烏雲飄散後，一群白帽子這樣成長

本文作者：雷鋒網網路安全專欄作者，李勤。

烏雲飄散，風鈴安全這個白帽子隊伍突然慌了。

2016年7月20日，是讓 Snake 和黑色鍵盤此生都難以忘記的日子。

這一天，烏雲平台宣布暫時關閉後，再也沒有回來。四個月前，因為烏雲而凝聚、向技術出發的風鈴安全團隊正幹得風生水起時，前路似乎沒有了盼頭。

這個 25人、人均年齡十七八歲的白帽子隊伍有一個熱鬧的挖漏洞討論小組，平時頭像不停地跳動，有人大喊一聲開挖，大家就會激情群涌。這一天，他們格外沉寂，就算有人說了幾句話，也是情緒異常低落。

烏雲網，是一個位於廠商和安全研究者之間的安全問題反饋的漏洞平台。這樣平淡地形容它也許不太好，可以說，在2016年7月前，烏雲是大大小小的黑客學習的聖地，在這裡，漏洞詳情被公開，一個個如饑似渴的人在這裡汲取最新的知識，打磨技術。

風鈴安全的白帽子們在來烏雲之前，其實也去過別的漏洞平台。團隊的技術擔當黑色鍵盤沉浸在回憶里：別的平台都沒有這種能夠學習和交流的感覺，烏雲沒了，大家都很傷心。

是的，烏雲關閉後，他們沒有太多心情組織團隊挖漏洞了，一直到2016年12月底，他們東一榔頭、西一棒頭地在一些廠商的SRC（安全應急響應中心）、漏洞平台挖一挖。

他們原本對團隊的構想並不是這樣。

1996 年生的 Snake 和 1998 年生的黑色鍵盤是風鈴安全最早的核心成員之一。

黑色鍵盤從小對黑客頗有憧憬。「當時年紀小，覺得太牛逼了，黑客好厲害，分分鐘把你的密碼給盜了，把網站入侵了，黑客又很神秘，我上初一時就想，以後要做一個技術比較牛逼的黑客，我就跟爸媽說，我以後肯定要學技術。」

雖然，黑色鍵盤對學習沒有興趣，但是爸媽很支持他找到自己的興趣愛好，在表達了自己強烈的愛好後，父母在他初一時購置了電腦。

Snake 真正走上這條道路，卻是因為一場大病。

2014年，Snake 高中畢業，本應該去上學，但生了一場病，在家呆了足足有四個月，導致10月才去學校報到，前兩個月他一直在治病，兩個月後，病情稍微緩和，但依然需要靜養，Snake 覺得養病太沒意思了，想著研究點什麼好呢？於是，鑽研起了黑客技術。

病好後，已經耽誤不少課程的 Snake 到了學校後，學校決定讓他自己換個專業。

「在學校讀什麼專業可以以後當黑客？」Snake 直接問。

教務處的老師相視一笑，跟Snake 說，那你就學「軟體開發」吧。

到學校後的 Snake 在迷霧之中依稀找到燈塔後，黑色鍵盤也開始上路。

16 歲的黑色鍵盤對學校已然沒有興趣，接觸到了烏雲，但是此時還是菜鳥的他覺得烏雲門檻太高，代碼審計的漏洞幾乎都是 PHP，他看不太懂，自學編程的話又感覺有困難。

在急切的求知下，黑色鍵盤還在網上拜師，單純的他把錢打給對方後，迅速被拉黑了。最後，他向朋友打聽好北京有專門的 PHP 培訓學校後，從浙江跑到北京，開始了學習。

他還是進了一所學校。

這時，幾路出發的黑色鍵盤與 Snake 成功在同一個QQ群「會師」，成了志趣相投的「同志」。

在「風鈴安全」之前，Snake 還創建了一個團隊，名叫「K.A.O」，這個隊伍由年齡更小的一群人組成，都是一群突然闖進黑客世界興奮得不知所措的孩子，每天以黑站、掛帖、社工為榮，用 Snake 的話來說，是「娛樂圈」氛圍濃厚。

黑掉一個站後，有些年紀更小的成員會使勁在各個群得瑟，黑色鍵盤忍不了了：「菜鳥整天想著裝X，逛黑頁，沒意思。」

一段時間後，Snake 、黑色鍵盤和另一個成員 Sea 與「K.A.O」的其他人產生了不同的追求：前三者想在黑客技術上有更高的追求，不想天天在娛樂圈混。

他們想要創建一個新團隊，一個能夠不斷提升黑客技能，互相交流、學習，但又不是浮誇炫技的團隊。

【黑色鍵盤（上），童年版的Snake（下），讓人驚訝的是，兩位認識好幾年的朋友居然沒有一張合照】

建立新團隊的心愿在 2016 年 3 月開始達成，一群少年還小有所成。

黑色鍵盤和 Snake 一邊學習，一邊開始實戰——既然烏雲門檻稍高，他們就到某漏洞平台開始練手，但是漏洞詳情在漏洞平台上不會被公開，這種實戰學習的難度有點大。

他們只好自己組隊互相培訓，突然有一天，發現以前在烏雲上看不懂的東西突然能看懂了。

自此，如牛飲水。

2016年3月，烏雲開啟「團戰」模式，Snake 為了擴大戰鬥實力，「廣發英雄帖」。

Snake 說，要像「風鈴」一樣，敏銳地感知世界的變化，「風鈴安全」應運而生，湊齊了12個人（團戰要求不高於15個人）。

團戰開始後，黑色鍵盤作為團隊的技術擔當，猛烈地、密集地召集小夥伴一起挖漏洞，交流心得。

剛開始，他們每天組團挖，跟打了雞血一樣。後來，因為頻率太高，持續時間太長，有一些小夥伴堅持不下來，黑色鍵盤才把每周五晚上定為「挖漏洞團戰日」，在放學或放假後通宵挖漏洞，和相約打遊戲一樣，在討論組裡把視頻一開，大家線上相聚。

「團戰模式下，每個漏洞積分必須大於五分，相當於位於烏雲首頁上的那些漏洞才會計入團隊的積分中，團隊第一名要1200分，再給團隊一些獎勵什麼的。當時感覺每天的目標就是要上首頁挖高危漏洞，設置了一個小目標——一個月要搞 1200 分，但這種高危漏洞一個是幾十分，剛開始感覺好難，後來挖順手了，覺得漏洞挖挖總會有的，還是挖了出來，一個月挖了一千七八百分。」

在打敗了很多 15 人組成的團隊後，「風鈴安全」在團戰月榜上穩居第一。

隨後，他們又連續幾個月佔據月榜第一。

首先，被這個成績吸引來的是烏雲里的大大小小的白帽子，不少人慕名想加入團隊，Snake 高興地吸納了那些和團隊精神相符的人，風鈴安全從 12 個人迅速擴充到 25 人。

然後，黑色鍵盤沒有想到，烏雲眾測平台的工作人員也找過來，邀請他參加烏雲眾測。

黑色鍵盤剛開始心裡還有點打鼓：「我沒參加的時候就聽說，烏雲眾測的老司機手速特別快，一般人參加烏雲眾測基本挖到的漏洞都會重複。」

2016 年 5 月1日後，黑色鍵盤在眾測試了把水，發現並沒有老司機說得那麼難，於是開開心心地在上面挖洞賺錢，將獎金累計到了 3.3 萬元。

一切順風順水。

2016 年 7 月，烏雲峰會召開，主辦方給了成績不錯的風鈴安全團隊一個免費展位。

風鈴安全團隊憑藉與各個廠商的友好關係，還被廠商贊助了「一小卡車」的禮品，在一些團隊展位里，他們的禮品略顯豐富，Snake 相當開心，他做好了宣傳標語和二維碼，掃碼派禮物。Snake 覺得這是一個宣傳團隊的好時機，還印了許多團隊的名片發送，「說不定會有廠商來找團隊進行深度測試」。

此時，團隊的很多人自費從各地跑過來相聚，廣州、吉林、成都……這也是風鈴安全團隊的第一次線下相聚。

他們意氣風發，相約吃了一頓晚飯，謀劃未來的發展大計。

沒想到，吃完這頓飯的十幾天後，風雲變色，他們打算大展拳腳的烏雲居然沒了。

黑色鍵盤一想到，自己在眾測平台上辛辛苦苦挖了漏洞的 3.3 萬元獎金還沒到手，烏雲就關閉了，越發傷心了。整個團隊一直到 2016年12月底，都深受這次影響。他們又回到了原來的漏洞平台上開始挖挖漏洞，但是大家都不是特別積極，在一些平台的排名都不太高。

Snake 不想放棄，積極地幫大家找活，承接各種挖漏洞的任務，他不忍心看到一手籌建的像親人一樣的團隊就此鬆散。

Snake 、黑色鍵盤等人不得不再次為風鈴安全團隊規劃新的發展路徑。

烏雲飄散後的網安江湖，各大 SRC 、漏洞平台在這半年興起。

黑色鍵盤重燃了希望，此時，他已經在浙江一家互聯網公司任職，白天上班，一到下班就開始挖漏洞，每天給自己規定了要挖的漏洞數量，沒有挖完絕不回家。

這個才 19 歲的少年開著玩笑說，為了挖漏洞我都不想著找女朋友這回事了，漏洞就是我的女朋友。Snake 連忙佐證：「是的，你看他清明節三天假期，每天在家不出門，就守著漏洞挖。」

他們甚至會信誓旦旦地許下承諾：「今天要是挖的漏洞沒有上首頁就要去吃 X（雷鋒網編輯註：一種不可名狀的東西，有時有種動物把它當做食物）。」

重燃鬥志後，風鈴安全又重新調整了團隊的發展策略——繼續在各大 SRC 刷名氣，先跟一些廠商合作，甚至可以考慮組團打打 CTF，再往下走，也許能成立公司。

今年 4 月，在百度 SRC 開啟「團戰」獎勵後，風鈴安全團隊的一員 bigcow 一人拿下了月榜的 3273 分，名列第一。黑色鍵盤因為主要挖掘漏洞的平台在京東 SRC，只在百度 SRC 拿下了470分，但也位列第二名。

黑色鍵盤受到了鼓舞，他給風鈴安全團隊制定了個小計劃——這個月要在百度SRC獲得「女媧補天隊」稱號，要想拿下這項榮譽，需要三名以上隊員出現在榮譽榜前 5，且總計二十個以上高危漏洞，總分需大於8000 。他對此充滿了信心——集合團隊之力應該沒有什麼問題，尤其擅長注入的 bigcow 發話，如果最後還差一點分，他會放大招，把分補齊。

一切都按照既定的計劃走，但最近，他們遭遇了一個「小挫折」，讓 Snake 思考良多 。

2017 年 3 月，風鈴安全又在阿里的先知白帽大會上支起了展台送禮物搞宣傳，他們積極地和各方接觸，希望繼續打響團隊名氣。

他們和一個天使機構在展台互換了名片後，Snake 看到了這一幕：「誰知道他在我們展位沒走出兩步，就把我們的名片扔在地上，當時我和鍵盤一臉蒙圈，我瞅著鍵盤，鍵盤也瞅著我。我說，你看見了嗎？他說嗯，我說，是真的嗎？他說嗯，我們非常非常沮喪，因為我們也沒說要他投資什麼的，只是出於禮貌交換名片，結果他就把名片扔在了海報下。」

其實，這家公司以前也和風鈴安全接觸過，Snake 說，以前也很傲氣。當時，該公司的工作人員找到風鈴安全，說了一句「你們風鈴挖漏洞也不怎麼行」。黑色鍵盤聽到後很生氣，當下就挖了幾個漏洞以示證明。遭遇「丟名片」事件後，Snake 和黑色鍵盤雖然生氣，但不想再去挖幾個漏洞證明一下了——「報一扔之仇？這不是幫助他們么？」

通過與「資本」的短兵相接，Snake 陷入了深深的思考中，他有自己崇拜的黑客團隊，覺得風鈴可以效仿對方的發展，按照之前的策略走，又擔心引入資本後，團隊「變了感覺」。

「感覺大家在一起，都是出於提升技術，想法比較純粹，如果團隊真的成立一家公司，就會牽扯到利益、錢，很多東西就變了感覺，我們現在這種狀態也挺好的。如果我們真的在一起走過十年、二十年、三十年，還是各自干各自的，每年來一兩次聚會，感覺也挺好。」Snake 說。

但是，Snake 又表示，如果有 VC 過來，他們也會聊聊，認識一下。

Snake 身處在了不同想法的矛盾中，他十分憂心，萬一做錯了選擇，就是對隊友的不負責任。

這位陷入憂思的 21 歲的青年，與幾年前經歷大病後一樣，又走進了迷霧，只是，這次他的身後，已不再是空無一人，他的背後，佇立著 24 個支持他的隊友。

採訪結束時，雷鋒網編輯無意瞟了一眼黑色鍵盤瀏覽器的收藏文件夾，被關閉了的烏雲依然在他收藏夾的第一位……

本文作者：雷鋒網網路安全專欄作者，李勤。