一封封信从远方寄来，汇集成整整三摞。信里是用铅笔认真写下的歪歪扭扭的字：“有了这些包裹，我再也不用跟同学借文具了。”

这是工程师木雁收到的一份沉甸甸的礼物。

过去几年的业余时间里，他通过“公益众测”的形式，用自己的计算机技术给各大企业的网站查找存在安全隐患的漏洞，赚得24万余元的奖金。

繁复枯燥的代码，冰冷中立的技术通过木雁高速运转的大脑，转变成了切实可见的温暖与爱心。这笔巨额奖金后来变成了一个个装满画笔、水彩笔等礼物的爱心包裹，送到了千里之外，贫困的孩子手里。

看似轻而易得的奖金背后，是木雁十几年来对于技术的痴迷与信仰。他与其他一同参加众测的大多数工程师们一样，来自一个共同的群体——“白帽子”。

“白帽子”们大多默默无闻地守护在屏幕后面，如果你深入了解他们的工作，就会发现他们执行的每一项操作，正与我们的安全生活发生着千丝万缕的联系——我们的手机电脑、账户信息等无时无刻不被他们守护着。

看似冰冷中立的技术背后，是这些极客们从年少时期萌生的对于真理与未知的追求，以及对于技术的尊重与理想如何让他们成为今天的自己，如何用技术反哺虚拟网络以外的复杂世界。

文|夏桑

编辑|周末

白帽子

黑客里也有黑白之分，白帽子与骇客。

他们所做的内容相似：通过代码寻找计算机与网络系统中的安全漏洞。白帽子发现漏洞后，会通过提示和公布等方式，促进漏洞的修补；骇客则进行技术攻击牟取利益。

如今的木雁是一名硕果累累的白帽子，也是阿里巴巴安全部的安全专家。穿着标准式程序员衬衫的他话不多，回答不上问题时腼腆地笑着。实际上，他是所有安全技术人员中最深藏不露的一个。

在阿里巴巴的“先知”公益众测的排名中，木雁排名榜首，提交漏洞所获的奖金几乎是第二名的5倍，这样的成绩说明，木雁所提交的漏洞在数量和重要程度上都是遥遥领先的，在这场工程师们的业余比赛里，木雁投入的精力超乎想象。

2017年阿里巴巴的先知白帽大会图/网络

“漏洞”、“众测”等技术领域的词汇似乎离我们很远，甚至有许多人不能理解，为什么要招募一批白帽子来攻击自己的网站，给自己增添棘手的修补麻烦？实际上，这种自觉接受攻击挑战的另一面，是不断巩固自身的屏障。

阿里巴巴安全部高级技术专家千剑向每日人物列举了“漏洞”对于普通人生活的重要影响。比如网购时商家、快递的系统里有无数用户的信息，如果这些平台的系统不加以防范，骇客们很容易攻入薄弱的屏障，攫取用户的资料信息，转卖数据或者进行诈骗。白帽子的存在，正是为了不断提升系统的安全性。

有意思的是，因为常年在安全领域与骇客对抗，白帽子们在日常生活中都有相似的防备习惯。他们手机里几乎都有一款专门用以储存密码的软件，除此之外，他们的安全意识无所不在。比如，他们宁愿用自己手机流量开热点，也不会去连公共场所的WiFi；他们中有些人甚至会买一个专门的手机号收取快递……

身处其中，他们更加深了自身的安全使命感。

如今，从事安全工作多年的木雁所做的工作是“攻”的一方，他与同事们分为两队，木雁模拟骇客通过漏洞进行攻击，同事的队伍则负责抵御，这是阿里安全于2016年在国内创立的红蓝军攻防体系。

7月的杭州绿树葳蕤，蝉鸣不绝，这些工程师每天的工作框定在了眼前的电脑屏幕里，闪动的代码，此起彼伏的键盘敲击声，一场场无声的模拟战役时刻在上演。

Blur

白帽子的起点，大多起于他们的少年时代。

谈及入门时刻，许多白帽子都会提到一本杂志《黑客X档案》，这是他们通往这个群体的秘钥。在这本网络安全杂志里，少年白帽子们对照着教程一步步学习windows系统、编程语言。一些简易的黑客把戏让他们兴奋不已，木雁记得最早很多黑客会在QQ空间里输入一串代码，刷新空间里的装扮。

《黑客X档案》，该杂志已于2013年停刊。图/网络

当时，年轻的他还没有完全意识到技术带来的危险一面。因为缺乏疏导与管制，一部分还未成长为白帽子的黑客们转向了骇客的歧途。程序员朗泽也是混迹多年的白帽子，他听说，身边很多做技术的朋友的QQ总会收到一些“黑产”的邀请。“黑产”意味着网络安全中的黑色产业链，拥有黑客的技术人员通过各种手段攻击网站，盗取游戏装备或者用户信息。

巨大的利益诱惑摆在面前，年少无知的白帽子经常如履薄冰地处在黑与白的边缘。熟知业内行情的人都清楚，一些从事黑产的骇客一个月的收入能达到上百万。但从此他们都过上了担惊受怕的日子。

此前的一份关于网络黑色产业链的数据报告也显示，从业者大多是年龄介于15至25岁之间的无业年轻人。木雁说，如果身边有哪个朋友突然消失了，他们要不是从事黑产逃到了国外，就是被逮捕了。朗泽则记得当时有一个相熟的好友还在教室里上课，就被警方带走了。

“其实抛开这些因素看，他和我们平常一起搞安全的人没有什么区别，他也会跟我们讨论技术。他们可能没有意识到后果的严重性，心想跟平时当白帽子时去挖漏洞一样的。”许多年后，已经成为一名高级工程师的千霄为昔日的好友惋惜。

这些最后能够在安全领域成为工程师的白帽子，其实是被筛选过的人。筛选的标准与机制里，有时机，有技术能力，有道德与正义，也有难以把握的命运。

互联网安全技术高速发展的美国，在更早的时期就发现了白帽子群体中的尴尬问题。我们可以在将近20年前的《纽约时报》中找到当时的人们对于白帽子的忧虑——“Blur”，他们用这个词，“模糊不清的事物”来定义这个群体——“在黑客的世界里，好人与坏人常常是模糊的。”

当时，美国一些互联网公司的做法是，专门为青少年白帽子们开设网络安全课堂，让那些平均年龄只有16岁的孩子学习Mac或Unix操作系统，以及编写计算机程序。更重要的是，教会他们“usetheirskillsforgoodinsteadofevil”，在技术的世界里，择善而从。

善意

几年后，相似的“forgood”做法在中国出现。

首先是白帽子们在身份上的自我认同。早年的报道中记录过彼时白帽子们尴尬的处境：一位钻研了一整夜技术的白帽子在早上准备睡觉时，发现电视里“神5”上天了。他不无心酸地说：“这才是科学。我天天以为我做的是高精尖的东西，实际上发现它没有发挥什么价值。”

朗泽也在大学阶段发现了网络安全行业的稀缺与尴尬，因为从事互联网安全工作的人员太少了，更别提从事教育的专业人员。学生们在课堂上基本学不到真正的互联网安全知识，全班100多号人里，最后只有朗泽一个人成为了安全工程师。

其次是厂商的认可。过去，白帽子向厂商提交漏洞，有些厂商认为这是来自白帽子们的要挟与挑衅，被指出漏洞，意味着他们要花费成本进行修复。这涉及到更深远的观念问题，一个人，一个企业如何看待自己身上的“错误”，它是意味着不好的东西，还是能使自己更加完善的东西。

改变正在发生。一些具有前瞻性的企业开始设立了网络安全的岗位，让那些具备相应技术能力的白帽子有了一个更加明确而正式的身份：安全工程师。

出生于1992年的千霄恰好赶上了这样的好时机，他与白帽子们有着相似的成长轨迹，在黑客技术里萌生了对计算机技术的热爱，大学时选择了计算机专业。大学期间，他在阿里巴巴举办的CTF大赛（一项网络安全技术竞赛）中拿到第二名，毕业后直接到了阿里云的安全部门工作。

2016年，阿里云主办的“先知”公益众测平台上线，“先知”计划搭建起了一个平台，联结了企业机构与白帽子两端，让优秀的白帽子在授权的情况下，在企业的系统中查找漏洞，有的放矢地向厂商提交漏洞。而根据每个漏洞的危险等级，白帽子们会收获相应数量的奖金，奖金会投入到公益事业里。

有人开玩笑称，这个项目正是发挥了技术人员“宅”的特性，“一个月坐在家里十几个小时就可以向公益组织捐钱”。如今，阿里巴巴已经有超过60位安全工程师加入了先知公益计划，漏洞奖励的金额已经累计100多万元，其中的46万捐赠给了中国扶贫基金会的“爱心包裹”项目。

加入“先知”平台之后，木雁的周末常常是在电脑前度过的，有时候吃完午饭坐下来，再一抬头已经到了晚饭时间。如今，他已经累计捐赠了自己斩获的24.62万元奖金，这意味着，有2462名小朋友收到了他的“爱心包裹”。

对于木雁而言，这些包裹就像一种善意的轮回。过去的他家境贫寒，高中时，一笔2000元的扶贫基金让他拥有了第一部智能手机。由此他进入了新的世界，进入了白帽子的圈子。技术带给他幸运，现在又让他给他人带来幸运。

收到“爱心包裹”的小朋友们寄来的感谢信。图/受访者

冒险的，迷人的

技术带来的，还有一些更深远的东西。

“绿洲”，是木雁对于自己大脑中世界的形容。他说自己的大脑就像一个个根据代码区隔开的房间，就像《头号玩家》里的“绿洲”一样。过去他也与其他白帽子在线下聚会、见面，正像《头号玩家》里游戏对手在现实中见面的场景。一些在代码的字里行间看起来强大无比的人，现实中却很瘦弱。

在大学期间，千霄每年都会和队友们一起到全国各地参加CTF等安全技术比赛，除了丰厚的奖金和奖品之外，激烈的比赛过程是他直到现在都清晰记得的美好回忆。

参赛的队伍分布在赛场的各个区域，各自在电脑上进行进攻与防守，攻破对方的靶机，防止对方拿到自己的key。战火通过噼里啪啦的键盘声此起彼伏，讲解员不断地讲解着比赛赛课，大屏幕上实时显示着每个队的攻击流量。每当一个队伍成功攻破了另一队防线时，屏幕上的虚拟大炮就会射出一枚炮弹。

“轰”，像一场真正的战役。

2016年的世界黑客大师赛（WCTF）在北京举行。图/网络

技术能力并不是唯一的决定因素。无论是在比赛还是在现实的攻破中，白帽子常常面临一连几天毫无进展的情况，考验人的是在烦躁的情况下保持耐心与细心。

千霄深知那种沉浸其中的感觉，“就像有10万行代码，每天看一万行，可能都没有发现问题，突然有一天你看到这个地方，这个人写代码的时候发了一个小错误，让你发现了一个漏洞，你会有一种眼前一亮的感觉。”

“挖漏洞其实是在找人性的漏洞。”这是看似冰冷的技术里最深邃迷人的地方，“所有代码都是人写出来的，你找漏洞其实是在找写代码的人思维上出现的漏洞。”

当技术越来越深入的时候，白帽子们追求的是一种对于技术的超越，那是物质利益无法满足的东西——真正掌握一种未知事物的力量感。正如千霄提到的最有成就感的时刻，你从对方的代码中读出对方是个高手，最后你发现了他的漏洞。

采访的这一天，千霄与阿里云园区的其他程序员着装相似，一件T恤，一条牛仔裤。他的黑T恤上印着3个英文字母，不太在意外表的千霄似乎之前没有发现过自己衣服上的这些印记。在他兴致勃勃地描述着年少时延续至今，沉浸在查找漏洞的快乐时，这些单词恰好给他和白帽子们写下了注脚：

Freedom，Passion，Adventure.

本文为每日人物原创，侵权必究。

想看更多，请移步每日人物微信公号（ID：meirirenwu）