为了互联网的正义？Project Zero 到底在做什么

George Hotz 是一位大名鼎鼎的黑客。2007 年，17 岁的他第一个破解了初代 iPhone。7 年后，Hotz 也许万万没有想到自己会和一大波黑客一道，效力 Google，不再制造麻烦，而是为全球互联网解决漏洞。

Hotz 刚刚在今年初破解了 Chrome 的运行防御，而 Google 却选择付给他 15 万美元的奖励，请他发现和修复其他漏洞。两个月后，Google 的安全工程师 Chris Evans 给他发了封邮件，正式邀请他加入 Project Zero。

Project Zero 的前世今生

Google 上周宣布了 Project Zero 计划，它由一组安全研究人员负责，唯一的目标就是追踪和修复漏洞，维护所有互联网用户的安全。

Project Zero 的前身是 Google 的一项 “兼职” 研究团队，来研究一些互联网安全问题。之前的成果包括发现了 Heartbleed 漏洞、帮助苹果修复安全缺陷。

Project Zero 主要针对 “零日漏洞（zero-day）”。“零日漏洞” 是目前互联网普遍存在的一项威胁，这些漏洞常常尚未被公开，因而用户无法及时得到对应的补丁。

因而，黑客会利用 “零日漏洞”，对人权主义人士、企业、政府的网站发起攻击。也有黑客以此从事间谍活动、窃听通信信息、窃取信用卡信息等。

Project Zero 要做的，就是发现、围堵、修正这些漏洞。“人们渴望一个没有恐惧和漏洞的互联网，不会因为浏览一个网站就泄露隐私。”Chris Evans 说，他曾领导 Chrome 的安全团队，现在掌舵 Project Zero。“我们努力把精力集中在高价值的漏洞上并消除他们。”

比较有意思的是，Project Zero 不止是为 Google 的产品提供解决方案，而是面向所有互联网产品。Project Zero 还将创建一个公共数据库，零日漏洞将被首先报告给软件厂商。Project Zero 希望 “尽可能早地” 向软件厂商通报并合作开发补丁。

Google 为什么要做 Project Zero

为什么 Google 要高薪聘请黑客来给其他公司找漏洞呢？Chris Evans 说，Project Zero 项目完全是 “利他” 的，但是高薪聘请黑客有着长远的战略性意义——Google 为他们提供诱人的薪水、很少限制的工作环境，而他们为 Google 带来更多的灵感和人才，今后他们也许会被派遣到其他团队。

Google 还认为，建立起互联网用户的安全信心，可以带来更多的广告点击率，对谷歌没有坏处。

和其他公司一样，Google 已经这样做了数年了——高价悬赏 “友好” 的黑客，来寻求告知产品的漏洞。但是一直寻找自家的软件远远不够：比如 Chrome 浏览器的安全性往往取决于第三方的代码，比如 Adobe Flash、相关的 Windows、Mac、Linux 操作系统的元素。

今年三月，Chris Evans 汇总了 18 个黑客利用过的漏洞，这些漏洞被用来攻击叙利亚公民、人权活动家、国防和航天的工作人员……

如此看来，Google 似乎在做一项没什么实质回报、目标远大的正义之举。全世界有那么多的漏洞等待被发现和修复，Google 的这个小团队似乎也没有办法 “拯救世界”，因而 Project Zero 更像是一场营销。

竞争对手怎么看

因为口号太响亮，Project Zero 也招来了不少负面声音。

零日漏洞的买卖已经形成了一个完整的市场，漏洞往往被一些公司出售给政府、法律机关、私人企业，来帮助他们自我防护。不过这些公司不会告诉供应商漏洞在哪里，获益的只有客户。可是供应商不知道漏洞，也就意味着不会有补丁，大多数用户仍然处在危险之中。

Google 如果参与进来，也许会扰乱这一市场。不过 Google 能力有限，强大的口号，也许只是杯水车薪。

漏洞检测销售商 VUPEN CEO 兼首席黑客 Chaouki Bekrar 就明确表示 Project Zero 不过是营销一场。不仅如此，Project Zero 也许将会使这一市场更加有利可图：正规市场和黑市的零日漏洞要价会增加。之前，合法的零日漏洞销售商曾表示他们的漏洞检测代码曾卖到 50 万美元。

安全公司 Errata Security 的 Robert Graham 表示：“我认为 Google 除了给项目起了一个好听的名字外，其他没有什么变化。这样做最大的好处在于，黑客们通过团队之间的紧密联系，能够相互学习，从而比单独工作时取得更大的成果。通过了解其他产品的生产情报，Google 也能够提升自己的产品。”

题图来自 wired