你可能在影視或者報道中都看過不少驚心動魄的黑客故事，但是對他們真實的生活工作卻知之甚少，現實世界中的他們又有什麼傳奇故事？今天就給大傢介紹一位我司著名的“白帽黑客”，聊聊他的成長之路，以及被他視為畢生事業的漏洞研究。

龔廣

360集團首席安全研究員兼政企安全集團漏洞研究院院長。2021年朝陽區“鳳凰計劃”青年拔尖人才。龔廣曾發現知名系統平臺數百個安全漏洞，是谷歌史上最高漏洞獎勵獲得者，中國首個黑客奧斯卡“史詩級成就”大獎得主。曾獲得數個世界黑客大賽單項冠軍，並多次受邀在BlackHat等安全峰會上分享研究成果。

借“機緣”二字，畢業後他便投身安全研究工作；憑著一腔“熱愛”，在行業深耕並斬獲多項史無前例的榮譽；基於“傢國情懷”，十年如一日，為國傢的安全領域貢獻自己的綿薄之力。

漏洞研究，這個詞對很多人來說是陌生的。但對360政企安全集團漏洞研究院院長龔廣來說，這已經成為他的事業和畢生的責任。

“白帽黑客”成長記

2006年，龔廣還是湖南大學計算機科學與技術專業的大三學生。得知自己被保研北京航空航天大學後，龔廣提前到達準備面試。就是這次面試，成瞭龔廣投身網絡安全方向上濃墨重彩的一筆。

“現在都記得特別清楚，在北航的一棟教學樓前，有緣碰到瞭一位教授，由於這位教授是同鄉，便閑聊瞭起來，也得知瞭這位教授從事網絡安全領域的研究…”機緣巧合下，這位教授成為瞭龔廣研究生期間的導師。而這次“偶遇”，成為瞭龔廣未來職業方向的一個轉折點。

研究生三年，龔廣就已經展現出在網絡安全研究方面的天賦，接連參與瞭多項國傢和省市級課題和項目，“當每次為國傢的安全領域貢獻力量，內心的成就感和獲得感都非常強烈。”龔廣回憶，那時的自己已經對安全有瞭很大興趣，他在心底默默種下瞭一顆種子：希望能有機會為國傢安全作出更多貢獻。

然而，和大多數剛畢業的年輕人一樣，初入社會的龔廣面對現實，也陷入瞭對未來的迷茫。“在經過兩次不同領域的工作嘗試後，才發現隻有熱愛的網絡安全才能夠讓自己全心投入。”彼時，龔廣常常能看到360公司不斷為中國網絡安全發展帶來顛覆性的變革，而這深深吸引到瞭他。於是在2014年，龔廣入職360手機衛士，並在2015年，真正成為瞭一名安全研究員。

憑借精湛的技術和一腔熱愛，當時的龔廣在多個國際比賽和國際會議上展露頭腳，在溫哥華、新加坡、韓國等多次比賽中奪得冠軍。並受邀到全球各地的安全會議上進行議題分享。投身正義的“黑客”龔廣，在安全研究這條路上的成就越來越多，信念也愈加堅定。

越挫越勇找“漏洞”

在網絡世界裡，漏洞作為網絡硬件、軟件、協議或系統安全策略上存在的缺陷，一直是網絡安全的“命門”。不法分子可以通過利用漏洞，發起各種網絡攻擊。而對於漏洞研究人員來說，為瞭挖掘一個漏洞而付出的努力往往超乎常人的想象，對龔廣也是如此。

“安全研究是一項非常有挑戰性的工作，同時也意味著要投入大量時間和精力，也需要犧牲陪伴傢人的時間，但是收獲卻無法保證。”龔廣坦言，“我深知這是一個比較辛苦的行業，在這條路下走下去的話，必須要有一份熱愛和堅持。”

試問，如果沒有足夠的熱愛，又怎能與枯燥的代碼為伍多年呢？“有時候，雖然是一兩天的比賽，但儲備漏洞就需要一個月。不僅如此，有時候正式打比賽的時候，提前找好的漏洞已經被修復，那等於這一個月的時間都白費瞭。”龔廣說，安全研究員必須有一種“越挫越勇”的心態，才能讓自己始終保持對這份職業的熱愛。

2019年，龔廣和團隊參加瞭Google漏洞獎勵計劃（VRP），他們選擇挑戰在Pixel手機系統的三層防禦體系中尋找漏洞。對安全性極為重視的Google，其親自操刀的Pixel手機被公認為“最難被攻破”的手機。就連世界知名破解大賽Mobile Pwn2Own，自2017年至2019來，甚至無人報名挑戰針對Pixel手機的破解，成為唯一未被破解的項目，可見攻破難度之大。

“當時我們攻破第一層漏洞並進行瞭分析研究後，在攻破第二層漏洞時，發現第一層的漏洞出現瞭‘撞洞’的情況，需要重新回到第一層攻擊面尋找新的漏洞。”重新尋找一層防禦漏洞和二層防禦漏洞後，龔廣開始瞭三層防禦攻破，沒想到就在做第三個漏洞分析時，第二個漏洞又出現與其他人“撞洞”的情況。雖然隻作瞭三個漏洞的分析研究，但龔廣和團隊實際上一共攻破瞭5個漏洞。

這段“苦不堪言”的經歷，在龔廣對行業熱愛的驅使下，反而成為瞭一份動力。“如果發現一個比較有意思的漏洞，想攻克這個目標的欲望會驅使你不斷投入。熱愛和興趣，會促使你花大量時間，越挫越勇。”

經過不懈的努力，龔廣和團隊成功發現瞭一組高危的全鏈遠程代碼執行漏洞，利用該漏洞鏈可一鍵遠程獲取手機最高控制權限，並且幾乎影響所有Android系統和Chrome瀏覽器，如被不法分子利用，將會對手機用戶帶來嚴重危害。他們將獨立發現的這一漏洞鏈命名為“梯雲縱”漏洞。而龔廣憑借這一發現不僅獲得瞭Google漏洞獎勵計劃（VRP）有史以來的最高獎勵，還摘得“安全界奧斯卡”ThePwnie Awards頒發的“史詩級成就”榮譽，成為14年來首位摘得此獎桂冠的中國安全研究員。

接下來的幾年，龔廣依舊深耕不輟，不斷和360政企安全集團漏洞研究院團隊斬獲多個相關獎項，並一舉贏得國際四大知名黑客比賽大滿貫。

國傢安全守護者

數字時代，漏洞日益成為影響網絡攻防發展進程的重要戰略資源。

“網絡安全已上升到國傢戰略高度，網絡安全關乎基礎設施安全、城市安全、社會安全、國防安全、甚至國傢安全，而國傢級黑客力量發起的網絡戰爭成為一大安全威脅。在此形勢之下，漏洞成為重要的網絡武器，每一個設備上的漏洞，都可能成為國傢級黑客攻擊的突破口。”龔廣說，如果國傢關鍵基礎設施上的某些漏洞被利用，嚴重地話可能會導致整個城市癱瘓，社會不穩定。

榮譽成為龔廣能力和付出的肯定，但他並沒有沉溺在榮譽帶來的光環中，而是將身份轉向幕後，帶領團隊為國傢網絡安全默默堅守。

近兩年，龔廣將很大一部分工作轉向管理和人才培養，“從公司和國傢層面，都要求我們培養高質量高素質的人才梯隊，避免人才斷層。我從一名安全研究員一路走來，有一些技術和知識積累，也瞭解安全研究人員的痛點。”龔廣感慨，凡是過往皆為序章，以前的工作閱歷對於我來說都是豐富的寶藏，希望可以給年輕人一些幫助，讓他們少走一些彎路。

雖然任職已有七八年，但龔廣的那份熱愛從未消退。有時候碰到有意思的問題，他依然會熱血沸騰，加班加點進行攻破。龔廣和360安全團隊積極發現並修復漏洞，並多次參加國傢級實網攻防演練和破解大賽，將漏洞成果及漏洞資源上交國傢漏洞庫，及時協助漏洞防護與修復。不僅避免釀成大規模的安全危機，還能夠幫助國傢網絡安全提升防禦能力。

安全研究這條路沒有巔峰，但對龔廣來說，這是熱愛也是傢國情懷。“這份熱愛陪我走過一座又一座高山，完成一次又一次挑戰。這份傢國情懷，會督促我在後面的歲月裡仍然在這個行業摸索。”龔廣坦言，研究領域需要互助也需要互補，研究領域需要技術更需要有使命感 ，“希望更多年輕人加入到我們的隊伍中，將責任感和使命感扛在肩上，將熱愛存在心中，做好國傢和廣大用戶信息安全的守護者！”（來源：朝陽報記者 張慧嬌）