于旸
于旸,腾讯安全副总裁、腾讯安全玄武实验室负责人,被称为“TK教主”。他是CISP认证“恶意代码”课程的最初设计者。
1997年,于旸考取了安徽医科大学临床医学专业,但5年后他决定放弃医学专业,投向信息安全行业。毕业后,于旸加入了绿盟科技研究院,正式开始了他信息安全的工作。2008年,他担任奥运会信息网络安全指挥部技术专家,并获得国家安保一等奖。2013年,微软因他的研究设立全球安全挑战赛。2014年,于旸发起腾讯玄武实验室。主要研究方向聚焦在针对各类型漏洞的挖掘、利用、检测、防御,以及涉及硬件、无线等方面的复合安全风险。该实验室曾帮助奥多比、Apple、HP、联想集团、Microsoft等企业修复了75个严重安全问题,获得29次致谢。2016年5月的Adobe Reader安全公告中更是一次性包含了32个玄武实验室报告的漏洞,从而创下了该产品历史上单个公告中报告漏洞最多的纪录。玄武实验室还针对条码阅读器的“BadBarcode”研究揭示了影响整个行业的存在了近20年的重大安全隐患,得到国际安全界的广泛关注和称誉,并因此荣获 WitAwards“年度最佳研究成果”奖。同年,于旸获“安全界奥斯卡”Pwnie Awards“最具创新性研究奖”提名,是亚洲首个获得该奖提名的白帽黑客。2016年8月,微软公布了全球黑客贡献百人榜,于旸排名第二。2023年,在外滩新媒体年会,于旸带来《AI大模型:星辰与泥土》的主旨演讲。
人物经历
早年经历
1997年,在父母的建议下,于旸考取了安徽医科大学临床医学专业。大学二年级的时候,学校开设了计算机课程,于旸发现,计算机很适合自学,对物质条件要求比较低,只要一台电脑就可以研究很多东西。于是他靠稿费和省下来的生活费买书和硬件自学。真正促成于旸走上职业道路的是“尼姆达蠕虫”事件。2001年,一个名为“红色代码”的网络植物病原线虫引起了全世界的恐慌,稍加改造的蠕虫便可以让大量服务器瘫痪,严重威胁网络安全。
为了研究“红色代码”,于旸在自己的电脑上架设了蜜罐(一种网络安全技术),结果意外捕捉到了比“红色代码”影响力还大的尼姆达蠕虫,并撰写了一份分析报告,这是中国第一份对蠕虫这种新型安全威胁做出多角度分析的报告。有家安全公司因为于旸提交的报告,赠送了他一套杀毒软件,这让于旸感到自豪。最终,在读了5年医科大学后,于旸决定放弃医学专业,投向信息安全行业。
职业生涯
毕业后,于旸加入了绿盟科技研究院,正式开始了他信息安全的工作,工作内容涉及技术研究、产品开发、工程服务和安全教育等多个方面。2013年,在 CanSecWest(世界顶级安全技术峰会)上,于旸向现场听众介绍了一种通用的绕过 DEP、ASLR 甚至 EMET 的技术,并提出了相应的防御建议。于旸大胆地指出,微软Windows7中使用的一套看似无懈可击的安全防御机制,其实有个简单的办法“一点就破”。这让微软最终意识到,单靠自身就一劳永逸解决系统漏洞防护问题并不可能。几个月后,微软设立了高达10万美元的安全挑战悬赏奖金。此前,业内并不相信微软真的会给奖金,毕竟他们已经坚持了十几年不为漏洞付钱的原则。直到有位英国科学家获得了该奖,于旸才相信,可能是自己提出的技术促成了这个奖项。几个月,于旸将研究的另一些漏洞利用技术做了实现,发给微软。他成为全世界第二个拿到微软安全挑战悬赏奖金的科学家。
2014年,于旸发起腾讯玄武实验室。2016年7月2日,作为国内首个互联网安全实验室矩阵、腾讯安全联合实验室于深圳市正式成立,包括在内的七大“白帽黑客”出席了活动。同年,曾获“安全界奥斯卡”Pwnie Awards“最具创新性研究奖”提名,是亚洲首个获得该奖提名的白帽黑客。2016年8月,微软公布了全球黑客贡献百人榜,于旸排名第二。2020年11月5日,在X-Talk的现场,于旸以脱口秀形式进行科普演讲。2023年,在外滩新媒体年会,于旸带来《AI大模型:星辰与泥土》的主旨演讲。另外,于旸在社交媒体上活跃,微博、知乎,都有他的段子,甚至他被称为网络安全领域最会讲段子的人。
人物成就
于旸是CISP认证“恶意代码”这门课程的最初设计者,也是微软漏洞缓解技术绕过悬赏十万美元大奖全球两个获得者之一。
于旸主要研究方向聚焦在针对各类型漏洞的挖掘、利用、检测、防御,以及涉及硬件、无线等方面的复合安全风险。他曾发现并报告了思科、微软等公司产品的多个安全漏洞。
2008年北京奥运会期间,他曾担任公安部奥运会信息网络安全指挥部技术专家,及CNCERT奥运信息安全保障小组技术专家,并获得CNCERT颁发的奥运信息安全保障支持个人一等奖。
2019年1月13日,由国家科技部、国家科学技术奖励工作办公室批准,中华国际科学交流基金会联合苏州市人民政府、中国教育电视台共同举办的第三届“杰出工程师”颁奖典礼在人民大会堂隆重举行。凭借在网络安全领域做出的杰出贡献,腾讯安全玄武实验室掌门人于旸(TK教主)荣获第三届“杰出工程师”青年奖,并得到大会表彰。
于旸带领的腾讯安全玄武实验室2016年和2017年分别获得了被誉为“安全奥斯卡”的Pwnie Awards年度“最具创新性研究奖”提名,以及年度“史诗成就奖”提名,这是这两个奖项设立十年以来,第一次有亚洲人获得提名。
2018年,于旸带领玄武实验室发现“幽灵” CPU 漏洞(Spectre,CVE-2017-5753、CVE-2017-5715),通过国家互联网应急中心向厂商报告了相关漏洞,并提供了修复方法,避免该漏洞被不法分子利用。
于旸带领的玄武实验室除常规软件安全领域外,在条码阅读器、充电器、指纹识别、人脸识别等技术领域均有国际一流水平的研究成果。迄今已有30余项研究议题入选 BlackHat、DEFCON、CanSecWest等著名国际安全会议,发现的漏洞获得 CVE 编号近千个,并曾连续多年位居国家信息安全漏洞共享平台原创积分榜第一。研发的“阿图因”软件空间安全测绘学系统也入选了第四届世界互联网大会“世界互联网领先科技成果”。
2020年,于旸带领腾讯安全玄武实验室,发布了一项命名为“BadPower”的重大安全问题研究报告。报告指出,市面上现行大量快充终端设备存在安全问题,攻击者可通过改写快充设备的固件控制充电行为,造成被充电设备元器件烧毁,甚至更严重的后果。保守估计,受“BadPower”影响的终端设备数量可能数以亿计。这是继“BadBarcode”“BadTunnel”“应用克隆”“残迹重用”“BucketShock”等在业内引起广泛关注的安全问题之后,腾讯控股安全玄武实验室发布的又一影响深远的安全问题报告。
2022年1月,中国产学研合作促进会公布了“中国产学研合作促进会产学研合作创新与促进奖”(国科奖社证字第0191号)获奖情况。经中国网络空间新兴技术安全创新论坛(新安盟)推荐,于旸荣获“2021年产学研合作创新奖(个人)”。“中国产学研合作促进会产学研合作创新与促进奖”旨在鼓励和表彰在推进政产学研金服用协同创新工作中作出突出贡献的先进单位和个人。该奖项由国家科技奖励工作办公室批准设立,是面向产学研界的协同创新最高荣誉奖。
国家互联网应急中心(以下简称“CNCERT”)主办的国家信息安全漏洞共享平台(以下简称“CNVD”)2021 年度工作会议在线成功召开,于旸带领的玄武实验室此前报送的人脸识别重大基础漏洞荣获“2021年度最具价值漏洞奖”。
人物观点
2017年,在泰尔论坛会议上,于旸指出,如今的移动安全已经不只是移动设备里的传统安全,每个移动技术特点都有可能引发全新的安全威胁。
在2019腾讯控股安全探索论坛上,于旸表示腾讯安全将更多地参与全球网络安全生态建设,促进产学研各界形成合力,为加速技术创新、共享重要技术成果搭建一个长期、持续的沟通合作平台,进而推动产业互联网时代的安全技术发展。
2022年12月1日,腾讯Techo前沿技术论坛召开,在会上于旸认为,解决安全问题很多时候需要多点能力同时起作用,因此玄武一直主张要建设包括软件静态自动化分析、基于虚拟化的动态自动化分析能力以及包括网络实战攻防能力、供应链大数据安全能力等在内的全栈安全能力,并将这些能力输出给安全产品,为产品提供赋能。基于这个思路,玄武实验室做了很多产研结合的尝试,例如,将实验室在内网渗透的知识和技能的积累输出给腾讯控股安全SOC+产品,显著增强了其在域渗透防御场景和Java反序列化场景的安全能力。
于旸认为,“防患于未然”虽然很理想,但其实施成本过高,而“知患于未然,防患于将然”或许是平衡业务发展效率和安全的更好的思路。通过对安全威胁的充分感知和了解,在可能的攻击面和攻击渠道上预先布点,可以实现在平常的时候不干扰业务,但是在攻击威胁即将要出现、快要出现的时候,又可以快速地去启动安全防御措施。
在2023外滩新媒体年会上,于旸表示人工智能技术听起来很高大上,但技术要落到实处、用到实处、实实在在发挥作用,还要做到接地气,人工智能技术需要转化为接地气的应用才能更好地服务于行业用户。
获得荣誉
注:收录展示部分
参考资料
“教主”TK:在互联网时代,不想放过每个恰逢其时的机会.百家号.2025-04-30
首届腾讯数字安全创新大赛在京启动 挖掘新锐力量推动产业创新.新浪财经.2025-04-30
腾讯杰出科学家于旸:第六次革命性的技术浪潮可能已悄然到来.腾讯杰出科学家于旸:第六次革命性的技术浪潮可能已悄然到来.2025-04-30
腾讯安全联合实验室矩阵发布 七大掌门人首次集中亮相.人民网.2025-04-30
TK教主:移动安全应突破传统安全思维.国际在线城市频道.2025-04-30
请完成下方验证后继续操作.百家号.2025-04-30
2022腾讯Techo前沿技术论坛召开,六位科学家分享前沿科学成果.百家号.2025-04-30
腾讯杰出科学家于旸:第六次革命性的技术浪潮可能已悄然到来.百家号.2025-04-30