头戴耳麦、背靠大牌电竞专用椅、帅气十足地念念有词，凶起来直接一串代码删除自己的服务器……热播电视剧《亲爱的 热爱的》里酷炫的CTF（网络安全夺旗战），在现实中真是这么操作的吗？

　　近日，全球白帽黑客顶级会议Black Hat和DEF CON在美国拉斯维加斯落幕。面对数万名顶级白帽，来自阿里安全的蒸米、白小龙、五达代表阿里巴巴经济体，连续三年登台演讲，展示在iOS系统安全以及IoT安全领域的最新发现，实力演绎了现实版的“韩商言”。

图说：阿里安全双子座实验室高级安全专家蒸米在Black Hat上受邀演讲

　　带着iOS系统漏洞议题数次参加Black Hat的蒸米，曾是著名CTF战队蓝莲花成员，参加过世界顶级黑客大赛 DEF CON CTF，也拿过AliCTF冠军和国内XCTF联赛个人排行榜前十的成绩。

　　“真实的CTF很简单，做题就是了，没有舞台，也没那么酷炫。”蒸米还记得此前在学校的时候参加一个线上CTF，做题做到凌晨3点，遇到一道移动安全的题目，需要“动态脱壳”，但宿舍电脑跑不起来脱壳的环境，他抓起钥匙就往实验室跑，偌大的实验室空无一人，只有他在一台屏幕前眼睛里闪着光，“是孤独的，也是幸福的。”

　　在阿里安全内部，像蒸米一样参加过CTF的白帽很多，但为了更好地保障系统安全、平台安全，进而维护网络安全，让消费者安全购物，他们都舍弃了“攻”的痛快和耀眼，选择看起来并不容易地“防”，包括挖漏洞也是带着给出解决方案的视角，坚持用技术去解决社会问题。

　　三白帽登顶会累计30余次

　　阿里安全猎户座实验室安全专家、IoT安全达人五达2015年至今已参加四次Black Hat，他的发现包括超声波干扰VR、AR等物联网设备，去视频水印攻击技术等，今年带着IoT传感器的漏洞以及相关的解决办法，五达在DEF CON上的演讲又赢得一片掌声。

　　两年来，五达已经参加国内外各类安全顶会十余次，这意味着每次都有重要的IoT漏洞被他提交，这意味着新的攻击路径还未被发现，就已被他扼杀，让物联网设备多了一分安全。从拉斯维加斯到阿姆斯特丹，再到迪拜、慕尼黑，五达的足迹已经快遍布全球，研究成果也曾被福布斯杂志报道，被美国连线杂志评选为当年“最佳Hack”之一。

　　蒸米、白小龙是一对苹果操作系统安全的黄金搭档。围绕着苹果系统安全这个主题，他们挖到了越来越多的漏洞并探索了全新的方法论，他们的研究不但有攻击的思路，还为苹果公司提供了系统防御的思路。蒸米和白小龙的每次演讲，均有苹果公司安全团队成员等在台下。最近一年，他们被苹果授予6个CVE（公共漏洞暴露）并获官网致谢，苹果公司安全负责人更是亲自到场，感谢他们的研究让苹果的操作系统更加的隐私和安全。

　　从DEFCON 101演讲开始，到最后公认的TOP 1的Black Hat USA，蒸米和白小龙已经拿下了名副其实的顶会“大满贯”，这在行业里都是极为罕见的。

图说：阿里安全双子座实验室安全专家白小龙（左一）受邀在DEF CON演讲

　　首获黑客界“奥斯卡”大奖提名

　　Black Hat汇聚全球白帽黑客、安全厂商、研究机构等各类安全群体，议题审核最严苛为业内公认，每年上报的议题最终通过率不足20%。DEF CON作为聚集白帽黑客数量最多的大会，风格更轻松活泼，但入选议题的含金量也相当高。

　　过去三年里，阿里安全八大实验室已经有15名安全专家受邀参加Black Hat和DEF CON两大顶会。若要加上HITB、RSA、Xcon等其他顶会，阿里安全白帽参加顶会的人次还要再翻倍。

　　值得注意的是，创始于2007年，被誉为“全球白帽黑客奥斯卡”（The Pwnie Awards）大奖今年的榜单上，阿里安全专家王勇获得最佳提权漏洞奖提名。虽然抱憾未获最终大奖，不过这位出生于1991年的白帽依然信心满满，“还年轻，明年继续试。”

　　图说：The Pwnie Awards榜单上，阿里安全专家王勇获得最佳提权漏洞奖提名

　　此外，在今年微软公布的2019MSRC全球最具价值安全精英榜单中，君故、紫密这两位来自阿里安全的两位白帽上榜，位列前二十。“他们使用的就是我们独创的内核漏洞检测方法，能在短时间内快速挖掘漏洞。”阿里安全双子座实验室负责人杭特表示说，这一方法论被学术顶会CCS收录，成为26年来国内互联网企业投中的第一篇论文。

　　阿里安全在安全领域的能力建设正受到全球瞩目，也是近年来阿里巴巴经济体安全水位持续提升的实践成果。公开数据显示，2018年，阿里安全拦截1310亿次恶意攻击、日均保护316亿次用户操作。

　　与电视剧里酷炫的CTF操作相比，现实中的网络安全守卫者们更加地简单、纯粹、质朴。在这个充满金钱和利益的时代，更多白帽子要经受的考验是正义感和敬畏之心，而阿里安全十年如一日的风险能力建设，“一砖一瓦均需匠心”。