科書式的白帽子案例，也提供了解決漏洞的契機。

5、當然，當烏雲仍在「因故升級」的時期，這套白帽子的邏輯可能無法得到多少認同，它有點像是將某些互聯網文化納入法外之地的詭辯。然而事實就是如此，在西方互聯網，黑客的惡作劇精神源自海盜傳統——迄今為止，蘋果每年生日都還會在庫薩比諾的總部升起骷髏旗——這種挑戰法律和規則的叛逆造就了互聯網對於開源和自由的信仰，也讓各種開放式的協議組成了人人皆可享用而不受到任何政權支配的數字世界。

6、然而，白帽子的所作所為在事實上相當於有人撬了你家的門鎖，發現了裝置的漏洞，然後通報了你，有人感謝撬鎖者幫助自己排除了一項安全隱患，也有人控訴撬鎖者侵犯了自己的住宅，不同的認知將會遞進出不同的態度。儘管即使是最簡單的經濟學原理也告訴我們扼殺白帽子看似能夠帶來一個短期內的安全環境但在長期看來會讓安全隱患不斷滋生最終釀成大禍，只是社會的接受程度決定了這種舶來文化的生存空間，別無他法。美國國防部旗下一百個多網站在去年發生了不同規模的信息泄露事件，導致五角大樓在今年年初拿出數十萬美元獎勵那些攻破政府網站的白帽子，以便於自己提高查找和修復漏洞的效率。

7、事實上，在2014年，支付寶也曾被白帽子找到過一個登錄漏洞，在公布之後，阿里向白帽子獎勵了5萬元人民幣，還發出公告，繼續拿出500萬重獎那些有能力突破阿里安全防線的白帽子，這種態度在當時獲得了相當高的業界評價。

8、從「月餅事件」談到白帽子或許有些小題大做，但因「月餅事件」而開除員工並讓後者背負職業污點——這在企業用人時的背景調查相當致命——同樣顯得小題大做。這種手法承應於阿里內部反腐運動的高壓線，希望起到殺雞儆猴的恐嚇作用，但是拿著金牌令箭斬人上癮的快感，大概只會復興東廠式的威風。是的，就算你一萬次強調1983年的「嚴打」不搞不行那時的車匪路霸已經囂張上天了，我也會一萬次的回復你把一個為自己女朋友拍了幾張裸照的男青年判處死刑是他媽的腦子抽風。

9、我要說的是，這的確屬於企業文化的選擇問題，無論企業如何作為，它都必然有著合乎情理的緣由，並對企業的形象做出客觀上的錨定。令人遺憾的是，在遠不到最為惡劣的條件時，事情有了最為惡劣的結果，這種傷害對於阿里這家公司本身，也沒有那麼容易被忽視。你要了農民的溫順和馴服，就別指望得到海盜的桀驁和靈性，求仁得仁。

10、說了這麼多，誰給我寄一盒阿里的月餅嘗嘗？

推薦閱讀：