龚广，360集团首席安全研究员兼政企安全集团漏洞研究院院长。2021年朝阳区“凤凰计划”青年拔尖人才。是谷歌史上最高漏洞奖励获得者，中国首个黑客奥斯卡“史诗级成就”大奖得主。曾获得数个世界黑客大赛单项冠军，并多次受邀在BlackHat等安全峰会上分享研究成果。

　　因为“机缘”巧合，他投身网络安全研究工作；凭着一腔“热爱”，在行业深耕并斩获多项荣誉；基于“家国情怀”，十年如一日，为国家的网络安全领域贡献自己的绵薄之力。

　　漏洞研究，这个词对很多人来说是陌生的。但对360政企安全集团漏洞研究院院长龚广来说，这已经成为他的事业和毕生的责任。

　　“白帽黑客”成长记

　　2006年，龚广还是湖南大学计算机科学与技术专业的大三学生。得知自己被保研北京航空航天大学后，龚广提前到达准备面试。就是这次面试，成了龚广投身网络安全方向的重要机缘。

　　“现在都记得特别清楚，在北航的一栋教学楼前，有缘碰到了一位教授，由于这位教授是同乡，便闲聊了起来，也得知了这位教授从事网络安全领域的研究……”机缘巧合，这位教授最终成为龚广研究生期间的导师。

　　研究生三年，龚广就展现出了在网络安全研究方面的天赋，接连参与了多项国家和省市级课题和项目。“每次为国家的安全领域贡献力量，内心的成就感和获得感都非常强烈。”龚广回忆，从那时起，希望能有机会为国家安全作出更多贡献的种子就已经种下了。

　　然而，和大多数刚毕业的年轻人一样，初入社会的龚广也曾陷入了对未来的迷茫。“在经过两次不同领域的工作尝试后，才发现只有热爱的网络安全才能够让自己全心投入。”彼时，龚广经常看到360公司不断为中国网络安全发展带来颠覆性的变革，而这深深吸引了他。2014年，龚广入职360手机卫士，并在2015年，真正成为了一名安全研究员。

　　凭借精湛的技术和一腔热爱，当时的龚广在多个国际比赛和国际会议上崭露头角，在温哥华、新加坡、韩国举行的多个比赛中夺得冠军。并受邀到全球各地的安全会议上进行议题分享。作为正义的“白帽黑客”，龚广在安全研究这条路上取得的成绩越来越多，信念也愈加坚定。

　　越挫越勇找“漏洞”

　　在网络世界里，漏洞作为网络硬件、软件、协议或系统安全策略上存在的缺陷，一直是网络安全的“命门”。不法分子可以利用漏洞，发起各种网络攻击。而对于漏洞研究人员来说，为了挖掘一个漏洞付出的努力往往超乎常人的想象。

　　“安全研究是一项非常有挑战性的工作，同时也意味着要投入大量时间和精力，也需要牺牲陪伴家人的时间，但是收获却无法保证。”龚广说，在这条路上走下去，必须要有一份热爱和坚持。

　　“世界黑客大赛是技术交流的平台，也是黑客们个人实力的见证。有时候，虽然是一两天的比赛，但储备漏洞就需要一个月。不仅如此，如果正式比赛的时候，提前找好的漏洞已经被修复，那等于这一个月的努力都白费了。”龚广说，安全研究员必须有一种“越挫越勇”的心态，才能让自己始终保持对这份职业的热爱。

　　就拿让很多安全研究员崩溃的“撞洞”问题来说，如果同一个漏洞被不同人发现，那么后发现者的成果一般不被认可。而面对诸如此类的问题，“不轻言放弃”才能实现一次次的突破。

　　2019年，龚广和团队参加了Google漏洞奖励计划（VRP），他们选择挑战在Pixel手机系统的三层防御体系中寻找漏洞。对安全性极为重视的Google，其亲自操刀的Pixel手机被公认为“最难被攻破”的手机。就连世界知名破解大赛Mobile Pwn2Own，自2017年至2019年，甚至无人报名挑战针对Pixel手机的破解，可见攻破难度之大。

　　“当时我们攻破第一层漏洞并进行了分析研究，在攻破第二层漏洞时，发现第一层的漏洞出现了‘撞洞’的情况，需要重新回到第一层攻击面寻找新的漏洞。”重新寻找一层防御漏洞和二层防御漏洞后，龚广开始了三层防御攻破，没想到就在做第三个漏洞分析时，第二个漏洞又出现与其他人“撞洞”的情况。此次挑战，虽然只作了三个漏洞的分析研究，但龚广和团队实际上一共攻破了5个漏洞。

　　经过不懈的努力，龚广和团队成功发现了一组高危的全链远程代码执行漏洞，利用该漏洞链可一键远程获取手机最高控制权限，并且几乎影响所有Android系统和Chrome浏览器，如被不法分子利用，将会对手机用户带来严重危害。他们将独立发现的这一漏洞链命名为“梯云纵”漏洞。而龚广凭借这一发现不仅获得了Google漏洞奖励计划（VRP）有史以来的最高奖励，还摘得“安全界奥斯卡”The Pwnie Awards颁发的“史诗级成就”荣誉，成为14年来首位摘得此奖桂冠的中国安全研究员。

　　接下来的几年，龚广依旧深耕不辍，不断和360政企安全集团漏洞研究院团队斩获多个相关奖项，并一举赢得国际四大知名黑客比赛大满贯。

　　网络安全守护者

　　数字时代，网络安全已上升到国家战略高度。“网络安全关乎基础设施安全、城市安全、社会安全、国防安全、甚至国家安全，而国家级黑客力量发起的网络战争成为一大安全威胁。在此形势之下，漏洞成为重要的网络武器，每一个设备上的漏洞，都可能成为国家级黑客攻击的突破口。”龚广说，如果国家关键基础设施上的某些漏洞被利用，严重的可能会导致整个城市瘫痪，甚至社会不稳定。

　　龚广没有沉溺在荣誉带来的光环中，反而将身份转向幕后，带领团队为国家网络安全默默坚守。

　　近两年，龚广将很大一部分工作转向管理和人才培养，“从公司和国家层面，都要求我们培养高质量高素质的人才梯队，避免人才断层。我从一名安全研究员一路走来，有一些技术和知识积累，也了解安全研究人员的痛点。”龚广感慨，凡是过往皆为序章，以前的工作阅历对于他来说是丰富的宝藏，希望可以给年轻人一些帮助，让他们少走一些弯路。

　　虽然任职已有七八年，但龚广的那份热爱从未消退。有时候碰到有意思的问题，他依然会热血沸腾，加班加点进行攻破。龚广和360安全团队多次参加国家级实网攻防演练和破解大赛，将漏洞成果及漏洞资源上交国家漏洞库，及时协助漏洞防护与修复。

　　“这份热爱陪我走过一座又一座高山，完成一次又一次挑战。这份家国情怀，会督促我在以后的岁月里仍然在这个行业摸索。”龚广说，研究领域需要互助也需要互补，需要技术更需要有使命感，希望更多年轻人加入到这个队伍中，将责任感和使命感扛在肩上，做好国家和广大用户信息安全的守护者。（朝阳报）