「善意的恶」与「恶意的善」

生存还是毁灭？这是一个问题。

作为莎士比亚剧作中最常被引用的一句话，它可能代表了某种困境中的抉择 —— 矢志不渝或者苟延残喘。但对于哈姆雷特而言，两种选择都存在着内在的矛盾，它们都不是尽善尽美的。

英国哲学家菲力帕·芙特在探讨功利主义时拟定了一种道德模型，所表现的冲突恐怕更为强烈：

假设有一辆刹车坏了的电车，正在撞向前方轨道上的五个人，而旁边的备用轨道只有一个人。如果什么都不做，五个人会被撞死，但拉下身边的杠杆，车辆会驶入旁边的车道，最终只牺牲一个人。你会怎么做？

尽管这是种相当极端的情况，但背后所潜藏的矛盾却普遍存在。哪怕是我们熟悉的游戏业界，在「破解游戏」以及一众黑客的攻防战上，最近的两起事件也饱受争议，它们恰好成为了两种矛盾的呈现形式。

善意的恶人，恶意的善者

近几个月来，《喷射战士 2》的作弊问题日趋严重，即使你不玩游戏，从社交媒体的用户反馈中也能略知一二。

任天堂的自主检测系统有些于繁琐，玩家先得从 App Store 或 Google Play 下载官方软件，然后通过内置的 SplatNet 2 举报作弊者。不过，竞技厮杀毕竟是一瞬的反应，你很难借着回忆精确描述当时的状况。

很快，这就惹恼了一位匿名黑客。为了引起官方的重视，他通过网络漏洞入侵了服务器，并将游戏中排行榜前几位的 ID 改成了「Please Add Anti Cheat」（请添加反作弊功能）。作为回应，任天堂不仅将他在游戏中的 Rank 清除，更是直接限制了其账号的联网功能。

Please Add Anti Cheat

从条例的角度来看，任天堂的处理方式没有丝毫问题，他们的内容和数据毕竟受到了直接威胁，封禁账号在公关层面也是一种合理的威慑。但从情理的层面出发，「请添加反作弊」无疑只是善意的恶作剧，企业与个人完全可以采取合理的方式进行沟通，双方并非没有共赢的机会。在理想的状态下，老任本应借着机会修补漏洞，而匿名黑客则在达成目的的同时收获美名。

不过，一些细微的差异，也可能让世界线发生变动。破解团队 ReSwitch 的成员 Kate Temkin，无疑成为了另一维度的受益者。

事情得从 ReSwitch 的「内乱」说起，从上周开始，旗下组员就在推特上吵得不可开交。而流传到国内的小道消息则是：Kate Temkin 上演了一出无间道，将破解小组发现的漏洞提交给了任天堂，最终拿到了 20 万美元的奖励金，从而导致项目流产。

ReSwitch 正在破解 Switch

这种说法不太准确，事情目前还未有定论。任天堂在漏洞众测平台 Hackone 确实有一些赏金计划，但回馈的上限仅为 20000 万美元。而 ReSwitch 破解的着力点，其实是 Switch 中的 Tegra 芯片，这恰好与谷歌旗下的平板电脑 Pixel C 一致。有人提出，如果想在赏金后面再加一个零，将漏洞提交给谷歌是一种更可能的解释。

谷歌的最高奖金达到 20 万

从 2017 年 6 月 1 日起，Android 安全奖励计划就调整了奖励金，如果漏洞涉及到  TEE（可信执行环境），那么赏金确实可以达到20万美元。但无论 Kate Temkin 偏向了哪一方，他至少间接与任天堂产生了联系，事情曝出不久后，老任就试图替换 Switch 的新固件来解决问题。

与「请添加反作弊功能」的始作俑者截然不同，情理上看，Kate Temkin 的背信弃义让人感到愤怒，她的一己私欲也为人诟病。但如果将目光转回到法规的约束上，这又不失为悬崖勒马、造福行业的一种善举。

情理与条例的冲突，自然而然的成为了人们争执的焦点。尽管两起事件就像走到了镜子的两面，但无论是匿名开发者还是高调的  Kate Temkin，他们之间并非没有共性。两者的动机和行为都产生了矛盾，一方面是善与恶的出发点，另一方面则是罪行与合法性。但不管从哪个角度来看，其中都蕴含着「不作恶」的属性。而这些处在夹缝中的破解者，我们通常将其称之为道德黑客，亦名白帽黑客。

自善至恶：当免疫系统发生病变

在七八十年代的舆情中，黑客一词的普遍含义，代指的还是那些对计算机技术有着深刻理解的人。以色列网络安全专家 Keren Elazari 对此仍然深信不疑，她在 TED 大会上公开指出，黑客是一种有机的免疫系统，他们协助漏洞的修补，逼迫人们正视自己的软肋。那些坚守信条的「安全专家」选择带上白色礼帽，他们就像是山野中的罗宾汉，将挖掘出来的秘籍反馈给焦头烂额的开发者。

Keren Elazari 在 TED 大会上的演讲

1981 年，纽约时报对他们的评价无疑是积极而正面的：

他们是技术专家，技艺精湛，通常是很年轻的程序员，总是带着奇思妙想来试探计算机的防御系统，探索着它们的极限和可能性。尽管他们看起来像是在破坏系统，但其实保护了重要的资产，这些东西往往很有价值。

通过自研的 Root 工具，波兰网络安全研究员 Joanna Rutkowska 攻破了 Windows 系统的内核保护，而在 2009 年的一篇论文中，她又曝光了英特尔 CPU 的缓存漏洞。作为普及最广的 PC 软硬件产品，这些脆弱的后门很可能导致系统控制权易手，从而造成一定的社会隐患。

Greg Hoglund 则意图指出网络游戏背后的安全顽疾。在《Exploiting Online Games》一书中，他通过深入浅出的方式，撬开了《巫术》和《创世纪》等产品背后的根本问题。剧集《Track Down》有着更为戏剧的表现，该片改编自真实事件，主要讲述了日裔安全专家下村勉抓捕美国头号电脑通缉犯的故事。

下村勉，其父下村脩是诺贝尔化学奖得主

糟糕的是，Elazari 所指的免疫系统正在发生病变。时至如今，黑客成为了破坏的代名词，这与他们自身矛盾的性质息息相关。

破解和挖掘的背后，本身就潜藏着巨大的黑色回馈，这形成了难以抵挡的天然诱惑。如同《星球大战》中的「黑暗面」，要腐化一个苦行僧并非那么困难，天平随时都有着倾斜的可能。越界者逐渐达成了共识，进而去获取本不属于自己的利益。

2011 年，CSDN 的数据库失窃，盗取者恰恰就是白天坐班的内部安全人员。计算机专家 Kevin Mitnick 同样苦于自己的双重身份，他曾在 1988 年-2000 年间多次攻破大型科技公司的网络，从中撵取的收益超过百万美元，直到蹲了 68 个月的监狱之后才改邪归正。

仅从技术的层面来看，白帽也好、黑帽也罢，他们所用的总归还是同一套手段。一旦涉及到漏洞挖掘，模拟攻击几乎是避不开的方式。这通常得不到公正的监管，而且极难定性。许多国家对渗透测试的合法性还处于界定状态，如果没有得到企业的授权，有可能产生极大的法律风险。

正如菲力帕·芙特提出的「有轨电车难题」一样，道德黑客当前处于义理与法条的夹缝之中，这种矛盾可能才是病变的根源所在。当规章条例处处作对，企业对呐喊的声音不闻不问时，屈身灰色地带的道德黑客很可能采取更激进的行动。

匿名者是个相当有争议的社群，很多活动与政治相关

匿名者组织（Anonymous）曾对 40 个与儿童色情相关的网站进行攻击，并公布了 1500 位访客的个人信息。他们的做法某种程度上合乎道义，但在法规又说不过去。善意的恶行本应以更好的方式引向正途，而恶意的善行也需要外力才得以维持。一旦癌变开始，整套免疫系统就丧失了自我净化的能力。

放任不管并非一条健康的发展道路。随着工具和自我技能的进步，软硬件所暴露的弱点正在呈指数增加。技术的连通显得更为致命，几乎没有人能打造不受侵扰的安全体系。道德黑客可以视为一种宝贵的稀缺资源，如何通过外力来击破他们自身的矛盾、净化免疫系统，成为了当前各个行业亟待考虑的问题。

自恶至善：让他们做个好人

所谓「恶意的善者」，只是在奖金回馈下转变了最终行为，仍没有撼动内心的动机。但 「善意的恶人」却有所不同，他们的动机本身就相当高尚，合法性和收益是为数不多的症结。如果说前者是防止疾病扩散的一种保证，那么让后者「成为好人」，才是净化免疫系统的关键所在。

从合法性的角度出发，企业认同、法律许可，监督机制缺一不可。当把道德黑客划定为「好人」时，政企无疑得给出明确挖掘的边界，对合理的手法予以豁免，从而最大限度的维护双方利益。当然，不可忽略的一点是 —— 钱还是得给的。

值得庆幸的是，确实有人正在尝试着解决问题。

在奥巴马政府时期，美国就开始制定和施行 VEP 政策，其中明确提出了漏洞分级、裁定和申诉的建议。草案《入侵和检测物项》中有更为明确的表现，他们将「披露安全漏洞」视为出口品，回馈奖励也作为一种出口行为，这意味着道德黑客的挖掘行为具备了一定的法律效应。

美国国家公共设施咨询委员会则在 2003 年开始拟定《通用漏洞评分系统》，这也是为了方便企业自查，约束相关的渗透测试行为。Valve 近期启动的「Bug 奖励计划」，恰恰就是基于这套系统。

通用漏洞评分系统的打分方式

而在给钱这件事上，大型科技企业可是一点都不马虎，这当然也与公司的属性相关。奖励上限达到 20 万的谷歌自不必提，他们在 2017 年发放的漏洞奖金就超过 290 万美元。微软近两年来同样调高了赏金数额，单个漏洞的反馈最多能获得 25 万美元。华盛顿的信息安全公司 Zerodium 更是不计成本，iOS 相关的漏洞奖金甚至有 50 万美元之多。

以游戏为主营业务的企业则显得抠门一些。在众测平台 Hackerone 中，Valve 给出的奖励范围是 100~15000 美元、任天堂为 100~20000 美元、RockStar 平均为 500 美元，而索尼则是一件纪念 T 恤……

Valve 赏金计划的支持者

看起来全世界都想让道德黑客成为好人，那目前的问题出现在哪呢？最为突出的一点，就是企业和个人的话语权并不对等。他们的发现是否受用，进而是否应用，很大程度上受到主观判断的强烈影响，整个过程也是极为不透明的，这同样涉及到一些诚信问题。

巴基斯坦少年 Khalil Shreateh 曾发现 Facebook 的隐私漏洞，他得以绕过权限在任何使用者的页面留言。不过，Shreateh 所提交的报告很快石沉大海，直到他在扎克伯格的页面中「亲自示范」，事情最后才得以落实。《喷射战士 2》中的激进行为，本质上与这没有多大差别。标榜着「黑客文化」的 Facebook 尚且如此，那些本身都没有回馈计划的企业可想而知。

Khalil Shreateh 的亲自示范

尽管大型科技企业的奖金看起来很多，但他们一年其实也就回馈 200 多个对象。例如苹果在 2016 年出台的 20 万美元奖励计划，他们最后采取的实际是邀请认证制度，合作对象不过只有几十人。

Hackerone 等漏洞众测平台的兴起是个好现象，也是未来的突破口之一。它们能以商业经营的模式协调企业和道德黑客，以平衡两者之间的利益冲突和不对等关系。但就现在来说，第三方的约束力还极为有限，而且给予的奖金确实太少。

据 Hackerone 2018年的调查报告显示，年收入超过 2 万美元道德黑客，也就是通过奖金能养活自己的人仅为 16.1%。而一个大网站库端的黑市价格据传在 100 万美元左右，两者的落差的确会让一部分人失望。

截至 2017 年底，Hackerone 发放的漏洞奖金为 235 万美元

不过，我们总得看到更好的一面。早期的道德黑客可以说是用爱发电，生存环境极为糟糕。近几年来他们的曝光度显著提高，业余在众测平台寻找漏洞，一两年赚到几十万美元的人也大有人在。民众对于漏洞和入侵的认知不再局限于黑色产业，他们或多或少的开始了解，这些技能可以被有效应用于软硬件的安全维护上。

在政企、市场和用户的共同努力下，一种能够破除矛盾的外力正在成型。卡内基梅隆大学、塔夫茨大学如今已将黑客技术列入课程，甚至衍生出「道德黑客」（Certificated Ethical Hacker）的认证考试。假以时日，当整套免疫系统的净化完成时，众人所憎恶的「破解者」，也许真能成为我们所期望的好人。