我们实验室的工作分两部分,一半对内,一半对外。由于网络安全工作的特殊性,对内部分大多是不能说的。就像国庆阅兵,也不是什么都能拿出来给你看。所以大家能看到的主要是对外那 50%,于是很容易误会我们的工作只有这 50%。 这也带来了一个问题:宣称玄武实验室“只是做一些酷炫研究不涉及业务所以没有前途”已经成为最近几年某些公司 HR 校招时给应届生洗脑的一套策略。比如今年我们小小一个实验室在 BlackHat 和 DEFCON 就有四个演讲入选,在某些 HR 嘴里,这反倒成了我们实验室“没有前途”的证明。前些年有个别同学信了这套鬼话,于是那些 HR 完成了 KPI,而这些非常适合从事安全研究的同学去做了其它工作。
图片描述 by gemini-3-flash-preview
DEFCON 国际安全会议的演讲现场,舞台中央大屏幕显示着“腾讯安全玄武实验室”标识及演讲标题“Web2Own”,右侧屏幕同步显示着英文字幕。舞台布景和长桌上均印有显著的“DEFCON”字样与骷髅图标,台下坐满了参会的观众。
实际上即便是对外的、你们能看到的这 50%,其中很多也和业务密切相关。比如这两天有个新闻,国外有团队发现了用激光控制智能音箱的技术——这其实是世界上第二个通过激光进行入侵的实现,因为第一个是我们在 2015 年研究出的用激光通过条码阅读器控制系统的技术。这个够酷炫吧?但我们为什么要研究这个呢?因为条码阅读器是移动支付的核心节点。 ,时长00:25 Your browser does not support video tags
图片描述 by gemini-3-flash-preview
一张特写照片显示,一只手拿着一片印有指纹纹路的半透明薄膜,正将其覆盖在一部智能手机屏幕的指纹识别区域。手机屏幕处于点亮状态,画面聚焦于指纹破解的演示过程。
从 2016 年起,我们就开始和微信支付合作,帮助国内的条码阅读器厂商检查和修复安全问题,保障商户们的安全。到今天,国内扫码类设备中多数都有我们的贡献。不论你用哪家的扫码支付,我们的研究都在其中起着作用。
图片描述 by gemini-3-flash-preview
一台白色的条码阅读器放置在办公柜台上,机身侧面醒目地印有“腾讯安全玄武实验室”的名称与 Logo。设备贴有“国家电子健康卡”及“一人一码,全国通行”的宣传标识,背景中有一位身穿白色工作服的医务人员正在办公。
还有我们在 2017 年发现的的屏下指纹“残迹重用”漏洞,“一张纸、一秒钟”就能破解指纹识别,也够酷炫吧?这一样有很大业务价值。今天,华为、小米、OPPO、VIVO,不论你用哪个品牌的哪款手机,只要带屏下指纹技术,里面就有我们的贡献。
图片描述 by gemini-3-flash-preview
黑色背景上错落排列着多家主流手机及科技品牌的标志,包括红米(Redmi)、小米、华为、vivo、OPPO、联想、中兴、魅族、黑鲨、诺基亚、realme以及三星。各品牌Logo以彩色色块或纯色字体形式呈现,集中展示了各大移动终端厂商的标识。
这些还只是我们日常工作中很小的一部分内容。 在实验室管理上,我一直在努力寻求同事们的个人成长和为公司创造价值这两者间的平衡。每个人都免不了成为大机器上的螺丝钉,但我希望实验室的同事们能成为镀铬镶钻闪闪发光的螺丝钉。