第二种核武器——你所不知道的漏洞战争

　　你可能有点纳闷，为什么之前在公众心中漏洞研究能力不相上下的两个公司，这次差距有点大呢？

　　究其本质：漏洞军备竞赛和核武器军备竞赛一样，是很费钱的。

　　2018年开始，腾讯似乎不太想烧钱了，主动做出了调整，很多过去纯研究的团队背上了一些商业任务，走上了经典的“赛马”机制。面对这样的局面，一些安全研究员不太适应，有的积极调整，有的就选择了离开。而相比之下，360的安全研究团队粮草充裕，一直保持相对稳定。

　　这也很好理解，毕竟“漏洞研究”在腾讯内部的优先级怎么可能比得过微信、QQ、《王者荣耀》那些明星产品，而对于公司小得多也专得多的360来说，漏洞研究就是立命之本，每一个漏洞都是一颗重磅弹药，必须拼尽全力。

　　2019年，第二届天府杯卷土重来。

　　组委会改进了奖金规则，也增加了更多有关虚拟机和“Zero

　　Click”的挑战项目。360仍然拿下冠军，而在队伍列表里，没有腾讯的名字。据说，腾讯并不是没有参赛，而是考虑到当时的实力现状，没有用官方名字参赛。毕竟，如果各大媒体的新闻里都是：“360力压腾讯获得第一”，实在是会招来很多不必要的麻烦。

　　江湖就是这样，本来是一场纯粹切磋武艺的华山论剑，但是名、利、争夺、权衡，总是世间难逃的阴影。

　　不过，令人鼓舞的是，虽然承受压力，以科恩实验室为代表的腾讯安全却一直尽力保持着漏洞研究世界级的能力。

　　江湖上有宿敌，高手才不敢懈怠。

　　2019年天府杯的论坛上，颇有一些外国面孔。

　　（五）网络世界的“战略核威慑”

　　我们通篇都在强调的脑洞是——漏洞的本质是武器。

　　说到这里，恐怕有些浅友还有个疑问：“既然漏洞是武器，那为什么我们中国的漏洞大神找到0-Day漏洞之后要选择参加比赛让厂商修复，而不是偷偷藏起来，“关键时刻”作为武器来用呢？”

　　这就要说到0-Day漏洞的“生命周期”。

　　MJ把系统比作一片土地，漏洞就是土地下面的矿藏。全世界的漏洞大神都在这片土地上采矿，谁也拦不住谁。

　　你找到这个漏洞，别的大神也可能找到这个漏洞。如果你找到0-Day漏洞之后不公开，那么其他人找到了这个漏洞就会公开，到时候厂商还是会修复漏洞，你手中的武器自然失效。

　　一般来说，一个普通的0-Day漏洞的生命周期只有半年到一年。也就是说，如果你找到了漏洞，捂在手里半年，基本上就会被另一个大神找到。

　　而只有脑洞非常奇葩的顶级0-Day漏洞，才能保留很久，五年甚至十年。就像永恒之蓝漏洞那样。

　　但是，这种顶级的漏洞，即使是MJ这样的大神，一生中都难以发现几个。而真正在国家对抗中，仅仅靠几个囤积的神级0-Day漏洞也并不保险。

　　这就是今天的最后一个脑洞：

　　持续发现顶级0-Day漏洞的能力，

　　才是网络世界里的战略核威慑。

　　而从各个方面的信息综合判断，我们国家此时此刻并没有掌握“漏洞核威慑”的能力。

　　从民间能力来看，美国有很多大小公司甚至是安全团队，都有不同的大侠在各个方面进行漏洞研究，而把目光移到中国，几乎只有BAT3这几家巨头有能力进行纯漏洞研究。

　　而要拥有持续发现顶级漏洞的能力，仅仅寄希望于黄金一代黑客的灵光乍现是不行的。正如中国篮球队，有姚明的日子风生水起，没有姚明的时代一蹶不振。

　　烟花再耀眼也只是在历史的天空转瞬即逝，而只有持续燃烧的阳光才能让万物显形。

　　漏洞的“核武器”研究，需要一个庞大的从业者底座，这个底座，由年轻人组成。在天府杯上，这些捧着奖金的小鲜肉中，也许就藏着未来的漏洞大神。

　　有人说用漏洞换奖金很俗气。

　　钱就是很俗气，但正是这样的奖金，才能解决那些年轻的漏洞研究者的衣食住行，才能让他们觉得这条路有未来，从而可以坚持走下去十年二十年，最终才有可能亲手握住那些“核武器漏洞”。