Circle首席执行官网络

周鸿祎：如果360要制造恐慌会在EOS上主时放消息

5月30日，中午360发布EOS高危安全漏洞消息。EOS创始人BM回应称，360在故意制造恐慌。周鸿祎回答王峰邀十问时对此表示否认，”如果说我们要制造恐慌，直接在主上线时放出这个，恐慌效果一定比现在要好的多。”他还认为，EOS应该延迟上线，我们的安全团队还在发现一些EOS的漏洞，我们也会第一时间及时提交给他们，我们建议修复之后再上线。”

王峰十问原文：

王峰：昨天中午360发布EOS高危安全漏洞消息的时候，当时我正好在和联创策源的老大冯波在外面喝咖啡，听到消息心里一震：360对区块链动手了！随即冯波就给周总发了，没想到周总很快就回复了。所以，今天我们请来了江湖大佬，人称“红衣主教”的周鸿祎同学做客“王峰十问”，主题是：EOS安全风暴。

先让我们看一看他的经历吧。本科毕业于西安交通大学电信学院计算机系，后被保送西安交大管理学院系统工程系攻读研究生。曾创办 “3721络实名”，开创中文上服务之先河，历任雅虎中国总裁等职务；2006年创立360，推出“免费安全”战略，开创了中国互联的新格局；2011年3月30日，周鸿祎带领奇虎360在美国纽交所上市；今年1月，周鸿祎当选“2017十大经济年度人物”；2月份

，360集团在上海证券交易所成功上市。周鸿祎同时也是政协第十三届全国委员会经济委员会委员。

第一问，360以PC安全卫士起家，其后一直从事互联安全应用，我也知道近几年也逐渐布局于企业级安全领域，为什么你的安全触角一下子进入区块链领域。我们团队浏览一遍你最近一年的个人微博，也仅仅有两次与区块链相关，一次是去年“九四监管”前后，一次是昨天转发360安全卫士针对EOS安全漏洞的公告。中间很长一段时间，鲜有提及区块链。

周鸿祎：在今年春节之后，3点钟群火爆区块链期间，你也从未轻易表达过对区块链的看法，可是昨天，通过爆料EOS严重安全漏洞之际，360闪电出击，在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作，这是为什么？看起来你是蓄谋已久啊，后面还有大招？

从年前开始，我自己也在努力学习区块链的东西。我在3点钟群里没怎么表达看法，是因为确实还没怎么看懂一些东西。但在安全上我们是专家，所以在17年年底18年年初，实际上我们就已经在关注区块链安全，开始研究区块链技术和相关的安全问题。

尽管很多区块链、数字货币的设计都标榜非常安全，但任何软件系统，只要非常复杂，这种复杂度，都会带来风险，都会有安全问题。区块链技术也一样，现在比较火热，我们现在关注的也比较多。

我们最近发现了很多区块链系统、交易所系统、钱包系统存在问题。之前大家都在关注区块链带来的商业机会，但是很少有人关注区块链安全问题。最近EOS准备上线，在区块链行业里非常具有代表性，我们这次发现EOS漏洞，提交给对方，希望督促他们修补系统，所以我们披露漏洞，是我们安全公司的职责所在。

没有大家想象的什么蓄谋已久，也没有什么大招，我们的大招就是踏踏实实帮助区块链行业排除风险。我至今也不觉得自己懂区块链，我个人也没有买虚拟货币，看着大家在这些群里热烈的讨论，每个人都忧国忧民，每个人都像经济学家、哲学家、思想家一样的发出各种见解，我真的觉得自己像个白痴一样听不太懂。但是我们比较懂的就是安全，所以我们希望和大家一起交流，让区块链行业更安全。

至于很多人和我们合作，说明大家开始重视安全，是个好事。我们也很开放，没有任何立场，对所有的玩家来说，我们都愿意帮助他保护用户的安全。我们希望把区块链行业的安全生态发展起来。

第二问：在360公布＃3498 EOS漏洞之前，EOS的bug已经在Github上提交了3497条，但360出手前鲜有人关注并产生如此之大的影响。实话实说，你如何看待昨天披露安全漏洞的严重程度？为什么称这个漏洞价值百亿美元？为什么360安全卫士在微博上将之称为“史诗级”漏洞？在我过去的理解里，“史诗级”一般来形容丰功伟绩，是对某件事的高度赞扬，哈哈。好一个“史诗级”啊。

周鸿祎我们没有立场，是中立。我们提出任何一个系统的漏洞，都是为了帮助这个系统改善安全性，保证它的安全，不是为了打击它。区块链这个行业里，大家其实是在一条船上，作为新生事物，某一家不安全会让大家对整个行业产生质疑、失去信心，对行业是不利的。所以我们反对大家利用安全问题做文章，把安全问题变成竞争的工具。

我先来解释下这个漏洞被人利用可以用来干什么。如果漏洞被人利用，可以控制EOS络里面的每一个节点每一个服务器，那就不仅仅是接管络里面的虚拟货币、各种交易和应用，也可以接管节点里面所有参与的服务器。拿到服务器权限，就可以为所欲为了。如果有人做一个恶意的智能合约，就能够把里面所有的数字货币直接拿走了。所以这个对于区块链络来说，不会有比这个更严重的漏洞了。

再说“史诗级”，EOS在区块链发展史上的重要性大家肯定知道，如果说，这个漏洞我们没有提出来，EOS没有修复，等到EOS主上线了，被恶意的黑客发现并利用了，那时候EOS会不会一夜之间就被搞掉了，我们都不好说。

EOS现在的估值至少百亿美金了，所以我觉得这个漏洞价值百亿美金并不夸张。另外就是这个其实是我们安全圈内部的说法，是半个舶来语。“史诗级”是从“Epic”翻译过来的，国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。

第三问，今天凌晨，EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题，称360报告中提到的漏洞早已被EOS修复，且早于360发布报告的时间。对于漏洞本身，BM称大部分漏洞是来源于第三方代码库而非EOS核心代码；且该漏洞并不能改写可执行内存，且不能获得Root权限，除非部署节点时就已经是以Root用户身份来运行。BM的回应，暗指360制造恐慌，并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此，你怎么看？

周鸿祎：说实话，我觉得BM很厉害，他反击的时候，我和我们火星财经旗下的EOS Galaxy的负责人许波正在看到了他直接在电报群的回复，他的迅速回应减轻了大众对EOS安全隐患的恐慌感，反而让更多人猜测是360精心策划的安全炒作。鸿祎，这个问题，我希望你能更直接给予回复。

对于已经修复这个事情，我还是需要和大家普及一个知识，就是我们安全厂商对外公开披露的漏洞，一定是先和对方沟通，提交给对方去修复，在得到他们修复的确认之后，然后我们再公开。因为如果EOS没有修复，我们公布出来了，肯定会有一大波黑客立马上去搞他们，所以我们发布报告的时间当然会是晚于修复时间的。

这个不仅仅是对EOS，对微软谷歌苹果都是一样的，对于安全漏洞，通常的步奏就是，首先是挖掘漏洞，挖出来之后就会研究，会怎么被黑客们利用，把这些研究透了，再向相关的厂商汇报，比如这次EOS的，就是把怎么利用的视频还有涉及的详细代码报告给了对方，再然后就是对方修复，等对方确认修复之后，我们才会对外公布。

他提到的这个root权限，root权限是指计算机系统里面的最高权限。是否获得root权限，不影响攻击者控制EOS节点，没有root权限也是一样的。如果用户使用root权限运行eos，那么攻击者就可以获取root权限。

非常明确地说，我们先私下联系了BM通知了他们eos漏洞，希望他们先修复，这都是有聊天记录截屏的，等到eos修复了，我们再对外发布这个漏洞公告。

今天我们也还在和对方继续保持沟通，对方对我们表示感谢，也表示会给我们发放漏洞奖金，会对外发致谢。

这也是安全圈的行业通行做法，对方不修复，我们不会公告。这事我们一直在BM单独沟通，他在Telegram上的留言的截图是昨天晚上的，比较断章取义。实际上那个留言之后，他很快回复说，漏洞是真实存在有效的。但是就被截了一点儿。

至于制造恐慌，如果说我们要制造恐慌，直接在主上线时放出这个，恐慌效果一定比现在要好的多。我再强调一遍，我们提交的漏洞，EOS官方是确认真实有效的，并且我们在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情，而且，今天早上在和BM沟通时，他们依然是非常认同我们的成果和技术实力的。

我再强调一遍，我们提交的漏洞，EOS官方是确认真实有效的，并且我们在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情，而且，今天早上在和BM沟通时，他们依然是非常认同我们的成果和技术实力的。

在这整个过程中，360都是非常负的严格遵循安全行业的安全漏洞披露原则的。我们做为国内最大的一家安全厂商，在全球也是排名前三的安全厂商，我们希望和全球同行和科技公司一起，解决络安全问题，降低络安全问题给用户带去的损害。帮助大家发现漏洞、修补漏洞，让大家提供安全放心的产品给用户，是我们共同的。区块链作为新兴的技术方向，我们参与进来，无论是这次披露EOS漏洞，还是之前和其他区块链机构的沟通，都是希望和大家一起共同构建安全放心的区块链产品和服务。

王峰：今年的区块链最大的话题就是EOS，现在很多人都担心 EOS会延期发布公版本，这个安全隐患被曝光后，更多人关心他们的发布时间。以360安全技术团队评估，EOS Dawn 4．0的公版本是否有可能推迟发布？

周鸿祎：我认为应该延迟上线的，我们的安全团队还在发现一些EOS的漏洞，我们也会第一时间及时的提交给他们，我们建议修复之后再上线。

第四问，此次发布EOS漏洞事件，让Vulcan（伏尔甘）团队一战成名，可是此前行业内很少有关于他们的消息，大家对他们依旧很陌生，能否向我们具体介绍下他们？我们注意到，你最近不断提及360安全大脑，能一并介绍下吗？在这个事情上，你们安全大脑团队跟BM团队是通过telegram直接交流的，你们实质接触是从什么时候开始的？坊间说，你们和EOS很快有合作要公布，你方便在这里透露吗？

周鸿祎：你们说的行业内，肯定不是安全圈子里面。

360 Vulcan团队在安全圈子里，大家应该多多少少都知道。Vulcan最早是我们360安全卫士的攻防研究团队，有一年他们要参加Pwn2Own，这是个比较厉害的世界黑客大赛，要参加这种大赛，所以他们组了一个小组，就是Vulcan团队。

最近的安全大脑是这样的，从名字上大家就能看出来一点，大脑，肯定要能学习、还能做运算做决策的。所以简单说，360安全大脑，是一个具有感知能力、学习能力、推理能力、预测能力和决策能力的综合性智能系统。

12下一页>

宝宝健脾胃的食物两岁宝宝积食怎么办孩子脸色发黄需要查什么绍兴十佳癫痫病医院

小孩便秘吃什么

小儿便秘用什么药