如果你混过国内早期的网络安全圈子,一定对“学生黑客联盟”这个名字不陌生,放在二十年前,它是无数少年极客的技术启蒙圣地;放在今天,这个名字却总是和黑产、未成年人违法犯罪绑定在一起,同样的标签,为什么走出了完全不同的两类人?今天我们就聊聊学生黑客联盟背后,关于青春、天赋和选择的故事。
从爱好者聚集地到灰色圈子的变质
最早的学生黑客联盟诞生于2000年前后,那时候中国刚普及拨号上网,一分钟网费就要几毛钱,能摸到电脑的学生本身就不多,懂网络技术的更是凤毛麟角,那时候“黑客”在国内还是个中性词,在很多孩子眼里,黑客就是会玩电脑的天才,一群十几岁的少年抱着翻印的《黑客攻防入门》啃,对着传奇的Coolfire教程一步步敲命令,凭着对技术的好奇心凑在一起,就有了最早的学生黑客联盟。那时候的联盟几乎没有盈利性质,大家聚在一起就是交流技术:今天谁找到了门户网站的一个小漏洞,发在论坛里就能收获一圈羡慕;明天谁破解了共享软件的注册码,会直接发出来给所有人用,论坛最多收几十块的年费,就是为了维持服务器运行,我看过一位早年混迹学生黑客联盟的网安工程师写的回忆录,他说那时候大家最大的快乐就是“突破限制”,找到系统漏洞的成就感,比考了年级第一还爽,根本没人想着用这个技术赚钱。
但随着互联网黑产的发展,这个学生圈子慢慢变了味,越来越多的人发现,学生懂技术又法律意识淡薄,是很好的“工具人”,而很多孩子也发现,自己找到的漏洞能帮人改成绩、偷数据、盗账号,来钱快得离谱,慢慢的,原来的技术交流论坛变了质,越来越多新冒出来的“学生黑客联盟”,干脆直接变成了灰产接单平台,从卖工具到拉下线,什么赚钱做什么,曾经的少年极客聚集地,成了灰色产业的温床。
2024最新判例:高中生“学生黑客联盟”的陷落
今年3月浙江温州苍南县警方破获的一起案件,把当下学生黑客圈子的乱象赤裸裸摆到了台面上,这也是今年国内破获的影响力最大的未成年人黑客团伙案。案件的牵头人小郑是一名17岁的高二在校生,从小就喜欢折腾电脑,初中开始就在网上自学编程和攻防技术,高中时他靠着自学掌握了基础的SQL注入技术,开始批量扫描全国各地学校的官方网站,他很快发现,大部分中职、普通高中的教务系统常年不更新,存在大量老旧漏洞,根本不需要高端技术就能轻松入侵。
发现这个“商机”之后,小郑干脆自己搭建了一个网站,直接起名“XX学生黑客联盟”,自己当站长,在各大中学生论坛、社交群里宣传:只要给钱,就能帮改期末成绩、会考成绩,改完还能不留痕迹,为了扩大生意,他还搞起了分销模式:只要交300到500元的入会费,就能拿到他写好的一键入侵工具,自己接单赚钱,他从中抽成。
短短半年时间,这个高中生牵头的“学生黑客联盟”就发展了300多名会员,先后入侵了全国160多所学校的教务系统,帮数百名学生修改了成绩,改一次分数收费从300元到3000元不等,加上卖工具、收会费,小郑一个未成年人就牟利了40多万元,这些钱大部分被他用来买高端数码产品、打赏主播,直到一所高中整理成绩时发现了异常修改痕迹报警,这个团伙才被连根端掉。
直到被抓,小郑还对民警说:“我知道改成绩不对,没想到这是犯罪,大不了就是退学,怎么还会坐牢?”如今小郑因涉嫌侵入计算机信息系统罪被移送审查起诉,等待他的不仅是学业尽毁,还会留下一辈子的案底,很多网友看完案件都感慨:这孩子有这么强的自学能力,要是有人引导走正路,说不定早就考上好大学的网安专业了,偏偏毁在了赚快钱的诱惑里。
而这并不是个例,据公安部网安局公布的数据,2023年到2024年上半年,全国破获的未成年人牵头黑客案件就超过12起,大部分都是打着“学生黑客联盟”的旗号,涉及改成绩、贩卖个人信息、盗刷账号等黑产,近七成嫌疑人不满18岁,大部分都和小郑一样,根本不知道自己的行为已经触犯了刑法。
除了黑产,还有一群走在阳光下的“学生极客”
很多人一听到“学生黑客联盟”这几个字,就下意识觉得所有成员都是坏的,其实这个标签从来不是天生邪恶,从这个圈子里,也走出了大量优秀的网络安全人才,也就是大家常说的白帽黑客——他们靠自己的技术找漏洞、补漏洞,保护企业和用户的网络安全,是网络世界的“护林人”。举个最近的例子,2023年字节跳动安全响应中心的年度贡献榜单里,排名第二的白帽黑客是一名来自西安电子科技大学的大三学生,今年才21岁,他说自己初中的时候就喜欢研究网络安全,最早就是在学生技术圈子里和同好交流,那时候也有人拉他进“学生黑客联盟”接单改成绩,一单就能赚大几百,相当于他半个月的零花钱,但他拒绝了,后来他接触到白帽行业,知道正规找漏洞拿奖励不仅不违法,还能帮企业保护用户安全,大学之后他陆续给各大企业提交了上百个高危漏洞,光是漏洞奖励就拿了近20万,大二的时候就被字节安全团队提前录取实习。
不止国内,2024年2月谷歌Chrome漏洞奖励计划中,一个19岁的中国留学生发现了Chrome的一个高危零日漏洞,拿到了12.5万美元的奖励,折合人民币近90万,这个小伙子也是从学生黑客圈子里成长起来的,从小喜欢研究漏洞,现在读的就是顶尖高校的网络安全专业,未来计划毕业后从事安全研究工作。
国内每年举办的“网鼎杯”“强网杯”等国家级网络安全竞赛,获奖队伍中超过六成都是在校学生,其中很大一部分最早都是在学生黑客联盟交流技术,靠着正确的引导走上了正途,我认识一位在阿里巴巴做安全专家的前辈,他就是最早一批学生黑客联盟的成员,他说当年一起玩的十几个核心成员,两个做黑产被抓,三个转行了,剩下五个现在都在国内顶尖互联网公司做安全,人和人的选择不同,结果天差地别。
现在很多企业和高校也意识到了这些爱折腾的孩子的天赋,纷纷推出了面向青少年的白帽培养计划,比如腾讯安全的“白帽少年计划”、百度安全的极客夏令营,专门吸收喜欢网络安全的中小学生,提供正规的技术培训和发展路径,不少原来在灰色边缘徘徊的孩子,转做白帽之后发展得都很好。
对待学生黑客群体,堵不如疏才是正解
聊到这里,我也说说我个人的观点:我一直不赞成一听到“学生黑客联盟”就一棒子打死,把所有喜欢技术的学生都打成潜在的犯罪分子,当然也不能放任灰色圈子野蛮生长,毁了年轻人的前途,对待这个群体,堵不如疏才是正确的方向。现在的核心问题其实有两个:第一是引导和普法的缺失,很多十几岁的孩子有天赋有好奇心,但是学校几乎没有相关的网络安全教育,也不会普及相关的法律知识,很多孩子真的不知道入侵他人计算机系统是刑事犯罪,以为就是违反校规,大不了批评教育,直到被抓才追悔莫及,第二是黑产的诱惑太大,现在网络上几十块就能买到现成的黑客工具,入门门槛极低,十几岁的孩子没有稳定收入,面对赚快钱的诱惑,很少有人能稳稳守住底线。
那该怎么做?封掉所有学生技术交流圈子根本解决不了问题,反而会把这些孩子逼到更地下的角落,更容易被黑产侵蚀,真正该做的,是给这些有天赋的孩子一个正规的出口:学校可以多开网络安全兴趣课,组织学生参加正规的竞赛,让喜欢技术的孩子有地方发挥;企业和社会机构可以多开面向青少年的白帽培养项目,让孩子知道,技术不用用来做黑产,也能赚钱,也能实现自我价值,还能光明正大当做终身事业,刚才我们说的那个大三学生,一年的漏洞奖励比很多上班族的工资还高,还不违法,还能积累经验,这样的出路,不比做黑产香吗?
说白了,学生黑客联盟从来不是天生的邪恶,它只是一群对技术充满好奇心的少年的聚集地,有人抵挡不住诱惑滑向深渊,有人靠着正确引导成为栋梁,对整个社会来说,如何给这些年轻人指对方向,比一味的污名化和打压重要得多——毕竟,我们国家网络安全的未来,本来就需要这些敢钻研、敢突破的年轻人。