在阿里安全工作是什么樣的體驗?真如吃瓜群眾猜測的那樣，P7、P8起步跑，年薪百萬各路HR找，朝九晚十周末忙，加班學習活到老嗎?

這不是真實的阿里安全。

下面介紹自己親身體驗的都是在阿里安全工作了幾年的技術er，他們在進入阿里安全之前，有的是技術分享平臺小有名氣的"紅人"，有的深藏絕技，可以輕松破解特斯拉，還有的拿頂會論文拿到手軟。

這些帶著光環(huán)走進阿里安全的人并非一帆風順，但他們依然熱愛這份工作，并設立了自己的"小目標"。

"技術紅人"蒸米：要有業(yè)務嗅覺 也要有前沿視野

2014年11月11日，即將從香港中文大學博士畢業(yè)的蒸米受邀參加線下阿里"雙11"購物狂歡節(jié)時，他也想知道：在阿里安全工作是一種怎樣的體驗。

彼時，蒸米雖還沒畢業(yè)，卻已是安全圈的技術網(wǎng)紅。博士一年級時，蒸米突發(fā)奇想，寫出了一個名為"ADAM"的病毒混淆工具——病毒文件經(jīng)過這個工具簡單的混淆就能改頭換面，殺毒軟件立刻認不出它。蒸米的系列研究還受到了烏云白帽子的喜愛，他以一個巧妙的iOS漏洞研究成功地引起了安全大佬們的注意。

阿里安全雖然來不及"先下手為強"，但曲線邀請了蒸米到阿里杭州園區(qū)參觀："小哥哥，來看看嘛，買賣不成情誼在，就當免費旅個游。"然后，蒸米就被"雙11"巨大的交易額震撼了，加入了阿里安全。

蒸米和一則激動的朋友圈

第一年，蒸米過得十分"舒適"，他"放養(yǎng)"自己鉆入了安全研究中，發(fā)現(xiàn)并命名了影響上億設備的iOS病毒XcodeGhost和影響上億設備的Android app漏洞WormHole ，對安全界產(chǎn)生巨大影響，還幫助蘋果公司修復了多處iOS系統(tǒng)安全問題。但到第二年，蒸米慢慢意識到，要想讓安全研究落地，真正為業(yè)務服務，還有很遠的距離。

蒸米沒放棄深度研究，但開始刻意培養(yǎng)自己的"業(yè)務嗅覺"，因為對蘋果操作系統(tǒng)安全的深入了解，他的一些研究成果也成為阿里安全新一代安全架構的一部分，在安全技術層為為淘寶提供更安全的服務，讓社會的"數(shù)字基建大樓"的水泵、發(fā)電機更有力。

他也一直在思考技術和業(yè)務的關系："可以把20%的精力用在對業(yè)界產(chǎn)生影響的研究上，它們會像一盞燈，照亮未來的路。為業(yè)務服務更注重綜合能力的培養(yǎng)，要能讓研究落地，讓客戶愿意使用它。對業(yè)務產(chǎn)生了幫助，等于對公司產(chǎn)生了幫助，新一代安全技術架構讓數(shù)字基建更安全，等于對社會產(chǎn)生了影響，最后也是讓世界變得更好了。"

"破解狂魔"青惟：研發(fā)"自動化工具"解放自己

2014年，浙江大學的一名大學生青惟瀏覽蒸米發(fā)布在烏云上的酷炫研究時，沒想到兩年后會與這個傳說中的安全網(wǎng)紅一樣拿到阿里星，到阿里安全"搞機"。青惟成為了"IOT破解狂魔"，上至無人機，下到Wi-Fi攻擊，沒有他搞不定的"機"。

其實，本科就讀于自動化專業(yè)的青惟以為自己以后走的應該是研究精密儀器的路子，沒想到讀研時導師特別熱愛網(wǎng)絡安全，引領青惟走上了安全之路，青惟成為了一名CTFer，甚至為此開發(fā)了一套注重用戶體驗的CTF比賽平臺。

青惟還參加了SyScan360安全會議中的破解特斯拉大賽，他發(fā)現(xiàn)了汽車鑰匙無線協(xié)議的漏洞，在沒有鑰匙的啟動下，成功開走了特斯拉，成為真正意義上第一個在國內(nèi)破解特斯拉的人。后來，青惟又發(fā)現(xiàn)了汽車的CAN總線漏洞，將這個破解工具在GitHub上開源，讓大家一起探討技術。

種子選手青惟面臨的則是"解放人力，如何復制多個'技術牛人'"的問題。當了兩年"破解狂魔"后，各個部門都把IOT硬件送過來讓青惟檢測安全性，他覺得這種方法太低(累)效(了)。"輸入設備，再輸出設備"，他要擺脫這種"機械式"操作，讓工具代替人力來做這件事。

"IOT設備種類那么多，每一個拿來重新研究一遍成本太高，老有人說IOT安全是偽熱點安全，如果可以自動化檢測，成本大大降低。"青惟設想，做一款平臺型工具，能檢測一切IOT設備，為IOT安全降低門檻。

目前，他正在愉快地實現(xiàn)這個"小目標"中。

解放雙手的青惟

"平平無奇"的廷燁：拿頂會論文拿到手軟

廷燁是坐著公交車參加阿里星交流會時與青惟相識的。在廷燁看來，蒸米、青惟都是天賦型選手，自己只能算靠努力和認真才能搞成研究的人。

記住，如果以后有人對你說這種話，尤其這個人還是從北大畢業(yè)的話，千萬不要信。

[[322078]]

"平平無奇"的廷燁

廷燁上大學之前一行代碼都沒寫過。上第一節(jié)編程課如同聽天書，一頭冷汗的他一下課就沖到醫(yī)學部要求轉專業(yè)，老師告訴他："同學，要一年以后才能轉專業(yè)，要不你再試試?"

沒想到，過了一個寒假，自學試一試的廷燁就沖進了年級前十名，他開始覺得這個專業(yè)有點搞頭。后來，他又被世界頂尖理工院校洛桑聯(lián)邦理工學院錄取，直接攻讀博士，開始了基因密碼數(shù)據(jù)保護方面的研究，正式踏入密碼保護的領域。

畢業(yè)前廷燁拿下了三篇CCF-A類安全頂會，并在SCI 生物一區(qū)期刊 Genome Research上拿下了12月封面論文。進入阿里安全后，密碼學研究與應用小能手廷燁與隊友一起獲得2019 iDASH 國際比賽冠軍，他還摘得2019 CISC 密碼學競賽冠軍。

不過，拿獎拿到手軟的廷燁也遇到了難題。第一個問題是，從學術研究跨界到工業(yè)應用，總會有水土不服。"比如，我們帶著技術和外部公司合作時，對方對帶寬和成本有限制，我就要想到怎么在限制內(nèi)最大化地實現(xiàn)效果。以前做研究沒有實際應用條件的限制，現(xiàn)在得考慮合作方的需求、成本及收益的平衡。"廷燁說。

第二個問題是，前沿密碼技術高深復雜，如何讓大家愿意使用它?廷燁覺得，光做出技術遠遠不夠，要想讓技術落地，自己必須學會用最通俗的語言讓大家真正理解它。于是，安全研究者廷燁化身"技術推銷員"，一年跑通十多個部門，他要讓"三歲小孩"都能看懂它，解決落地的困難，真正打破密碼技術和實際應用的壁壘。

每個人只是時代的一粒沙，但廷燁、青惟、蒸米這些"沙"在阿里安全鑄成了阿里新一代安全架構的"技術骨骼"，撐起的不僅是阿里經(jīng)濟體的安全，還是整個數(shù)字基建的安全，這就是他們在阿里安全工作的體驗。