關(guān)注飛總聊IT，了解IT行業(yè)的方方面面。

作為程序員，你最慌的時候是什么樣的？

是凌晨三點告警響起，服務(wù)無聲無息地掛了？

是CI/CD剛點下去，心里已經(jīng)開始打鼓準備回滾？

是一次JSON字段多了個逗號，整條鏈路瞬間一片紅？

是產(chǎn)品上線在即，壓測卻發(fā)現(xiàn)架構(gòu)設(shè)計存在致命缺陷？

是線上QPS突然飆升，你盯著Dashboad狂跳，卻不知道洪峰從哪進來？

這些，都可能是曾經(jīng)、正在折磨每一位程序員的噩夢。然而，這些匆匆忙忙、連滾帶爬的場景，大多數(shù)時候都還能挽回、還能補救、還能靠團隊兜底。

但對搞安全的這群工程師來說，慌的尺度或許完全不可同日而語。

你的慌可能讓服務(wù)抖一下，他們的慌可能讓用戶資產(chǎn)清零；

你的 Bug 可能導(dǎo)致體驗差一點，他們的缺口可能被黑灰產(chǎn)盯上、撬開整個系統(tǒng)；

你的失誤會被同事吐槽幾句，他們的疏忽會變成攻擊鏈條里最昂貴的一環(huán)；

你怕上線翻車，他們怕的是對面有人在盯著他們的每一次失手。

程序員可以在事故復(fù)盤里找到解決方案，安全工程師有時候連復(fù)盤的機會都沒有——因為一旦出事，就已經(jīng)是不可逆的代價。

他們的世界，沒有掌聲，甚至沒有“謝謝”。他們的勝利，只有一種表現(xiàn)：

今天，什么事都沒發(fā)生。

今天要給大家分享一個，國內(nèi)頂尖的安全團隊的故事。

玄武實驗室：做別人做不到的事

很多人或許連聽都沒聽過這個實驗室的名字，但我提兩個場景，你或許就知道了自己的日常生活原來跟玄武有這么緊密的交集。

玄武實驗室在2017-18年的時候就開始了對生物認證安全的研究，發(fā)現(xiàn)當(dāng)時的屏下指紋技術(shù)存在嚴重的安全缺陷，僅需通過獲取玻璃表面指紋，進行自動化克隆復(fù)原，產(chǎn)生新指紋模型，便能通過多款指紋身份認證設(shè)備的識別。玄武實驗室推動與屏下指紋行業(yè)一同解決了這個安全隱患，今天無論使用哪個品牌的手機，只要有屏下指紋的功能，背后都有玄武實驗室的工作成果。

如果你沒用過帶屏下指紋技術(shù)的手機，那你也一定用過掃碼支付。最初的掃碼支付場景對惡意二維碼的防控非常薄弱，很容易被攻擊者通過惡意二維碼的解析所控制系統(tǒng)造成資損。玄武實驗室與相關(guān)支付團隊合作，花了幾年時間幫助中國各個掃碼設(shè)備廠商提升了產(chǎn)品安全性。

除了這些場景，玄武在技術(shù)上還是國內(nèi)乃至世界上少有的做到全棧安全的實驗室，從軟硬件安全、操作系統(tǒng)安全、硬件安全、生物認證安全到量子安全、大模型安全，都有廣泛的涉獵和世界級的研究成果。

這里面有些研究，可能兩三年之后才能成為行業(yè)標(biāo)準。但正因為有人提前研究、提前試錯、提前探索，行業(yè)才能在真正出現(xiàn)威脅之前，做好準備。

主動安全的理念與落地

這里首先不得不提另一個實驗室的名字——科恩實驗室。

在中國乃至世界的網(wǎng)絡(luò)攻防大賽中，科恩實驗室都是一個傳奇般的存在。2016-2017年科恩戰(zhàn)隊一共參加了四屆 pwn2own 比賽，共斬獲三座全球總冠軍獎杯，是該項挑戰(zhàn)賽設(shè)立以來獲得全球總冠軍數(shù)最多的戰(zhàn)隊之一。

但更關(guān)鍵的是——科恩并不僅僅把“攻破系統(tǒng)”當(dāng)成一種技術(shù)炫技。他們的基因里本來就帶著一種更先進也更具實操價值的安全觀念：

只有你比攻擊者更早一步、走得更深一層，你的防線才算真正站得住。

主動安全，不是坐等告警響起后再補洞，而是把潛在風(fēng)險提前建模、提前對抗、提前清理，讓風(fēng)險永遠停在威脅形成之前。

這個理念某種程度上也可以說催生了騰訊從 C端的電腦管家/手機管家，到 B端的零信任iOA產(chǎn)品和威脅情報能力。

網(wǎng)絡(luò)攻防這個領(lǐng)域，說白了其實就是看雙方誰能夠?qū)⒓夹g(shù)手段運用得更好。從目前形勢看，傳統(tǒng)的防御方式已經(jīng)完全跟不上時代的變化，我們現(xiàn)在走入了 AI 的時代，最領(lǐng)先的防御就是基于大模型的技術(shù)特性實現(xiàn)防御能力的大幅提升。

可以說在這方面，他們都做得很不錯。

技術(shù)得解決實際問題

咱們搞技術(shù)的都喜歡說“Talk is cheap，show me the code”。

放安全這個很多人并不太關(guān)注的領(lǐng)域，其實反而更為貼切，所有的技術(shù)價值，都體現(xiàn)在解決實際問題上。

安全如果不能落地，就會淪為自我感動；能落地，才有真正的價值。

什么場景能落地安全技術(shù)的價值？

當(dāng)你在打游戲的時候，你不希望被外掛玩家惡心到崩潰。

在你看到公平對局的背后，騰訊游戲安全的反作弊系統(tǒng)把無數(shù)異常行為攔截在你看不到的地方，讓游戲世界至少還能維持規(guī)則的平等。

當(dāng)你在各類平臺搶票、搶熱門貨的時候，你的訂單不會被黃牛腳本搶走。

騰訊云天御構(gòu)建的那一套行為識別、設(shè)備風(fēng)控能力，都是為了讓在用戶注意不到的時候，而是為了讓資源流向真實用戶，讓每一個熱愛的人能有機會參與。

當(dāng)你接到一個像模像樣的客服電話時，也許已經(jīng)走到電信詐騙的邊緣。

銀行的傳統(tǒng)反詐模型很難對付新技術(shù)快速迭代的不法分子。騰訊云天御構(gòu)建的 “掃黑+護白” 雙模體系，能夠提前預(yù)判涉詐賬戶風(fēng)險，一旦監(jiān)測到風(fēng)險、立即通過風(fēng)控系統(tǒng)預(yù)警受害用戶狀態(tài)，既顯著提升了銀行的詐騙攔截率、減少涉詐賬戶，也巧妙平衡了安全防控與便民服務(wù)，幫助老百姓挽回巨額損失。

當(dāng)你隨手點開一個小程序時，你希望它是安全的、可信的，不跳轉(zhuǎn)、不誘導(dǎo)、不亂要權(quán)限。

騰訊云小程序安全要做的，就是把這些可能傷害用戶體驗、侵犯隱私、制造風(fēng)險的環(huán)節(jié)都提前擋在小程序環(huán)境之外，讓你在小程序里發(fā)生的任何交互，都能保持可控和放心。

這些看得見、摸得著的業(yè)務(wù)場景，就是安全技術(shù)真正的價值所在。

安全工程師或許是這個行業(yè)里“犯錯”成本最高的職業(yè)之一。防守者100%的努力，也許換來的只是攻擊者成功率下降了1%。但只有這樣，才有底氣說，去守護黑與白的交界處。

讓世界「什么事都沒發(fā)生」，是很多安全工程師的工作成果。

你能看到光，是因為有人把黑暗擋在了你看不見的地方。

這是安全工程師最真實的生活，也是他們的信念與堅守。

我為這群搞安全的幕后英雄們，感到驕傲。