刀锋战士，智能时代的守护者

先引用个旧文 深度学习席卷互联网，你还没有跟进么？

嗯，这篇旧文，众所周知，是广告，但对这里提到的内容，我是非常认真的去核实的，上周我在新加坡，约了新加坡国立大学，南洋理工大学的几位AI领域的年轻老师学者吃饭聊天，谈论AI技术的实际应用前景，其中一位即将回国担任名校教职，是国家千人引进计划中的一名牛人。我就请教他一个问题，我说在AI领域，Google的TensorFlow到底处于怎样的位置。他是这么解释的，可以理解为AI领域的操作系统，当然，操作系统不止这一家，那我就问，在这些操作系统里，TensorFlow处于怎样的竞争关系呢，他表示，在产业界目前属于相当优势的地位，在学术界他们也会有其他选择。

我在知识星球里说了这么一段话，我说，最初，搜索引擎不是Google发明的，但他们把搜索引擎发扬光大了，从门户的附庸提升为核心的互联网应用，极大提升了人类信息获取的能力，这是Google给人类的第一份礼物。 安卓本身也是Google收购的团队。其实智能手机最初的王者，是诺基亚塞班，但苹果极大降低了智能手机的使用门槛，让人们可以无障碍使用。而安卓，则极大降低了智能手机的拥有门槛，让所有人都能用上智能手机。这是Google给人类的第二份礼物。现在，我说，AI时代正在来临，而TensorFlow，大概可以说是Google给人类的第三份礼物，因为它的确极大降低了AI落地研发和应用门槛，其实很多领域我们已经享受了AI的便利，只是还没彻底的体会到这场变革。

有人偷偷对我说，你这么好的一段话，为什么不贴到卖课的那篇帖子里，其实我没告诉他，那篇文章是广告，我把么真诚的话放到广告文章里，别人可能对这段话的意义认知就会打很大的折扣，读者会认为我是为了卖课才这么说的。

以上是本文的引言，不好意思，引言有点长。

现在问题来了，当智能应用越发普及，正在逐渐改变我们生活的时候，作为智能应用的底层系统，一旦出现安全事故，那么会出现怎样不可预料的风险和问题，这其实想想都有点毛骨悚然，比如一辆自动驾驶的汽车，突然被黑客控制。。。

2017年底，腾讯安全平台部门高级安全研究员张博发现，Google的开源深度学习框架，也就是前面提到的TensorFlow架构内，存在严重的安全问题，可以导致开发者的AI模型被窃取，甚至被篡改，其后果可能是非常严重的，发现漏洞后，张博和同事们把这一漏洞命名为Columbus，并在第一时间向谷歌报告了这一风险，这是第一个被谷歌官方承认的TensorFlow安全漏洞，张博和同事们也包揽了后续的前七个漏洞。值得一提的是，由于Google AI这块的团队，之前并未过多考虑到TensorFlow安全性问题，整个TensorFlow 的漏洞响应机制可以说是在张博和同事们的协助下建立的，以便及时公开安全漏洞的编号、类型和解决方案。

Google致谢的时候，需要提供一个团队名字。腾讯安全平台负责人，我十几年的好朋友Coolc童鞋，觉得刀锋战士这个名字特别酷，和大家一合计，一致通过，定下了 “Blade”这个名字。Tencent Blade Team，从此师出有名。

对一般人来说，能帮Google指出这么大的风险，已经可以说是巅峰表现，但对于Tencent Blade Team来说，好戏才刚刚开场。

亚马逊智能音箱Amazon Echo，硅谷当红高科技产品，可以说是智能音箱的开山鼻祖，更是市场绝对领先者。Tencent Blade Team的研究员伍惠宇、钱文祥、李宇翔发现，黑客能够在Amazon Echo的静默状态下（无唤醒，LED电源灯不亮），窃听用户的说话内容。

2018年5月，团队将一份完整的漏洞细节报告提交给了亚马逊公司。亚马逊安全部门立刻进行了分析和响应，并向Tencent Blade Team发来感谢。两个月后，所有用户的Amazon Echo漏洞得到了修复。

接下来小米、Google home等多款智能音响也相继被Tencent Blade Team “攻破”，其中，Google home是首次被发现无接触攻破漏洞，Tencent Blade Team也因为对小米产品安全生态作出的卓越贡献被授予了“年度最佳守护者”的称号。

而最近，Tencent Blade Team最新的战果是 ，发现了SQLite存在严重漏洞，所有chromium浏览器均受影响，大量安卓IOS应用也受波及。他们把这一漏洞命名为Magellan，并联手Google、Apple等厂商推动了这一漏洞的修复。

智能时代，万物互联，背后的安全风险，总需要有人默默守护，我知道，大家喜欢看的是，如何快速赚钱的案例，但有时候，我们也需要对所有无名英雄，给与恰当的尊重。

你以为本文到此，应该结语了么？并没有。

以上这些，其实是腾讯安全平台部门的副业，其实很好理解的，你获得第三方企业再多的赞誉和感谢，对腾讯而言，价值在哪里？这不是这个部门的使命和责任。实际上，腾讯安全平台的真正责任是维持腾讯业务生态的安全，维系腾讯整个平台的安全和健康。但是，我旧文 信息安全攻防杂谈 提过，

防御缺乏存在感

只有出事的时候，人们才会责怪负责防御的信息安全负责人。

很尴尬的事实，所以，可以这么说，一群技术牛人，只有通过帮同行挖掘漏洞，指出问题的时候，才能刷出一些存在感，虽然依然只有很少人知道，而兢兢业业本职工作，做的越出色，反而越没有存在感。

腾讯安全平台部门，其工作范畴是相当复杂和庞大的。

这张图需要点击放大才能看的清，在腾讯安全平台部门之中，刀锋战士们的工作，只是其中的一个点而已。

当我想要为他们部门做一点宣传的时候，我发现，只有这个点，大约才是能让读者更容易理解他们过人之处的地方，而实际上，他们一些更厉害的事迹和成就，甚至很多永远都无法公开付诸文字。毕竟，在防御领域，永远信奉越低调，越安全。

实际上，腾讯安全平台部门的建立要追溯到2005年，当时的名义是安全中心，主要应对黑客攻防及QQ帐号体系的安全问题。随着公司业务的发展需要，安全中心的工作开始涵盖业务安全、DDoS防御、终端安全、垃圾消息等领域，并更名为腾讯安全平台部。

在过去的十余年里，该团队目标致力于帮助解决公司内外安全问题，从盗号、挂机、垃圾消息、DDoS攻击，到社工诈骗、红包欺诈、刷单黑产，再到安全大数据、云安全、智慧安防，可以说我们能够畅享使用腾讯的各种服务，背后都有他们的保驾护航。 在之前我的旧文 创业者的噩梦 - 谁劫持了我们的用户！ 发布后，他们也很快的给予积极响应，并对类似事件做了进一步的追踪处理，在此我也要公开表示感谢。

昨天的文章 科技向善，一念天堂。 其实每个人也都可以做出选择，安全高手，特别是具有漏洞挖掘能力的这种，如果想要自己赚钱，有很多手段和途径，但善恶就在一念间，很庆幸，他们选择了善的一面。

腾讯安全平台，从属于腾讯技术工程，其对外公众号Tencent_TEG 值得订阅，这里有他们更多的故事，以及更多的技术资料分享。

聪明的读者大概已经看出来了，这么吹腾讯，软文吧。

是的，是的，不敢否认，你看我连赞赏都不开了，不过为无名英雄扬名这事，我是非常欣然接受的。一个企业如果愿意宣传他们的无名英雄，默默从事业务保障的技术团队，我觉得，这件事本身就特别值得赞扬。

您觉得呢？