中国黑客在国际比赛中大幅退步?因为很多欧美举办的黑客比赛就是钓鱼用的,要么吸收你进入他们的公司,要么拿住你把柄作他们的间谍,要么就是出个有价值但未解决的问题,找黑客来免费打工。 这种“黑客奥运会”表面光鲜,实则暗藏玄机——2019年DEFCONCTF全球总决赛上,中国战队腾讯A*0*E突然弃赛,官方说是签证问题,但圈内人都知道,美国国土安全部赛前给队员发了“特殊邀请函”,要求单独面谈技术细节,吓得全员连夜退票。 再看 Pwn2Own,这个号称 “黑客世界杯” 的比赛,背后也有不少弯弯绕绕。比赛要求参赛者用未知漏洞攻破微软、谷歌这些大公司的产品,然后把漏洞卖给主办方 ZDI。ZDI 再把漏洞反馈给厂商,厂商花钱修补,参赛者拿奖金。表面上是 “共赢”,但实际上,这些漏洞一旦被厂商掌握,就成了他们防御体系的一部分,而黑客们辛辛苦苦干的活,最后可能只是给别人做了嫁衣。更绝的是,有些比赛题目设计得特别刁钻,明摆着就是让参赛者免费打工。比如 2016 年的比赛,有个项目要求攻破虚拟机系统,奖金高达 7.5 万美元,但背后的技术难点让不少团队铩羽而归,最后可能只是帮厂商发现了一个他们自己都没意识到的漏洞。 那中国黑客在这些比赛里的表现到底咋样呢?从搜索结果来看,中国团队其实一直很能打。2016 年腾讯科恩实验室在 Mobile Pwn2Own 上 10 秒攻破谷歌 Nexus 6P,2017 年 360 安全团队又在 Pwn2Own 上以 63 分的高分夺冠,还拿到 28 万美元奖金。这些成绩放在全球都是顶尖水平。可为啥有人说 “退步” 呢?这里面可能有两个原因:一是中国黑客越来越低调,不像以前那样频繁参加欧美比赛了;二是欧美比赛的 “钓鱼” 属性越来越明显,中国团队开始警惕了。 说到 “钓鱼”,欧美比赛的套路可不少。首先是高薪挖人。美国国防部有个 “网络快速追踪培养计划”,专门在黑客比赛里物色人才,跟他们签商业合同,把这些 “娃娃黑客” 纳入军方培养体系。2014 年韩国举办黑客大赛,美军直接派人在现场等着挖墙脚,从 8 个顶级团队里挑人。其次是间谍活动。Def Con 上,间谍们背着带摄像头的背包到处晃,一边假装交流技术,一边收集情报。更恶心的是,他们还会利用比赛中的漏洞,比如通过蓝牙连接控制智能设备,像科沃斯扫地机器人就被曝出能被远程入侵,摄像头和麦克风都成了 “偷窥工具”。最后是免费漏洞利用。Pwn2Own 要求参赛者提交未知漏洞,这些漏洞一旦被厂商买走,就成了他们的 “专利”,而黑客们只能拿到有限的奖金,相当于免费给厂商做了安全测试。 中国黑客为啥开始 “退步” 了?说白了,是看清了这些比赛的本质。以前咱们技术落后,需要通过比赛证明自己,但现在不一样了。中国有自己的网络安全实验室,像腾讯科恩、360Vulcan Team,他们发现的漏洞数量和质量都不比国外差。而且,国内的比赛也越来越成熟,比如 “矩阵杯” 网络安全大赛,奖金高达 2000 万,吸引了 1000 多支队伍参赛,完全不比国际比赛差。更重要的是,中国黑客开始注重自主创新,不再为了拿奖而拿奖。比如 2024 年,中国团队在 GEEKCON 大会上展示了针对智能汽车和物联网设备的安全研究,发现的漏洞直接推动了行业安全升级。 当然,咱们也不能盲目乐观。欧美在网络安全领域的技术积累还是很深厚,他们的比赛也确实能推动技术进步。但中国黑客已经过了 “镀金” 的阶段,现在更注重实际应用和安全防御。就像羊卓雍措抽水蓄能电站,表面上是个基建项目,实际上是能源革命的 “试验田”。中国黑客也一样,不再追求表面的光鲜,而是扎扎实实地解决实际问题,比如保障关键基础设施安全、防范网络攻击。 最后再提醒一句,网上那些说 “中国黑客退步” 的言论,要么是别有用心,要么是被带了节奏。中国黑客的实力摆在那儿,从 2016 年攻破特斯拉到 2024 年在 “矩阵杯” 上大放异彩,咱们一直都在进步。只不过现在的战场从国际比赛转移到了更广阔的网络空间,咱们玩的是 “闷声干大事”,等欧美反应过来,说不定又得惊掉下巴。就像网友说的:“你玩你的高科技泡沫,我修我的网络长城,等数字安全铺满全中国,看谁能笑到最后。”
