random在BlackHat USA 2019做技術分享random本人random作為受邀代表現場領獎

2023年2月，懸鏡安全正式對外公開了供應鏈安全情報中心，這是國內首個數字供應鏈安全情報研究中心。五年前，懸鏡安全創始人兼CEO子芽，這位未名湖畔的筑夢人，接受了安在的專訪（新銳 | 懸鏡安全子芽：未名湖畔的筑夢人），那時的懸鏡安全正處在代碼疫苗技術十年磨一劍的產品商業化應用落地的實踐探索階段；兩年前，懸鏡安全CTO寧戈同樣也接受了安在的采訪（人物 | 懸鏡安全寧戈：高山流水遇知音，湖畔筑夢中國心），那時的懸鏡安全已經完成了數億元的B輪融資，已迅猛發展為DevSecOps數字供應鏈安全領域的頭部廠商。

硬科技的創新和普惠是推動人類社會發展的核心驅動力。隨著數字時代的快速發展，萬物互聯的數字應用在編程開發方式、應用協作發布模式、應用設計架構和基礎設施運行環境等四個方面發生著深刻的變化。在2023年8月的DSS2023 數字供應鏈安全大會上，子芽開創性地提出數字供應鏈安全的創新理論體系和實踐框架（DSS 2023硬核成果| 懸鏡業內首次定義數字供應鏈安全），在產業界影響深遠，數字供應鏈安全問題也隨著國家的進一步重視被上升到基礎設施安全高度來對待。

隨著懸鏡安全持續多次提前精準預警，諸如惡意Py包仿冒tensorflow AI框架實施后門投毒攻擊事件、惡意NPM包利用Windows反向shell后門攻擊開發者事件和惡意Py組件tohoku-tus-iot-automation開展竊密木馬投毒攻擊事件等，標志著懸鏡供應鏈安全情報中心憑借云脈XSBOM數字供應鏈安全大腦超強的精準預警能力正式向產業界首次公開。原本僅是居于幕后、致力于深度挖掘并溯源分析供應鏈安全漏洞、投毒事件、組件風險等供應鏈安全風險的供應鏈安全能力研究中心，由此正式公開亮相。此舉動不僅是懸鏡安全對全球數字供應鏈安全態勢監測賦能積極響應，更是其身為數字供應鏈安全開拓者，推動全球數字供應鏈安全治理的重要舉措。

此次與之深度交談的正是懸鏡供應鏈安全情報中心的負責人——random 蔡智強，也是懸鏡安全技術合伙人，供應鏈安全情報中心的幕后大佬。

“最低調的頭號黑客”，這是子芽對random的評價之一。首創懸鏡數字供應鏈安全情報智能捕獲體系，牽頭挖掘寶馬、雷克薩斯等多家全球知名車聯網頭部企業的眾多高危漏洞，首個寶馬集團數字化及IT研發技術獎獲得者，BlackHat USA頂級國際安全會議演講者，多次參與DEFCON CTF國際安全攻防大賽，這是random過去10年內特別技術經歷的冰山一角。與子芽、寧戈同為北京大學信息安全系的師兄弟，在校園里就是白帽極客技術的代表，他們和幾個師兄弟一起，不僅發起成立了“xmirror”戰隊，還成為“國信504紅隊”的攻防支撐力量，曾多次為國家關鍵信息基礎設施的重大活動安保提供了有力保障。

“random”是蔡智強從學生時期至今一直在圈內沿用的id。問及當初為什么使用“random”，作為自己的id時，他笑道“網絡攻防對抗從來都是不確定的，魔高一尺，道高一丈，智慧的攻才是進階的防! ”

random在BlackHat USA 2019做技術分享

相比random自評是一個不善言辭的人，團隊伙伴則贊嘆他專注、執著、心無旁騖。與技術大佬在一起搞研究突破，做自己感興趣的事，可能是白帽黑客們皆有的特質之一。

少年初識，緣起未名湖畔

回顧研究生時期打攻防比賽的經歷，random回憶到最早參與的全國性比賽是2013年研一期間參與信息安全與對抗技術競賽（ISCC）?！癐SCC算是國內比較早期舉辦的攻防比賽了，也是國內知名的賽事之一。早期的ISCC更偏向于考驗個人能力，初賽是個人賽，決賽大概前25名進入線下組隊打團體賽，個人更喜歡團體賽的氛圍。”。北大研究生期間，random只要有閑暇時間，都會參與XCTF、BCTF、XDCTF、HCTF、RCTF等國內攻防競技中，練練手感，刷刷腦力，自然成績也是不錯。

作為子芽的師弟，他們在北大讀研期間相識，當時作為實驗室負責人的子芽給random的印象非常深刻。談及對子芽的第一印象，random用了這樣幾個形容詞：“有創造力、純粹、簡單、具有很強的敏銳度和感染力”。和子芽的風格雖然不同，但他們都認為創造智能的攻防滲透模擬工具是更為重要的，可以更好將個人的網絡安全能力固化到自動化平臺上，創造更多能力均衡穩健的白帽黑客，讓中國網絡安全水平整體拉高。

2015年，同樣也是研究生的random肩負起懸鏡紅藍對抗團隊負責人的重任，帶領技術師傅們完全支撐起“國信504紅隊”技術輸出的任務，在國家重大活動期間為重要政府門戶和關鍵信息基礎設施提供攻防演練、滲透測試攻擊模擬、二進制漏洞挖掘等關鍵支撐服務。

暫別，只為更好地重逢

為了進一步沉淀個人技術的厚度，random研究生畢業后加入了國內某頂級安全實驗室擔任安全研究員，負責智能網聯汽車的漏洞挖掘與安全研究工作。

在這段經歷中，random主要負責對智能網聯汽車進行漏洞挖掘及安全研究。“我們先后研究了一些國際知名的車型，沉淀了一些技術突破思路和方法論，在車載系統固件逆向分析和挖掘漏洞上收獲不少成果?！眗andom把這些車看作是一個黑盒，沒有源代碼和調試接口，只能從一個黑客攻擊者的角度去挖掘汽車對外暴露的攻擊入口。通過對車機固件做二進制逆向分析，進而對車載的網絡、藍牙、WIFI以及手機互聯通信等服務進行安全分析和漏洞挖掘，最后利用漏洞來成功實現對車輛的遠程控制效果。

在全球智能汽車領域不斷取得新進展的同時，random也在不斷破解著更多知名車企的安全問題。在對某全球高端豪華汽車集團的深度挖掘漏洞與安全分析后，random帶領團隊發表多篇針對車廠的安全性研究成果，并被該汽車集團授予首個“數字化及IT研發技術獎”，與該汽車集團安全團隊一同受邀參與Black Hat黑帽大會，random在議題演講中首度公開了該車企多款車型的破解研究和技術細節。

random本人

random回憶這段白帽黑客的經歷時，說到“我喜歡技術研究型工作，在那段工作經歷中，除了偶爾幾次關鍵技術分享演講，還有一次與破解的這個汽車集團做了一次深入的技術交流，絕大部分時間，我都還是在實驗室做研究和驗證工作?！?/p>

random始終關注著懸鏡和子芽的發展動態。從某種層面來講，其實random從未離開過懸鏡?！拔移綍r和子芽一直保持緊密聯系，而且其他的合伙人都是我的師兄弟，我們之間都比較熟悉。再加上經常在朋友圈看到懸鏡相關的動態，包括產品新技術的迭代、取得的斐然佳績，或是舉辦的各類行業性大會等等，懸鏡發展的每一個階段我都有關注到。”

對于時隔多年再次回歸懸鏡，random表示這是一個遵從內心的自然結果?！拔易约鹤霭酌焙诳鸵呀浻惺嗄炅耍还苁巧蠈W期間，還是上一份研究工作期間，我都偏向于在做漏洞挖掘和深度利用?？v觀網絡安全行業發展的大趨勢，關鍵信息基礎設施的安全是國家網絡安全的基石，這促使我們守護它的使命感更強烈。我也會去思考，人工利用一個漏洞可真正實現的價值到底有哪些，而做數字供應鏈安全，我可以把過往的經驗通過共同研究的自動化智能工具賦能給整個供應鏈上下游生態，可以對數字供應鏈安全做一些實際的落地貢獻，可以切實地幫助到產業中的用戶們?！?br/>“另外一個很重要的原因是我從子芽一次次的邀請中感受了他的執著?！眗andom笑道。在子芽和random的每次團聚中，他都會詳細地闡述懸鏡這些年正在做一些有意義的事及未來還要繼續挑戰突破的事。至于為什么要專注在供應鏈安全情報這件事上，random 也道出了其中的討論過程?！皠傞_始我和子芽討論的方向是要做中國首個能完整提供高精度、高實時、高可用的數字供應鏈漏洞情報預警能力的團隊，但隨著數字供應鏈安全投毒事件越來越頻發、關鍵信息基礎設施停服斷供風險越來越大，做好整個數字供應鏈安全情報預警服務的迫切性愈發突出了?！贬槍湴踩穆┒赐秶鼜V，破壞力更強，而對受供應鏈安全影響的用戶往往規模龐大，一旦受損造成的影響也更大。通過懸鏡供應鏈安全情報中心7*24實時輸出的數字供應鏈安全情報和OpenSCA開源數字供應鏈安全社區，不僅可以幫助廣大開發者用戶解決實際數字供應鏈安全問題，還在一定程度上推動產業界對于數字供應鏈安全和國家信創應用安全的重視和發展。

攻擊視角下的供應鏈安全情報

長期的漏洞攻防研究讓random對網絡安全的認知更加透徹，在他看來，網絡安全的本質是相通的，無論是針對車聯網、物聯網還是數字供應鏈的安全等，其本質都是網絡安全風險與信任的動態平衡，關鍵點在于敏捷精確地感知威脅的能力，正所謂天下武功唯快不破！

因此，在解決情報輸出的精準性和實時性方面，random非常自信。他表示，多年的安全漏洞攻擊者視角讓他對安全漏洞更加敏感，在發現高危漏洞時，他牽頭開發出的供應鏈風險智能捕獲平臺能夠更全面地預測漏洞的利用方向，并給予用戶更可用的解決方案。

此外，數字供應鏈安全情報的精準實時輸出也是懸鏡安全實現數字供應鏈安全管控體系深度閉環的關鍵之一。此前，被業界廣泛應用的懸鏡源鑒SCA開源威脅管控平臺內置離線部署的漏洞庫，對于增量漏洞庫的維護運營和實時更新往往受限于客戶的實際業務場景。而現在，供應鏈安全情報中心在捕獲并驗證風險之后，就可以實時推送同步到訂閱用戶側，實現小時級別的漏洞預警服務，從而讓用戶享受到更便捷實用的數字供應鏈安全體系化服務。

懸鏡供應鏈安全情報中心

據random介紹，懸鏡供應鏈安全情報中心是國內首個專注數字供應鏈安全風險智能防御的情報研究中心，依托懸鏡安全團隊強大的數字供應鏈SBOM全生命周期溯源管理與監測能力、AI應用安全大數據云端分析能力和OpenSCA開源數字供應鏈安全社區在代碼成分安全上的活躍貢獻，對全球數字供應鏈安全態勢、投毒攻擊事件、組件停服斷供風險等進行實時動態監測與深度溯源分析。

作為數字供應鏈安全情報的底座，數字供應鏈安全主要的關注對象有三大部分，首先是數字應用安全，包括應用安全開發、開源治理及數字免疫；其次是基礎設施服務安全，包括云原生安全（CNAPP）和供應鏈環境安全；最后是供應鏈數據安全，包括API安全和應用數據安全。此外，random還提到，安全供應商的風險管理和網絡安全及響應能力也應該納入數字供應鏈安全的范疇。

“數字化是一個很龐大的概念，其中每一個細分的需求都值得被關注?！眗andom表示，此前的供應鏈安全更多圍繞在軟件開發的過程中，而現在，隨著數字基礎設施的逐漸完善以及新技術的逐漸普及，供應鏈的范圍越來越大，其中的風險也越來越多，用戶的安全需求也越來越豐富。懸鏡發現了這些需求，并以情報的方式通過懸鏡供應鏈安全情報中心對外輸送。

當前，懸鏡供應鏈安全情報中心已經積累了50萬+的漏洞情報及10萬+開源組件投毒情報數據。

random表示，目前情報中心的情報輸送主要有兩種形式，第一是內置于懸鏡第三代DevSecOps數字供應鏈安全體系中，例如用戶通過使用懸鏡源鑒SCA平臺就可以很輕易地利用情報來優化安全策略，前置發現應用安全風險。另一種則是通過懸鏡的OpenSCA開源數字供應鏈安全社區對外提供的SaaS訂閱接口，實時接收最新的供應鏈投毒、漏洞和停服情報，用戶可以根據自身需求，按需訂閱。

random作為受邀代表現場領獎

據random介紹，懸鏡安全將SCA視為數字供應鏈安全管理入口，管控數字供應鏈在引入、生產、分發、交付環節全流程數字資產的安全風險。在應急響應方面，懸鏡將SCA與供應鏈安全情報相結合，實現了數字供應鏈組件資產的持續性風險評估和緊急漏洞事件的快速響應。

在AI大模型技術的應用賦能方面，random表示，懸鏡在這塊已經沉淀了不少成果，對大模型相關技術在數字供應鏈安全領域進行了非常有效的實踐探索。目前，情報中心已經訓練出在數字供應鏈局部細分領域非常有效的安全大模型，極大地提高了供應鏈安全情報生產運營的質量、效率和用戶體驗，包括對供應鏈情報預警數據的增強調優、對漏洞代碼的智能修復推薦、對開源許可證的智能咨詢以及針對漏洞組件進行安全升級智能推薦等，預計在2024年5月份會正式上線“懸鏡云脈”智能供應鏈安全大腦的部分訪問服務。

對未來的研判

數字化的新技術、新趨勢，勢必會帶來新的安全問題，關于這點random深信不疑，懸鏡供應鏈安全情報中心也會持續地升級和迭代。random表示，以國產信創舉例，信創浪潮下勢必會引入大量的自研和開源代碼，這些代碼很可能會成為新的風險點。此外，AI大模型的普及和應用也會帶來新的安全風險，包括訓練數據投毒、開源大模型和AI智能體在開發、訓練、發布流程中引入的安全漏洞及惡意代碼等等。這些新的安全風險也會被納入數字供應鏈安全的范疇，對此，情報中心也將不斷創新和延伸。

除了要擴大情報中心廣度，細粒度也是下一階段的重點。random表示，目前，情報中心基本已經覆蓋了開源應用的安全漏洞和惡意代碼投毒情報，但對于潛藏在二進制數字資產中的供應鏈安全問題往往更具隱蔽性和殺傷力，這方面的供應鏈安全情報需要更深更場景化的檢測分析能力，懸鏡安全對此已經做好了準備。

此外，情報的智能適配也是懸鏡安全將要解決的目標。random提到，目前的情報更偏向于開發者，和OpenSCA開源數字供應鏈社區的進一步融合，讓情報中心可以更有目標性地推送特定的情報。這在很大程度上解決了傳統威脅情報適配性較差、無用或垃圾情報泛濫推送等問題。

對于個人的下一階段目標，random表示，首要目標是將現有的數字供應鏈安全情報服務體驗提升到更高的水平，和懸鏡的第三代DevSecOps數字供應鏈安全體系深度閉環，讓用戶享受到更精準、更實時、更可用的情報預警服務。

結語-路漫漫其修遠兮

與幾年前采訪過的子芽和寧戈不同的是，random對于懸鏡安全的成長，既像是一個初創的親歷者，也像是一個見證者，還是一個重新回歸的老人。對于懸鏡安全歷經數年間已然發展成為國內數字供應鏈安全領域的領導者，random滿是驚喜和興奮。

“15年我在懸鏡安全負責攻防對抗時感受到的是一群年輕人的激情，哪怕時光走過數年，我回歸懸鏡安全后，仍然能感受到當初那群年輕人的激情和熱愛。我們在懸鏡安全常說堅守長期主義和擁抱變化，這不是口號，其實這就是子芽和懸鏡安全始終踐行的?！眗andom依然用“純粹”來評價如今即將邁向十周年的懸鏡安全，“執著于夢想，專注于興趣?！?/p>

基于當前所做的事情，我問random，懸鏡供應鏈安全情報中心隨著當下大趨勢的發展，它所覆蓋的能力可以發揮到哪些更大的價值？

random不假思索地回答：“從技術上講，數字供應鏈安全情報中心對供應鏈投毒攻擊風險、漏洞風險、開源組件停服斷供風險等進行深度溯源和關聯情報實時預警；從價值上講，我們的最終目標是通過精準可靠的情報預警和配套的代碼疫苗技術來幫助產業用戶高效治理數字化轉型過程中遇到的各類應用安全風險。我們常說‘安全左移’，但‘安全左移’不是目標，安全應該在任何需要它的地方，真正成為業務核心中的一部分?！?/p>

如果說“守護中國數字供應鏈安全”是懸鏡安全的使命，那“看得清，跟得上，防得住”則是懸鏡供應鏈安全情報中心的重任所在。

充滿不確定性的挑戰，堅定的信念，random與懸鏡安全共同擘畫中國數字供應鏈安全的故事，未完待續。