周鸿祎：漏洞是安全的命门

　　新浪科技讯 5月27日晚间消息，今日，360创始人周鸿祎在社交平台发文谈网络安全漏洞，周鸿祎称，漏洞是安全的命门，今天很多高级别的网络攻击都是基于漏洞 ，攻击者可以利用未知的漏洞，神不知鬼不觉劫持系统发起攻击。近日，全球化支付巨头PayPal被曝用户账户资金存在安全风险，就是时下热门事件案例。

　　周鸿祎指出，从某种角度来说，漏洞和石油、建材、药材等很多军用物资一样，应该被视为是国家级的、重要的战略资源。

　　以下为全文：

　　漏洞是安全的命门。今天很多高级别的网络攻击都是基于漏洞 ，攻击者可以利用未知的漏洞，神不知鬼不觉劫持系统发起攻击。近日，全球化支付巨头PayPal被曝用户账户资金存在安全风险，就是时下热门事件案例。

　　PayPal近20年致力于数字支付革命，2021年年初还获得我国支付牌照。近期外媒曝出，PayPal存在一个未修补的大漏洞，该漏洞是在专为计费协议设计的“www.paypal[。]com/agreements/approve”端点上发现的，利用该漏洞，攻击者可轻而易举地窃取用户账户中的资金。

　　可以说，基于漏洞的网络攻击可以颠覆我们的认知。去年年底的Apache Log4j2漏洞也是典型案例之一。通过该漏洞，攻击者可以远程操控目标的电脑、服务器执行任何一条指令，比如下载安装有害软件、删除关键数据或文件等。而且，这一漏洞的利用方式并不复杂，仅需输入一段简单的命令即可触发。这就好比一栋戒备森严的大楼，从正面是很难突破的；但如果楼体的某一个小窗户没有上锁，那么就给了他人可乘之机。可以说，在网络里掌握了一个漏洞，就相当于掌握了一个网络武器。

　　所以从某种角度来说，漏洞和石油、建材、药材等很多军用物资一样，应该被视为是国家级的、重要的战略资源。早在2013年12月，西方主导的《瓦森纳协定》就将漏洞和一些入侵软件列入军用物资进行管制，随后，美国商务部也出台相关实施规则草案，将漏洞纳入美国《出口管理条例（EAR）》的管控范围。今天，漏洞的资源性和武器化趋势已成为国际上的普遍共识，漏洞披露上升到与国家安全和国家利益密切相关的高度。2021年7月12日，我国工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》。希望通过政策倒逼各方将安全管理前置，重视漏洞管理和数字安全责任义务，在开发网络产品时就需要植入安全意识、安全理念、安全相关架构及技术等，将安全理念根植于网络产品的每一处基因。毕竟，万物互联的数字时代，谁掌握了对方的漏洞，谁就能在对方所谓固若金汤的防线上撕开一个口子。我们只有自己加强漏洞的挖掘和修复，才能减少风险，加强防御。