【白帽故事】一年超90万漏洞奖励，Carry_your可复制吗？

全文共4285字，阅读大约需要7分钟

法律风险下，挖漏洞就像好人提醒仓库管理员关门，最具“情商”的提醒办法是进去后不拿金银珠宝，只拿一把扫帚，证明仓库是有被入侵风险的即可。

同样的信息，黑产犯罪人员可以在卖给A买家后，再卖给B、C、D买家，收到信息的人也可以做“二房东”，接着卖，这意味着，100万条信息会被“榨干”到完全失去价值后才被放弃，累计收入可能达到上千万元。而白帽将这些信息作为漏洞提交可能只有3000元奖励。

相对黑产而言，白帽子是一群弱势群体。

在美国职业篮球（NBA）常规赛的竞技舞台上，每个月都会评出一个月最佳球员，如果某一球员拿到这一殊荣，说明他在过去的一个月表现最佳，但在NBA历史上没有球员可以连续12个比赛月都拿到最佳球员。

在漏洞挖掘领域，Carry_your（以下简称Carry）做到了。

Carry从2016年4月开始，连续十二个月在补天漏洞响应平台（以下简称补天平台）月度排行榜中名列第一，厂商对他的奖励超过90万，其中包括专属SRC、公有SRC和360众测。

不难想象，Carry的成绩让他成为了许多白帽黑客崇拜的对象。同行和外界对于他的讨论，主要集中在三个问题。

第一，Carry是如何做到每个月都最快挖到最多漏洞？

第二，（相对黑产）Carry年入90万处在何种水平？

第三，Carry可以复制吗？

在上海的一家咖啡厅， Carry解答了同行和外界对于他的所有疑问，但在回答这些问题之前，我们有必要对Carry的经历有一些基本了解。

01 Carry的成长经历

与许多白帽子一样，Carry走上做安全的道路是因为打游戏，但与其他人的学习动机不同，Carry是因为游戏号被盗。

在一次装备交易中，Carry点开了对方发来的（伪装）TXT文档，电脑瞬间中了病毒，装备在很短的时间内不翼而飞。盛怒之下，Carry主动学习了黑客技术，并在一个月后以牙还牙，戏剧性地重置了盗号者的QQ号，让盗号者被盗号。

在此后技术成长的过程中，Carry做了不少走在“违规”边沿的“恶作剧。”

包括通过远程控制老师的电脑拿到英语试卷；爆破服务器抓取少量肉鸡；和兴趣小组一起劫持中国红客联盟官网；进入大学服务器，寻找“军训女神”，但在最后一步主动放弃；按照全国高校排行榜测试了200多个高校服务器的漏洞，并将漏洞提交给了补天平台。

Carry的成长是“实战攻击”式的，符合“未知攻，焉知防”的原理，但是随着法律的健全与清晰，类似的实战练习其实无时无刻都像是在走钢丝，左边是正义合规，右边就是违法违规。

当被问及：“是否有更好的办法，既可以熟悉“攻”，又可以不在现实中违法时。”

Carry已不再是当年那个爱“恶作剧”的少年，他变得成熟稳重。他说：“所有的非实战，都是人为控制的环境，对突发问题的经验积累很少，但是考虑到合法合规，现在仍然有很多方式可以帮助白帽子提高。比如自己搭建模拟漏洞环境、打CTF比赛等。”

即使是在真实的漏洞挖掘环境中，Carry也远比自己少年时要谨慎细致的多。他说：“比如在证明一个漏洞的危险程度时，数据库中有很多信息，选择一些无关紧要的信息跑，能证明漏洞的价值即可，不要触碰核心信息。”

这一过程就像好人提醒仓库管理员关门，最具“情商”的提醒办法是进去后不拿金银珠宝，只拿一把扫帚，证明仓库是有被入侵风险就完成了使命。

将200多个大学漏洞提交给补天平台后，Carry通过“库带计划”（补天平台对接厂商和白帽子，以现金奖励方式征集开源建站系统漏洞），进入360实习，并在不久后转为正式员工。

但因为不习惯北京的气候，2016年4月，Carry在和新婚妻子商量后，选择前往上海打拼，也正是在那里，他正式开始了漏洞挖掘的巅峰之路。

02 如何每月最快挖掘最多的漏洞？

因为“经验”，Carry反复提到这个抽象的词语，可经验到底是什么？

Carry从不吝啬他挖漏洞的方法，经常积极地将其分享给其他朋友，但即使这样，也很少有人真的像他一样近乎“偏执”地“挖”下去。

Carry说：“我比较固执，属于撞了南墙也不回头的那种，对于一个厂商的漏洞我会一直挖下去，一周不行两周，两周不行一个月，直到对这个厂商的漏洞非常熟悉，熟悉到只要这个厂商有更新，我就能快速地找到漏洞。”

事实上，Carry的做法并不符合漏洞挖掘的常规。漏洞挖掘市场的一般规律是：“当一个厂商有大面漏洞爆发时，众人一拥而上，用较低的时间成本，疯抢漏洞，赚取奖励；而当一个厂商漏洞较少时，因为搜索漏洞的时间成本上升，大家便逐渐退潮。”

Carry说:“大家退潮的时候，我不会退，我还会一直挖。我觉得不应该计较一个漏洞挖掘的时间成本，而是看整体，深挖的过程会让自己对厂商更加熟悉，也就是所谓的“经验。”在该厂商再次更新版本的时候这种经验会体现出作用，很自然地，你就会比其他人更快的挖到更多漏洞。方法很笨，但效果很好。”

为人所不知的是，在Carry连续十二个月拿下补天月度冠军之前，类似的深挖工作，他做了三年。最早Carry挖掘一个漏洞大约价值80块钱，比现在许多挖洞“菜鸟”还要低，当时，他挖洞一年的收入也不超过两万。

但是Carry选择了坚持。

Carry说：“其实没有什么技巧，坚守一些底线的原则并坚持的做下去就能成。对我而言有三点。”

第一，从简单漏洞入手，虽然奖励不高，但技能提升很快，循序渐进。

第二，很多白帽子将经历花在了抱怨上，埋怨单个漏洞钱给低了。我觉得不能心浮气躁，仅仅看单个漏洞的价值，要沉住气，看整体的价值。

第三，不要因贪心动歪念头，比如因为钱给少了，就卖给黑市。一旦陷进去就出不来了。

03 相对黑产，Carry年入90万处在何种水平？

据安全专家估计，在中国，黑产涉及的金额可能已经超过了上百亿。仅以老百姓的信息泄露为例，每个老百姓的个人信息假设价值1元钱（其中包括姓名、手机号码、银行卡账号甚至密码、住址、通讯录信息、社交软件信息、照片等），若以单次售出100万条一手信息计算，黑产犯罪人员一夜可以赚得100万元。

而针对同样的信息，黑产犯罪人员可以在卖给A买家后，可以再卖给B、C、D买家，收到信息的人也可以做“二房东”，继续转售，这意味着，100万条信息会被“榨干”到完全失去价值后才被放弃，累计收入可能达到上千万元。

Carry在早些时间接受采访时曾说：“白帽子跟黑产比起来，属于弱势群体。”

当被问及为什么的时候，Carry平静的语气中带有些细微的情绪，他给出了两点答复：

第一，从容错率的角度而言。黑产躲在暗处，法律的执行者追查黑产的成本很高，可谓暗箭难防，所以即使黑产出了一点差错，也不会完全“翻船”。但是白帽子在明处，白帽子的身份信息，所做的事情，大家都看得清清楚楚，所以如果白帽子在“钢丝”上一步没走稳，掉下来很容易。

第二，从利益回报而言。举个例子，同样的信息，一个漏洞卖给暗网，也就是做黑产，可能可以赚100万，但是将这一漏洞提交给泄露信息的公司，也许连3000元的漏洞奖励都没有。白帽子无时无刻不再面临着利益超出百倍的“诱惑。”

很多人都会想问：“面对这么大诱惑，白帽子的内心有过犹豫和纠结吗？”

Carry说：“我身边有朋友做（黑产），曾邀请我一起做，但我拒绝了。我看到的是一些人做黑产之后再也出不来了。要么过着纸醉金迷的生活，每天担心被抓捕，要么已经被抓捕，总之，一旦做了黑产再也过不了正常人的生活，而我更喜欢正常的生活。”

此时，笔者问Carry：“是否觉得自己是一种证明？证明了黑客可以通过合法的手段，抵抗住诱惑，光明正大地赚钱。”

Carry喝了一口咖啡，抿着嘴沉思了一下说：“也许是吧。但有时候我会觉的有些不公平。正义太不值钱，邪恶却那么值钱。特别是在你做好事儿的时候，一些厂商并不领情，不重视漏洞的风险，觉得你是“故意找茬”，有点吃力不讨好。”

Carry出生于一个传统家庭，早些年他做白帽子都遭到过父母的反对，在父母的理解中，白帽子也是黑客，黑客就是“在网上偷东西”的人。

当父母看到Carry无数次面对“吃力不讨好”，还依旧坚持时，父母明白了。他们清楚地知道了自己儿子所做的事情是在为社会做贡献，为国家安全、企业安全、个人安全奉献着自己的能量。父母意识到，白帽子是正义的，不是“小偷”，而是“侠客”。

04 Carry可复制吗？ 

“可复制”Carry说：“但是现在的情况是蛋糕做大速度很慢（专属SRC厂商增速很慢），白帽子的增速却很快，狼多肉少。一个Carry出现，另一个Carry就会消失，这样产业永远无法做大。”

根据CNNIC发布的第39次《中国互联网络发展状况统计报告》显示，截至2016年12月，中国的网民规模达7.31亿，互联网普及率为52.3%，网络已经成为人们不可分割的一部分。

这句“没有网络安全，就没有国家安全、企业安全、个人安全”说了很多年，但到今天，它再也不是空谈，而是赤裸裸的现实。

Carry说：“虽然市场前景很乐观，市场也很大。但就当下而言，重视网络安全的企业还是太少了。专属SRC的增速无法和白帽的增速相匹配，白帽子的竞争压力将会越来越大。”

许多新入行的白帽会问：“难道没有缓解压力的方法了吗？”

据Carry所言：“众测将成为专属SRC的有利补充，也就是另一块蛋糕，它将缓解白帽在专属SRC中的竞争压力。”(众测是指根据企业的需求，组建白帽子精英团队，为企业产品、系统进行针对性的安全测试。)

左一谭晓生右二 Carry

两块蛋糕的吃法，Carry认为从根本上是一致的，还是三点：“第一，抢着吃，要快；第二，挑”质量”好的吃，要准；想做到上述两点，要先做第三点，积累经验，接受不够成功，坚持地去吃。” 其中最重要的，是最后一条。

05 白帽事业的背后

Carry说：“我是一个很固执的人，这种固执用到做事上，很好。用到家庭和生活中，就不太好。所以我有时候会跟太太闹一些小矛盾。”

在360实习的时候，Carry认识了她，为了跟她有更多的共同话题，他越权去一个招聘网站拿到了女孩儿的简历。当他和女孩儿摊牌的时候，女孩儿有些惊吓又有些惊喜，这种“浪漫”有点与众不同。

有一次，还是男女朋友关系时，他们因琐事吵架，Carry的脾气很倔，不会哄女孩儿。她说要分手回家，Carry完全没有拦她。她回老家后，Carry感到了心中的一股阵痛，他这才赶紧定了最近的航班去她的老家把她追了回来。

他们结婚后，每年的生日，太太都会给Carry惊喜，让他印象深刻的是，有一次她做了影集，记录下了他们在一起的点点滴滴。Carry说：“对于做白帽子的事儿，太太很支持，也很理解我，就是我自己，有时候太倔了。”

现在，夫妻俩有了孩子，在上海这个大城市有了一个自己温馨的小家。Carry说自己有了孩子之后变了，他说：“是一种责任心，我开始不光是为了我一个人奋斗。比如众测，在和家庭有冲突的时候，我会有所取舍，如果孩子哭了，要照顾孩子，一些项目就不做了。但是我感觉很值，对于项目来说，孩子更重要。”

有朋友评价说Carry是一个低调的大神，令人敬仰和钦佩。但是Carry身上似乎更多的是勤奋和努力。他穿着平淡无奇的体恤衫，白天乘坐一个小时的地铁往返上班，晚上花费四个小时进行漏洞挖掘和众测，日复一日。

在家Carry照顾妻子和孩子，出门扛起工作和事业。Carry说自己就是一个普通人，压力大了绕着街道跑跑步，饿了就吃，渴了就喝。他说：“如果想保持第一，长期的一致的坚持比短期高爆发要管用的多。”

一年超90万漏洞奖励，Carry_your可复制吗？

答案不在他身上，而在你心里。