说到网络安全，你会想到什么？黑客？病毒？木马？还是盗号？了解真实的网络安全之后，你的认知很可能会被颠覆。

11月15日，首届腾讯“X-Talk”在腾讯北京总部举办，主题为“你好，好奇心”。这是一种全新的科学脱口秀方式，邀请科学家、哲学家、科幻作家向观众科普网络安全、人工智能等先进科学知识。

当天下午，腾讯安全玄武实验室掌门人于旸为观众构建了一个“你所知和不知的网络安全”世界。在他看来，“黑客是那些发自内心热爱技术的人，是拥有400多亿还每天搞技术的人。”

腾讯安全玄武实验室掌门人于旸在X-Talk上为观众科普网络安全。受访者供图

黑客是“拥有400多亿还每天搞技术的人”

因为从事网络安全工作，于旸说，许多人在网上向他求助。“大学生没有考好，希望我帮他入侵教务处的电脑，修改分数；还有人怀疑对象出轨，希望我帮他盗号，查看对方的聊天记录。”

这就是大部分人对于“黑客”的认知，而白帽黑客理所当然就是防止网络入侵、盗号的群体。而于旸强调，网络安全行业非常庞大，他从事的只是其中一个细分方向——网络安全技术研究。

对于非从业者而言，网络安全研究员每天面对的是成千上万行代码形成的“天书”。不仅如此，偶尔还需要学习计算机以外的知识，比如光学知识。

像“天书”一样的代码。受访者供图

2017年，腾讯安全玄武实验室发现屏下指纹解锁技术存在一个漏洞：当用户用手指解锁手机时，指纹痕迹会留在屏幕上。如果用一种可以反光的材料覆盖指纹痕迹，手机会把该材料反射形成的影像识别成正确的指纹。

这个漏洞被腾讯玄武实验室命名为“残迹重用”。他们还把这个漏洞报告给了采用屏下指纹技术的手机和上游芯片厂商，并帮助他们一起修复了这个漏洞。“很幸运我们在这个技术刚刚投入市场时发现并解决了它”，于旸说，“今天在座的各位不管你用哪个牌子的手机，只要是用这个技术，其中就有我们实验室的成果在里面。”

除此之外，网络安全还有哪些人们不知道的“真相”？这大概要从公众最好奇的职业之一——黑客讲起。大部分人了解黑客的渠道仅限于新闻和电影，但在于旸看来，黑客并非只有单一面。

他举例说，国外一名网络安全从业者HD Moore，坐拥40万个比特币（折合人民币400多亿元），持有数量全球排名第二。完全可以“躺赢”的他，在过去的12个月里，共向GitHub（代码托管平台）提交了3000多次代码。

“黑客是那些发自内心热爱技术的人，是拥有400多亿元还每天搞技术的人。”于旸感慨道。

“万物互联意味着万物都有安全问题”

随着万物互联时代的到来，网络安全问题不再只是账号安全、隐私泄露等问题。于旸提到，未来会超越这些传统问题，“万物互联则意味着万物都有安全问题”。

今年7月，腾讯安全玄武实验室发现一种全新漏洞。“以前是电脑被入侵，手机被入侵，而我们发现充电器也可以被入侵。”于旸介绍，攻击者可利用特制设备或被入侵的手机、笔记本等数字终端入侵快充设备的固件。

充电器被入侵后，攻击者可以控制充电行为，使其向受电设备提供过高的功率，从而导致受电设备的元器件被击穿、烧毁，还可能进一步给受电设备所在物理环境造成安全风险。更可怕的是，这种攻击方式并不依赖物理接触。

于旸解释，充电器之所以能被攻击，是因为其内置了芯片，已不再是简单的电器设备，而是一个智能设备，具备“计算”能力。据保守估计，受影响的终端设备数量可能上亿。目前，腾讯安全玄武实验室已经把这个被命名为“BadPower”的漏洞上报给了国家主管机构。

“这只是万物互联世界中一个非常小的点，但它向我们展示了一个未来（研究方向）。”于旸强调，以后网络安全的重要性会更加凸显。

据悉，“X-Talk”是连续第二年举办的腾讯科学周的“压轴节目”，也是今年首次设立的板块。过去一周，还举办了腾讯科学WE大会、腾讯医学ME大会、科学探索奖颁奖典礼大会。

【对话】

南都：刚才你举的两个例子几年前可能根本想不到会发生。据你观察，网络安全行业关注的议题呈现什么趋势？

于旸：网络安全不是一个孤立的东西，它是伴随着网络空间而生的，也是随着技术往前走的。所以我们的整个网络世界会怎么发展，网络安全就会怎么发展。

现在看起来整个网络世界的趋势最主要的我觉得还是对人类社会的渗透越来越深入。以前我们生活的世界是一个物理世界，慢慢地诞生了网络世界。不上网的时候我们在物理世界，但现在你会发现，不上网的时候，你也脱离不了网络世界。即使你人不在电脑前面，不拿手机，但你身边的一切慢慢都会联网，最后物理世界和网络世界的边缘会变得越来越模糊。

在这个背景之下，网络安全会很自然地受这种趋势的影响。而且在如今万物互联的背景下，万物都有安全问题需要去解决。

腾讯安全玄武实验室掌门人于旸。受访者供图

南都：前不久有一个网络安全从业者手机丢了，跟链条上各种黑灰产过招却仍被盗刷的新闻。你听到以后有什么感受？

于旸：这个事情反映出的一点是，我们今天的信息世界已经变得非常的复杂。以前我们说一个安全问题，可能就涉及到一个点，一个软件，一个系统，一个企业业务。现在可能很多安全问题涉及的软件不止一个，甚至涉及的企业都不止一个。

我举一个例子，就之前有人发现过，有些企业的业务包括在用户输入一个ID后显示对应的手机号，不过手机号的某几位数会被屏蔽。但因为不同企业屏蔽的位是不一样，很容易拼出完整的手机号。这就是典型的站在企业自己的角度看没有问题，但从全局视角看，是存在安全隐患的。

南都：你认为目前最难解决的网络安全问题是什么？为什么？

于旸：目前为止最难解决的还是人的问题。像网络入侵，直到今天还有很多网络入侵是利用用户设定比较弱的密码去实现的，这是意识层面的问题。网络安全可能技术是一部分，技术之外，最脆弱的其实还是人。

不过，人的问题有一部分是可以通过技术去解决的，比如不愿意设复杂的密码。其实现在很多App都用不着每次打开都输密码了，这一系列技术就是为了满足人的懒惰天性，同时尽可能保障安全。

但这个设计没做好的话也可能存在问题。我们实验室2016年有一个研究成果叫应用克隆，就利用这种设计和一些不算特别严重的漏洞，把App里的账号克隆走，在另一台手机上登录。

南都：网络安全行业存在什么困境吗？

于旸：如果分类的话，安全算是非必需的奢侈品。比如一个手机可以用，就满足了基本需求，但如果要做到手机丢了别人也拿不到里面的东西，就是基本需求之外了。

但是我要说，安全其实不是奢侈品。比如说我们这有一套特别贵的仪器，能查出来你身体有什么病，10万块钱查一次，你查不查？这是奢侈品。但要是真发现有什么病，现在要去治，拿10万块钱小意思，对吧？这个时候安全又变得特别重要。

可能在发展的时候，安全像一个奢侈品，我不想去做，等发现问题的时候，它又变成一个必需品，我又不得不去做。所以安全作为一个行业，有它内在的发展上的困境，但是我觉得这些年大家意识还是不断地增加。

南都：网络安全行业的良性循环应该是什么样的？

于旸：我们实验室研究过很多漏洞，要是放在20多年前，基本上没有任何一家厂商对提交漏洞是一个善意的态度。但是今天，可能大部分相对大一些的企业就会好很多。

所以具体到漏洞上，良性循环就是漏洞发现者、厂家、监管部门三方之间有一个相较自由的环境良性循环，允许大家去研究。最理想的情况就是不要认为网络安全研究是一种特殊的东西，大家可以自由地研究，自由地发表研究成果，自由地交流，这样就会有很好的一个发展。