5月30日，昨天中午360發佈EOS高危安全漏洞消息，周鴻禕回答王峰邀十問時否認360在故意製造恐慌，”如果說我們要製造恐慌，直接在主網上線時放出這個，恐慌效果一定比現在要好的多。”

周鴻禕說，360團隊在和EOS官方及其創始人BM一直在溝通關於漏洞提交和定性的事情，今天早上在和BM溝通時，他們依然是非常認同360的成果和技術實力的。

“非常明確地說 ，我們先私下聯繫了BM ，通知了他們EOS漏洞 ，希望他們先修復 ，這都是有聊天記錄截屏的，等到EOS修復了我們再對外發布這個漏洞公告。”

周鴻禕表示，360在這個過程中沒有立場，是中立的，提出任何一個系統的漏洞，都是為了幫助這個系統改善安全性，保證它的安全，不是為了打擊它。

二人對話的主要內容

王峰：在今年春節之後，3點鐘微信群火爆區塊鏈期間，你也從未輕易表達過對區塊鏈的看法，可是昨天，通過爆料EOS嚴重安全漏洞之際，360閃電出擊，在一天之內連續公佈了與幣安、歐鏈、EOS LaoMao、Dbank等項目的合作，這是為什麼？看起來你是蓄謀已久啊，後面還有大招？

周鴻禕：其實也沒有謀多久，從年前開始，我自己也在努力學習區塊鏈的東西。我在3點鐘群裡沒怎麼表達看法，是因為確實還沒怎麼看懂一些東西。

但在安全上我們是專家，所以在17年年底18年年初，實際上我們就已經在關注區塊鏈安全，開始研究區塊鏈技術和相關的安全問題。

在這個過程中，我們和業內很多項目也都有過接觸溝通和交流的，我們的心態還是比較開放的，我們也希望大家都能夠關注安全問題，所以當大家主動來找我們，希望在區塊鏈安全方面有些深入溝通交流，我們也非常願意為區塊鏈行業提供更安全的解決方案。

後面我們肯定還是會繼續深入研究區塊鏈安全問題，也會繼續保持開放心態，歡迎大家來交流合作。

儘管很多區塊鏈、數字貨幣的設計都標榜非常安全，但任何軟件系統，只要非常複雜，這種複雜度，都會帶來bug和漏洞，bug和漏洞被人利用，就會帶來風險，就會有安全問題。

區塊鏈技術也一樣，現在比較火熱，我們現在關注的也比較多，我們最近發現很多區塊鏈系統、交易所繫統、錢包系統存在問題。

之前大家都在關注區塊鏈帶來的商業機會，但是很少有人關注區塊鏈安全問題，最近EOS準備上線，在區塊鏈行業裡非常具有代表性，我們這次發現EOS漏洞，提交給對方，希望督促他們修補系統，所以我們披露漏洞，是我們安全公司的職責所在。

沒有大家想象的什麼蓄謀已久，也沒有什麼大招，我們的大招就是踏踏實實幫助區塊鏈行業排除風險 。

我至今也不覺得自己懂區塊鏈，我個人也沒有買虛擬貨幣，看著大家在這些群裡熱烈的討論，每個人都憂國憂民，每個人都像經濟學家、哲學家、思想家一樣的發出各種見解，我真的覺得自己像個白痴一樣聽不太懂。但是我們比較懂的就是安全，所以我們希望和大家一起交流，讓區塊鏈行業更安全。

至於很多人和我們合作，說明大家開始重視安全，是個好事。我們也很開放，我們沒有任何立場，對所有的玩家來說，我們都願意幫助他保護用戶的安全。我們希望把區塊鏈行業的安全生態發展起來。

王峰：你如何看待昨天披露安全漏洞的嚴重程度？為什麼稱這個漏洞價值百億美元？為什麼360安全衛士在微博上將之稱為“史詩級”漏洞？

周鴻禕：我們沒有立場，是中立，我們提出任何一個系統的漏洞，都是為了幫助這個系統改善安全性，保證它的安全，不是為了打擊它。區塊鏈這個行業裡，大家其實是在一條船上，作為新生事物，某一家不安全會讓大家對整個行業產生質疑、失去信心，對行業是不利的。所以我們反對大家利用安全問題做文章，把安全問題變成競爭的工具。

我先來解釋下這個漏洞被人利用可以用來幹什麼。如果漏洞被人利用，可以控制EOS網絡裡面的每一個節點每一個服務器，那就不僅僅是接管網絡裡面的虛擬貨幣、各種交易和應用，也可以接管節點裡面所有參與的服務器。拿到服務器權限，就可以為所欲為了。如果有人做一個惡意的智能合約，就能夠把裡面所有的數字貨幣直接拿走了。所以這個對於區塊鏈網絡來說，不會有比這個更嚴重的漏洞了。

再說“史詩級”，EOS在區塊鏈發展史上的重要性大家肯定知道，如果說，這個漏洞我們沒有提出來，EOS沒有修復，等到EOS主網上線了，被惡意的黑客發現並利用了，那時候EOS會不會一夜之間就被搞掉了，我們都不好說。

EOS現在的估值至少百億美金了，所以我覺得這個漏洞價值百億美金並不誇張。另外就是這個其實是我們安全圈內部的說法，是半個舶來語。“史詩級”是從“Epic”翻譯過來的，國外安全社區經常用“Epic bug”或者“Epic fail”來形容比較重大的安全漏洞。

當然我從公關的角度來看，史詩級這個詞大家理解不一樣，太文藝青年了，所以說成百億美金的漏洞，大家會不會覺得更接地氣一點。因為很多標題黨 “嚇尿了、嚇哭了 、嚇軟了、崩潰了”都被濫用了 ，所以用了個“史詩級 ”，其實說百億美金級別最好了。

王峰：今天凌晨，EOS創始人BM的回應，暗指360製造恐慌，並聲明對於任何挑起市場恐慌的行為將取消其獎勵資格。對此，你怎麼看？

周鴻禕：沒問題，慢慢來，讓子彈先飛一會，你說的消息其實已經不是最新的，最新的慢慢說。

對於已經修復這個事情，我還是需要和大家普及一個知識，就是我們安全廠商對外公開披露的漏洞，一定是先和對方溝通，提交給對方去修復，在得到他們修復的確認之後，然後我們再公開。因為如果EOS沒有修復，我們公佈出來了，肯定會有一大波黑客立馬上去搞他們，所以我們發佈報告的時間當然會是晚於修復時間的。

這個不僅僅是對EOS，對微軟谷歌蘋果都是一樣的，對於安全漏洞，通常的步驟就是，首先是挖掘漏洞，挖出來之後就會研究，會怎麼被黑客們利用，把這些研究透了，再向相關的廠商彙報，比如這次EOS的，就是把怎麼利用的視頻還有涉及的詳細代碼報告給了對方，再然後就是對方修復，等對方確認修復之後，我們才會對外公佈。

BM的回應有點讓人混亂，看起來以為是我們報告前他們已經修復了，其實是我們遵循了負責任的行業標準流程，報告->修復->公開。

非常明確地說，我們先私下聯繫了BM，通知了他們EOS漏洞 ，希望他們先修復 這都是有聊天記錄截屏的，等到EOS修復了，我們再對外發布這個漏洞公告。

今天我們也還在和對方繼續保持溝通，對方對我們表示感謝，也表示會給我們發放漏洞獎金，會對外發致謝。

這也是安全圈的行業通行做法，對方不修復，我們不會公告。這事我們一直在和BM單獨溝通，他在Telegram上的留言截圖是昨天晚上的，比較斷章取義。實際上那個留言之後，他很快回復說，漏洞是真實存在有效的，但是就被截了一點兒。

至於製造恐慌，如果說我們要製造恐慌，直接在主網上線時放出這個，恐慌效果一定比現在要好的多。

我再強調一遍，我們提交的漏洞，EOS官方是確認真實有效的，並且我們在和EOS官方及BM一直在溝通關於漏洞提交和定性的事情，而且，今天早上在和BM溝通時，他們依然是非常認同我們的成果和技術實力的。

在這整個過程中，360都是非常負責任的嚴格遵循安全行業的安全漏洞披露原則的。我們作為國內最大的一家安全廠商，在全球也是排名前三的安全廠商，我們希望和全球同行和科技公司一起，解決網絡安全問題，降低網絡安全問題給用戶帶去的損害。幫助大家發現漏洞、修補漏洞，讓大家提供安全放心的產品給用戶，是我們共同的責任。區塊鏈作為新興的技術方向，我們參與進來，無論是這次披露EOS漏洞，還是之前和其他區塊鏈機構的溝通，都是希望和大家一起共同構建安全放心的區塊鏈產品和服務。

王峰：以360安全技術團隊評估，EOS Dawn 4.0的公網版本是否有可能推遲發佈？

周鴻禕：我認為應該延遲上線的，我們的安全團隊還在發現一些EOS的漏洞，我們也會第一時間及時的提交給他們，我們建議修復之後再上線。

王峰：此次發佈EOS漏洞事件，讓Vulcan（伏爾甘）團隊一戰成名，可是此前行業內很少有關於他們的消息，大家對他們依舊很陌生，能否向我們具體介紹下他們？坊間說，你們和EOS很快有合作要公佈，你方便在這裡透露嗎？

周鴻禕：你們說的行業內，肯定不是安全圈子裡面。360 Vulcan團隊在安全圈子裡，大家應該多多少少都知道。Vulcan最早是我們360安全衛士的攻防研究團隊，有一年他們要參加Pwn2Own，這是個比較厲害的世界黑客大賽，要參加這種大賽，所以他們組了一個小組，就是Vulcan團隊。

他們在攻防研究、挖掘廠商漏洞和幫助廠商修復漏洞上實力很強的。上面那張照片，應該是他們2015年組隊去參加Pwn2Own 2015獲獎的，當時用了17秒攻破了微軟的IE11，是歷史上首支成功攻破IE的亞洲團隊。Pwn2own 黑客大賽上，Vulcan團隊連續多年斬獲了十幾項冠軍，在Pwn2own 2017上更是拿到了世界總冠軍。所以圈子內部，對他們是絕對不陌生的。

Vulcan參加Pwn2Own2017，拿下“Master of Pwn”（世界破解大師）總冠軍時的合影。

跟BM團隊聯繫是我們安全團隊直接聯繫溝通的，最早應該就是28號的時候。我們和EOS方面目前沒有直接合作的，區塊鏈安全是我們一直關注的問題，此外360也是互聯網科技企業，像EOS這些主要的公鏈，我們在技術研究方面一直有投入。從年初開始就已經與一些合作伙伴，就EOS生態建設、安全防護、主節點的競爭等方面進行交流討論。

王峰：讓我們直面一下陰謀論，雖然我不相信，但坊間有傳聞，360聯合某些組織在做空EOS。抱歉我不得不問這個問題，因為在國內有很多EOS超級節點的參與者，他們中有很多人是EOS的狂熱支持者，昨天360曝光安全漏洞，引發了各種猜測和起鬨，有群友要求提出這個問題。

周鴻禕：大家從我們披露漏洞的時間其實應該就能知道我們肯定不是在做空。假如我真想惡意做空的話，完全可以捂著，等EOS主網上線，直接爆出來。我們現在的做法是什麼？是安全行業標準的漏洞通報機制，先和EOS團隊聯繫，提交漏洞詳情，然後等他們修復完成了，我們才對外公佈，這是非常負責任的做法。我們是希望EOS乃至整個區塊鏈行業發展的更好。

王峰：你認為區塊鏈企業自身應該採取哪些措施，加強區塊鏈的安全性？

周鴻禕：區塊鏈領域裡面，我認為真正的安全問題其實還沒出來。通過這次披露EOS漏洞，我們希望是讓大家能夠重視區塊鏈安全問題。在網絡安全行業裡，有兩種情況是最可怕的，一種是做沙漠裡的鴕鳥，知道不改，還有一種是知道了不爆出來，最後被人利用，這兩個才是最可怕的。我最近還在提一個概念，叫“大安全”，簡單說，就是網絡安全的影響已經從最初簡單的信息安全，演變到現在，從線上到線下，都會受到網絡攻擊的威脅，並且新威脅越來越多。區塊鏈作為這兩年新火起來的技術，它遇到的安全威脅，我也把它歸到新威脅裡面。

這種情況下，光靠某個企業，比如區塊鏈行業裡，你某個項目自身，安全防護能力肯定是有限的，反過來光靠360這樣一家安全公司也不行，所以應該是整個安全行業需要得到發展。所以，區塊鏈行業，要能夠與網絡安全行業，做到協同開放，大家一起來做這個事情。你上一個區塊鏈項目，區塊鏈本身，王峰你肯定比我懂得多，但是安全問題上，肯定我的人更專業，那如果我們來給你們做一下安全檢測，是不是安全風險就會降低很多？

我們一定要記住，有這麼一句話，叫“沒有攻不破的網絡”，只有沒被發現的漏洞，或者被發現沒公開的，不存在沒有漏洞的網絡。所以，我們希望無論是區塊鏈行業，還是其他行業，要能夠正視網絡安全問題的重要性。

做法上除了我剛剛說的利用網絡安全行業的外部公司力量，你還可以做一些漏洞獎勵計劃，讓整個安全社區都來幫助你解決安全問題。我們每年都會幫谷歌、微軟和蘋果他們解決很多問題，他們都有自己的漏洞獎勵計劃，對提交漏洞的團隊給予獎勵。

王峰：如果360進入區塊鏈行業，360的機會在哪裡？你如何評價目前區塊鏈行業數字貨幣交易所處於中心地位的狀況？

周鴻禕：我們現在看區塊鏈，涉足區塊鏈，肯定還是圍繞安全。安全問題不是說這次我們披露了，大家熱鬧一天就完了。我希望大家記住，EOS這個漏洞，不是最後一個，也一定不是最厲害的一個。未來區塊鏈行業一定會出現更多的安全問題，之前傳統互聯網領域裡面遇到的安全問題，區塊鏈行業裡面一定也會遇到。這就是我們在其中的機會，當然我們也有自信和實力在其中擔起責任，保護區塊鏈行業健康穩定安全發展。

王峰：能否介紹下360在區塊鏈安全方面的佈局和方案，比如：交易所安全怎麼做？礦池安全怎麼做？智能合約安全方面又怎麼做？

周鴻禕：過去這段時間，360在區塊鏈方向上，我們的安全團隊還是很用心的研究了很多，也拿了一些方案。我們未來會基於區塊鏈安全生態推出三個系統，主要包括數字貨幣錢包安全審計系統、區塊鏈安全態勢感知系統和區塊鏈節點安全解決方案。

第一個，數字貨幣錢包安全審計系統，這裡面會詳細地列一些審計的要點，闡述如何做一款比較安全的數字錢包，從而保障用戶的財產安全。第二個是區塊鏈安全態勢感知系統，這個系統是基於360安全大腦的，可以自動對異常區塊、異常交易、異常地址和智能合約進行監控，不僅可以將交易風險降到最低，而且還可對非法數字貨幣進行溯源。最後一個是區塊鏈節點安全解決方案，目前主要會針對EOS。

王峰：未來幾年，區塊鏈行業會出現一家像PC互聯網時代的360這樣有影響力的安全企業嗎？在區塊鏈時代，360安全產品是否能否全面開源？

周鴻禕：區塊鏈行業裡會不會出現一個360，我覺得應該不會出現這種情況，區塊鏈方面的問題的解決會是產業化的，360肯定會是其中的主力，但不會像PC時代那樣一枝獨秀，會有很多從事安全的企業和個人一起來保障區塊鏈的安全。

王峰：360定義的安全業務的邊界有多大？360定義的安全業務的邊界有多大？AI/IOT/區塊鏈？

周鴻禕：我們關注人工智能或者區塊鏈，其實不管是AI和區塊鏈的安全，都有一個共同點，就是無論是AI的算法，還是區塊鏈的算法，都是要寫代碼實現的，而代碼是人寫的，肯定會有漏洞的。我之前看到過一個數據，開源軟件中，每千行平均就有6-8個安全漏洞。

所以對於新生事物，不管是新興技術還是什麼，看到美好一面的同時，作為搞安全的，我會不自覺的看到他們潛在的安全風險。搞安全的人更像是一個“看門人”，時刻都要保持一顆懷疑之心、守護之心。關於邊界這個事情，我們現在在進入一個大安全時代，為雲計算、大數據、人工智能還有物聯網這些新技術的發展，網絡安全已然不是最初的信息安全，而是從個人的信息安全、金融安全、家庭安全、出行安全，到企業安全，再到社會的公共安全，再到國家的信息基礎設施安全、政治安全、軍事安全……

所以我覺得不能把安全業務的邊界框死了，網絡安全行業，有越來越多的安全問題會出現，這對於360來說，是我們面臨的挑戰，但也是我們的機遇。

作為一個創業者的角度看，或者從企業運營者的角度看，企業也不應該是框死在一個事情上的，我們核心是安全基因，基於此，我們的邊界是一個有限的無限邊界。

王峰：在移動互聯網時代，今日頭條、小米科技、美團點評等等迅速崛起，與PC互聯網時代佔盡先發優勢不同，360優勢並不明顯，這會不會讓你感覺到失落？我們都知道你是一個不服輸的人，這會不會是360有一天大舉進軍區塊鏈很大的動力？

周鴻禕：其實做安全這個行業，說刺激也很刺激，你看不管是去年5月的勒索病毒，還是昨天的EOS漏洞，一下子就讓全行業都關注到你了。

但與此同時，實際上，搞安全是一件需要耐得住寂寞，需要長久投入努力的事情。比如上面我說Vulcan他們參加黑客大賽11秒攻破IE11，但在那之前，他們扒代碼的時間你是想象不到的。然後，不參加比賽了，雖然幫助微軟幫助谷歌幫助蘋果修復了很多漏洞，你們都不知道，我們更像是一群守護者，站在大家身後的人。

PC時代那時候，病毒木馬橫行，我們順應潮流用360安全衛士、360殺毒幫大家解決了安全問題，可能獲得的關注比較多。但在移動互聯網時代，實際上我們也做了很多事情，你們可以看看去年穀歌致謝榜單裡面，我們在安卓上，幫助谷歌修復兩百多個漏洞，全球第一，是第二名的三倍。除了這類工作，我們還和公安合作，比如推出獵網平臺，打擊電信電話網絡詐騙。這些事情，可能不會像當年一樣刺激，但我覺得我們是做了非常有價值的一些事情，從內心來說，我們還是比較驕傲的。

這些年，我們在原創核心技術上積累也是非常多的，比如上面說的安全大腦，其實是我們多年技術積累的結晶。360安全大腦的網絡安全空間大數據，現在是全球規模最大的。也因為有這些大數據和數據中心，360安全大腦的態勢感知、智能查殺、攻防與溯源，包括應急響應上，現在在全球都非常具備競爭力。

我不服輸，但不是說非要進軍區塊鏈什麼的，而是說，在大安全這個新時代裡面，希望能夠繼續發揮360安全守護者這個作用。區塊鏈應用以後有可能深入生活、生產的多個方面，360作為國內最大的安全公司，當然希望充當一個“守護者”的角色，為區塊鏈應用保駕護航。

本文援引自互聯網，旨在傳遞更多網絡信息，僅代表作者本人觀點，與本網站無關。