他是全球發(fā)現(xiàn)蘋果漏洞最多的人，他曾窮的住在小黑屋，他經(jīng)常接到國家安全部門的電話，他差點堵住周鴻祎的路……

[[110623]]

我們最終還是沒有見到吳石本人，即便他的生意合伙人劉盛(化名)已經(jīng)應承了幫我們牽線。自打2010年他接受了《福布斯》的專訪之后，這個四川男人就再也不愿意讓自己曝光。

那篇文章其實還算中肯，“在上月的一次安全更新中，蘋果針對iPhone操作系統(tǒng)發(fā)布了64個新補丁，其中只有6個是蘋果自已的研究人員發(fā)現(xiàn)，12個由Google研究人員發(fā)現(xiàn)，而另外15個則是由來自中國的吳石發(fā)現(xiàn)的。”文中，吳石被稱為安全界的“無名英雄”。

他拒絕我們的理由同樣不算過分，在一個剛剛對信息安全有些概念的國家里，人們還沒有足夠的能力去完全辨別他們的工作和黑客有什么區(qū)別，因為有太多的例子都表明了這兩種工作的界限只是“良心”。

吳石骨子里就是個“屌絲”，他對商業(yè)缺少概念，他害怕外界不必要的干擾，他只是享受技術帶給他的快感，但這已經(jīng)成了一種奢求。

一邊是政府，他和他的團隊成員幾乎每天都會接到“國家安全部門”的電話和約訪，就在我們跟劉盛的采訪過程中，有幾個小伙子正在跟國安局的人“談事”。“這毫不夸張，大多時候他們都是要買我們的技術，這些人甚至在極少數(shù)的情況下會透露自己的‘任務’，比如讓我們?nèi)ジ櫮硞€走私販的行蹤之類的，我們其實就是被當槍使。”合伙人劉盛稱。而他們又同時是國家安全部門“黑名單”上的人物，對于這群人，國家總是警惕性很高，他們試圖“招安”每一個技術牛人，“但實際上，去到總參等軍隊部門的那些人，最后過得都不好。”

而另一邊則是“黑色產(chǎn)業(yè)”，也就是公眾理解的“黑客”。2005年是個分水嶺，當游戲產(chǎn)業(yè)出現(xiàn)之后，那些研究信息安全的人突然有了“變現(xiàn)”的通道。盜號，幫公司攻擊競爭對手的服務器，盜取游戲公司的代碼而后開私服……太多的人在那個時候可以月入千萬，而諷刺的是，作為業(yè)內(nèi)大牛的吳石反而正是在那兩年過著居無定所的日子。

他們一直把自己所在的“組織”——Keen嚴格地定性為研究機構(gòu)，一開始，吳石甚至反對加入這個組織，或者說他對中國信息安全的未來已經(jīng)失望透頂。但劉盛總是勸他，“我們雖然看不到蛋糕，但你會揉面，他會生火，我們可以先做個饅頭出來，這樣大家都不會走。”

就是這樣一個15人的小團隊，他們一年的收入一千多萬元，這只是黑產(chǎn)那些人一個月的收入。他們靠技術去發(fā)現(xiàn)蘋果、谷歌和微軟操作系統(tǒng)中的漏洞，然后以不太高的價格賣給一些公司，還有一個銷量不太高的安全產(chǎn)品。“實際上，我們這些人中的大部分，都會有公司愿意出幾百萬去挖，跟這個比，我們這個公司做得是太不成功了。”劉盛悻悻地說。

之所以愿意接受我們的采訪，也并不是希望通過媒體去銷售更多自己的產(chǎn)品，而是想讓更多有理想的人知道，“還是有這樣一群人在做著很純粹的事情，現(xiàn)在找個好苗子，已經(jīng)太難了。”

異類

吳石是個“異類”，復旦大學數(shù)學系畢業(yè)之后，這個怪人一直不得志。上世紀末大學畢業(yè)之后，他很長一段時間都在做網(wǎng)吧的管理軟件，之后又去了復旦的一個校企，做一種審計軟件。

這并不算是一個體面的工作，他們把軟件給解體了抓取中間的通信包，然后再反編譯成能記錄的東西。說白了，這就是監(jiān)控，一些臺灣老板很喜歡買他們的軟件去監(jiān)控員工的QQ記錄。那時候，吳石還不算頂級，這是信息安全領域太普通的工作。

而到了2004年，吳石開始顯露天賦。還是上述的原理，他發(fā)現(xiàn)不僅僅可以局限在軟件商，他甚至研究出了一種新的方法可以把手機的通信信號反編譯成語音和短信。實際上，如果他當時把這個技術賣出去，他掙得錢將無法估量。

但吳石因此一下子開了竅，2005年，他開始研究微軟的漏洞。這是信息安全領域難度最高的工作，據(jù)劉盛介紹，全中國直到現(xiàn)在有能力抓系統(tǒng)漏洞的公司都不超過5個，360在6年的時間里也只找到了14個。而吳石自己就超過了200個，一個叫CVE的組織會對全球的技術人員發(fā)現(xiàn)的有價值的漏洞編號，在已經(jīng)登記備案中的漏洞中，吳石是全球最多的。當然，這都是后話。

吳石的“轉(zhuǎn)行”反而讓他之后兩年的生活窮困潦倒。2007年的一天，當時在微軟供職的劉盛突然接到美國老板的電話，“你們認識一個叫吳石的人嗎?”當劉盛找到他時，他已經(jīng)兩年沒有工作，“住在一個小黑屋里。”

吳石當時剛剛發(fā)現(xiàn)一條謀生的方法，他在2007年一次去北京參加會議的過程中，偶然聽說有美國公司會花錢收購系統(tǒng)漏洞。而實際上還沒等他聯(lián)系，美國ZDI公司就主動聯(lián)系了他。這家公司的一個主要客戶是五角大樓，它號稱比全球任何一家安全廠商都要更快地提供補丁，這使得它不得不在全球花重金向吳石這樣的人購買漏洞和解決方案。這家公司和中國唯一的聯(lián)系就是“華為收購3Com受阻”這件事，而ZDI就是3Com的子公司，傳言美國政府正是因為這家公司掌握了五角大樓太多的秘密而沒有批準該交易。

微軟為什么看上了吳石?聽聽另外一家買漏洞的公司——VeriSign是如何評價他的，這家公司的東亞區(qū)總監(jiān)周銘說：“我們有一個評測系統(tǒng)來評判漏洞的商用價值，這跟它的普遍性、普及性、感染力都有關系，然后再給予數(shù)額不同的獎金。評測下來，吳石發(fā)現(xiàn)的漏洞級別都比較高。另外，這個工作有一定的運氣成分，有的人技術很好，但一輩子可能只發(fā)現(xiàn)一、兩個漏洞，你沒法預計自己在多長的時間內(nèi)能發(fā)現(xiàn)漏洞。但是，吳石發(fā)現(xiàn)的漏洞的確很多。”但吳石并不十分喜歡跟這家公司打交道，“但他們要求多，要求提供能夠成功攻擊的代碼，這還要花費我三四天的時間，他們給的價格也不具有競爭力。”吳石說。

劉盛的老板注意到這個來自中國的年輕人發(fā)現(xiàn)的漏洞，總是有點一反常態(tài)，他的邏輯和絕大多數(shù)的人并不相同?！陡２妓埂返哪瞧恼轮杏刑岬竭@一點，他有一整套獨特的方法論，他可以關注到整個軟件架構(gòu)，而不是具體的細節(jié)，這使得他常常能捕捉到其他方法根本觸及不到的漏洞。

而微軟是那時對系統(tǒng)安全最重視的公司。它會在全球花重金(真的是不可思議的錢)雇傭技術牛人，劉盛就是微軟負責信息安全的工作人員，這曾經(jīng)是微軟相當高級的職位，當時中國也是微軟除美國之外唯一設置信息安全檢測中心的區(qū)域市場。但之后一系列的變動改變了一切，微軟負責信息安全的員工有一半去了谷歌，當然這也是后話。

他們約在了上海徐家匯的一家川菜館，為了促成吳石的加盟，劉盛的老板專門從美國飛過來。就這樣，吳石成了微軟的外聘專家，這樣的職位在中國只有兩名，他的工資是遠遠高于像劉盛這樣的正式員工的，而就在微軟的平臺上，吳石也開始顯露才華。他不僅幫助微軟尋找漏洞，其實他更大的成就來自于蘋果系統(tǒng)，沒過多長時間，他在這個領域的優(yōu)勢已經(jīng)是壓倒性的了。

夾縫

但好日子并不長，360出現(xiàn)以后，一切都開始脫軌，按照劉盛的說法，如果美國總部當時采納他們的意見，微軟不至于這么被動，而360也很難得到機會。

當時他們發(fā)現(xiàn)了國內(nèi)流氓軟件的興起，他們第一時間就請求總部利用現(xiàn)成的技術去攔截這些問題軟件，但被總部駁回了。而360從某種程度上正是起家于這一點，“那時我們都快氣死了，360根本不用做什么，只要判斷特定的文件名，然后刪除就好了。”劉盛說。微軟從此失去了在安全領域的話語權(quán)，這家公司也不再像之前那樣雄心勃勃。

吳石很失望，他甚至開始懷疑自己專注的事業(yè)對于這個社會有多大意義。“用戶的教育成本太高了，很多人和企業(yè)并不認為安全是個重要的事。”劉盛說。

那時安全領域早已被黑色產(chǎn)業(yè)給吞噬了，一個個“好苗子”在離開。“一天，我看到一個圈里的朋友發(fā)微博說,‘原來生活是可以這樣的’，之后就不再見到他有什么成果，而沒過多久，他開上了保時捷。”劉盛現(xiàn)在的伙伴多是來自于微軟的那個團隊，他們在最特殊的階段，因為共同的志向和彼此的互相影響并沒有“下海”，這在很多人看來，都是不可思議的事情。

吳石最終還是同意加入劉盛的商業(yè)計劃，他們?nèi)∶麨?ldquo;keen”，這個烏托邦式的組織，直到微軟XP退役時，騰訊和包括keen在內(nèi)的幾家公司發(fā)起“扎籬笆”計劃時，才算第一次曝光。

他們?nèi)鐓鞘粯?，對商業(yè)缺乏敏感度，劉盛為了避免受到國家安全部門的“騷擾”，而掛掉了非常多風投的電話，直到別人給他發(fā)短信說明來意。但談判完全不在一個軌道上，“他們總是問我們的商業(yè)模式和預期收益，但這些我該怎么去回答呢?”

吳石和劉盛還是希望給國家和社會做些事情，否則他們沒必要放著更客觀的薪水不賺，而去過著當下并不十分理想的生活。但一切都不如想象中的那么快，政府自然需要一個過程，而很多意識到信息安全重要性的公司也還摸不清門道，“他們從來都沒有操縱過一次攻擊，根本就不知道黑客在想什么。而且他們在接到任務后，直接把工作甩給那些工程師，可想而知結(jié)果會怎么樣。”劉盛說。

劉盛他們想到一些事還是會很受挫，“我們在上海想要見一個有關部門的處長都辦不到，想想其實挺不值的。”