17岁年赚百万的“赛级小孩哥”，揭露最险恶的网上战争

本文来自微信公众号： Vista看天下 ，作者：张雪莹

攻击是在周日深夜发生的。

2025年12月22日晚上10点，北京西二旗快手总部的办公大楼依旧灯火通明。对于这家日活数亿的短视频巨头而言，这本该是一个平静的夜晚。

平静，在技术部门发现系统遭到入侵而结束。

大量正在刷直播的用户发现，屏幕里原本熟悉的带货主播或才艺展示画面，突然被成片赤裸的色情与血腥暴力画面取代。在一场突如其来的违规直播间里，系统显示的在线人数竟在短短几分钟内飙升至10万人。随后，违规直播间像幽灵般在全平台疯狂繁衍。

事后核查显示，这是一场高度组织化的自动化攻击。无视法律与秩序的黑客，操控了约1.7万个“僵尸账号”同步开播。由于攻击者实现了秒级发布，平台的安全防线在半小时内节节败退。最终，快手不得不采取了极端的“断腕”措施，无差别关停全部直播频道。

“白色鼠标”接受Vista看天下采访时说，这是黑产背后的黑客抓住了快手系统里的漏洞，结果造成了如此重大的损失。“如果之前有白帽能够在黑灰产攻击之前挖掘到这个漏洞，大概快手只需要支付几百元的漏洞赏金。”

“白色鼠标”也是一名黑客。但不同于“快手风波”背后，躲在暗处制造混乱的黑帽黑客，他是一名白帽黑客（White Hat Hacker）。

已经与我们密不可分的互联网世界，看似运转严密，实则充满着大量漏洞。白帽黑客，就是要抢在黑帽黑客之前，挖出那些漏洞。

01

年入百万的“赏金猎人”

“白色鼠标”今年才17岁，戴一副黑框眼镜、外表与普通高中生无异。事实上，他已经是白帽黑客群体里“0.6%的佼佼者”。

他是JSRC（京东安全应急响应中心）2025年年榜第二、BILISRC（哔哩哔哩安全应急响应中心）2023年贡献榜第一，挖掘过超过20个赏金过万的漏洞。

白色鼠标获得JSRC（京东安全应急响应中心）2025年年榜第二

SRC（Security Response Center）即安全应急响应中心，通常是企业为保护自身产品和用户安全而建立的官方平台。白帽会通过这些平台提交漏洞报告，获取赏金。目前知名的互联网公司，字节跳动、腾讯、阿里巴巴、OPPO、百度、网易等，都有自己的SRC。很多平台对白帽黑客的年龄并没有做限制。各大平台的安全应急响应中心（SRC）排行榜，便是衡量白帽实力的最好证明。

走到各大排行榜榜首，“白色鼠标”只用了4年。12岁那年，刚上初中的他开始自学Python，家里没有电脑，他只能在网站上看视频，觉得看懂了就看下一集。直到后来姐姐上了大学买回电脑，他才真正得以实践。现在他使用的电脑价值3999元，是他自己挖洞赚钱买下的，并非高性能笔记本，但对他来说，“挖洞足够了。”

简单来说，白帽黑客是数字世界里的“安全游侠”或“赏金猎人”。他们身怀顶尖的网络技术，游走于各大互联网系统，寻找其中的漏洞。但其目的不是破坏与窃取，而是主动发现漏洞，帮助企业与机构加固防御，以此守护网络安全。

“黑客”源于英文“Hacker”，最初指代那些聪明、热爱探索、勇于挑战既有规则的技术极客。自20世纪80年代起，媒体开始用“黑客”统称那些进行非法入侵网络系统的人，使得这个词逐渐具有了双重含义。它既指技术高超的创造者，也指进行破坏的入侵者。

为了与破坏者做出区分，致力于防护网络安全的这群人自称“白帽黑客”（也称“白帽”），而将利用技术作恶者称为“黑帽黑客”。

奇安信安全专家田朋接受Vista看天下采访时解释道，“白帽就是网络世界的‘安全志愿者’，他们通过模拟攻击测试系统弱点，找出漏洞，但目的是帮助企业修复而非利用漏洞。”

这个行业逐渐孕育出独特的成功路径。奇安信旗下的补天漏洞响应平台发布的《2025中国白帽人才能力与发展状况调研报告》显示，国内白帽人均奖金收入约50.68万元，而能跻身“百万俱乐部”的仅占0.6%。

这种“技术致富”的可能，正吸引着大量年轻人涌入。上述报告显示，2025年国内活跃白帽中，62.6%为“00后”，平均入行年龄仅约23.9岁，甚至有10.8%未满18岁。

在田朋看来，像白色鼠标和小火炬这样的“00后”，作为互联网原住民，对系统与代码的敏感度更高。而白帽行业的高强度攻防对抗，往往需要长时间分析代码、反复验证漏洞，也天然依赖年轻人更充沛的精力与快速学习能力。这既是这个行业年轻化的原因，也是它持续筛选人的方式。

02

像坏人一样思考

“如果把互联网理解成一间间房子，我们的工作就是检查房子是否有薄弱点，然后侵入这些房子拿出一些不值钱的东西，来向平台证明他们的业务存在漏洞。”“小火炬”解释道。

这位获得了腾讯SRC2024年TOP1、字节跳动SRC2025年TOP1的21岁年轻人，年收入已超过100万元，目前正就读于福州大学至诚学院。

在字节跳动SRC总榜上，小火炬暂列第一

2025年“双11”期间，“小火炬”参与了电商平台的安全保卫活动，1个月内向18家公司的SRC累计提交了29个高危/严重报告，成绩断层领先，获得了“司令”的头衔，也获得了高达近30万元的漏洞挖掘奖金。

在人们刷着手机看直播、购物时，极少会有人去想，掌握自己信息的这个系统，是否会存在漏洞。对大多数普通用户而言，网络安全的风险始终是抽象的，直到某一次事故真正发生。

但对于安全行业来说，风险并不是偶发事件，而是持续累积的常态。根据国家信息安全漏洞共享平台统计数据，在2025年共收录漏洞19435个，较2024年同比增长约3.5%。庞大的互联网世界并不像是一个密不透风的堡垒，更像是一个千疮百孔的渔网。

正是在这样的背景下，白帽黑客成为一项必须长期存在的工作。

据《2025中国白帽人才能力与发展状况研究报告》，2025年，国内白帽人均向各大平台提交各类安全漏洞109个，创历年最高。其中，约有56.5%的白帽，在过去一年中提交安全漏洞超过10个，更有超过9.3%的白帽人才全年提交漏洞超过300个。

这些数字并不意味着系统“越来越不安全”，恰恰相反，它们反映的是风险被持续发现、提前暴露的过程。

“白帽与黑灰产的对抗本质是技术、资源、速度的竞赛。黑产利用自动化工具批量攻击，白帽则通过众测平台集结力量实时响应，抢在攻击者之前发现、解决问题。”田朋说，“在黑灰产尝试利用某个漏洞进行大规模变现时，白帽的提前预警和协助加固，本质上就是在断黑灰产的财路。”

要做到这一点，最难的并不是技术本身，而是思维方式。

“按部就班的‘好孩子’思维，永远无法洞察代码背后的阴影。”River这样总结自己的转变。白帽黑客行业里，女性仅占8.1%，River就是其中之一。

她原本从事的工作与网络安全毫无关联，跨界进入白帽领域后，不到一年的时间便登上了哔哩哔哩SRC和有赞SRC安全年榜的前列。

在River看来，顶尖白帽必须刻意训练一种危险的想象力，把自己想象成攻击者。因为真正致命的风险，往往不藏在好人遵守的规则之中，而是藏在规则被滥用的地方。“我扮演坏人的程度越高，挖到高危漏洞的概率就越高。”

田朋对这种判断并不感到意外。安全圈里流传着一句话：“未知攻，焉知防。”如果不了解黑帽黑客最想做什么、哪条路径最省力，防御就只能停留在表层。在田朋看来，“逆向思维”并不是鼓励破坏，而是要求防守者先走一遍最坏的可能性，再在关键节点提前设防。这也是白帽与普通开发人员之间最根本的分野。

也正因为如此，挖洞从来不是一套固定流程。白帽黑客会根据不同平台的业务形态与技术栈，选择完全不同的切入点，反复在“大胆假设”和“小心求证”之间来回尝试。

绝大多数尝试最终都会失败，但正是在这种高失败率的筛选中，那些真正具有破坏力的漏洞才会被提前发现。

03

AI，黑客手中矛与盾

“白色鼠标”挖到第一个赏金漏洞，是一个游戏管理后台的漏洞，通过特定参数的修改，他竟然可以像分发传单一样，将全服所有的昂贵皮肤免费发放给每一个玩家。

这样的漏洞并不是他职业生涯中最严重的漏洞。2025年的一天，凌晨1点多，他在一家购物平台收集信息时偶然发现了一个看起来陈旧、被遗忘的老旧版本站点。通过深挖，他震惊地发现，这个站点竟然成了通往核心数据的秘密通道。只要他愿意，他可以实时获取该购物平台所有用户的信息。“包括下单人的手机号、家庭住址，甚至他买了什么东西。”

如果这个漏洞没有被他发现并封堵，而是由黑帽黑客获取，用户的每一笔订单信息都可能化作“精准诈骗弹药”。海量数据在暗网以“几分钱一条”的价格被批量贩卖，催生数以亿计的诈骗产业链。境外诈骗团伙可以据此定制话术，冒充客服实施钓鱼。

要发现并缝补这张巨网上的漏洞，仅靠“天赋”二字远远不够。《2025中国白帽人才能力与发展状况调研报告》显示，我国白帽人才人均每周自学攻防技术的时间约为16.5小时。这是一个孤独且碎片化的自我进化过程。

“要成为一名合格的白帽，需要不断学习精进自己的技术。”北山学院的创始人钟北山说，甚至这个行业也不会看学历，“就只看技术”。

他在大学开始学习网络安全技术，第一天上课，老师就向他们公布了这门课程的考核方式：学生们可以不来上课，只要结课考试时可以入侵老师搭建的站点修改自己的成绩，就可以直接拿到满分。

钟北山成功拿了满分。

到大二时，通过挖洞，他就赚了第一个100万。

“学习挖洞就像往一个大水缸里倒水，第一年陆陆续续往里面倒知识把水缸填满，第二年、第三年就很容易有更大的突破，只要努力学总能看到成效。”钟北山说，当然要不断努力，“这个行业的技术永远在不断更新迭代。”

当黑帽黑客利用AI自动化攻击，逼得连快手这样的巨头不得不“断腕”应对，越来越多的白帽黑客意识到，对手手中的猎枪正被某种更强大的“电磁炮”取代。

AI技术的爆发，正在重新划定这个行业的边界。在过去，发现一个严重漏洞可能需要一名顶尖白帽连续数周的“爆肝”和直觉捕捉，但AI可以24小时无休止地进行信息收集和自主分析。

“AI不断发展，虽然现在还不会，但是总有一天白帽这个行业会被完全替代掉。”白色鼠标抱着一种悲观的倾向，“AI可以24小时挖洞不知疲倦，人是不行的。”

“小火炬”却有不同的意见。“AI的出现其实降低了这个行业的入行门槛，新手有什么问题可以直接询问AI，不需要自己闷头研究，或者到处求问。”很多基础问题，AI已经能100%解决掉。它让新人的学习周期从几年缩短到了几个月。“我高中刚刚学网络安全的时候哪有这种条件，现在真的赶上好时代了。”

尽管AI在计算力上占据绝对优势，但在这些白帽黑客眼中，人类的直觉依然是最后的一块阵地。“AI能学会所有的编程规范，但它很难学会那种白帽挖洞的灵感，”River说。

不过，AI能成为白帽们手中更坚固的盾，也可以成为黑灰产手中更尖利的矛。“那就要看看未来是我们更厉害，还是黑灰产更厉害了。”小火炬说。

这场关于漏洞与防线的拉锯战，永远没有终点。只要代码还在运行，这群“数字缝补者”就必须在黑暗降临前，先一步找到那道裂缝。