“打造去中心化安全社群,让白帽黑客站着把钱挣了”
Mingo是中国知名批黑客之一,13岁创办“黑客力量”,两年内成为位居全国前列的黑客组织。可贵的是,他没有囿于技术。现在身为区块链安全专家的Mingo认为,技术是服务于社群共识的,建立社群共识 是最重要的,甚至比技术还要难很多倍。
他现在All in的安全链SECC(Security Chain)是一个纯粹的区块链社群项目。创始人Mingo反复强调,“我们不是一家区块链第三方解决方案或者安全产品公司,也不是一家传统的中心化公司。SECC没有传统的雇佣关系,而是通过社区治理的Token模式,让所有的社群参与到整个项目的进程上来,通过区块链相关的经济技术体系和社群共识去改造安全行业的劳动关系。所有的安全公司都是我们的潜在合作方。”
最近,耳朵财经(ID:erduomi)对SECC创始人Mingo做了一个采访。Mingo现在的身份是区块链安全专家、安全链生态发展官、星安资本合伙人、链云科技创始人,同时也获得过“第一届福布斯中美 30 岁以下 30 人”称号。但对于如何定义自己,Mingo的态度十分审慎。这种审慎,从另一个角度看,也许意味着无限可能。
故事的开始:一个想当黑客、戒掉游戏的小学生
Mingo出生在媒介发达的广州。有一天,小学5年级的Mingo在路边买了一本杂志,叫《黑客攻防指南》。当时的Mingo意识不到这个举动对他未来人生走向的影响,现在回过头看,这是蝴蝶效应里那只扇动了一下翅膀的蝴蝶:Mingo的黑客之路开始了。
原本酷爱打游戏的小学生放弃了游戏,在所有的课余时间里捣鼓计算机。“那时候有一种东西叫IRC聊天室,可能很多老一辈的人知道,因为他们可能那个年代在上大学。”Mingo回忆,那时候网民很少,整个圈子氛围很纯粹。
基于纯粹的兴趣驱动,Mingo成为中国知名批黑客。13岁时,创办一线非盈利性安全组织“黑客力量”,两年内,把它打造成位居全国前列的黑客组织。并且,拥有中国最多安全组织资源力量,拥有上亿用户量的线上社群建设经验。
Mingo同时也是中国早期手机设备与网络安全漏洞研究者,著有《网络最菜黑客指南》、《黑客成长日记》、《手机短信息攻击程序》、《FreeBSD漏洞规模性攻击研究》、《公共程控电话漏洞利用》等作品。
三十而立 的Mingo=创业者+区块链+安全技术
三十而立的Mingo现在是三个维度的混合角色,在当了近二十年的“黑客”、连续9年的成功创业者之后,现在的Mingo all in了区块链安全领域。
凭借其对区块链安全生态的独道见解, 2017年创立区块链安全公司,面向区块链企业用户和个人用户提供军工级网络安全解决方案,成为全球独家的芯片级软硬件钱包解决方案商。公司拥有4个独立业务线,团队分布三个国家地区,拥有两个安全实验室。
Mingo自己的理解是,这是一个从兴趣驱动,到商业驱动,再到价值驱动的过程。
“黑客、创业、区块链,这三个东西我都非常感兴趣,我想把它们融合在一块。在这三个领域里,任意一个维度都有比我做得更好的人。但是要把三个事情混合在一起,我可能会更擅长一点。”Mingo保持着一贯的内敛和谦虚。
SECC安全链让白帽黑客站着,把钱挣了
在Mingo这样一个资深黑客眼中,当下基于区块链的千亿级数字资产完全处于“裸奔”状态。
据统计,2011年至今,由于区块链漏洞引发的安全事件累积损失超20亿美元。安全攻击事件发生在智能合约、共识机制、交易平台、钱包、挖矿等方面。
我们可以想象,当下的数字资产之于黑客,是否类似于猎人迎头遇到鹿群?当然,这完全是对黑客的一种误读。但我们不妨接着用个不恰当的比喻,Mingo在做的事情,是让猎人保护起鹿群。并且,这个保护费由鹿群来支付。
换言之,Mingo用Security Chain让白帽黑客可以站着,把钱挣了。
什么叫白帽黑客?
黑客,源自英文hacker,最初曾指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员,后逐渐区分为白帽、黑帽等,其中黑帽(black hat)实际就是骇客(cracker)。而与黑帽黑客相对的则是白帽,特指那些挖掘漏洞并且公开的黑客。不同于骇客处于暗面的攻击,白帽子挖掘网络漏洞、传授自己的经验,更像是安全专家的角色。
问题是,白帽黑客的日子不好过。Mingo说,高智商行为没有体现高回报。
有人曾对黑客群体做过调查,除了极少数的职业黑客以外,大多数都是业余的黑客。年龄主要集中在18-30岁之间的年轻人,大多是男性,以在校学生居多。他们出于对计算机强烈的求知欲和好奇心、加之精力旺盛,这些促使他们步入黑客殿堂。
但这些黑客的归宿往往是“隐退”江湖。年轻时候,他们靠兴趣驱使,可以不计报酬地花费大量的时间和精力。而终有一天,老黑客也需要为生计奔波了。
如何让高智商行为获得高回报,如何让更多黑帽子转向白帽子?这是Mingo一直思考的两个问题。
一方面,黑客带着天然的自由主义精神,当他挖了一个漏洞,如果他不通过中心化的公司去付出财务报表中的劳务关系,他没有办法把它量化,也没办法把它的价值最大化体现出来。
另一方面,想要获得这些高智商黑客的认可,Mingo首先要考虑是是,设定一个公平的机制让他们参与进来。这也是Mingo强调,社群共识第一,且技术要为社群共识服务的根本原因。
“你家有这么多的门,就算打开其中一扇门,你一个人也不可能把其他的门的问题全部解决,就算你把门的问题解决,窗的问题也解决不了。”从这个层面上,Mingo看好打团战,需要集思广益才行。“单打独斗,永远有比你技术牛逼的人存在。”
“想要达成社群共识,吸引更多黑客进来玩并创造商业价值,需要两个维度:一个是你的经济架构怎么做,你怎么设计大家进来和在里面生存的规则。第二个是你怎么通过技术保证这些规则稳定有效地往前进行,而不是说人为地去干预这些规则的执行。”
SECC(Security Chain)就是这样一个可以满足所有黑客,尤其是白帽黑客生计问题的去中心化社群。这是第一次通过社区制度把白帽黑客、安全组织的关系进行重新的改造。
用Mingo的话说,SECC是利用区块链的代币经济模型和区块链结算技术,去改变以前传统安全行业价值分配不公的痛点问题,从而改造安全行业的生产劳动关系。
安全问题的本质是攻防对抗,是互相妥协
在Mingo看来,每一个行业的安全问题大部分都是相同的,尤其是技术面的安全问题。不管是互联网安全,还是区块链安全,本质上都是攻防对抗,也是成本之争。“二十年前是小米+步枪,二十年后是用核弹。”
区块链安全问题,只有钱包是一个新的安全场景,并且比较复杂。“目前大部分的区块链安全问题,是中心化交易所衍生的各种需求,传统的安全公司产品是可以一定程度匹配上的。像智能合约这种安全问题,也可以归类为传统安全。现阶段因为区块链基础设施和生态未跟上,代码审计出错的代价较高,媒体也多方宣传,所以大家比较恐慌。每一个新行业所面对的安全问题更多是如何把安全与业务落地。”
当下的区块链安全领域还处在一个非常早期的阶段,还处于快速迭代的周期中。“在开始的时候,互联网安全其实只有新闻网站能应用到这种技术,再慢慢发展到通信行业,再之后是电子商务。区块链也一样,金融场景可能是区块链安全第一个切进去的场景,作为安全问题高发的领域,金融行业对于安全防护的需求是比较大的。”
Mingo的安全观是,没有绝对的安全,企业安全是一个互相妥协的过程。
大部分的安全管理公司,是一个第三方服务的公司,提供的是一个具体的服务加产品,而实际上需要解决安全的问题,它是一个多点层面的问题。Mingo解释说,SECC社群属于多边关系,通过提供系统的多边服务的方式,去拓展安全领域之前非常窄的应用场景。
“以推动整个公链的安全基础为例,我们不是只针对一个表象的问题,而是提供根本上的系统解决方案。就像PC电脑时代,有一些安全机构可能是服务某个浏览器的漏洞,那我们可能去解决的是windows操作系统的底层问题。你把底层问题解决了,浏览器就不会有问题。”
他换了一个角度来解释安全这件事。“比方说,你现在有一个1000人的防护需求,你找到一家公司。原则上,你付了多少钱,他提供多少个人去满足你的需求。但是,这家公司只有100个人,你的防护需求无法得到满足。但你通过安全链的Token激励,包括它整个生态体的发展,你可以用十分之一的成本,找到1万个人去保障你的安全。”
当问到SECC如何平衡公平和效率的问题。Mingo的设想是,SECC会是一种网中网结构在跑。“网中网的结构就是,它的底层是一个像公链这样完全去中心化的区块的链条,但是在业务上面,它是趋向于中心化的,因为只有这样你才能保证效率。”
SECC是区块链安全领域的“滴滴打车”,也是一场社会实验
SECC面向的人群是安全的开发者和使用者。Mingo用一个比较简单的模型去比喻。
“在没有滴滴之前,可能你面向的是一个出租车公司,出租车公司不能提供物廉价美的、供求关系相对平衡的服务,那么,滴滴打车平台应运而生。同理,SECC打造了一个区块链安全防护需求方和供应方的供需平台,把安全行业里面共享经济的问题解决了。这是中心化的公司无论如何做不到的。”
从某种程度来讲,360安全团队发现EOS漏洞事件引人侧目的原因,无非它是一个中心化的公司,营销能力和影响力相对集中。SECC的责任就是把安全技能满分的白帽黑客们,免费或者更低成本地推广出去,让“高智商行为得到相应的高回报”,从而让行业安全得到整体提升。
Mingo坦言,SECC这种新型安全问题解决方案的社群,与传统安全公司相比,不是处于一个量级上的竞争关系。“我们跟很多的安全组织、个人或者老牌的公司,都有合作关系。无论是现在或者未来,我希望是一个合作共赢的趋向。但,最重要的点不是说怎么竞争或者合作,以太坊没跟Apple合作,或者EOS也不会说,现在亚马逊是我最大的竞争对手吧。没有这种讲法。”
Mingo反对用传统公司的思维去套用在区块链项目上。他认为SECC是一个伟大的社会实验,而实验是不能控制自己的边界的,不然的话,你没有办法去做成一个很伟大的事情。
“SECC在区块链安全开发领域拥有多重身份,比如研究所、组织者、平台等等。无论有多少安全问题,我们的关注点不是在于说,怎么把单点问题给解决掉,而是基于区块链本身这个社会实验,用一种新的模型,把这场社会实验放到安全行业来。”
黑客精神——通往世界的路不止一条
对Mingo而言,赚钱的需求已经过了。他最核心的想法是,将SECC打造成一个全球最大的、最去中心化、社群自治的一个安全组织。“能确实解决一些商业问题,而不是说大家一起在这里玩玩。”
而他的野心在于,要改变安全行业,做些不一样的事情,并且,在这个行业变迁史中,留下自己的名字。“你不能以繁琐的心态去做一个事情,那是没有办法做成大变革的。”
Mingo告诉耳朵财经,黑客的精神,就是通往世界的路不止一条。
即使是商业化了的黑客,这种黑客精神也不应该发生变化。Mingo希望越来越多的黑帽黑客变白帽子,并且在SECC站着,把钱挣了。“通往世界的路不止一条,就是说我要骇进一个系统,不是说登录账号密码就OK,而是,我能从很多地方找一个突破口,进去之后我不搞破坏,我只是在证明自己。”
这么说话的Mingo,很黑客,也很区块链。