关于开放阿里云恶意代码检测伏魔引擎公益平台初心的思考

我们为什么要做赏金挑战赛？

追溯历史，”赏金“这个词，来自于欧美历史上的”赏金猎人“，

所谓赏金猎人，指的是以追捕罪犯、获取赏金为职业的人群。所以，赏金猎人被司法机关所认可，长期以此为业，并且亲自动手抓捕罪犯。

早期的赏金猎人，起源于欧洲的保释金制度，指的就是被告在没有被定罪之前，法律意义上依然是清白的。所以他们可以通过担保人缴纳一笔现金，以保证自己会出庭受审，之后就可以被释放。当然，如果到时候他没有出庭，那就需要赏金猎人出马，将其抓回来了。但是，随着工业革命后资产阶级慢慢掌权，欧洲国家普遍开始完善法律制度，加强执法力度，赏金猎人的地位就越来越尴尬，也就慢慢变少了。

在大洋彼岸的北美，随着美利坚合众国的建立，赏金猎人又蓬勃发展起来了。

18世纪末开始的西进运动，浩浩荡荡的欧洲移民迁往广阔的北美西部，建立了一个又一个小镇。因为交通不便、人烟稀少，再加上“开荒时期”的美国执法部门经济困难，人手短缺，导致罪犯们非常猖獗。

联邦政府和各地的行政长官，在迫于无奈的情况下，只能依靠赏金猎人去追捕罪犯。此时的赏金猎人，已经类似于美国执法机关的“编外力量”，他们通过地方执法官发布的通缉令，代替警察追捕犯人。不过，大多数情况下，他们都要把犯人带回小镇受审，只有在极端情况下，才会出现“不管死活”的通缉令。

但是，随着法律制度的不断完善，美国政府执法力量不断完善，赏金猎人的地位也受到了威胁。从19世纪中期开始，美国开始出现一些私人侦探社，取代单打独斗的赏金猎人，辅助警方追捕罪犯。

比如1850年，著名的阿伦·平克顿创建了“平克顿侦探事务所”，美国第一家私人侦探机构。曾经的赏金猎人慢慢变成了私家侦探，他们积极抓捕罪犯，也慢慢的扩展业务，开始参与各类民事案件和家庭纠纷的调查，生意越做越大。

当然，赏金猎人在欧美出现，有特殊的历史原因。古代中国长时间的大一统，加上一直延续下来的礼法制度，是赏金猎人在中国无法存在的根本原因。

说了那么多历史，回到我们网络安全的领域里，很多人可能会有疑问，为什么我们要持续地搞这类赏金挑战赛，不断提高赏金额度、招募更多、更厉害的赏金猎人来参与挑战呢？

要回答这个问题，我们得从网络安全产业的现状说起。

一般来说，一个产业是由供给方和需求方，以及监管者三方组成的。我们这里主要讨论供给和需求两方。

• 供给方主要是安全产品、服务的从业者
• 需求方主要是党政、企业

克里斯坦森在《颠覆性创新》中提到，颠覆性技术，重点不是新技术，而是通过新技术给用户提供一种产品的颠覆性体验。

如果从商品价值的角度来看网络安全供给方所提供的产品，乙方所提供的本质上是一种”保险服务“，保险的承诺内容就是：

当发生网络攻击时，能100%或者说尽可能100%保证及时、准确地发现攻击，并及时通知给客户。同时提供一种自动化处置、防御手段，并辅助用户进行入侵事件的调查和溯源处理。

保险的定价基础是”海量独立事件发生的统计概率“，也就是大数定律，它和当前医疗水平、科学共同体认知水平、技术应用成熟度、社会法制完善度、社会经济水平等多方面因素有关。也就说是，”出险事件“的发生概率整体上是稳定的。

但是对于网络安全产品来说，”风险事件“的发生概率却不是一个固定值，它是一个动态变化的二元变量，而且这个二元变量还是一个互相动态博弈的过程。

具体来说，这两个变量有两方面力量组成，

• 由黑产、灰产构成的”攻击方“
• 由乙方安全研发、安全研究员、安全产品构成的产品技术团队，以及由业内白帽子研究员构成的”防守方“

这其中，决定攻防博弈平衡的关键点在于”安全知识认知“，因为攻防本质上人与人之间的对抗，具体表现在很多方面，比如

• 漏洞挖掘方法论、工具的使用熟悉程度
• 对网络协议、操作系统ring3/ring0底层原理、对应用中间件特征的熟悉程度
• 对编程语言特性以及冷门特性的熟悉程度
• 对安全软件防御原理与欺骗原理的理解程度

总结一下，以上分析，讲清楚了安全产品的核心价值是提供一种安全保险，而保险的成本就是被不法分子攻破系统后所造成的客户损失，这个损失虽然由客户自身承担，但是可以想见，产品和服务后续的续费就成了一个大问题，所以可以算作安全厂商间接的损失。

而作为安全厂商来说，想要减少这种间接损失的唯一方法，就是不断提升自己的”安全知识认知“，而提升安全知识认识有两种渠道，

• 通过企业原有技术人员，自建能力
• 招聘业内优秀技术人员，补充企业能力
• 借助行业生态的力量，共建能力

我们薪火实验室从17年开始，就在持续积累投入研究恶意代码检测技术，但是随着云上和云下攻防态势的不断演进，我们越来越意识到，光靠我们几个人的力量是不够的，需要更多借助安全行业，来自不同地方、不同部门、不同院校的同行和研究员，通过行业生态的力量，才有可能大幅地提高黑灰产的利用门槛，从而改变当前攻防博弈不对称的局面，提升安全产品的”保险效果“。

出于这个初心，我们从2020年3月开始至今，陆续举办了4次赏金挑战赛，

这里放第五次伏魔挑战赛的比赛图

通过历次的挑战赛，我们收到了xx名安全业研究员的测试报告，大幅度提高了产品的整体安全水位，其中不乏各对抗领域的专家。未来我们还会继续举报下去，安全攻防博弈没有终点。

 

我们办赏金挑战赛的原则

一般来说，做人、做事、做事业，都或多或少要遵循一些一般原则。我们薪火实验室举办赏金挑战赛也同样遵循了一些基本原则，概括来说有以下几点，

• 持续性：赏金挑战赛不是一锤子买卖，一次锣鼓喧天搞完就结束，而是要长期持续举办
• 高额悬赏性：从市场化的角度来看，赏金额度某种程度上代表了主办方和参与者共建结果下的技术水位，这是一个客观的衡量指标，参与者也能获得合理、客观的回报
• 贴近实战：挑战赛不是靶场，也不是CTF游戏，它本质上是正规武器在一个受控环境下的实战演练。挑战赛里的技术产品必须在真实工业场景里大规模应用

总体上说，我们希望通过悬赏的模式不断提升安全产品的攻防对抗能力，通过风险的收敛和赏金的提高逐步提升能力水位，打造产品能力业界第一的影响力。

我们可以用以下天梯模型来看一个产品的攻防对抗能力水位：

产品想要到达天梯的顶层，需要爬上五个层级到达业内第一梯队，并通过一个足够高的赏金额度，来向业内顶尖进发，承受业内所有专家的挑战。

我们薪火实验室目前处在“久经沙场”这个层级，正在努力向“高水位”的第五层级进发，当然这离不开广大参与者的共同帮助。

 

赏金挑战赛对客户的价值

我们知道，中国的IT产业经过了30多年的发展，网络安全产业也经历了20多年的快速发展，整体上已经进入了供给过剩的阶段，市面上，安全检测类和防御类商品供应过度、产品水平残次不齐现象相对比较严重。

面对繁多的安全产品，产业客户在进行安全体系建设的时候，往往很难客观地对各家产品进行评估，很容易陷入各种选择偏误陷阱中，导致了很大的选择困难和选择成本。

比如行业内比较通用的方法是“产品尽调”，客户往往会自己或者委托第三方进行所谓的“产品POC”，这种POC更多的是一种“静态快照式的检查清单”，通过预先设定的一些检查项，逐条对目标产品的表现进行量化评估。

这种方法不能说有问题，但是确不尽客观，不客观的原因在于：安全产品，尤其是攻防类产品，它不是一个静止不变的实体商品，它从研发、交付、到后期维护，本身是一个不断动态变化的实体。

如果把安全产品比作一条河的话，单次的产品POC就像是截取了一个水的截面，POC只能评估这个截面的水质、水压、流速等等指标，而客户想要购买的其实是整条河的能力。

为了打破行业内卷，给客户提供真正有价值的产品和体验、降低客户的产品选择成本。我们提出了“面向赏金的产品能力衡量体系模型”。通过市场化、公平公开的方式，让所有产品都直接接受行业生态的检验，客户往后选择产品的时候，可以综合考虑该产品的赏金测评结果，从而做出更好的购买决策。同样，对于已经购买了产品的客户，也可以持续关注该产品后续的赏金测评情况，从而确认该产品的整体水位是否依然处于行业前列。

通过这种动态、持续的指标体系，让客户真正能客观、可持续地评估与监督安全产品的水位，提升了客户的安全感。