周鸿祎:“从我们来看,现在网络安全顶尖人才,其实大学还没毕业,所以我们觉得可能不需要上完大学;第二,不一定是高材生,很多人看着挺‘屌丝’的,但他热爱这个行业,他们都是一些怪才。从这个角度讲,很难用正常大学生(的方式)培养。有的人考不进大学,也可以进入网络安全学院,有‘靶场’给他们实验,有攻防实力,我估计1-2年里培养出基础人才,能否到顶尖靠他自己的悟性。当然,安全这行业,顶尖人才和天赋也有关系,不是完全靠培训能训出来的。”
漏洞是国家战略资源 我反对中国团队争“世界黑客冠军”
这两年,很多国际黑客交流大赛上,中国互联网安全公司派出的战队,屡屡取得佳绩,相继攻破谷歌、微软、adobe 等各大知名公司的系统漏洞。媒体报道也每每摩拳擦掌,似乎这么做是“争了荣誉、长了脸”。中国是否需要“世界黑客冠军”这样的名气、底气?
对此,周鸿祎唱了反调。他再次强调“大安全”意识,称“以后要管好自己的人,世界黑客冠军这事,其实未必是宝,反而是坑。
周鸿祎:“要我看,现在这行业有‘不正之风’,大家觉得去海外参加比赛,就像参加奥林匹克,得到外国人的首肯有特光荣。开始我也这么想,(与其)咱们(安全公司间)内斗,大家打来打去外人在一边看热闹,不如(去参赛)和国外的比试一下。但时间长了我发现一问题,美国特别热衷干这个,因为漏洞一亮(暴露),这个漏洞就再也用不了,这种比赛好像从来就没有‘美国队’。还有,北约盟国研究漏洞的人,根本不允许他来中国、俄罗斯这些武器禁运国参加比赛。因为来了,秘密漏洞就泄露了。 人家拿了个漏洞,可不能轻易拿来做比赛,可能做一个类似WannaCry那样的网络武器,武器很保密,一用三年,要不是这次被泄露的,没准还能长期使用。
所以我说,漏洞有点像你挖到了类似的国家重要战略资源。因为能拿到世界顶级黑客大赛攻破的,人家专门给你设了命题,让你去攻,这都是高价值漏洞。如果卖给某个犯罪集团和国家情报机构是百万美金算的,这些漏洞是不是应该留在国内,看国家是不是需要?现在我对这个持公开反对态度!但没办法,它形成了风气。有的公司专门组队去了,我的人忍不住这口气,非要较这个劲。我的观点还是很明确的。在‘大安全’时代,网络战时代,不要呈匹夫之勇,不要图一时之快,我们今天得了一个黑客大赛第一名so what?中国长期来看需要积累网络资源和网络资产,否则有点漏洞就用了,真哪一天和别的国家打起网络战,你手里什么都没有,你说这个仗怎么打?”
