【深度访谈】白帽&众测平台，合作共赢之道

《科技博弈论》是一家聚焦“前沿科技赋能实体产业”和“科技产业出海”，邀请“科技企业、行业专家、科研学者、科技大V”分享交流，搭建“全球华人科技圈子”的交流平台。

往期精彩专访包括：贵州大数据安全工程研究中心主任杜跃进《从数字经济安全背后的困境，看我国科技发展的未来》、全球创新中心总干事赵刚《全球科技发展趋势，人工智能与科技政策》等。

近期，360漏洞云总经理胡晓娜受邀参与知名科技媒体《科技博弈论》的专访，深度探讨信息时代白帽黑客与众测平台的合作共赢。在这次讨论中，深入探讨了网络安全领域的发展、人才需求、技术创新以及产业趋势。

强调了“白帽子”黑客在网络安全中的核心地位，以及随着网络安全成为一级学科后，每年大量毕业生为行业注入了新鲜血液。尽管如此，实际就业市场与人才需求之间仍存在差距。技术领域的扩展不仅限于漏洞挖掘，还涵盖了白盒审计、渗透测试等多种方向。政策环境的改善，如网络安全法的实施和相关人才奖励制度，提升了网络安全从业者的社会地位。技术创新，如众测平台的运用，提高了安全检测的效率，并为技术从业者开辟了新的职业道路。

最后，对于未来政策的支持与创新人才培养的期待，旨在促进网络安全行业的健康、持续发展。

网络安全领域发展及政策支持

网络安全领域经历了从兴趣驱动到市场化驱动的演变，法律法规及政策环境的改善推动了行业和商业市场生态的成长。随着专家数量的增加，人才在细分领域的研究和实践更加丰富，国家对网络安全人才的认可也在逐步提升。

白帽子群体获得了更多政策支持和官方认可，如光华科技人才奖的设立，以及对网络安全人才的税收优惠等，这些措施有助于激励和认可网络安全人才的贡献，促进行业的健康发展。

新型劳动力模型与传统安全服务的区别

众包模式代表了新型劳动力模型，它打破了传统安全服务中项目交付天花板的限制，在提高安全服务质量方面展现出明显优势。通过引入白帽子和技术手段，该平台帮助厂商识别和修复软件漏洞，同时保障项目的安全和透明。平台通过技术审计和项目管理等手段，将传统的黑盒渗透测试转变为白盒审计，提高了漏洞发现的可控性和效率。

传统安全服务依赖于有限的人力和技术水平，而众包模式则利用大量且按结果付费的团队进行渗透测试，技术水平没有上限，能够调动更多人才参与，针对不同行业和资产配备相应工具，实现更全面的技术覆盖和深入业务逻辑的挖掘。众包模式下的团队可以灵活组合不同领域、不同技术水平的专业人士，弥补单个团队的技术短板，并且针对不同行业有深入的业务理解和资产特性，这是传统安全服务难以比拟的。

此外，该模式通过竞争悬赏机制鼓励安全研究员积极提交漏洞，有效避免了漏洞隐瞒的问题。通过这种新型的劳动力模型，平台不仅促进了技术人才的价值发挥，也为客户提供了高效且可靠的安全服务，形成了良好的市场正向循环。与传统的买人头、依赖少数人技术的模型相比，众包模式能够集合更多人的智慧和技术，从而无上限地提升项目交付的质量。

这种模式允许根据结果和效果付费，激励有能力的个人积极贡献。此外，众包模型能够针对不同行业和资产提供定制化的服务，展现出相比传统安全服务更加出色的结果。

网络安全人才的培养与社会价值

目前，网络安全行业的注册人数已经从早期的两三万、三四万增长到现在的十几万人，随着2017年和2018年网络安全一级学科的设立，每年能毕业的本科网络安全专业学生数以万计，形成了庞大的人才输出基础。

在网络安全领域，挖洞高手能够获得丰厚的经济回报，从百万年薪到千万奖金不等。这个群体大多数通过自学成长。

初学者通常从观看教学视频开始，逐步学习利用工具和技术进行漏洞挖掘，从众包平台的实战演练开始，这些平台为全网的网站、APP、小程序等提供漏洞检测服务，收益虽不高，但为学习和实践提供了平台。

随着技术的提升，一些高手能进入白盒审计领域，挖掘更为复杂的漏洞，从而获得更高的奖金。

有一定实战经验的累积后，将通过专门的技术服务为大型企业进行漏洞测试，年收入轻松破百万。

此外，团队协作也成为提高挖洞效率和收益的重要方式，团队成员根据各自擅长的领域进行分工，共同完成复杂的漏洞挖掘任务。

并非所有毕业生都能立即胜任漏洞挖掘或黑客工作，实际上掌握这项技术的人只是其中一小部分。现在很多学校通过产教融合等方式进行定向培训，帮助学生积累针对性的技术专长。建议从业者根据性格、擅长和专业能力去做职业规划，可以考虑技术路线，也可以选择如合规、运营、售前等非技术路线，甚至可以从事市场、安全咨询和规划师等工作，通过多方向为我国网络安全的发展做贡献。

是否有零日漏洞开源共享平台，是如何运作的？

国际上有知名的漏洞赏金平台如ZDI，而国内也有首个关注零日漏洞开源共享平台BugCloud。该平台在上线第一周时，比ZDI定价高15%，因此收到了大量零日漏洞提报，首批收录了三百多个，在业内产生了较大轰动。

如何限制和规范网络安全人才的行为，防止他们流向黑灰产？

主要依靠国内法律法规的政策环境，包括网络安全法等相关法律的落地，以及社会使命感和责任感的引导。同时提供良好的市场环境和充足的社会价值实现途径，让人才倾向于合法就业。

我们不直接与黑灰产竞争，而是通过人才政策环境、正向激励以及社会责任感的引导来吸引人才从事网络安全行业。网络安全行业人才的技术是有社会价值的，他们通过发现并修复漏洞来提升网络安全基础防护能力，减少企业因安全事故造成的损失，特别是在中小企业和技术关机领域中发挥重要作用。

同时希望白帽子黑客在发现可能对社会造成严重影响的漏洞时，能将这些漏洞留在国内处理，以防造成国家层面的安全问题。

AI大模型是否可替代白帽进行漏洞挖掘？

AI技术确实能显著提升漏洞挖掘效率。比如，以前一个月可能只能挖掘5个漏洞，而现在有可能达到50个。一些非安全背景出身的人也能通过AI辅助工具初步了解并参与漏洞挖掘工作。

整体来看AI大模型暂时还不能完全替代白帽子进行漏洞挖掘。白帽子发现的漏洞往往是逻辑性漏洞，并且从漏洞爆发到形成检测规则并加入安全产品的时间窗口较长，约为4到8个月，这段时间是空窗期，非常危险。

网络安全行业的发展愿景

过去几年间，政策环境和业务环境都得到了显著改善。以前可能存在顶尖漏洞流出国内用于黑灰产的情况，但现在有了更健康的商业化空间，使得安全专家和白帽子可以通过合法途径将漏洞转化为商业价值，这对整个供应链体系的价值提升巨大。

希望未来能有更多的安全专家自发地为企业发现风险，当社会普遍达到内生安全，不再需要专门派人去找活，那时网络安全行业发展就进入了稳定而自发的阶段，这是我们共同期待的愿景。