周鸿祎：至今不觉得懂区块链，比较懂的就是安全

5月29日，EOS被360安全团队爆出存在“价值百亿美元的安全漏洞”，360进军区块链是蓄谋已久了吗？蓝港互动创始人、火星财经发起人王峰向360公司董事长周鸿祎发起对话。

周鸿祎在对话中回应说，这些漏洞EOS官方是确认真实有效的，周鸿祎称自己是从年前开始学习区块链，在3点钟群里没怎么表达看法，是因为确实还没怎么看懂一些东西。最近发现很多区块链系统、交易所系统、钱包系统存在问题。

周鸿祎表示，区块链技术很火，但安全问题还没有被大家重视起来，他认为真正的安全问题其实还没出来，“在网络安全行业里，有两种情况是最可怕的，一种是做沙漠里的鸵鸟，知道不改，还有一种是知道了不爆出来，最后被人利用，这两个才是最可怕的。”

关于360在方面的布局，周鸿祎称主要会在数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案三个方向。“搞安全是一件需要耐得住寂寞，需要长久投入努力的事情。”周鸿祎说希望360能充当“守护者”，为区块链应用保驾护航。

王峰：在今年春节之后，3点钟微信群火爆区块链期间，你也从未轻易表达过对区块链的看法，可是昨天，通过爆料EOS严重安全漏洞之际，360闪电出击，在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作，这是为什么？看起来你是蓄谋已久啊，后面还有大招？

周鸿祎：其实也没有谋多久，从年前开始，我自己也在努力学习区块链的东西。我在3点钟群里没怎么表达看法，是因为确实还没怎么看懂一些东西。

但在安全上我们是专家，所以在17年年底18年年初，实际上我们就已经在关注区块链安全，开始研究区块链技术和相关的安全问题。

在这个过程中，我们和业内很多项目也都有过接触沟通和交流的，我们的心态还是比较开放的，我们也希望大家都能够关注安全问题，所以当大家主动来找我们，希望在区块链安全方面有些深入沟通交流，我们也非常愿意为区块链行业提供更安全的解决方案。

后面我们肯定还是会继续深入研究区块链安全问题，也会继续保持开放心态，欢迎大家来交流合作。

尽管很多区块链、数字货币的设计都标榜非常安全，但任何软件系统，只要非常复杂，这种复杂度，都会带来bug和漏洞，bug和漏洞被人利用，就会带来风险，就会有安全问题。

区块链技术也一样，现在比较火热，我们现在关注的也比较多，我们最近发现很多区块链系统、交易所系统、钱包系统存在问题。

之前大家都在关注区块链带来的商业机会，但是很少有人关注区块链安全问题，最近EOS准备上线，在区块链行业里非常具有代表性，我们这次发现EOS漏洞，提交给对方，希望督促他们修补系统，所以我们披露漏洞，是我们安全公司的职责所在。

没有大家想象的什么蓄谋已久，也没有什么大招，我们的大招就是踏踏实实帮助区块链行业排除风险 。

我至今也不觉得自己懂区块链，我个人也没有买虚拟货币，看着大家在这些群里热烈的讨论，每个人都忧国忧民，每个人都像经济学家、哲学家、思想家一样的发出各种见解，我真的觉得自己像个白痴一样听不太懂。但是我们比较懂的就是安全，所以我们希望和大家一起交流，让区块链行业更安全。

至于很多人和我们合作，说明大家开始重视安全，是个好事。我们也很开放，我们没有任何立场，对所有的玩家来说，我们都愿意帮助他保护用户的安全。我们希望把区块链行业的安全生态发展起来。

王峰：你如何看待昨天披露安全漏洞的严重程度？为什么称这个漏洞价值百亿美元？为什么360安全卫士在微博上将之称为“史诗级”漏洞？

周鸿祎：我们没有立场，是中立，我们提出任何一个系统的漏洞，都是为了帮助这个系统改善安全性，保证它的安全，不是为了打击它。区块链这个行业里，大家其实是在一条船上，作为新生事物，某一家不安全会让大家对整个行业产生质疑、失去信心，对行业是不利的。所以我们反对大家利用安全问题做文章，把安全问题变成竞争的工具。

我先来解释下这个漏洞被人利用可以用来干什么。如果漏洞被人利用，可以控制EOS网络里面的每一个节点每一个服务器，那就不仅仅是接管网络里面的虚拟货币、各种交易和应用，也可以接管节点里面所有参与的服务器。拿到服务器权限，就可以为所欲为了。如果有人做一个恶意的智能合约，就能够把里面所有的数字货币直接拿走了。所以这个对于区块链网络来说，不会有比这个更严重的漏洞了。

再说“史诗级”，EOS在区块链发展史上的重要性大家肯定知道，如果说，这个漏洞我们没有提出来，EOS没有修复，等到EOS主网上线了，被恶意的黑客发现并利用了，那时候EOS会不会一夜之间就被搞掉了，我们都不好说。

EOS现在的估值至少百亿美金了，所以我觉得这个漏洞价值百亿美金并不夸张。另外就是这个其实是我们安全圈内部的说法，是半个舶来语。“史诗级”是从“Epic”翻译过来的，国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。

当然我从公关的角度来看，史诗级这个词大家理解不一样，太文艺青年了，所以说成百亿美金的漏洞，大家会不会觉得更接地气一点。因为很多标题党 “吓尿了、吓哭了 、吓软了、崩溃了”都被滥用了 ，所以用了个“史诗级 ”，其实说百亿美金级别最好了。

王峰：今天凌晨，EOS创始人BM的回应，暗指360制造恐慌，并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此，你怎么看？

周鸿祎：没问题，慢慢来，让子弹先飞一会，你说的消息其实已经不是最新的，最新的慢慢说。

对于已经修复这个事情，我还是需要和大家普及一个知识，就是我们安全厂商对外公开披露的漏洞，一定是先和对方沟通，提交给对方去修复，在得到他们修复的确认之后，然后我们再公开。因为如果EOS没有修复，我们公布出来了，肯定会有一大波黑客立马上去搞他们，所以我们发布报告的时间当然会是晚于修复时间的。

这个不仅仅是对EOS，对微软谷歌苹果都是一样的，对于安全漏洞，通常的步骤就是，首先是挖掘漏洞，挖出来之后就会研究，会怎么被黑客们利用，把这些研究透了，再向相关的厂商汇报，比如这次EOS的，就是把怎么利用的视频还有涉及的详细代码报告给了对方，再然后就是对方修复，等对方确认修复之后，我们才会对外公布。

BM的回应有点让人混乱，看起来以为是我们报告前他们已经修复了，其实是我们遵循了负责任的行业标准流程，报告->修复->公开。

非常明确地说，我们先私下联系了BM，通知了他们EOS漏洞 ，希望他们先修复 这都是有聊天记录截屏的，等到EOS修复了，我们再对外发布这个漏洞公告。

今天我们也还在和对方继续保持沟通，对方对我们表示感谢，也表示会给我们发放漏洞奖金，会对外发致谢。

这也是安全圈的行业通行做法，对方不修复，我们不会公告。这事我们一直在和BM单独沟通，他在Telegram上的留言截图是昨天晚上的，比较断章取义。实际上那个留言之后，他很快回复说，漏洞是真实存在有效的，但是就被截了一点儿。

至于制造恐慌，如果说我们要制造恐慌，直接在主网上线时放出这个，恐慌效果一定比现在要好的多。

我再强调一遍，我们提交的漏洞，EOS官方是确认真实有效的，并且我们在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情，而且，今天早上在和BM沟通时，他们依然是非常认同我们的成果和技术实力的。

在这整个过程中，360都是非常负责任的严格遵循安全行业的安全漏洞披露原则的。我们作为国内最大的一家安全厂商，在全球也是排名前三的安全厂商，我们希望和全球同行和科技公司一起，解决网络安全问题，降低网络安全问题给用户带去的损害。帮助大家发现漏洞、修补漏洞，让大家提供安全放心的产品给用户，是我们共同的责任。区块链作为新兴的技术方向，我们参与进来，无论是这次披露EOS漏洞，还是之前和其他区块链机构的沟通，都是希望和大家一起共同构建安全放心的区块链产品和服务。

王峰：以360安全技术团队评估，EOS Dawn 4.0的公网版本是否有可能推迟发布？

周鸿祎：我认为应该延迟上线的，我们的安全团队还在发现一些EOS的漏洞，我们也会第一时间及时的提交给他们，我们建议修复之后再上线。

王峰：此次发布EOS漏洞事件，让Vulcan（伏尔甘）团队一战成名，可是此前行业内很少有关于他们的消息，大家对他们依旧很陌生，能否向我们具体介绍下他们？坊间说，你们和EOS很快有合作要公布，你方便在这里透露吗？

周鸿祎：你们说的行业内，肯定不是安全圈子里面。360 Vulcan团队在安全圈子里，大家应该多多少少都知道。Vulcan最早是我们360安全卫士的攻防研究团队，有一年他们要参加Pwn2Own，这是个比较厉害的世界黑客大赛，要参加这种大赛，所以他们组了一个小组，就是Vulcan团队。

他们在攻防研究、挖掘厂商漏洞和帮助厂商修复漏洞上实力很强的。上面那张照片，应该是他们2015年组队去参加Pwn2Own 2015获奖的，当时用了17秒攻破了微软的IE11，是历史上首支成功攻破IE的亚洲团队。Pwn2own 黑客大赛上，Vulcan团队连续多年斩获了十几项冠军，在Pwn2own 2017上更是拿到了世界总冠军。所以圈子内部，对他们是绝对不陌生的。

Vulcan参加Pwn2Own2017，拿下“Master of Pwn”（世界破解大师）总冠军时的合影。

跟BM团队联系是我们安全团队直接联系沟通的，最早应该就是28号的时候。我们和EOS方面目前没有直接合作的，区块链安全是我们一直关注的问题，此外360也是互联网科技企业，像EOS这些主要的公链，我们在技术研究方面一直有投入。从年初开始就已经与一些合作伙伴，就EOS生态建设、安全防护、主节点的竞争等方面进行交流讨论。

王峰：让我们直面一下阴谋论，虽然我不相信，但坊间有传闻，360联合某些组织在做空EOS。抱歉我不得不问这个问题，因为在国内有很多EOS超级节点的参与者，他们中有很多人是EOS的狂热支持者，昨天360曝光安全漏洞，引发了各种猜测和起哄，有群友要求提出这个问题。

周鸿祎：大家从我们披露漏洞的时间其实应该就能知道我们肯定不是在做空。假如我真想恶意做空的话，完全可以捂着，等EOS主网上线，直接爆出来。我们现在的做法是什么？是安全行业标准的漏洞通报机制，先和EOS团队联系，提交漏洞详情，然后等他们修复完成了，我们才对外公布，这是非常负责任的做法。我们是希望EOS乃至整个区块链行业发展的更好。

王峰：你认为区块链企业自身应该采取哪些措施，加强区块链的安全性？

周鸿祎：区块链领域里面，我认为真正的安全问题其实还没出来。通过这次披露EOS漏洞，我们希望是让大家能够重视区块链安全问题。在网络安全行业里，有两种情况是最可怕的，一种是做沙漠里的鸵鸟，知道不改，还有一种是知道了不爆出来，最后被人利用，这两个才是最可怕的。我最近还在提一个概念，叫“大安全”，简单说，就是网络安全的影响已经从最初简单的信息安全，演变到现在，从线上到线下，都会受到网络攻击的威胁，并且新威胁越来越多。区块链作为这两年新火起来的技术，它遇到的安全威胁，我也把它归到新威胁里面。

这种情况下，光靠某个企业，比如区块链行业里，你某个项目自身，安全防护能力肯定是有限的，反过来光靠360这样一家安全公司也不行，所以应该是整个安全行业需要得到发展。所以，区块链行业，要能够与网络安全行业，做到协同开放，大家一起来做这个事情。你上一个区块链项目，区块链本身，王峰你肯定比我懂得多，但是安全问题上，肯定我的人更专业，那如果我们来给你们做一下安全检测，是不是安全风险就会降低很多？

我们一定要记住，有这么一句话，叫“没有攻不破的网络”，只有没被发现的漏洞，或者被发现没公开的，不存在没有漏洞的网络。所以，我们希望无论是区块链行业，还是其他行业，要能够正视网络安全问题的重要性。

做法上除了我刚刚说的利用网络安全行业的外部公司力量，你还可以做一些漏洞奖励计划，让整个安全社区都来帮助你解决安全问题。我们每年都会帮谷歌、微软和苹果他们解决很多问题，他们都有自己的漏洞奖励计划，对提交漏洞的团队给予奖励。

王峰：如果360进入区块链行业，360的机会在哪里？你如何评价目前区块链行业数字货币交易所处于中心地位的状况？

周鸿祎：我们现在看区块链，涉足区块链，肯定还是围绕安全。安全问题不是说这次我们披露了，大家热闹一天就完了。我希望大家记住，EOS这个漏洞，不是最后一个，也一定不是最厉害的一个。未来区块链行业一定会出现更多的安全问题，之前传统互联网领域里面遇到的安全问题，区块链行业里面一定也会遇到。这就是我们在其中的机会，当然我们也有自信和实力在其中担起责任，保护区块链行业健康稳定安全发展。

王峰：能否介绍下360在区块链安全方面的布局和方案，比如：交易所安全怎么做？矿池安全怎么做？智能合约安全方面又怎么做？

周鸿祎：过去这段时间，360在区块链方向上，我们的安全团队还是很用心的研究了很多，也拿了一些方案。我们未来会基于区块链安全生态推出三个系统，主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。

第一个，数字货币钱包安全审计系统，这里面会详细地列一些审计的要点，阐述如何做一款比较安全的数字钱包，从而保障用户的财产安全。第二个是区块链安全态势感知系统，这个系统是基于360安全大脑的，可以自动对异常区块、异常交易、异常地址和智能合约进行监控，不仅可以将交易风险降到最低，而且还可对非法数字货币进行溯源。最后一个是区块链节点安全解决方案，目前主要会针对EOS。

王峰：未来几年，区块链行业会出现一家像PC互联网时代的360这样有影响力的安全企业吗？在区块链时代，360安全产品是否能否全面开源？

周鸿祎：区块链行业里会不会出现一个360，我觉得应该不会出现这种情况，区块链方面的问题的解决会是产业化的，360肯定会是其中的主力，但不会像PC时代那样一枝独秀，会有很多从事安全的企业和个人一起来保障区块链的安全。

王峰：360定义的安全业务的边界有多大？360定义的安全业务的边界有多大？AI/IOT/区块链？

周鸿祎：我们关注人工智能或者区块链，其实不管是AI和区块链的安全，都有一个共同点，就是无论是AI的算法，还是区块链的算法，都是要写代码实现的，而代码是人写的，肯定会有漏洞的。我之前看到过一个数据，开源软件中，每千行平均就有6-8个安全漏洞。

所以对于新生事物，不管是新兴技术还是什么，看到美好一面的同时，作为搞安全的，我会不自觉的看到他们潜在的安全风险。搞安全的人更像是一个“看门人”，时刻都要保持一颗怀疑之心、守护之心。关于边界这个事情，我们现在在进入一个大安全时代，为云计算、大数据、人工智能还有物联网这些新技术的发展，网络安全已然不是最初的信息安全，而是从个人的信息安全、金融安全、家庭安全、出行安全，到企业安全，再到社会的公共安全，再到国家的信息基础设施安全、政治安全、军事安全……

所以我觉得不能把安全业务的边界框死了，网络安全行业，有越来越多的安全问题会出现，这对于360来说，是我们面临的挑战，但也是我们的机遇。

作为一个创业者的角度看，或者从企业运营者的角度看，企业也不应该是框死在一个事情上的，我们核心是安全基因，基于此，我们的边界是一个有限的无限边界。

王峰：在移动互联网时代，今日头条、小米科技、美团点评等等迅速崛起，与PC互联网时代占尽先发优势不同，360优势并不明显，这会不会让你感觉到失落？我们都知道你是一个不服输的人，这会不会是360有一天大举进军区块链很大的动力？

周鸿祎：其实做安全这个行业，说刺激也很刺激，你看不管是去年5月的勒索病毒，还是昨天的EOS漏洞，一下子就让全行业都关注到你了。

但与此同时，实际上，搞安全是一件需要耐得住寂寞，需要长久投入努力的事情。比如上面我说Vulcan他们参加黑客大赛11秒攻破IE11，但在那之前，他们扒代码的时间你是想象不到的。然后，不参加比赛了，虽然帮助微软帮助谷歌帮助苹果修复了很多漏洞，你们都不知道，我们更像是一群守护者，站在大家身后的人。

PC时代那时候，病毒木马横行，我们顺应潮流用360安全卫士、360杀毒帮大家解决了安全问题，可能获得的关注比较多。但在移动互联网时代，实际上我们也做了很多事情，你们可以看看去年谷歌致谢榜单里面，我们在安卓上，帮助谷歌修复两百多个漏洞，全球第一，是第二名的三倍。除了这类工作，我们还和公安合作，比如推出猎网平台，打击电信电话网络诈骗。这些事情，可能不会像当年一样刺激，但我觉得我们是做了非常有价值的一些事情，从内心来说，我们还是比较骄傲的。

这些年，我们在原创核心技术上积累也是非常多的，比如上面说的安全大脑，其实是我们多年技术积累的结晶。360安全大脑的网络安全空间大数据，现在是全球规模最大的。也因为有这些大数据和数据中心，360安全大脑的态势感知、智能查杀、攻防与溯源，包括应急响应上，现在在全球都非常具备竞争力。

我不服输，但不是说非要进军区块链什么的，而是说，在大安全这个新时代里面，希望能够继续发挥360安全守护者这个作用。区块链应用以后有可能深入生活、生产的多个方面，360作为国内最大的安全公司，当然希望充当一个“守护者”的角色，为区块链应用保驾护航。（来源：火星财经）

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App