关于2016 Pwn2Own黑客大会Chrome被360Vulcan团队11秒攻克新闻准确性分析

我是在不经意间看到一则雷锋网的新闻：黑得漂亮！中国黑客仅用11秒攻破 Chrome 浏览器。这是3月17号的新闻，说的是Pwn2Own安全大会。类似的报道比如比特网的PWN2OWN上演反击 黑客打败阿尔法狗亲兄弟Chrome。中文网络问答社区知乎上也有人提问：如何评价360Vulcan Team11秒攻破谷歌Chrome浏览器？，有一些人在下面回答问题，但我发现其提问引用的链接里面根本没有提到11秒这个数字。此外，Google搜索中国黑客、Chrome和11秒等关键词，这则消息被很多网站发布，包括人民网、中国网、腾讯网、网易、铁血网等等，如下面截屏图所示。

Google搜索截图

我首先对11秒产生怀疑，或者说我就是想确认一下是否是11秒。专门报道攻破Chrome用了极短时间的网站不多，但的确是有。比如一个网站叫做PR Newswire，其报道的结果是Pwn2Own 2016: Chinese Researcher Hacks Google Chrome within 11 minutes，即11分钟而不是11秒。Google搜索关键词“chinese hacker 11 minutes chrome pwn2own”（搜索结果页链接）第一条就是此网站的报道信息，第二条则是参与者之一奇虎360安全网站的报道信息，同样是11分钟，其标题是：360Vulcan team hacked Google Chrome within 11 minutes in Pwn2Own 2016。此网站上表示，其360Vulcan团队瞄准的第二个目标即为Chrome，第一个是Adobe Flash Player，攻破Chrome团队获得52, 500美元奖励。其他的网站如Hacker News、Reddit上均有类似的报道或内容。

所以可以说，国内的多家新闻媒体转载了一个不实的新闻，与多个英文媒体的报道不一致，更为重要的是与360官方网站的报道也不符合。显然，他们没有确定内容的准确性。

其次，我继续就我所打开的链接对这个黑客大会进行了解。我发现，即使对于Chrome被攻破这一事实来说，也存在报道上的偏差。如上所述的中文媒体和360官方网站基本上都说了安全性很强的Chrome被中国黑客团队攻克，某些网站甚至将相对难以攻克的Chrome与前段时间备受关注的人工智能AlphaGo进行了某种联系。

Google鼓励黑客攻破Chrome，最高奖励10万美元。DigitalTrends对这一奖励的报道标题为：Google will pay you $100K if you can pull off the ultimate Chrome hack。该网站的另外一篇稍晚的文章则详细介绍了黑客大会的结果。文章介绍，针对Chrome的尝试有两次，一次失败，一次部分成功。Computer World对此的报道文章为：Safari, Chrome and Flash Player hacked at Pwn2Own, some of them twice，文章解释了部分成功的原因。此Chrome故障之前已经被独立人员报道过，因而不能算作“zero-day”，因而360Vulcan团队获得52, 500美元奖励。VentureBeat网站也对此进行了说明，其报道标题是：Pwn2Own 2016: Chrome, Edge, and Safari hacked, $460,000 awarded in total。VB网站列出了21个漏洞的归属和各团队进行尝试及成功的数据。前面提到的CW网站则列举了各团队分别在哪些方面获得多少奖金。从数字上看，腾讯的三个团队中的两个分别获得4、5万美元奖金；韩国的JungHoon Lee 获得6万美元，去年他则拿走总奖金的近一半即22.5万美元奖金；奇虎360Vulcan团队是最大赢家，获得13.25万美元奖金。就挑战次数和成功次数看，腾讯则是最大的赢家。

根据以上的内容可以看出，部分媒体和网站没有给出具体的信息，即360Vulcan团队获胜的具体背景信息。也就是，其团队攻破Chrome却未能拿到全额奖金的原因。我认为假使我对黑客大会感兴趣，我会倾向于具体了解各个队伍的成绩，哪些漏洞被挑战成功，等等具体的内容。目前，我还没有搜索到和英文网站报道类似的内容。360网站和媒体对这一信息的疏漏到底为何就不得而知了。

以上是我通过几次Google搜索和阅读新闻发现的一个吸引眼球但可能不是事实的报道。当然，因为这个事情与大多数人没有关系，或者其本身也没有持续的影响力，所以似乎不值得大书特书。只不过，类似这样的模糊数字、混淆事实的新闻内容我以前也曾遇到过，可能是不经意的失误，也可能是故意而为，但其终究传达的是一个不真实的消息，久而久之就成为了习惯。

我想表达的意思有：

1. 黑客和黑客团队参加类似这样奖励性的、极具挑战性的大会是值得称赞的。我也使用Chrome浏览器，比其他任何浏览器我觉得都好用。无论黑客是否攻破Chrome我觉得都有益于用户，否则Google也不会拿出不少的一笔钱去奖励挑战者。我崇拜那些技术水平高超的黑客们，他们的努力使网络变得更好。顺便提一下，致力于GFW和审查工作的技术人员，无论其业务能力有强，其基本的人性早已丧失殆尽。

2. 中文网站转载成风，缺乏事实的比对和来源的链接处理。不是说所有英文网站都好于中文网站的内容，而是说英文网站内容较少见到完全一致性的描述，有更多的延伸内容。如果希望了解事物或某个新闻的较为真实的情况，阅读英文网站内容要比中文更有帮助。这也是很多人表示百度和Google一样好的情况下我坚持使用Google搜索的主要原因之一。

3. 失实的新闻内容容易滋生一种自满情绪，似乎感觉我们已然很厉害，其实就好比掩耳盗铃。有中国人参与的国际性比赛我们当然希望有中国人崭露头角或拔得头筹，但至少我们要冷静地对待事实，以事实为依据，把事实完全地展现出来。据我观察，类似的信息和情况仍然泛滥于中文互联网。