音樂劇《致埃文·漢森》中有幾句話：

當(dāng)你在森林里跌落

周圍空無一人

你是轟然倒地了

還是默默無聲

如果將這十幾年來涌動的AI、物聯(lián)網(wǎng)、云計算等諸多浪潮比作森林的話，頻發(fā)的危機漏洞就是這片森林中的業(yè)障迷霧，試圖征戰(zhàn)的大小創(chuàng)業(yè)公司是闖進森林的勇士。

這些人抑或是公司可能乘上了風(fēng)口平步青云，也可能暗淡消失。而其中的巨頭們，試圖走在最前面撥開云霧。京東作為其中的巨頭之一，這些年，也正在悄然改變。

京東安全首席信息安全專家 Tony Lee 認為：“過去的20年，安全博弈是不成功的，來到京東，我想是不是可以做點事情，能夠真正解決一些問題。”在10月的京東HITB安全峰會上，Tony又一次強調(diào)了這個觀點。

為什么這么說？這與Tony這些年的經(jīng)歷和他加入京東安全后的改變不無關(guān)系。這也是Tony接受雷鋒網(wǎng)宅客頻道采訪時主要探討的話題。

雷鋒網(wǎng)：據(jù)說京東安全的安全研究都是服務(wù)于京東自身的業(yè)務(wù)？

Tony：服務(wù)于京東自身，是京東安全技術(shù)研究的出發(fā)點和立足點。但這并不是全部。

安全需要未雨綢繆。我們不僅要研究各種新型威脅，掌握最新的安全技術(shù)，最大程度預(yù)估威脅。不能等到攻事件發(fā)生后才去彌補。所以現(xiàn)在京東安全一方面做基于業(yè)務(wù)的安全，另一方面也要做最新的安全研究。目前京東有一個硅谷安全研發(fā)中心，主要是AI安全、黑產(chǎn)對抗、IoT安全研究；國內(nèi)有一個京東牧者安全實驗室，主要是做IoT安全、區(qū)塊鏈安全、等研究項目。

另外，我不想把安全研究限制在一個很窄的范圍，因為安全是看長遠的，想要獲得短期效益不太現(xiàn)實，但安全是有深遠價值的。真正的價值顯現(xiàn)或許會在未來的五年、甚至十年。我們現(xiàn)在改變自己，或許未來就能改變世界。

舉個例子，前不久Facebook 宣布成立區(qū)塊鏈技術(shù)部門，想要用區(qū)塊鏈來保護用戶隱私。Facebook 此舉當(dāng)然是服務(wù)于業(yè)務(wù)和用戶，但是假設(shè)區(qū)塊鏈安全得以落地，其帶來的影響將會產(chǎn)生多米諾效應(yīng)，推動整個社會隱私保護的步伐。同樣的，這也是京東一直努力的方向。

雷鋒網(wǎng)：京東研究物聯(lián)網(wǎng)安全的初衷是？

Tony：京東有海量用戶數(shù)據(jù)、有系統(tǒng)架構(gòu)，有智能終端，保護用戶隱私是我們義不容辭的責(zé)任，立足安全，IoT安全也是京東安全正在進行的事情。

最近幾年，很多物聯(lián)網(wǎng)設(shè)備泄露用戶隱私事件被曝光，比如家庭攝像頭被惡意攻擊導(dǎo)致互聯(lián)網(wǎng)大面積癱瘓。這些事件得出的教訓(xùn)是，物聯(lián)網(wǎng)產(chǎn)品一開始就應(yīng)該把安全考慮進去。

設(shè)想一下，如果IoT廠商在制造音箱、攝像頭等智能硬件之初就將安全問題前置，從產(chǎn)品設(shè)計階段就充分考慮了安全構(gòu)造，那么，產(chǎn)品上市之后出現(xiàn)出現(xiàn)安全問題可能性就會大大降低。但現(xiàn)實問題是，大多產(chǎn)品都是優(yōu)先考慮用戶體驗和盈利，安全問題只好讓步。在現(xiàn)實面前，安全有些蒼白無力。

另外，IoT 安全不能僅靠IoT 廠商重視，需要整個生態(tài)系統(tǒng)的安全。比如，蘋果的安全就是建立在生態(tài)系統(tǒng)的安全性之上。而AppStore中有各種各樣的APP，這些APP的出品人未必都是安全專家！

就IoT生態(tài)來說，IoT成就了萬物互聯(lián)，其中最關(guān)鍵的要素是云和終端，要保證云端和終端數(shù)據(jù)的安全、數(shù)據(jù)傳輸?shù)陌踩蛿?shù)據(jù)處理的安全。這就是IoT基礎(chǔ)設(shè)施的安全生態(tài)。而參與者在設(shè)計之初就必須考慮完整的安全機制，包括云端的安全機制、系統(tǒng)的安全等等，而不是僅依靠終端廠商的重視。

雷鋒網(wǎng)：京東還開拓了車聯(lián)網(wǎng)安全研究方向？

Tony：今年年初幣圈發(fā)生了一起震驚四座的事件。一個黑客團伙攻擊了幣安Binance 交易所，制造了歷史上第一個不靠竊取物品，而是打擊其信用，從交易市場上面做空盈利的黑客攻擊事件。有分析稱整個事情背后可能不只有技術(shù)性黑客，更可能有金融人士的助推。

所以未來的黑暗勢力怎樣工作？他們也會有不同領(lǐng)域?qū)＜?，也可以跨領(lǐng)域運作。起碼以后會有越來越多跨界隱蔽作案手法。我們目前正在研究的車聯(lián)網(wǎng)項目也屬于這種類型，并非直接竊取用戶的車聯(lián)網(wǎng)數(shù)據(jù)，而是通過黑客破解和經(jīng)濟運作手段獲利。

比如，大家都知道美國的汽車保險走在世界前沿。保險公司通過一個車聯(lián)網(wǎng)設(shè)備，采集駕駛員的行為數(shù)據(jù)，比如是否超速，轉(zhuǎn)彎有沒有打燈，有沒有疲勞駕駛等。如果駕駛習(xí)慣差，保險公司就會提升保險費，相反則可以降低保費。京東硅谷研發(fā)中心的研究員發(fā)現(xiàn)了其中的漏洞，可以惡意篡改這些數(shù)據(jù)，就像我們在GeekPwn大賽上演示的那樣，把一個成熟的老司機改成馬路殺手。如果有人想騙保圈錢，就可以用這個套路虛擬各種場景，騙取保費。

事實上，這些車聯(lián)網(wǎng)研究只是京東安全關(guān)注的一個側(cè)面，更重要的是我們想讓公眾了解未來的威脅會越來越錯綜復(fù)雜，需要防患于未然。

雷鋒網(wǎng)：研究這些是否擔(dān)心被說是追求熱詞？

Tony：區(qū)塊鏈、IoT還有AI是未來的基礎(chǔ)設(shè)施。我們研究這些不是要追求熱詞，技術(shù)順利發(fā)展的前提一定是打好安全基礎(chǔ)。

現(xiàn)實發(fā)生的許多安全事件其實已經(jīng)真實的反應(yīng)出之前的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全沒有做好。甚至直到今天，99%的工程師設(shè)計程序還依照原來的套路，寫程序的首要目的是實現(xiàn)某種功能，能實現(xiàn)功能就是成功。很少有人會研究寫出的程序是不是有問題，編譯它的程序是不是也可能有問題，驅(qū)動組件會不會有問題……工程師本人沒有安全意識，開發(fā)出來的產(chǎn)品又怎么確保安全呢？

就像《黑客帝國》，所有的表象似乎很安全、很真實，遭遇黑客后才明白，我們所處的環(huán)境、我的代碼、運營的環(huán)境都是不可靠的。做安全要有這種不相信感，沒有安全感才能有安全意識。

雷鋒網(wǎng)：期間是否有研究困境？

Tony：最難的應(yīng)該就是人才非常稀缺。

安全行業(yè)在經(jīng)歷蛻變，但總體上網(wǎng)絡(luò)安全人才一直處于稀缺狀態(tài)，現(xiàn)在更稀缺。最初安全人員都是研究Web，移動互聯(lián)網(wǎng)興起后開始轉(zhuǎn)而研究移動安全，IoT概念出來后，部分人開始轉(zhuǎn)向IoT。風(fēng)口不斷變化，技術(shù)不斷飆新，高校安全專業(yè)起步較晚，最近幾年才慢慢開展。

而安全人才的培養(yǎng)，有點像學(xué)徒制，很多能力是實踐中師父帶出來的。以前沒有師父，很多專業(yè)技術(shù)都要靠自學(xué)，非常辛苦。我自己是學(xué)數(shù)據(jù)挖掘出身，后來偶然做了殺毒，當(dāng)時完全不懂，糊里糊涂開始讀二進制代碼，因為沒有源代碼只能反編譯，用人眼讀代碼。當(dāng)年同期的很多人都投身去了其他熱門行業(yè)，能夠堅持下來做安全的少之又少。

另一個殘酷的現(xiàn)實是，并不是人才數(shù)量少，而是由于基礎(chǔ)設(shè)施沒做好，導(dǎo)致問題源源不斷暴露，需要更多人去修補，而安全防護也一直處在被動應(yīng)急狀態(tài)，難以掌握主動。

那怎么解決問題？

在下一代的互聯(lián)網(wǎng)來臨之際，從基礎(chǔ)架構(gòu)上就把安全考慮進去，把安全機制建立起來，這樣我們就能占據(jù)安全的主動權(quán)。這就需要有更多的安全人才，甚至是跨行業(yè)人才。比如AI方面，或者大數(shù)據(jù)人才，以及網(wǎng)絡(luò)通信人才，聯(lián)合跨行業(yè)思維的人一起搞安全，會有更多新思路。

這樣做的好處是，最開始的搭建就已經(jīng)足夠安全，接下來也就沒有戰(zhàn)場了，更不需要再打安全的仗了。就像你使用蘋果手機不會再裝殺毒軟件一樣。

據(jù)說黑市現(xiàn)在微軟的漏洞是最貴的，因為微軟系統(tǒng)非常難突破。而這并非只有安全人士做到的，而是打造操作系統(tǒng)的工程師從一開始就做到了足夠安全。所以我們需要更多跨界的人，這也是京東安全與全球知名安全會議HITB聯(lián)合舉辦2018京東HITB安全峰會的初衷，與來自不同行業(yè)頂級極客一起，回歸技術(shù)本源。

誠如 Tony Lee 在不久前舉辦的HITB上所說的，

也許我們今天做的還不夠多，因為互聯(lián)網(wǎng)的競爭非常激烈，曾經(jīng)做過創(chuàng)業(yè)者的我知道，真正能拿出精力幫助互聯(lián)網(wǎng)升級做安全的人才是很少的，這就是現(xiàn)實，因此我們有擔(dān)憂和緊迫感。但是相信如果我們堅持，會有更多人加入我們，一起建設(shè)出一個安全的未來網(wǎng)絡(luò)世界。

時代賦予了我們將極客精神無限延伸的可能性，這是科技的進步，也是極客精神的進步，也讓如Tony這樣的安全老兵能夠繼續(xù)堅持純粹做事。我們現(xiàn)在改變自己，或許未來就能改變世界。

道阻且長，行則將至，以夢為馬，不負韶華。

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒科技，講述黑客背后的故事，歡迎關(guān)注。