01

阿里安全归零实验室的张帆没有想到，有一天自己也会遇上警匪片里的情景。

眼前的这座南部山脉郁郁葱葱得毫无章法，但那个在山脚下割了一下午草的中年妇女小心翼翼地告诉他们，做黑灰产的诈骗团伙就在里面。

通常下午三四点开始，陆续有人进山“上班”。“办公室”是一个简易的窝棚，里面发电机、手机等设备一应俱全。为了保证隐秘性，他们每次带上山的“料”，仅供一天的工作量，没有人能一次获得全部资料。把今天的“料”消化完往往就到夜里12点甚至凌晨两点。次日，又会有新的“料”被送上山。

当地警方已经盯了这帮人好几天。在阿里安全部门提供的技术支持下，警方将收网时间安排在了6月。

张帆是来协助警方，提供技术支持的。他记不清这是自己第几次巡山了，但每一次的对抗都称得上惊心动魄。有一次协助警方抓黑灰产团伙时，他看到，涉案团伙成员为了不把账单流水等犯罪证据落到警方手里，直接把整个U盘吞进肚里。

黑灰产的嫌疑人藏在深山，但他们作恶的触角却能伸向千里之外。2016年，一位叫“杜天禹”的嫌疑人通过植入木马等手段，从山东省招生网站上非法获取64万多条考生信息，并转手卖给他人，后者在8月19号打通了考生徐玉玉的电话，并以发放助学金的名义骗走其9900元的学费。被骗事件导致徐玉玉郁结于心，由此殒命。

这种悲剧并非个案。据《2018网络黑灰产治理研究报告》透露，2017年中国网络安全产业规模仅为450多亿元，而黑灰产早已达千亿元规模。除了个人，一些不注重数据安全防护的企业公司，也容易成为黑灰产团伙盯上的“肥肉”。

“黑灰产从业人员可能超过百万规模，他们天天在琢磨，怎样能在网上赚点钱。”阿里安全归零实验室负责人功夫告诉首席人物观，治理黑灰产是各互联网平台都面临的棘手问题。

比如瞄准互联网平台的优惠活动，新注册用户可得几十到上百元红包，有黑灰产从业者为此打造出一条完整的“产业链”——从黑客手上获得用于注册账号的电话号码，雇佣兼职大学生和家庭主妇的人工操作、规避平台的人机识别技术，再利用“改机神器”更新手机所有参数，注册红包轻松到手。通过虚假交易，黑灰产从业者再通过购买虚拟点卡等方式将红包转化为现金。

每年大促总有各类报道出来称阿里、京东等电商平台被黑灰产围猎，超过百亿的平台优惠被黑灰产薅走。但功夫并不在意这些说法：“其他平台我不知道，阿里的黑灰产对抗技术进化多年，羊毛党只是薅走一点皮毛而已。”

02

每年双11背后，阿里安全八大实验室都在默默扮演“守门员”的角色。每年看似只和“剁手”有关的双11，背后是各实验室全面防控包括黑灰产等在内的风险的结果。

当然很多时候消费者并无感知。“这也是我们不断提升技术能力的动力，最好的安全应该就是无感的。”阿里安全资深总监、双11安全技术负责人张玉东指出。

但事实上，战争从未停止，只是不为人知。比如有一年双11，阿里安全钱盾实验室负责人永良就经历了一场惊心动魄。一个传播虚假红包的恶意链接突然出现，如果不立即终止这种病毒式传播，可能会对双11的大量买家带来威胁。他们当下立断，将这条风险链接紧急处理。

和常人猜想的不同，八大实验室的“极客”，最为忙碌的不是双11当天。因为很多工作在双11之前就已经完成，双11那天也就成了一个验收节点。

“假如双11全天能够平滑度过，消费者体验没有变差，我觉得基本上就算成功。”阿里安全潘多拉实验室的负责人典扬说。

这种游刃有余并非一天练就。2017年双11当天，阿里安全米诺斯实验室负责人瞻祁都不用坐班。因为在此之前，所有的新技术都已经布控到了线上。每年十二月，他们就要判断下一年双11有可能面临的风险，防控版本通常在双11前几个月，就要完成发布上线。

阿里安全图灵实验室负责人薛晖印象深刻的则是2016年。那一年由于直播的流行，整个淘宝开始推短视频玩法，这意味着需要他们把此前的文字和图片防御经验迁移到视频和直播上，还要承载数万路的峰值。

观众在体验双子座实验室的PS图片鉴别测试

产品需要重新设计，而留给他们的时间只有两个月。“这个当时挑战还是比较大的，最终还是较顺利地完成了。”薛晖说。

双11越来越成为一个全球活动，高曝光背后，意味着更强的责任。双11当天，作为专业“排雷”的安全部门，即使前面的工作都已经做完，但熬夜和通宵依然是这群人很正常的状态。

他们通常会10日下午四五点到公司，一直搭配加班到12日凌晨。累了，随便找一个地方趴一下。他们是一群无论何时何地何种状态，手机都要保持畅通的一群人。

永良记忆里唯一一次长假还是2016年女儿出生时，那一次正好碰上了过年，加上陪产假有了20多天的假期。“但我的婚假至今没休过。”他随之笑道。

03

网络安全从不是孤军奋战的事。

今年2月12日，微信在一封公开信里感谢了阿里安全团队—“感谢阿里团队及时提交和反馈漏洞”。

找到这个漏洞的就是阿里安全猎户座实验室和阿里安全潘多拉实验室。因为对付秒杀手机、茅台酒等黑灰产的出色能力，阿里安全部门还在2017年春节期间被铁总请去防黄牛。

他们看起来是一群很酷且无所不能的人，却异常低调，尤其是相对那些“攻击者”。

猎户座实验室专家五达在Black Hat 大会上

出于对故事戏剧性的追求，攻击者往往成为“英雄”。比如因发布蠕虫病毒而差点使整个互联网遭受灭顶打击的莫里斯，以及通过黑客手段成功成为洛杉矶电台第102位打进电话从而赢得一台保时捷的鲍尔森等人，都是年轻黑客们津津乐道的对象，站在镁光灯下的也往往是这些攻击者。

而防守的一方往往只有在发生问题和风险的时候，才会被想起。

其实相比攻击，与之对立的防守更加复杂。杭特是阿里安全猎户座实验室和双子座实验室的负责人。他举例说，攻击就像拆房子，而防守则是集设计、建筑等于一体的盖房子，是一个集体行为。

“攻击100次，成功一次就成功了；对于防守来说，防守100次，失败一次就失败了。”

阿里八大实验室与同行注定要体味防守的孤独。

“安全其实是一个冰山，你能看到的只是一小部分。”在杭特看来，每个人都有安全意识才能促进社会现实的改变。

今年8月，由中国信息通信研究院组织，阿里安全钱盾反诈实验室牵头，中国信息通信研究院、码号服务推进组、阿里通信等一起参与共建恶意号码共享平台。其中一项工作就是，通过共享平台，向安全厂商以及标记企业共享恶意号码信息，通过共同快速提醒来保护广大互联网用户。

04

“有没有黑灰产想要挖你们过去？”阿里安全归零实验室负责人功夫经常遇到类似的好奇提问。

他并未直接回答这一问题，而是慢悠悠地说起前年的一次经历。在一次线下打击活动中，他无意间拿起犯罪嫌疑人妻子的手机，看到上面光是账户余额，就有700多万元。

诱惑似乎无时不在。以潘多拉实验室的研究成果为例，典扬强调，这些成果如果被拿出去卖，一单价格就可能达到上百万美元。

“如果你去拿黑灰产的获利和安全同学的工资来比肯定没法儿比的。而且做黑灰产也是有风险的，作为一个安全从业人员，我们要生活在阳光下。”功夫最后才点明他的观点。尽管他们之间也常开玩笑说，自己不去做黑灰产可惜了，但每个人都清楚做人的底线是必须坚守的。

技术斗争到最后，终归还是人性的斗争。

杭特告诉首席人物观，自己的花名其实是英语单词Hunter的音译，这个创意则来自于他喜欢的日本动漫《全职猎人》。在这部热血动漫里，围绕主人公小杰的无论是寻找猎人父亲，还是提升匡扶正义的能力，最终都引向“成长”这个话题。

今年4月首次对外集体亮相的阿里安全八大实验室，也在寻找成长的路途，“我们只是开了一个好头，还有很长的路要走。” 杭特说。

首都网络安全日上的阿里巴巴集团首席风险官郑俊芳（左一）

比如人工智能带来的安防新挑战。当下人工智能在生活中扮演越来越重要的角色。

薛晖就在思考一个问题：今天的AI技术、深度学习、神经网络本身逻辑容易被攻击。倘若被不法者利用，带来的可能不只是公民财产损失，而是生命威胁。

“比如一张狗的照片，可能稍微处理一下，就会被图象识别系统会判断成另外一样东西。如果是安全敏感的应用，例如无人驾驶或者智慧医疗系统遭到这样的攻击将会是灾难性的后果。”所以薛晖的实验室特别关注AI系统的安全问题。

亡羊补牢远不如未雨绸缪，“用技术去解决社会问题”也是这批人的追求。在过去，所谓网络安全更多只是代码的安全、应用的安全，看有没有漏洞，随着神经网络的大面积应用，神经网络本身的安全如何做到， 如何防止AI系统被攻破，这也是他们未来要关注的方向。

今年热映的电影《头号玩家》里，面对现实的混乱和压迫，鬼才詹姆斯·哈利迪打造的“绿洲”成为救赎的希望。而在这些极客眼里，维护网络世界的安全就是维护他们的“绿洲”。

和电影不同的是，那里的“绿洲”只有玩家才能进入，而现实的绿洲则活跃着数亿的消费者。

注：文中张帆为化名