专访刘奇 | 19岁成为“传奇黑客”,27岁当上电信首席专家,这位95后开了挂?
2024-5-30 16:26:54 Author: www.freebuf.com(查看原文) 阅读量:0 收藏

“12岁成为入门级“黑客”,14岁与网络安全结缘并自学两门编程语言,19岁与翼支付携手、荣获国家部级比赛一等奖;21岁获得千万投资,现已是国企首席安全专家......”在对话刘奇之前,我在网络上搜索到了这些和他有关的词条。

谈起他,人们提到了“传奇黑客”、“天才少年”、“一路开挂”、“青年榜样”这些关键词。这位“95后”的身上似乎被人贴上了无数个形容成功人士的标签。

1717406483_665d8b13a00ff42ac951e.jpg!small?1717406483926

刘奇工作照

但如果你以为他仅仅靠着天赋和运气就取得今天的成绩,那你就错了。

在这一次与刘奇对话之后,我发现“天赋异禀”似乎是他身上最不值一提的品质,他这一路走的不寻常也不容易。在他这些年的经历中,并不存在什么所谓的一路开挂,运气和天赋顶多只能算作加成buff。他今天光鲜的背后,主要靠的还是超乎常人的努力。

“宝剑锋从磨砺出,梅花香自苦寒来。我孤身一人来到上海,又是高中肄业,所以当时只想着要证明自己,觉得我要比别人更努力。”在讲述到当时的经历时,他的语气里依旧是满满的坚定感。

“天才=99%的汗水+1%的灵感”这句老话,在刘奇的身上,得到了完美的验证。

天才是光环,也是“紧箍咒”

自小学三年级开始,刘奇就展现出了过人的计算机天赋。当别的同学还在键盘上一个个地寻找字母拼凑完整拼音的时候,刘奇已经可以使用键盘流利地进行盲打操作。他调侃说当时的自己仿佛有种上辈子使用电脑的记忆没忘光的感觉。

随着对计算机的认知程度日益提升,就读初一年级的时候,他已经开始有了“黑”老师邮箱的“傲人”事迹,同时他也开始对一些入门级木马病毒有一些研究。至此,他正式开始接触“黑客之道”。

当时他通过自学熟练掌握了PHP+MYSQL+AJAX等技能,并且已经可以独立完成一套Blog系统。在老师看来,他是个不务正业“爱玩电脑”的学生,但在父亲看来,他对于计算机有这样的兴趣和掌控力,是值得重视、支持的。于是刘奇的父亲给他配备了他人生中的第一台设备,亲手为他打开了这扇网络安全的大门。

凭借着过人的资料搜集能力,和对网络安全深厚的热爱,他的技术在一次次的实践中日益精进,他将自己独特先进的见解分享到了自己的公众号以及其他各大社交平台上。也正是他分享的这些“干货”,引起了来自百度、微博、中国电信等多家企业的青睐,并纷纷向他抛出了橄榄枝。

“他是我的伯乐,也算是我的引路者。”刘奇在谈起那段经历时,提到了一位他网安路上的启蒙者——人称“九哥”。这位九哥也是后来刘奇入职中国电信后的直属领导之一。当然,也就是这个时候,中国电信和刘奇之间埋下了一颗“羁绊”的种子。

起初九哥希望刘奇能尝试帮忙解决一些有关中国电信翼支付的相关系统安全问题,但没料想到他次日就提交了一份非常详尽的报告。报告中罗列了诸多过往被忽略的安全问题,甚至一些重要系统刘奇也帮他们做了检测。这番作为,让中国电信的领导刮目相看,于是希望他能立即加入他们团队之中。

但由于当时年级尚小,父母希望他在老家的企业先历练一下。于是刘奇选择了一家本地初创企业作为职业生涯的起点,也就是从这时起,他正式开始和网安“交手”。跑客户、做攻防演练、处理应急响应......那阵子他每天都过得很充实。业余时间他还会分一些精力帮电信分公司做培训,使得他们在全国比赛中拿到了不错的名次。

至此,刘奇愈发坚定自己网安之路的走向,做一名优秀的“白帽”将是他未来所求。

也正是在这个阶段,他认为时机已然成熟,于是他带上行囊,坚毅地来到了上海。离家前,刘奇父亲的一句话至今仍令他印象深刻。“我父亲曾跟我讲过,即使你是万里挑一的人才,但中国有14亿人,随便一个砖头扔下去,都能“砸到”不少人才。所以中国是不缺人才的,到了大城市一定要好好学习。”事实证明,他没有辜负他父亲的这段话,他确实用十二分的努力,证明了自己。

2015年,19岁的刘奇被破格录用,正式加入中国电信翼支付大家庭。入职第一年,他扎根在研发中心,花了一年的时间熟悉业务架构,审计了数十个业务系统代码,研读了数十本专业书,发现了数以百计的潜在安全问题。就这样,他一边学习一边潜心化解实际安全问题,有时候一天的睡眠甚至都不足4个小时。

1717057714_665838b25732b41ef19b9.png!small?1717057715204

刘奇(左三)在第三届通信网络安全知识技能竞赛中获奖

不过,付出终究是有回报的。在当年举办的、高手如林的第三届通信网络安全知识技能竞赛中,刘奇所在的平均参赛年龄最小的“嘲风实验室”成为最大黑马,超乎所有人的预料,一举夺得冠军。

1717057725_665838bd9f37e1c8075cd.png!small?1717057729088

刘奇在第三届通信网络安全知识技能竞赛中荣获个人赛第一名

这之后,他又参与了公司一系列的安全技术改造工作,包括建立云机房、SDN架构等等。他仅用了7个月时间,就构建了软件安全生命周期的研发流程,并且一直沿用至今。据悉,目前翼支付所有的代码上线安全检测、应用上线安全检测、数据合规性检测、双新评估检测等等均是基于当时他的那一套上线安全检测的逻辑和流程在不断延伸而成。

2016年3月,他荣升总监,他说这是对他工作最大的肯定。“越努力越幸运”,这句话在他身上得到了最好的印证。在这无数个从0到1的创新背后,凝结了他和团队同事们无数个不眠的夜晚。但好在他终究是把喜欢的事业干出了价值。

跳出“舒适圈”,探索更多可能性

随着刘奇所负责的安全工作正式步入了正轨,他认为是时候该跳出舒适圈,勇敢地突破一下自己的“天花板”了。那时起,他心里萌生了创业的念头。他开始着手写商业计划书,带着创业团队前前后后汇报了十几次,最终拿到了千万级别的投资。

2017年底,他带领自己的团队“日夜奋战”,短短4个月时间,就推出了全国首个商业化的RASP产品。而随着产品打磨成熟后,他的创业之路也就此告一段落。

虽然创业的时间并不长,但他说那段经历教会了他很多。从前的自己只专注于技术,但想创业光有技术远远不够,还需要有敏锐的市场洞察力,能够有效识别出潜在的市场机会,并预测未来的趋势,制定出有效的商业策略,这样才能更好地确定目标客户,开发符合他们需求的产品或服务。

对于刘奇而言,这一段创业的经历也让他明白了该如何管理、善用一支安全队伍。“与其说我是安全团队的管理者,不如说我是他们的引路人。”在聊到自己的团队时,刘奇坦言道。

开始的几年,他常常专注于钻研技术,而忽略了团队分工的重要性。但很快他就意识到,市面上有无数个漏洞,如果仅靠自己一个人是永远挖不完的。一支全面的网络安全团队必须拥有具有不同技能和专业知识的团队成员,这样才能有效地履行不同的角色。于是刘奇根据团队里每个人擅长的领域,为他们“量身定制”了相应的工作内容,让每个人的能力都能最大化地展示出来。

他感慨道,如果最初自己入行时,能有一位领路人,或许自己能少走不少弯路。所以他希望在做好自己分内事之余,也能尽可能帮助团队的成员们实现职业理想。我调侃他颇有一种“因为自己淋过雨,所以想给别人撑把伞的英雄主义感”。他笑了笑说,希望团队里的小伙伴不要“白白辛苦”,他们产出的“成果”应该被领导看到,并得到领导的重视,他说这是他写进中国电信安全性企业建设战略中的一环,也算是给他们提供的一个展示平台。

1717057746_665838d2a0fc0f69e58ea.png!small?1717057749322

刘奇在台上进行分享

2019年,历经了一次创业蜕变后的刘奇选择重新回归翼支付。

他开始潜心钻研如何用较低成本和服务资源,化解公司业务飞速发展与安全攻击告警量大、变化多这个矛盾的难题。为此,他基于这些年积累的丰富的安全实战经验和行业洞察力,带领团队开始构建自主可控、原生可信的安全纵深防御体系,在中国电信重大攻关项目的历练中,在首创“泛场景”安全运营概念的实践中,在率先将AI技术应用到网络攻击分析场景创立识链AI实验室的突破中。

坚持创新突破之后,他也迎来了诸多荣誉与成就。

2020年,刘奇提出以实战验防御,用演习见标准的工作思路,要从“进攻中学习”,为此,他牵头打造了中国电信攻防对抗体系,并带领团队打磨形成了标准化的安全产品和服务,自主研发成果能力达到了中国电信集团内领先、行业一流的水平,累计申请自主知识产权和国家专利50余项。在公司内,翼支付的安全水平不断跃升,安全防护成本不断下降,他牵头创立的识链AI实验室,使得网络攻击分析场景的自动化处置率达到90%以上,极大提高了翼支付的安全运营工作效率,实现全年“零事故”。他主导研发的“泛智安全运营平台”,在公司内部实现了每日抵御高达1.5亿次的安全攻击的卓越表现,为数亿用户的“钱袋子”筑起了坚不可摧的安全防线,目前该平台已经推广至中国电信集团本身和多个省公司、专业公司,平台在多次重大安全保障活动中发挥了关键作用。

1717057762_665838e25cfefcf2631a4.png!small?1717057763572

刘奇在台上进行分享

与此同时,这些年刘奇还曾多次在中国电信星火计划、燎原计划等重要人才培养计划中担任导师。经过多年的努力,发展中国电信高水平攻防人员达数百人规模。

期间他多次带领团队参与冬奥会、亚运会、大运会等演练和保障工作、参与省部级重要任务活动,并为国家信息安全漏洞库(CNNVD)贡献数百余份高价值的安全情报和漏洞,曾连续2年获得国家信息安全漏洞库一级支撑单位(最高级别)称号。

在安全业界,他牵头落地对外输出项目十余个,签约金额破千万大关,科研成果荣获2022年工信部 “绽放杯”5G安全应用二等奖、2022年中国电信集团科技进步三等奖、2022年中国通信学会未来网络发展大会未来网络领先创新科技成果、信通院安全守卫者计划优秀案例、中国通信学会 "科创中国"金融科技创新大赛金融安全技术创新专题奖、“金信通”金融科技创新应用优秀案例等多个奖项。

1717057771_665838eb41fa5814d6c9b.png!small?1717057772505

刘奇在台上进行分享

目前,刘奇在中国电信担任安全攻防专业首席专家,主要负责保障国有支付基础设施安全,以及维护金融支付系统的稳定。同时,他还负责培养、组建企业的攻防人才和攻防队伍。

正所谓“知攻才能善守”,在这些年的工作中,刘奇通过不断增强自身安全知识储备并持续提升自身的技术水平,构建泛智SOAR产品体系,纵深一体防御。

在团队打造上,他落实了网信安考核体系,安全人才梯队建设及度量指标,提升安全管理能力,提高主观能动性,将“深入市场、服务客户,深入基层、服务员工”的工作作风落到实处。用心、用脑、用力通过安全的机制,科技的创新,为社会、企业、民众提供了可靠便捷的金融科技服务。

言行合一,这些年刘奇说过的话,他都做到了,并且做得很好。

与时俱进,打开安全新局面

作为一名合格的网安专家,敏锐的行业洞察力也是必不可少的。在AI发展的初期,刘奇和他的团队就超前关注到了该领域,并率先入局成为了行业“先行者”。

1717057788_665838fca958759d84f97.png!small?1717057790160

刘奇在台上进行分享

2021年伊始,AI开始加快在各行各业的技术落地,也涌现出了越来越多的应用场景。于是刘奇和他的团队开始思考,AI该如何赋能安全。在紧锣密鼓的筹备和研发过后,他们正式发布了一个基于AI的网络攻击风险评定的研究成果。

他们将各种安全设备产生的这些日志收集到了一个集中平台上,并将众多专家工程师的经验做了提取,继而汇聚成一个AI模型。经过AI自动分析后,会给攻击者打上对应的评分和标签,将高危、低危等攻击请求结果同步给运营人员。从而在事件列表里体现事件处理的优先级。

为了让结果更加准确,他们会让安全专家对这些事件产生出来的结果进行进一步的样本标注,评判 AI 识别是否准确,继而在此基础之上运用 AI 的在线学习能力不断更新,将最新特征更新到模型里,使其变得更智能、更准确。

刘奇提到,近几年来,在中国电信的集团发展战略下,他和他的团队也一直在持续跟进后续的AI研发工作。2024 年伊始,中国电信开源星辰语义大模型- 7B正式发布,成为第一家开源大模型的央企。同时开源的还有超 1T 的高质量清洗基础数据。由此可见,要想走在行业之先,首先要想在行业之先。

1717057803_6658390bd72c85c1d05c3.png!small?1717057805137

刘奇在台上进行分享

聊到这里时,刘奇不禁感慨道,这些年最大的感受就是网安行业技术迭代发展速度飞快。例如,从前他们所接触的传统的系统都是单点的,但现在已经衍生出了云原生单元化架构,不少企业都将业务迁移到了云上,并开始使用Paas、 SaaS 这些服务能力,部署了很多应用。安全建设也从原来的线性理论转变成为平台融合的理论,我们需要以全局的视野将数据进行关联、整合,从前“烟囱式”的视角已经不再适用。这也凸显出了近几年网安行业变化之快。

因此,在政策利好、市场需求和技术创新等多重因素驱动下,要想做好网络安全工作,必须随万物互联加速落地,覆盖经济社会各领域的网络安全技术能力全面提升。

不过他认为,随着这些多新兴技术的出现,也给网络安全产业发展带来了全新的动力,推动网络安全行业进一步发展。毕竟“创新”永远是一个行业长盛不衰的核心因素,也是其未来持续增长的坚实基础。

网络安全就是这样一个不进则退的行业,不论是外部复杂的攻击形势还是企业内在需求,都在不断督促网安厂商们尽可能去创新,研发新产品、新技术,以此不断强化网络安全防护能力。

选定要走的路,剩下的就只管交给努力

在采访的尾声,我们聊到了“天赋和努力哪个更重要”的话题。刘奇说自己很认可作家格拉德威尔在《异类》一书中提到的一万小时定律。这个定律是说,人们眼中的天才之所以卓越非凡,并非天资超人一等,而是付出了持续不断的努力。所以他认为,相比天赋而言,努力更加重要,毕竟天赋不是人人都有,但努力只要自己想,就一定可以做到。

他说,机会永远留给有准备的人,他自己就是一个很好的例子。

如今,正值毕业季,即将有无数安全新生力量走向工作岗位。对此,刘奇也分享了自己对于网络安全这个行业的看法。他认为,面对技术的高速迭代和新问题的层出不穷,网络与信息安全不再仅仅扮演业务支持角色,而成为企业和公共服务安全运营的核心保障。因此对于网安新人来说,这是一个很好的发展方向,未来充满无限可能。

1717057824_665839205a579b9d05b02.png!small?1717057825339

刘奇在杭州第19届亚运会现场

他希望每位网安人都能不忘初心,不负热爱,守正创新,做好网络安全的守护者。

如今,刘奇已经在中国电信走过了九个年头。褪去青涩,洗尽铅华的他,已然成为了能够独当一面的安全攻防专业首席专家。

通过这次对谈,让我们看到了一个鲜活的、进取的、对网安行业有着无限热爱的“95后”网安青年。或许通往成功的大道上荆棘丛生,常人都望而却步,但像刘奇这样坚定的人例外。未来,我们期待他能为网安行业创造更多可能性。

PS:刘奇正式入驻FreeBuf知识大陆「播客」频道啦,将基于个人多年的安全实践及安全运营工作经验进行分享,和大家共同探讨安全攻防技巧与难点。

1717402717_665d7c5d5d207aee31214.png!small?1717402721014

扫描二维码,听听刘奇分享「中国电信正加速AI+安全应用和外部赋能」,共同探讨行业发展新趋势。


文章来源: https://www.freebuf.com/articles/people/402277.html
如有侵权请联系:admin#unsafe.sh