这世上最难的战争，

不是一网打尽。

而是杀尽所有的敌人，

还不误伤一个无辜者。

撰稿 | 走狗

编辑 | 图图

作为一个淘宝15年老用户，得知将要采访阿里一名安全技术大牛时，内心兴奋而又好奇。

他是谁？他是不是昼伏夜出的神秘人物，是不是不食人间烟火的方外高人，抑或如电影中无所不能的黑客，淡然地面对着满屏幕的神秘代码，好似上帝在编织着大千世界的程序，一个“Enter”键按下去，整个世界焕然一新。

很快笔者得知，他的代号是“铁花”——2006年入职阿里，2008年开始从事安全工作，淘宝最早SDL（Security Development Lifecycle，即安全开发生命周期）的建立及实施人、淘宝第一代web安全解决方案的开发者、安全静态代码扫描平台的创建者。All in无线曾负责来往事业部整体服务端团队及整体技术业务安全，内部IM即时通讯云平台主要设计者之一。

目前，铁花在安全部负责安全技术平台产品体系搭建及基础安全开发，正在着重进行的有安全技术平台产品的中台输出建设、基础架构霸下技术体系建设以及集团重大活动保障。

初见铁花，感觉其一脸憨厚之相，一直含笑不语，有着技术大拿独有的内敛与稳重。

一番寒暄，相谈甚欢，铁花也逐渐打开话匣。

最初纯粹是因为好玩

铁花深吸口气，满含深情地回忆起那策马飞扬的年少时光。

作为一名80后，铁花在1997年时就开始玩起了互联网。那时他刚上高中，对未来并无规划，纯粹觉得网络好玩。

1998年，QQ问世，用户渐多。铁花看到很多黑客都喜欢盗取QQ，他脑子一热，觉得这东西好玩，泡了一段时间黑客论坛，很快掌握了盗Q大法，成功获得了几个QQ的密码。但他只是为了验证自己的技术，并未篡改别人QQ密码。

早些年，黑客论坛是众多技术爱好者的乐土。还有黑客杂志，也是一个重要的学习途径。有些杂志比较激进，会刻录光碟，光碟里全是各种病毒木马，以及各种黑客工具。

铁花笑称：“97、98年的时候，互联网企业还比较罕见，国内所有互联网企业加起来，一张小卡片就可以写满。网络安全还没什么商业标准，甚至国内尚未出现网络安全这个概念。”

2000年，铁花考上大学，专业是计算机科学技术。

大学的世界远比高中更加开放与精彩，互联网迅猛发展，腾讯、阿里、百度等如今的BAT三巨头陆续出现，新浪、搜狐等四大门户网站也风生水起，以致于出现了严重的互联网泡沫。

刚入大学校园，学校不让大一新生买电脑，铁花只好去网吧。那时没有U盘概念，只有软盘和光盘。有时下载的软件工具容量太大，软盘装不下，铁花就带着光盘去网吧，找有光驱的主机。除了刻录光盘，就是到看雪论坛学习Crack相关的脱壳、加固等技术。

有趣的是，正如前文所说，光盘中常刻录病毒木马和黑客工具，最后搞得网吧电脑上全是病毒木马，网吧老板把铁花赶出了网吧，并将他列为黑名单。时间一长，学校周围网吧均将他拉黑。想去网吧玩网络和技术，自然行不通。

于是，铁花便将目光转向了学校机房。学校机房要钱，但他看到少数同学居然可以不花钱上网，他便开始研究机房电脑。

铁花发现，学校机房电脑用的都是类似于CMOS模式的密码，就给电脑装上黑客软件，做键盘的监听记录，把密码弄掉，便可不花钱上网。

从那以后，铁花开始捣腾起了各种技术。比如，要下载某个软件，但那些软件不是下载到本地就能用，需要license（通行证）。他就尝试修改软件代码，不断调试，经常把电脑搞到死机或系统崩溃。但这对他来说并非什么难事，大不了重装系统。

接下来，web安全开始流行，铁花也会尝试黑一些网站，去拿数据库、提取权限等。当时还没有《网络安全法》，大多数人也没网络安全意识，更没意识到这是违法行为。

铁花无奈笑道：“我当时就只觉得好玩，并没有任何谋取不当利益、祸害别人的想法，顶多搞点小恶作剧就完事。”

在那个年少不羁的年龄，铁花就靠着这些“玩”，技术愈发精进，兴趣更为浓厚。人生的一些不经意，却成为生命中最重要的东西。

加入阿里只因“是家好公司”

2004年，铁花大学毕业，阴差阳错去了西安工作。他家在杭州，“父母在，不远游”，没多久就想回家乡工作。

2006年，铁花归乡心切，就问同学杭州有什么好公司。同学说“阿里巴巴是家好公司”。他一拍脑袋，立马给阿里投简历，没想到竟顺利入职。

初来阿里，铁花依旧当成一种兴趣来做。但他后来参与的一项工作，让他开启了新的眼界与职业路径。

当时淘宝上售卖各种充值卡、游戏点卡，需要客服在后台服务。买家购买充值卡时，都要看卖家旺旺在不在线，若在线就先沟通再付款，卖家再把充值卡号发给买家。

但是，客服不可能一天二十四小时在线。很多人半夜手机欠费停机，或半夜打游戏，点卡没了，想要在淘宝上充值，却找不到客服。

就算在白天，客服也会因为忙碌，买家需要耐心等待，造成极差的购物体验。

于是，阿里做了一个自动发货项目。即商家提前把充值卡号、密码存储到系统里，买家下单后，系统会自动发货，或直接帮买家充值。

自动发货项目，引起了很大的轰动。那时淘宝每年都会评选出“十大网商”，其中有一家电商，就是用了自动发货功能，成为“十大网商”之一。

对此，铁花感触很深，他以前常从技术的角度看待问题，很少从业务的角度去看。自动发货项目，从技术角度去看比较简单，但却直接改变了人的一种生活方式，为整个社会提供了便利。

机缘之下转到安全工作

铁花接触阿里安全，也源自一份机缘。

2008年的某天，时任淘宝技术负责人的张三丰突然发问：在座各位有没有人关注网络安全？大多数人沉默不语，铁花的领导随口一句：铁花平时爱钻研这块。这样一句话，把铁花从一个测试工程师推到了安全位置上。

2013年，由于阿里巴巴ALL in无线的战略变化，铁花转到来往事业部，负责安全相关的事。现在名声大噪的钉钉，就是来往事业部孵化出来的。

铁花说，当时来往事业部开发了几十种不同的APP，多为社交类APP，不同种类的APP面向不同的用户。内部竞争很激烈，很多APP最终并未对外发布，就被内部竞争PK掉了。所以大家都比较拼，一个月大概只能休息一天。

那段期间，铁花从APP端一直到售后端，全部都参与过，虽然很累，但他觉得这是一个学习和经验积累的过程。并且，马云每周都会过来慰问他们，给他们打打气，说说方向，谈谈战略，让所有人都清晰公司要走的方向。

所以，包括铁花在内，所有人都满腔热血，鼓足干劲，努力向前奔跑。

在长久的历练中，铁花更加感受到了阿里的责任与价值。他说，阿里并不是什么业务赚钱就去做，而是一直站在一个使命的角度，包括做电商，从一开始马云提出的“让天下没有难做的生意”，每一步做的时候，都是围绕着这个目标。

此外，阿里还坚持做公益类的项目，比如马云倡议的“人人三小时，公益亿起来”，在一些大层面上，比如扶贫相关的事情，比如铁花主持设计开发的“团圆”项目，即与公安部合作的一个“打拐”系统，都是担负起了对国家、对社会、对公益的责任

为什么要做全链路风险防控

在前不久落幕的全球安全顶会RSA上，铁花代表阿里，在阿里展台上讲解全链路风险防控技术。

铁花坦言，专业表述大多人听不懂，他便用通俗语言，向大众讲述什么是全链路风险防控技术，阿里为何要做这项技术。

铁花说，阿里和其他大多安全公司面向的业务模式不同，他们往往针对某项安全技术的一个点，但阿里是一种生态，需要考虑整个生态的安全。比如阿里云，国内有接近一半的网站都在阿里云上，阿里不仅要保证自身安全，还得保障这些网站是否安全，是否合规，这些政府也有监管要求。

如今，黑灰产攻击，已不再局限于一个点，而是一整套攻击手段。

相应的，以前安全往往通过事件驱动，但现在绝不能站在某一点问题、某一类事件的角度去看。因此，阿里面对的是一个整体性的风险，由此才推出全链路风险防控技术。

铁花介绍道：“针对一个已知的风险，我们在整条链路里面，哪个点该做什么事。比如WAF这个点，我们需要做什么，再往后到端管云这一整套下来，端上做什么事，管上做什么事，云端做什么事，把整个从风险的角度，一层一层化解下来。甚至到最后，比方说搞供应链的时候，应该做哪些事。如果真实发生一些case，我们还可以借助法律法规，让法律法规更加健全完善。”

这种模式就是，以风险角度为核心，针对风险主要防范什么，将已知风险层层降解。

另外，全链路风控技术还有一块是面对未知风险。你不知道黑灰产的手法，因为他们天天在挖漏洞，也经常更新攻击手段。但只要清楚，己方要保护的东西是什么。

比如，从资产和稳定的角度出发，一层一层往上递推，每一层在遇到未知风险时，应该保障到哪种程度。这样就算未知风险来临时，也能有一个比较长的链路，而不仅是单点防御。如此便可以做到层层递减风险，把风险争取降到最低，甚至是零。

铁花感慨道，全链路风控技术的建立，不是一蹴而就，而是一个漫长的过程。从2008年开始，他们就开始一点一滴开始建立，去接触和解析各类风险，只有深入认知风险，才能更好地进行防范。

2018年双十一当天，霸下就成功拦截了超过16亿次恶意行为。阿里端上每年双十一都会出一个新版本，即双十一版本。在版本里面会加入很多新技术，去保护端上不会被破解，保证端上的逻辑不被绕过。

另外，在网关层面，也会做更多的特征分解，即通过有限的一些网络数据，就能甄别出大量的有害请求，也可以在这一层进行阻拦。

再往后，数据经过层层传输，流到业务方的时候，还会得到更多的样本数据。这些样本数据不仅仅针对网络上的一些特征，还有业务特征，此时便有了智能风控。

智能风控依赖于更多的业务数据，做出智能的评判，比如当前这一单是恶意的还是非恶意的。智能风控做完以后，它就会告诉系统应该怎么去响应。

如果过了智能风控这一层，还有遗漏风险，便会有一个离线消息。包括离线的计算和迹线的计算。在最快时间内算完以后，就可以告诉供应商和卖家，这笔交易是否恶意，是否需要防范。

除了线上的防范，一旦交易发生重大事件，比如会留下大量的痕迹，也可以帮助进行线下追踪，通过法律的手段追责。

安全行业的一些趋势展望

结合自身的安全实践经验，在众多安全厂商尚未大规模涉及的业务安全领域，铁花认为，以业务风险为核心、以低成本有效性及可靠性为核心、依托新技术创新为核心的业务安全也将是未来趋势。

此外，未来的网络安全，将会变成黑灰产AI与安全防御AI之间的最终对抗。

铁花说，如今黑灰产从技术研究、软件制作、运营销售到最终执行，已经形成一条完整的且不断完善的链路。以后，人工必然越来越少。因为人工需要休息，而AI可以全天24小时工作。所以，最终必然会变成黑灰产AI与安全防御AI之间的对抗。

铁花举例说，前段时间，有人利用AI实现了对影视剧人物的换脸，表情神态几乎达到了以假乱真的效果。甚至在网络上，还流传着将女明星的脸，替换到情色小视频中女演员的脸上。

若是有人利用AI技术去模拟一些真实人脸，进行智能门锁、智能手机、网络支付、身份认证等，从而绕过安全防护体系，必将引发灾难性的后果。

对此，阿里安全也早在AI防控中加入攻击对抗技术，提出安全AI概念，包含 AI 本身的安全性、用 AI 手段去解决安全问题和强对抗场景下诞生的新一代 AI，希望提升行业对这一领域的关注，并推动 AI 更好的发展。

13年，我的青春，我的梦想

采访最后，铁花回答了笔者，为何取名铁花。

在阿里文化中，有一种很特别的武侠文化。从阿里初创开始，但凡加入阿里的员工，都会取金庸江湖中的一个人物名作为自己的代号，比如马云代号“风清扬”，现任阿里CEO张勇代号“逍遥子”。

铁花来到阿里时，金庸江湖中人物名基本上已用完，他只好转向古龙江湖，即《楚留香传奇》中的胡铁花。

铁花敬慕胡铁花的侠肝义胆、古道热肠，以及有所不为、有所必为的率真性情。

笔者凝视铁花，问他是否是一名黑客。

铁花说，黑客并非是在网络上干坏事的人，它是一种精神与信仰。黑客的精神就是要去做，永不放弃，改变世界，而不是破坏世界。

在铁花眼中，埃隆·马斯克（太空探索技术公司（SpaceX）CEO兼CTO、特斯拉公司首席执行官）和乔布斯（美国苹果公司联合创始人）都是黑客。“他们是真正意义上的黑客，因为他们改变世界。”

笔者又问，在阿里十三年，如今成绩斐然，是否意味着事业有成。

铁花沉思片刻，引用美国励志电影《心灵捕手》中的一句话说：“成功的含义不在于得到什么，而是在于你从那个奋斗的起点走了多远。”

言罢，铁花意味深长地一笑。

笔者再问，从事安全工作，是天赋重要，还是努力重要。

铁花目光再度四十五度角上扬，幽幽道，《晏子春秋》中记载，齐国大夫梁丘据谓晏子曰：“吾至死不及夫子矣！”晏子曰：“婴闻之，为者常成，行者常至。婴非有异于人也，常为而不置，常行而不休而已矣。”

好一个精妙回答，笔者肃然起敬。先生之才学，之品性，之持恒，值得后辈追随学习。

十三年，说长不长，说短不短，却是一个人青春最美好的年华。阿里十三年，铁花对得起他的青春，也对得起曾经的梦想。

访毕，笔者起身，恭敬一揖。听君一席话，不枉此行尔！