近期360有两件大事，一是在第二届智能大会上发布了“安全大脑”，二是披露区块链3.0平台EOS存在严重漏洞。前者集成了人工智能、大数据、云计算、IoT智能感知、区块链等前沿技术，后者则在加密货币和安全领域均掀起了轩然大波。为此，安全牛走访了360首席安全官谭晓生先生，近距离了解360如何看待安全。

一、安全大脑的全局视角

“安全大脑”的概念是由360集团董事长周鸿袆提出，资料网上已经有很多，因此本文并不详述细节，只是从与谭晓生的对话中，结合自己的理解做出一些总结。

首先从技术层面上讲，之所以叫做“安全大脑”，是因为与实际的大脑活动比较像。整个过程包括了感知、学习、推理、预测、决策五个部分。首先是网络、终端上的流量探测，收集各种维度的数据，如同人的各种感官感觉，然后在数据中心（大脑）做关联分析，最后做出决策。如同大脑有若干个神经中枢，运动、视觉、语言中枢等等，针对不同的主题，如态势感知、APT、网络钓鱼、数据保护等，安全大脑也有相应的部分去对应处理。

与人的中枢神经系统传输模式类似，安全大脑的威胁响应流程包括四层结构。其中，多元一体的安全应用层是安全大脑的指令输出，它面向网络的全方位安全防护；智能服务层开放的智能服务体系及平台，是安全大脑的神经元；数据服务层拥有端到端的数据治理服务能力，为安全大脑提供高效的信号处理通道；数据采集层背靠全球领先的网络空间安全大数据，是安全大脑的感知元。

简而言之，安全大脑就是通过多维度的数据，做关联分析，从而掌握全局信息，以“上帝视角”来观察安全状况，从而达到整体态势感知和全局掌控的安全能力。可以看出，想要做到这一步的关键前提，必需拥有安全相关的海量数据资源。这一点，恰恰是360的强项。

然后从价值层面上讲，安全防护技术从基于特征规则的时代发展到了基于行为检测的时代，但整个网络环境却面临着网络攻击爆炸性增长的态势，防护却始终跟着攻击走，处于被动挨打地位。做过安全运维工作的人都知道，面对海量报警会有多郁闷，最后只能脆置之不理。进一步设想一下，虽然说安全人才缺口非常大，但即使这些人员都补齐了的话，这个世界真的需要那么多的“保安”吗？安全防御如何能够主动一些？如何又能方便一些？

基于人类追求舒适、便利的天性而言，机器学习、深度学习、人工智能的出现既是需要也是必然，其最终的目的就是用机器来代替人工，减少人的工作量。此为“安全大脑”的终极目标。 所以，“安全大脑”的核心价值在于，通过前沿技术保护数字环境，造福社会。

谈完安全大脑，我们再来看看在币圈和安全圈引起轰动的EOS漏洞事件。

二、影响百亿美元的漏洞

有人认为EOS是目前最好的公链，被誉为下一代区块链操作系统，在性能上和成本上（免费）均超越了加密货币中的明星平台“以太坊”，其发行的代币估值接近700亿人民币。不难想象，其存在的高危漏洞可以造成多大的影响。

我们先来了解一下问题主要出在哪里:

EOS节点使用了WebAssembly编码语言，当节点中的解析器在解析WebAssembly的时候，存在一些问题，其中一个问题可导致内存越界写入。懂安全技术的人知道，这意味着什么。于是这个问题或说漏洞就这样被利用，即在某个节点上提交一个包含恶意程序的智能合约，由于区块链的特性，这个智能合约就会被同步到EOS的所有节点。当节点去解析执行这个合约的时候，恶意程序可取得root权限，于是运行这个节点的主机被完全控制。

由于这一系列漏洞可能产生的后果过于重大，360内部经过连夜协商，紧急联系到EOS的创始人 Dan Larimer，简要说明情况后，便把漏洞具体描述，攻击代码，利用程序和修复方法发了过去。对方表示“非常感谢”，之后又在尽可能短的时间内根据360提供的具体情况，将漏洞一一修复。EOS1.0也于原定时间6月2日正式发布，与此同时官方公开致谢360安全团队，并给出3万美元的3个漏洞发现奖励。

事情到这里，暂时告一段落。但回过头来看，还是有不少值得思考的地方。

首先，近几年来使用区块链技术的加密货币不断出现，其中蕴含的价值也被不断被蜂拥而入的玩家放大到恐怖的量级，而闻风而来的黑产则是“当仁不让”的从中攫取丰厚的利益。从算法漏洞到设计漏洞，再到信息盗取和挖矿蠕虫，尤其是后者已经呈现出超越勒索软件的趋势。近年来，数字货币平台被黑的事件层出不穷，就是一个客观的证明。

作为一个聚集了国内顶尖黑客攻防技术人才的互联网公司，360已经各种加密货币平台已经有了不少的安全发现。除了EOS的解析漏洞，还有智能合约设计、挖矿算法、密钥存取、拒绝服务等漏洞，可影响到全球几十种加密货币，其中不乏一些排名前一百位的“明星”级别的货币。据综合加密货币平台Coinmarketcap统计，2017年加密货币的流通总值超过5000亿美元，差不多相当于一个阿里巴巴或是腾讯的市值。可以试想一下，不管加密货币的未来如何，如果手中掌握某些漏洞秘而不宣，用做商业价值，毫不夸张的说，可以想象的空间很大。

EOS漏洞曝光后，引发业内不少人的猜测和怀疑，怀疑360在做空EOS，但实际上明眼的人都能看出来，如果在EOS上线之后再曝光漏洞的话，可能是致命性的打击。周鸿袆在一个谈话节目中表示：360依据安全行业标准的漏洞通报机制，先和EOS团队联系，提交漏洞详情，然后等修复完成才对外公布，这是非常负责任的做法。360希望的是，EOS乃至整个区块链行业发展的更好。

随着物联网、数字化时代的到来，网络安全已经不仅仅是现实世界中的安全在网络世界上的映射，而是变得前所未有的无比重要，并成为全人类、全社会技术与经济发展的基石。如何利用手中的类似于安全大脑这样的“高级武器”，同时经受住各种诱惑，坚定地做好数字世界的护航者，这也许才是一个优秀安全厂商的核心价值观。