「善意的恶」与「恶意的善」：夹缝之中的道德黑客

　　生存还是毁灭？这是一个问题。

　　作为莎士比亚剧作中最常被引用的一句话，它可能代表了某种困境中的抉择 —— 矢志不渝或者苟延残喘。但对于哈姆雷特而言，两种选择都存在着内在的矛盾，它们都不是尽善尽美的。

　　英国哲学家菲力帕·芙特在探讨功利主义时拟定了一种道德模型，所表现的冲突恐怕更为强烈：

　　假设有一辆刹车坏了的电车，正在撞向前方轨道上的五个人，而旁边的备用轨道只有一个人。如果什么都不做，五个人会被撞死，但拉下身边的杠杆，车辆会驶入旁边的车道，最终只牺牲一个人。你会怎么做？

　　尽管这是种相当极端的情况，但背后所潜藏的矛盾却普遍存在。哪怕是我们熟悉的游戏业界，在“破解游戏”以及一众黑客的攻防战上，最近的两起事件也饱受争议，它们恰好成为了两种矛盾的呈现形式。

善意的恶人，恶意的善者

　　近几个月来，《色彩喷射团2》的作弊问题日趋严重，即使你不玩游戏，从社交媒体的用户反馈中也能略知一二。

　　任天堂的自主检测系统有些于繁琐，玩家先得从 App Store 或 Google Play 下载官方软件，然后通过内置的 SplatNet 2 举报作弊者。不过，竞技厮杀毕竟是一瞬的反应，你很难借着回忆精确描述当时的状况。

　　很快，这就惹恼了一位匿名黑客。为了引起官方的重视，他通过网络漏洞入侵了服务器，并将游戏中排行榜前几位的 ID 改成了「Please Add Anti Cheat」（请添加反作弊功能）。作为回应，任天堂不仅将他在游戏中的 Rank 清除，更是直接限制了其账号的联网功能。

　　从条例的角度来看，任天堂的处理方式没有丝毫问题，他们的内容和数据毕竟受到了直接威胁，封禁账号在公关层面也是一种合理的威慑。但从情理的层面出发，“请添加反作弊”无疑只是善意的恶作剧，企业与个人完全可以采取合理的方式进行沟通，双方并非没有共赢的机会。在理想的状态下，老任本应借着机会修补漏洞，而匿名黑客则在达成目的的同时收获美名。

　　不过，一些细微的差异，也可能让世界线发生变动。破解团队 ReSwitch 的成员 Kate Temkin，无疑成为了另一维度的受益者。

　　事情得从 ReSwitch 的“内乱”说起，从上周开始，旗下组员就在推特上吵得不可开交。而流传到国内的小道消息则是：Kate Temkin 上演了一出无间道，将破解小组发现的漏洞提交给了任天堂，最终拿到了20万美元的奖励金，从而导致项目流产。

　　这种说法不太准确，事情目前还未有定论。任天堂在漏洞众测平台 Hackone 确实有一些赏金计划，但回馈的上限仅为20000美元。而 ReSwitch 破解的着力点，其实是 Switch 中的 Tegra 芯片，这恰好与谷歌旗下的平板电脑 Pixel C 一致。有人提出，如果想在赏金后面再加一个零，将漏洞提交给谷歌是一种更可能的解释。

　　从2017年6月1日起，Android 安全奖励计划就调整了奖励金，如果漏洞涉及到 TEE（可信执行环境），那么赏金确实可以达到20万美元。但无论 Kate Temkin 偏向了哪一方，他至少间接与任天堂产生了联系，事情曝出不久后，老任就试图替换 Switch 的新固件来解决问题。

　　与“请添加反作弊功能”的始作俑者截然不同，情理上看，Kate Temkin 的背信弃义让人感到愤怒，她的一己私欲也为人诟病。但如果将目光转回到法规的约束上，这又不失为悬崖勒马、造福行业的一种善举。

　　情理与条例的冲突，自然而然的成为了人们争执的焦点。尽管两起事件就像走到了镜子的两面，但无论是匿名开发者还是高调的 Kate Temkin，他们之间并非没有共性。

　　两者的动机和行为都产生了矛盾，一方面是善与恶的出发点，另一方面则是罪行与合法性。但不管从哪个角度来看，其中都蕴含着“不作恶”的属性。而这些处在夹缝中的破解者，我们通常将他们称为道德黑客，亦名白帽黑客。

自善至恶：当免疫系统发生病变

　　在七八十年代的舆情中，黑客一词的普遍含义，代指的还是那些对计算机技术有着深刻理解的人。以色列网络安全专家 Keren Elazari 对此仍然深信不疑，她在 TED 大会上公开指出，黑客是一种有机的免疫系统，他们协助漏洞的修补，逼迫人们正视自己的软肋。那些坚守信条的「安全专家」选择带上白色礼帽，他们就像是山野中的罗宾汉，将挖掘出来的秘籍反馈给焦头烂额的开发者。

　　1981年，纽约时报对他们的评价无疑是积极而正面的：

　　他们是技术专家，技艺精湛，通常是很年轻的程序员，总是带着奇思妙想来试探计算机的防御系统，探索着它们的极限和可能性。尽管他们看起来像是在破坏系统，但其实保护了重要的资产，这些东西往往很有价值。

　　通过自研的 Root 工具，波兰网络安全研究员 Joanna Rutkowska 攻破了 Windows 系统的内核保护，而在2009年的一篇论文中，她又曝光了英特尔 CPU 的缓存漏洞。作为普及最广的 PC 软硬件产品，这些脆弱的后门很可能导致系统控制权易手，从而造成一定的社会隐患。

　　Greg Hoglund 则意图指出网络游戏背后的安全顽疾。在《Exploiting Online Games》一书中，他通过深入浅出的方式，撬开了《巫术》和《创世纪》等产品背后的根本问题。剧集《Track Down》有着更为戏剧的表现，该片改编自真实事件，主要讲述了日裔安全专家下村勉抓捕美国头号电脑通缉犯的故事。

　　糟糕的是，Elazari 所指的免疫系统正在发生病变。时至如今，黑客成为了破坏的代名词，这与他们自身矛盾的性质息息相关。

　　破解和挖掘的背后，本身就潜藏着巨大的黑色回馈，这形成了难以抵挡的天然诱惑。如同《星球大战》中的「黑暗面」，要腐化一个苦行僧并非那么困难，天平随时都有着倾斜的可能。越界者逐渐达成了共识，进而去获取本不属于自己的利益。

　　2011年，CSDN 的数据库失窃，盗取者恰恰就是白天坐班的内部安全人员。计算机专家 Kevin Mitnick 同样苦于自己的双重身份，他曾在1988年~2000年间多次攻破大型科技公司的网络，从中撵取的收益超过百万美元，直到蹲了68个月的监狱之后才改邪归正。

　　仅从技术的层面来看，白帽也好、黑帽也罢，他们所用的总归还是同一套手段。一旦涉及到漏洞挖掘，模拟攻击几乎是避不开的方式。这通常得不到公正的监管，而且极难定性。许多国家对渗透测试的合法性还处于界定状态，如果没有得到企业的授权，有可能产生极大的法律风险。

　　正如菲力帕·芙特提出的“有轨电车难题”一样，道德黑客当前处于义理与法条的夹缝之中，这种矛盾可能才是病变的根源所在。当规章条例处处作对，企业对呐喊的声音不闻不问时，屈身灰色地带的道德黑客很可能采取更激进的行动。

　　匿名者组织（Anonymous）曾对40个与儿童色情相关的网站进行攻击，并公布了1500位访客的个人信息。他们的做法某种程度上合乎道义，但在法规又说不过去。善意的恶行本应以更好的方式引向正途，而恶意的善行也需要外力才得以维持。一旦癌变开始，整套免疫系统就丧失了自我净化的能力。

　　放任不管并非一条健康的发展道路。随着工具和自我技能的进步，软硬件所暴露的弱点正在呈指数增加。技术的连通显得更为致命，几乎没有人能打造不受侵扰的安全体系。道德黑客可以视为一种宝贵的稀缺资源，如何通过外力来击破他们自身的矛盾、净化免疫系统，成为了当前各个行业亟待考虑的问题。

下一页：自恶至善：让他们做个好人