吳志成：「白帽大神」的另一面｜白帽

文/椰子

在先知安全眾測平台上，吳志成被稱作Gr36_。要找到他並不是什麼難事，只需要登錄平台首頁，你就會在「核心白帽子」一欄里看到他的名字和成績：積分7840，在整個平台排名第一。儘管在平台上早已「封神」，但他似乎從未以真面目示人過。

見到吳志成時已是中午十二點，正是餐廳里人聲鼎沸的時候，桌上的飯菜還在冒著熱氣。「來，先吃點。」吳志成一邊往嘴裡送著食物，一邊對我們說著，這便是我們之間談話的開場白了。

這實在不像是一場採訪：沒有犀利的問題和鄭重其事的回答，交談間還夾雜著碗筷碰撞的聲音。飯桌上的吳志成一邊回答著問題，一邊時不時夾一點菜，再扒上幾口飯，彷彿他就是以友人的身份來參加聚餐的。無論從哪個角度，都很難讓人相信這是一位「大神」——直到他聊起安全，聊起他作為Gr36_的另一面。

一、「從腳本小子」到「白帽子」

雖然如今早已成為白帽中的佼佼者，但回到幾年前，他差點就和這個行業徹底失去了交集。

高中時期，對計算機頗有興趣的的吳志成成為了一名「腳本小子」：「用網上下載的程序胡搞搞」，注入工具到手後，首當其衝的便是學校的教務系統——這似乎是很多安全人才共同的經歷：利器在手總要試試鋒銳，而距離自己最近、關係也最密切的就是學校。不少白帽子都因此留下了難忘的經歷，但對吳志成來說，也就僅此而已了；大學考入計算機系，他的專業是網路工程——在大學裡，一個普遍現象是，課程更偏重理論，很少涉及黑客技術。至於從事安全行業，對當時的吳志成來說也並非一條有著明確規劃的道路。

對任何一名安全人才來說，當年的境況都不是那麼如意。僅僅三五年前，擺在白帽子面前的出路還只有幾條：要麼成立安全公司，研發產品，為企業服務；要麼尋找為數不多的、臨時性的眾測項目，打打「零工」；更為常見的則是成為一名普通的程序員——安全技術在其中並沒有多少發揮的空間。如果還有其他可供選擇的道路，恐怕也只剩黑產了。

幸運的是，在校招時，吳志成遇到了綠盟。本就對安全有興趣的他，想著「把之前斷掉的路續回來」，這成為了他正式進入安全行業的契機。一年後，吳志成轉到廣東省信息安全測評中心，並在這裡結識了對他的安全生涯影響重大的人物：Jannock.

很少有白帽子沒有聽過Jannock的名字。在烏雲，Jannock曾因長期盤踞精華漏洞第一名而被尊稱為「一哥」。根據一篇報道的描述，他原本生性靦腆、不善言辭，總覺得在自己的崗位上「看不到未來」，白帽子的身份讓他找到了新的立足點。Jannock對安全的熱情和態度深深影響著吳志成，也讓他因此成為了白帽子中的一員。直到今天，提起Jannock，吳志成依然十分感激」：「你在旁邊看他做事，就會學到他的一些思維方式。現在我們關係也很不錯。」他用一個詞總結二人的關係：「亦師亦友」。

從此，吳志成也開始流連於各個漏洞平台，挖漏洞成為了吳志成生活中重要的樂趣來源。對他來說，這就如同一場遊戲般令人興奮：安全技術是他手中的寶劍，而一個個漏洞便是他將要面對的BOSS，隱藏在名為「眾測」的副本深處，「挖漏洞總是能給你成就感、正反饋，這一點是非常重要的。」

二、結緣「先知」

吳志成自稱為挖漏洞圈「資深玩家」——和遊戲愛好者一樣，他總是對每一個領域內的新生兒有著強烈的興趣。於是，先知平台順理成章地走進了他的視野。「國內首家確認漏洞後24小時發放獎金的眾測平台，」更讓他產生了試一試的衝動。2016年8月，吳志成在先知提交了他的第一個漏洞，正式進入先知。

真正讓他選擇常駐的則是一段小插曲。剛進入平台時，吳志成發現了一個通用CMS的更新請求中存在SQL注入漏洞，並不熟悉審核規則，兩眼一抹黑的他便加了負責人笑然的微信，詢問之後才提交了漏洞。

幾天之後，吳志成竟意外地接到了先知負責人笑然的電話。電話里，笑然向他表示歉意：漏洞並不屬於通用漏洞的範圍，並未通過。更出乎他意料的是，在詢問了他的技術特長後，笑然又重新給他分配了一個最新的懸賞項目。

這一舉動讓吳志成留下了深刻印象：「給我一種感覺，這個平台是真正尊重白帽子的。」他開始活躍在先知的舞台，僅僅半年時間，和從前一樣，他再次坐上了第一名的寶座。

如今，吳志成和先知平台早已互相熟悉，有了合適的項目、廠商，也會推薦給平台。「他們沒有審核人員的架子，很容易聊得來。」這是先知給他留下的最大印象。2016年11月，先知平台出台了審核規範，長期浸淫各大平台，對成熟的規則較為熟悉的吳志成也貢獻了一份力量。「作為一個白帽子，不僅僅是在平台提交漏洞，而是親身參與建設，讓平台我越來越好，這是一個良性循環。」提及此事，吳志成帶著幾分自豪，「大家都是從零開始。一個新生事物，要通過大家的努力才能取得成果。」

三、「白帽子的「真性情」

時至今日，吳志成在先知平台獲得的獎金已經達到將近40萬。作為一名白帽子，這筆收入無疑意義重大：相比於幾年之前，如今，白帽子已經可以憑著安全技術，堂堂正正地獲得收入了。但對吳志成來說，挖漏洞的意義還不止於此。

「眾測不僅僅是業餘收入，更多的是一種樂趣。」這是吳志成始終堅持的信條。先知平台剛成立時，他遇到了一個獎金極低的項目：600元一個漏洞，獎金提高後也不過800元。然而，他並未因此退避三舍或敷衍了事，最終提交的高危漏洞超過了20個。

「很多人覺得獎金低就不願意挖，但是我喜歡挖洞的感覺。」吳志成覺得，相比獎金，漏洞本身對他更具吸引力，「300塊和3000塊，感覺當然會不同，但沒有那麼重要。」烏雲時期，吳志成一直免費提交漏洞。「那時候也沒有想過要什麼。畢竟還是Hacking for fun嘛。」

對很多白帽子來說，挖漏洞的意義都是如此。回想一下，漏洞平台從誕生到興起也不過短短几年，在此前很長一段時間裡，挖漏洞都不會有任何報酬。如果說有什麼能讓支持著他們在安全領域孜孜不倦地探索的話，便只能是挖掘本身帶給他們的樂趣。

不可否認的是，也有一部分黑客轉向黑產，並且直到今天，當挖掘漏洞已經成為一種獲得收入的正規渠道時，從事黑產者依然屢見不鮮。吳志成並非沒有受過這樣的誘惑：「畢竟和在平台提交漏洞相比，黑產賺的錢更多。有人也說過，給我一個項目，抵得上在漏洞平台一年的收入。」但是，他始終不願放下「道德約束」：「我一直相信，你通過黑產掙到1000塊，就意味著給普通人帶來的損失超過1000萬，我是不會去做的。」

作為白帽子，吳志成也並非沒有過提交漏洞後不受尊重、或者感到挫敗的經歷。他說：「先知另他感到不同的是，工作人員經常因為和甲方商量、開會，甚至是吵，最終即使廠商不認，他們也會給錢——重要的是，這是一種認可。」

「認同感」在吳志成心中十分重要，對於大多數白帽子來說或許也是如此：接觸安全、提交漏洞的行為，興趣在背後起到了極大的作用。能夠得到認可，便給他們帶來極大的滿足——一種超越金錢的「真性情」。

放下白帽子的身份，作為普通人的吳志成同樣生活得有滋有味：高中結識的女友如今已成為他的妻子，孩子剛剛降生，自己也準備進入新的公司任職。除了挖漏洞這一愛好，生活中的吳志成喜歡打遊戲、看電影，「和一般的宅男差不多。」

關於安全的話題告一段落，不知不覺之中，桌上的飯菜也已所剩無幾。女孩子難免為「今天又吃多了」長吁短嘆一番，吳志成在一旁安慰道：「不要想啦，就當沒有吃過。」緊隨其後的還有一連串的詳解：「吃下這個事實改變不了，那就只能改變你的觀念。已經成為事實的事情就不要想了，不然你就很鬱悶，鬱悶了可能就吃得更多了。」說完，他又補充了一句，「一定要理性。」

該說的難道不是「其實吃得不多」嗎？但是，這話又說得有理有據、毫無漏洞，透著一股認真的勁頭——做安全的白帽子，又怎能沒有點「認真勁」呢？