有，而且超炫酷，比電視劇裡的炫酷233倍。

“駭客大賽”，或者說網路安全大賽，在業內早已不是新聞，每年都要舉辦好多次。如美國國防部的CyberStakes，騰訊的TCTF，Facebook的FBCTF，以高額獎金吸引全球駭客發掘漏洞。

又如世界知名的Pwn2Own比賽，由惠普、谷歌、微軟等網際網路巨頭合辦，是獎金最豐厚的全球性駭客大賽。

另一個分量相當的大賽是DefconCTF。相比Pwn2Own，DefconCTF門檻低一些。Pwn2Own光報名費就上萬RMB，需要挑戰Chrome、Safari等成熟產品。

和電競比賽相比，網路安全比賽更直接地滿足了網際網路企業的需求。用人話講，電競選手賺廣告費，網安選手賺企業的賞金。因為發現、修復bug是貫穿產品整個生命週期的事，也是企業的“剛需”。

所以為什麼說它比電競更炫酷呢？在CTF比賽現場，沒有轉播，沒有解說，沒有大螢幕，有時甚至連觀眾都沒有。

但CTF對手速和神經反應的要求，一點也不比電競比賽低。選手需要瞬間完成逃避、防守乃至追蹤等高強度操作。開個門鎖、偷個密碼，甚至到某安全部門的伺服器溜達，對於頂級CTF選手來說都不是難事。

不知道有多少小女生，因為近期熱映的電視劇而爬牆，加入了“李現老婆”的大軍。

吸引大家的除了甜到齁牙的狗糧，恐怕就是男主角及一群小可愛們在CTF競賽上為國奪冠的熱血青春了吧。

不過將原著中的電競比賽硬生生改成網路安全比賽，自然也出現了許多為劇情服務的bug，讓專業人士恨不得順著網線爬過去給編劇一個物理攻擊。

比如對於很多第一次接觸“CTF競賽”這個名詞的人來說，電視劇裡描繪的世界確實很美好：戰鬥、團隊、高薪、榮譽、青春，一瞬間就能讓人燃起來為之打call。然而現實中的駭客和CTF等網安競賽，卻遠遠沒有這麼多光環和濾鏡。

從網癮少年到榮耀加身：駭客大賽是靠啥火起來的？

首先，有必要搞清楚網安競賽到底是幹嘛的？

就拿男主角參加的CTF（Capture The Flag）奪旗賽來說，指的是網路安全技術人員之間進行技術競技的一種比賽形式。以前，駭客們總是透過發動真實攻擊來比拼技術，CTF則是將安全攻防變成了遊戲化的設定。

CTF的起源是1996年DEFCON全球駭客大會，而後者如今每年也會吸引全球最多的駭客前往。此外還比較知名的網安大賽還有黑黑帽大會，每年在拉斯維加斯聚集世界頂尖的駭客與安全專業，甚至包括FBI的特工。美國安全機構TippingPoint DVLabs贊助的pwn2own大賽也是高手雲集。

近幾年，網安競賽也開始吸引政府或企業的目光，比如美國國防部從 2014 年開始舉辦名為“CyberStakes”的 CTF；中國的BAT3巨頭也都有自己的網安競賽，比如騰訊的TCTF影響力就不小，成為DEFCON CTF外卡賽授權；飽受隱私洩露困擾的Facebook也在2019年舉辦了第一屆fbctf……

目前來看，網安競賽的核心價值無非以下三種：

第一種是幫助網際網路企業查漏補缺，提升安全能力。比如在pwn2own大賽上，駭客查理·米勒就憑藉一己之力，在蘋果Mac OS、微軟Office以及Adobe Reade等軟體中發現了20個技術漏洞。谷歌的Pwnium競賽甚至將單日比賽改為了全年制，選手們不論什麼時候找到Google的BUG，均可獲得獎金，刺激駭客們來幫助自己發現問題。

第二種是和網路安全人才培養直接掛鉤。參與比賽的職業駭客有機會奪得分數和獎金，還有企業遞出的高薪橄欖枝，自然能夠吸引和挖掘更多的人才投身網路安全行業。從國際到國內，從一線城市到三線小城，無處不可CTF，甚至還發展出了專門針對高中生的比賽。

第三種則是公關價值和廣告效應。透過CTF賽事，主辦發可以彰顯對自身產品和技術的信心，有實力搭建競賽環境；奪冠當然也值得宣傳一波，比如騰訊安全團隊在世界駭客大賽上用5秒攻破Safari拿下第一，360公司13人登上微軟2018msrc top100白帽駭客榜單，都是在為企業安全技術實力代言。

正是這三個方面的助推，讓網路安全競賽迎來了爆發期。駭客們也從網際網路的邊緣角色，成為了賽場上榮耀加身、線下被追捧的主角。

駭客雲集的網安競賽，都存在哪些隱患？

網安競賽的火爆，其好處是顯而易見的，比如讓更多人瞭解和重視網路安全，推動上下游產業鏈的完善等等。可是在其背後，仍然有不少隱患和疑慮尚待解決。

首當其衝的就是駭客競技與公眾安全之間的界限比較模糊。對於很多觀眾來說，網路安全漏洞到底危害有多大，或者說駭客的技術能力有多強，還是一個相對陌生的事情，這需要很長一段時間的市場教育。

而CTF的比賽形式與內容擁有濃厚的駭客精神和駭客文化，在節目中攻佔攝像頭、入侵手機、截流個人資訊，甚至是到國家情報部門系統“一日遊”，都是家常便飯，很容易引發大眾的心理恐慌。像我本人看完一場比賽之後，就默默地把密碼改成了30位。如今有賽事要求選手上傳手持身份證照片，就是希望透過實名制等方式來打消公眾的顧慮。

再一點是，僅僅提供賽事獎金並不能解決網路安全人才的空缺問題。大多數企業主辦方都是“賠本賺吆喝”，指望發掘一些新興人才加入自己的安全技術部門，然而高昂的獎金吸引來的可能不只是人才，還有“賽棍”，進入決賽和得獎的可能來來回回都是一批人，也就失去了挖掘新人的初衷。

而且，競賽所挖掘的人才未必是產業當下最需要的。奪旗競賽並不是現實生活問題的映象反映，很多比賽都朝著腦洞越來越大、難度越來越高的趨勢發展，比如在WCTF中就曾經出現過讓選手破解火箭的題目。

很多企業自己不會搭建比賽環境，透過比賽招來的高薪人才，很可能出現在實際工作中水土不服的問題。最後要麼是因為技能無處施展而離職，要麼就是被巨頭以更優厚的條件挖走。所以說並不是引來了“金鳳凰”，就一定能留得住這些人才，辦賽的投資也就打水漂了。

另一方面，競賽非常考驗選手的手速和反應能力，需要在短時間內完成追捕、逃避、反撲、防守等一系列高強度操作，所以年齡稍大一點都有可能產生反映誤差，劇中戰隊在挑人組隊時選擇的都是十幾歲的小夥也就不足為奇了。但在實際的產業需求中，對於攻擊的判斷、經驗、新興技術的理解等等也非常重要。CTF選出來的人才是否真的能為產業所用，還需要不少的磨合。

更何況，許多頂級駭客也是很難被“招安”的，他們秉承的是“自由探索”理念，與網際網路企業更多的是相互博弈、相愛相殺的關係。2012年，Pwn2Own不再要求獲勝者公佈漏洞發掘及攻破過程，就直接遭到了Google的反對，並撤出了對Pwn2Own的資金贊助。

中國網際網路上著名的偷了馬化騰QQ號碼、黑進騰訊的鄢奉天，也被舉報並送進了監獄。總之，借力駭客提升安全能力、充實安全隊伍的想法，以及駭客的“洗白之路”，中間都存在著很多的不確定性，很可能只是企業和贊助方的一廂情願。

所以我們能看到近年來不少組織機構花重金扶持網安競賽，可是網路勒索、使用者資訊洩露等事故還是頻繁出現，真正走進大眾視野、解決切實需求的案例並不多。

有待“英雄們”解決的安全迷思

網路安全競賽作為核心元素，出現在大眾娛樂文化當中，無疑會吸引更多的人去關注它，從這個角度講，所謂的“改編”和求生欲未嘗不是一件好事。

不過，當下的網路環境也提出了許多新的問題，需要公眾、企業與駭客們來共同探索。

舉個例子，許多急切需要提升安全防護的領域，反而無力、無意舉辦類似比賽來招攬人才。研究顯示，在過去 7 年時間裡，美國大概發生了 1800 起重大醫療資料洩露事件，其中有 33 家醫院遭遇過數次網路攻擊。中國也發生過駭客倒賣醫院資料、公立醫院系統被駭客勒索價值2億元以太幣等新聞。

醫療資料事關人命，而與之形成鮮明對比的則是醫院資訊安全系統在技術和人才上的嚴重匱乏。但在幾乎所有的網安競賽中，人才都流向了巨頭企業和高額獎金，醫院等公共服務機構幾乎集體失語了。如何將網路安全人才引導向這個領域，而不是總想著火箭、情報局之類的“幹大事”，就需要主辦方多動些腦筋了。

另一方面，各類資料和服務向雲端遷移的關鍵時期，想要抵禦多樣的雲攻擊模式，也需要行業共同探索新的解決方案。比如說以前駭客發起攻擊，防守團隊就需要一晚上不斷地跟進對抗，體力消耗很大，特徵演算法的引入，就可以讓人工智慧與駭客進行對抗。

這時候考驗的就是誰的演算法能力更強、技術模型建構的更好、算力更加充沛。所以，未來的網路安全也許就是巨無霸之間的較量了，如何讓新人的學習門檻變得更低，將是一場百川歸海的生態競爭，巨頭企業們也是時候交出新的答卷了。

整體來看， CTF網路安全競賽的概念火了，或許根本原因在於，公共資料安全已經在危機中等待救贖很久了。

作為距離大眾隱私最近的一環，能夠救民眾於水火的競賽，是整個行業都在強烈期待和推動的，同樣也是一場山高路遠的艱難攀爬。或許，有越來越多的“老婆們”理解並認可了這個神秘的職業，它才真正徹底地走到了Sunny下。

轉自網路媒體