我認識了一位阿里巴巴“禁衛軍”

淺友們大家好~我是史中，我的日常生活是開撩五湖四海的科技大牛，我會嘗試各種姿勢，把他們的無邊腦洞和溫情故事講給你聽。如果你特別想聽到誰的故事，不妨加微信（微信號：shizhongpro）告訴我。

2006年前後，發生了幾件小事。

湖北天門，彼時還未成年的黑客菜霸，在天涯網上定位出了一位服安眠藥自殺的少女的具體位置，遠程幫助警方救下了女孩。三個月後，他因爲入侵騰訊內網系統被警方控制。

湖北武漢，黑客李俊開發出了熊貓燒香病毒，如瘟疫一般在全國肆虐，諸多黑客大神緊急開發專殺軟件，一時間江湖風起雲涌。

那些年，故事開始像珍珠散落玉盤，“黑客”這個詞亦正亦邪的基調奠定，那些命運迥異的人物從此登上舞臺。

今天坐在中哥對面的這個技術人，和黑客江湖有着十幾年隱隱然的關係。只不過，在他的故事裏，黑客江湖是遠處的黑暗叢林，是城堡角樓上雕欄玉砌的背景。

此人名叫鐵花，他加入阿里巴巴的事件也是2006年，事情就是這麼巧。

“我不是黑客，我的對手是黑客。”鐵花兩手一攤，好像面前有一條楚河漢界。

如果把阿里巴巴比作一座城堡，它的保衛力量分爲兩支：一支自然是軍隊，負責征戰沙場，過河殺敵；另一支是“禁衛軍”，他們從不出城堡，卻拱衛着王國的核心機要。

鐵花是禁衛軍，十多年來，他把一件事做到了極致：對阿里巴巴貼身防守。

（1）

2006年，鐵花還年輕，對於生活的認識就是：“掙份工資+玩兒”。他在西北工業大學學的是計算機專業，爲了離家近點兒，他託朋友給問問浙江哪家公司好。朋友說，有家阿里巴巴還不錯，他就來面試了。

鐵花加入淘寶那年，淘寶剛滿三歲。

同事問他：你的淘寶賬號是什麼？鐵花：什麼淘寶賬號？我還沒註冊啊！

相比後來多少碼農擠破頭都進不了阿里巴巴，鐵花這麼雲淡風輕歪打正着可以說是相當可氣了。

別看鐵花這個人你不熟悉，但你只要在淘寶上充過話費，就十有八九用過他參與寫的系統。

剛到淘寶幾個月，老闆讓他參與開發一個“自動發貨程序”——就是你在網上充話費，不用等網線那頭的賣家刮開卡給你手動充值，而是可以賣家提前把卡號密碼輸入系統，有人買系統就自動給充值了。

鐵花本來就把這事兒當成個小任務，系統沒過多久就在淘寶上線運行了。結果沒幾天，他自己玩遊戲需要充點卡。在淘寶上一下單，點卡瞬間就到賬了。鐵花恍然大悟，原來幾天前自己開發的系統，已經用來服務自己了。

這種感覺很神奇，像是自己改變了自己的人生！

鐵花回憶。

後來這種自動充值的生意，成就了很多超級賣家。

從那以後，他漸漸發現，自己每寫一行代碼，改變的都是全國人的生活方式。這種成就感簡直爽呆了。轉念一想，這要是寫一行有問題的代碼，那坑的也是全國人啊。。。。這事兒可不是鬧着玩的，想到這鐵花手都有點抖。

命裏該然，鐵花因爲嚴謹的風格被安排到一個重要的崗位——代碼測試。

這下可好，他成了淘寶各種新系統的最後一個“質檢員”，只要他說 Yes，那這個淘寶新組件就可以上線，爲上億人提供服務了。他要是眼花沒發現問題，出了事，他也是第一個被皮鞭滴蠟伺候的。

他越是覺得責任重大，越是要用各種姿勢測試系統的安全性。有一天晚上，正在加班做測試，一隻黑色的鳥落在窗外的窗臺上，朝他神祕地轉了一下頭。那一瞬間，他突然想到自己上學的時候曾經研究過一些黑客攻擊技巧。“爲啥不試試用黑客的方法攻擊一下系統呢？”他自言自語。

鐵花被自己嚇壞了。。。

我的黑客攻擊水平也算不上頂尖，但用這種方法攻擊淘寶系統，一攻一個準。。。

他回憶。

這意味着，就在此時，一個陌生的世界可能正在通過裂縫向這裏窺探。

第二天，鐵花趕緊找到自己的老闆丁典。眼含淚水告訴他這個壞消息：如果採用特定攻擊手段，黑客能夠輕易登錄任何一個人的淘寶。

丁典看鐵花神色那麼焦急，有點不解：“只是登錄，也不至於有多嚴重吧？這個問題要修起來，涉及到很多代碼框架的調整，先等等看。”

鐵花見狀，沒說啥扭頭就走了。過了半小時，他在旺旺羣裏發了個搜索鏈接，讓丁典點擊了一下。又過了一會兒，鐵花來找丁典，說：“你的郵箱密碼已經被我改了，你的淘寶密碼我也能改，但我沒動。”

丁典驚爲天人。就這樣，鐵花成爲了淘寶網歷史上第一個“安全開發工程師”，他的職責是：第一、負責制定一套安全開發框架，讓攻城獅們按照規矩操作；第二、編寫相應的安全開發組件，讓攻城獅們寫代碼的時候引用，還能自查組件的安全性。

明眼人一下就能看出，這種操作就是後來大名鼎鼎的 SDL（軟件安全開發生命週期管理），多年以後，這套規則就像吃麻小要戴手套，XXX要戴XXX一樣，已經成爲各個公司開發的標準流程了。

就在淘寶網安全體系一點點建立的時候，河對岸的黑客森林也在一點點躁動。

前文提到的菜霸進攻騰訊內網，“盜馬化騰QQ”的事件已經發生，史稱“朽木事件”。平心而論，菜霸雜糅了那個時代黑客的兩面性，初心是幫助對方修好漏洞，做法卻是實打實的攻擊。以他爲界，黑客分爲正邪兩派：一派是白帽子，拿到大公司的漏洞，用最善意的方式通知公司；一派是黑帽子，拿到大公司的漏洞，直接掛電話勒索。

鐵花就遭遇了很多“黑帽子”。

對方通過朋友輾轉找到鐵花，在線上說：我這裏有淘寶網的一個漏洞，你們阿里巴巴拿30萬，咱們了事。

鐵花也不激動，跟對方說：你真的有漏洞嗎？你得先攻擊我們一下，讓我們知道你有這個實力啊。

對方表示贊同，於是遠程攻擊淘寶。

鐵花在這邊用系統監控，瞬間就找到了對方利用的漏洞，馬上讓同事修補。然後依然平心靜氣的對黑客說：我們已經修好了，你的漏洞賣不掉了。不如加入我們阿里巴巴，一起來爲和諧社會做貢獻，如何？

現在回憶起來，那段日子還挺有趣。

實際上，那兩年鐵花和團隊的童鞋就依靠這樣的“機智過人”東擋西殺江湖人士，保護着淘寶網最基本的安全水位，在一衆巨頭公司裏也頗爲出衆。直到 2009 年，團隊調整，鐵花把對外安全做了交接，繼續低調地把控內部代碼質量。

（2）

2011年，移動社交軟件開始火爆，2012年，移動互聯網隱約成爲攀巖絕壁上的下一個巖縫，2013年2月，馬雲發表公開信，提出阿里巴巴要“All in 無線”。

現在看來，當時阿里押注的兩個移動端 App，就是手機淘寶和來往。

站在當年的城市廣場上，來往就像一羣手握汽油瓶的青年，聲威浩大向封鎖線進軍。彼時鐵花正帶領淘寶二十多個安全開發兄弟，老婆孩子熱炕頭，生活很安定。但他思來想去，還是決定做個威武雄壯的硬漢，咬咬牙籤字報名加入來往。

鐵花攬下了來往整個後端研發，在他的新戰場裏，安全只是其中一部分。

別急，鐵花的劇情先暫停一下，我們再看一下河對岸的黑客江湖。

彼時是2013年，世界上又發生了幾件小事：

在國外，雅虎30億用戶個人信息被黑客盜取（實際上這件事直到2017年才被曝光），Facebook 600萬用戶信息泄露。中國人就文明多了，華夏大地上第一次出現了一股華麗的勢力：羊毛黨。我不打你，也不罵你，你大公司花錢做推廣，我用機器註冊一堆賬號，憑實力薅你的錢，比那些強行入侵炫技勒索的辣雞老外們講究多了，你值得擁有。。。

在這種局面下，作爲一個追趕微信的社交 App，當年的來往面臨兩個安全大問題：

1、各種虎視眈眈像牛虻一樣嗡嗡打轉的羊毛黨。2、各種屢禁不絕的推廣黃賭毒的垃圾信息。

鐵花有點三觀盡毀：

過去自己是禁衛軍，覺得保護好城堡裏那一畝三分地就是最大的忠於職守，但在來往的全戰區沙盤上一看，他發現自己過去是有點天真了。黑客每天處心積慮有一萬種姿勢搞定你，你只縮在城堡裏防守，就特別力不從心。

思來想去，他想明白了兩件事：

1、既然移動App的浪潮勢不可擋，那安全防線就必須頂到最前面——每一部手機的App裏。2、既然黑灰色產業鏈亡我之心不死，那麼只靠一條防線是不夠的，真正的安全得搞多幾道防線，就像淨水器裏的濾芯一樣，濾完沙子濾塵埃，濾完雜質濾細菌。

當然，衆所周知，最後來往並沒有完全擔負起阿里巴巴當初殷切地預期。經過痛苦的轉型，團隊孵化出了釘釘，這是後話。而在2015年，團隊變動的當口，鐵花回到了阿里巴巴集團安全部，和同事們一起重新扛起了全集團業務安全的大旗。

一別三年，鐵花重新審視淘寶、天貓這片老戰場，“真的是物是人非了。”他說。

（3）

對於當時的情況，鐵花的同事硯墨後來這樣回憶：

在聚划算的整點秒殺活動中，進入淘寶的流量竟然有大量都是羊毛黨。。。

“而且那時候的防護不成體系，速度賊慢，資源開銷還巨大。”鐵花補充。

其實就在同一時刻，隔了幾層樓，鐵花和硯墨的老闆的老闆——時任阿里巴巴集團 CRO（首席風險官）振飛比誰都着急。他已經制定了詳細的作戰計劃，準備向敵人發起一波猛烈的衝鋒。

在這個周密的作戰計劃裏，有這麼幾個神獸：

一支由白帽子黑客組成的藍軍，每天自己打自己，換各種姿勢進行攻防演習。一支由資深安全人員組成的研究團隊，每天分析黑產的變化，知己知彼。一支由安全開發老炮兒組成的安全產品團隊，專門開發下一代防護盔甲，像鋼鐵俠那樣給阿里巴巴穿上戰衣。

鐵花就是第三支戰隊的一員，他負責開發的產品叫做“霸下”。

中哥用一百字給你科普一下：

淘寶、天貓像個巨大的購物中心，它有兩個主要的大門：一個是網頁端，一個是 App 端，顧客就從這兩個大門進來買東西，他們進來之後，對於淘寶來說就都是“流量”。壞人也假裝成自己要買東西，就這麼混在好人中間偷東西或者蹭優惠券，他們對於淘寶來說就是“惡意流量”。霸下就是商場裏的監控系統，用來分辨誰是好人，誰是壞人，發現壞人就通知保安給他攆出去。用專業術語說，這叫“流量清洗系統”。（呼~~寫了180個字，還行。。。）

多說一句，霸下是龍的第六個兒子，愛好負重前行，永不停步。

從2016年春天開始，鐵花拉了包括硯墨在內的二十幾個兄弟，開始雕刻霸下。開發了幾個禮拜，鐵花直嘬牙花子。這事兒比想象中要難。

最大的問題在於：你抓壞人，不能影響商場正常做生意啊。。。

跟中哥做個思想實驗：

美國華盛頓國家廣場，如果要排查恐怖分子，最好的辦法就是：只要想進來參觀，那麼必須每個人在門口安檢閘機那裏脫光光，胃鏡腸鏡X光一通檢查，確定身上沒有藏着狼牙棒，才放進去。這樣可以保證絕對安全，一個壞人都進不來。但是這樣一來肯定會導致一個結果：好人都會覺得你有病，再也不來了。那索性不要開放就好了。。。

類比到淘寶，就像個蹺蹺板：一方面必須讓好人不反感，不用脫光光安檢，不用排隊進場，不用等候下單；另一方面你還得在壞人下手之前就抓住他，至少在他得逞之後還沒逃出商場時抓住他。

網上曾經有這樣的刷單程序。霸下的任務就是把這種“惡意流量”識別出來。

這就要求霸下有血快血快的“實時計算”性能。

可用的硬件配置就擺在那，鐵花和同學們只能從算法上做優化。他們發現，在秒殺、正常下單、拼團等等不同的業務場景下如果採用不同的算法，就能大大減少霸下的計算量。當然，這樣的代價就是要多寫很多代碼。雖然麻煩，但是他還是帶着兄弟們悶頭寫了好幾個月，畢竟這是“功在當代，利在千秋”的事情。

在開發的過程中，鐵花突然想起一年前自己在來往的經歷。

當時來往用來屏蔽黃賭毒垃圾信息的方法是人工智能，把很多垃圾留言放到人工智能裏自動學習，機器就會自動識別出“壞話”的特徵，從而自學成才成爲優秀的保安。

既然人的語言有規律特徵，那羊毛黨的流量也有規律特徵啊！

他恍然大悟。

於是，他趕快和同事們一起把人工智能系統架好，把惡意流量樣本輸入進去。不久，結果出來了，機器對於惡意流量判斷的效果出奇地優秀。

這一下，又爲霸下系統節省了大量的計算力。

完成了系統雛形，鐵花在實驗環境裏跑了跑霸下，這貨不僅比以前的系統找出惡意流量的能力翻了十多倍，需要佔用的資源卻只是以前的一半兒。

他吹着口哨就去找淘寶的同事了：“怎麼樣，試試我們新推出的霸下？加量不加價，童叟無欺包你滿意。”

淘寶的同事在實驗環境裏把霸下和淘寶進行了一下聯合測試，霸下特別爭氣，直接把淘寶組件都給卡死了。

看着卡死的界面，鐵花面如死灰。淘寶的同事趕緊安慰，不用不用，你調好了再來。。。

首戰失利。不過這並不能擊倒老炮兒鐵花。他的人生經驗告訴自己，霸下是個開發了一年多的複雜系統，需要在實戰中磨合。修復 Bug 之後，霸下可算能在業務系統裏跑起來了。那幾個月，鐵花在各個團隊之間挨個拜訪，跟各個業務線承諾，你們不用管，我們來維護霸下，出問題我們第一時間給你修好，你就用用唄。

那段時間，我們團隊有些同學專門值夜班，一旦霸下受到黑客衝擊有點頂不住的趨勢，他們都是半夜起牀，手動處理問題。

鐵花回憶。

就這樣，2017年3月，霸下正式在內部發布，從一開始沒人敢用，到一年以後全集團 47個團隊的7000多個服務都使用霸下做流量清洗和流量管理，這幾乎涵蓋了阿里巴巴、菜鳥、高德地圖等等生態內的主要業務。

2017年11月11日，霸下負責全集團的流量清洗。那一天，剁手黨們殺紅了眼，像搶白菜一樣涌進淘寶和天貓這個碩大的商場。當然，與此同時還有混在其中磨刀霍霍準備了一年的羊毛黨。

好人和壞人混合而成的巨大流量洪峯涌向阿里巴巴服務器。那一年的交易量達到了1682億元，就在這樣混亂的情況下，霸下對於惡意流量的攔截率達到了 99.89%。

看到這個成績，鐵花覺得過去兩年在各個業務線同學那裏推銷的日子都挺值了。

畢竟，沒有人能隨隨便便成功。

（4）

從2018年開始，鐵花和同事們再也不用半夜起牀緊急維護霸下了。這意味着：霸下已經是個成熟的系統，學會自己平事兒了。而當年幾乎同時建立的威脅情報和紅藍軍團隊，也在各自的領域建立了自動化運行機制。（有關這兩方面軍的故事，中哥有機會單獨給你們說說。）

阿里巴巴的防護系統從2006年的單打獨鬥，到了2013年的小米步槍，整體進入了2018年的集團軍態勢。

不過，別開心得太早，因爲對岸的黑客江湖也“換了人間”。

從2015年開始，那些曾經的黑客江湖和俠客的傳說一個個黯然落幕。當年叱吒風雲的白帽子黑客，大多都被 BAT 納入麾下，只有少數幾個看破江湖恩怨，閒雲野鶴，退隱山林。那個空了的黑客江湖，被當年俠客們最不齒的黑帽子黑客所統治，他們形成了一條強大的“黑色產業鏈”，有人專門負責挖漏洞，賣給攻擊工具的開發者，開發者開發出攻擊工具，再賣給膽大卻沒有技術的犯罪分子，犯罪分子薅羊毛、做攻擊搞到錢，有下線專門負責把錢洗出來。“錢”這個字魔力無窮，它使得這個鏈條上的所有人都“按勞分配”，簡單到讓人想哭。

面對金錢的誘惑及其他，失去底線的黑產成爲好萊塢電影裏那種毫不值得同情的反派魔鬼。