白帽與黑客相對，簡單來說白帽就是未受聘用的網(wǎng)絡(luò)安全管理員，有點(diǎn)類似于俠盜羅賓漢。而所謂的白帽機(jī)制，即利用白帽黑客來挖掘程序系統(tǒng)中漏洞的一種形式。

Facebook、微軟，Google目前都有自己與VR相關(guān)的白帽機(jī)制，主要手法就是將程序的查錯權(quán)力放開，借助在野的VR專家來協(xié)助修補(bǔ)漏洞。包括MR相關(guān)的操作系統(tǒng)Windows Holographic和移動VR平臺Daydream，它們都被劃定在漏洞獎勵范圍之內(nèi)，而Facebook Bug Bounty計劃也將影響到Rift程序的安全等級。

但在去年12月，白帽黑客袁煒通過烏云網(wǎng)將網(wǎng)站漏洞提交給世紀(jì)佳緣之后，卻因?yàn)檫@項行為而遭到逮捕，其主要原因可能是涉及到了SQLmap的使用。SQLmap除了檢測漏洞的功能之外還能對漏洞進(jìn)行利用，這也表現(xiàn)出某些企業(yè)對于白帽黑客觸及隱私的深深憂慮。

白帽機(jī)制雖然在一方面整合了資源，提高了自身程序漏洞的填補(bǔ)能力，加強(qiáng)了安全等級，但另一方面又缺乏系統(tǒng)的白帽群體約束規(guī)則，他們在修補(bǔ)漏洞的同時也可能因由各種原因?qū)ο到y(tǒng)造成威脅破壞，是一把雙刃劍。

不過，從科技巨頭的作為看來，白帽機(jī)制雖然有一定的隱私隱患，但只需稍加引導(dǎo)就能作為虛擬現(xiàn)實(shí)程序安保中的重要一環(huán)。

·白帽黑客對VR系統(tǒng)的安全有很大的積極意義

微軟和谷歌的白帽機(jī)制早在2005年就得以建立，他們先后設(shè)立了SRC應(yīng)急響應(yīng)機(jī)制，鼓勵全球的白帽黑客能夠協(xié)助自己一同建立安全防線。國內(nèi)企業(yè)起步較晚，直到2012年騰訊才開啟了漏洞收集平臺TSRC(騰訊安全反饋中心)，但我們?nèi)匀豢梢钥吹桨酌睓C(jī)制已經(jīng)初見成效。

Facebook的Bug Bounty計劃截止到2015年已經(jīng)發(fā)現(xiàn)了2400個漏洞，僅2015一年內(nèi)就有210位白帽反饋的526單漏洞獲得審核。除此之外，微軟在今年上半年總共收到了124個程序漏洞信息，Adobe、蘋果和谷歌則認(rèn)證了485個漏洞反饋。

這些漏洞的發(fā)現(xiàn)者包括世界各地的網(wǎng)絡(luò)安全提供商，也存在一些在野的白帽黑客。Facebook的一份報告表示，XSS和CSRF形式的跨站攻擊已經(jīng)開始減少，他們的漏洞主要集中在系統(tǒng)的邏輯上而非技術(shù)上，這也是自身的安全團(tuán)隊很難發(fā)現(xiàn)的問題。此外，得益于白帽機(jī)制的推行，大部分漏洞在測試階段就能獲得填補(bǔ)。

而白帽提交的漏洞報告也越來越趨向于成熟，非關(guān)鍵性漏洞的舉報頻次逐年降低，在報告中通常還會附帶一些可能發(fā)生的攻擊手段，這也是大環(huán)境技術(shù)上升的一種表現(xiàn)。

無論如何，白帽機(jī)制是一種集思廣益的作法，獨(dú)立的安全團(tuán)隊很難發(fā)現(xiàn)程序中的盲點(diǎn)，這個盲點(diǎn)在VR系統(tǒng)中更為致命。主流VR設(shè)備往往需要針對性的開發(fā)一套新系統(tǒng)，這些技術(shù)的發(fā)展在目前來看遠(yuǎn)未成熟，漏洞存在的可能性更高。從Oculus Rift系統(tǒng)的拆包信息來看，Oculus正在努力研發(fā)一個內(nèi)置的保護(hù)程序，而這個程序還在跟隨版本不斷迭代。

再者，一旦VR系統(tǒng)涉及到用戶個人信息的記錄，將不僅限于簡單的賬戶密碼。還會牽扯到人們使用VR頭顯的動作習(xí)慣，聯(lián)網(wǎng)中具體的地理位置，無屏VR則與智能手機(jī)中的信息強(qiáng)相關(guān)。

白帽機(jī)制在一定程度上加大了漏洞發(fā)現(xiàn)的可能，盡早的填補(bǔ)則是保障網(wǎng)絡(luò)安全的重中之重。而廠商也可以通過這個手段來均攤成本，一方面懸賞漏洞的成本比挽回事故的成本要低得多，另一方面也能降低安全團(tuán)隊的組成成本。

·白帽機(jī)制又存在一定的安全隱患

從白帽黑客袁煒被捕的事件可以看出，白帽機(jī)制也存在一定的安全隱患。SQLmap的使用對系統(tǒng)來說具有兩面性，而白帽在獲得漏洞資料之后也有可能進(jìn)行二次泄露，從而對程序和網(wǎng)絡(luò)安全造成損害。

國內(nèi)的法律規(guī)定，對于不涉及商業(yè)、科研和國家安全的計算機(jī)信息系統(tǒng)，如果只是侵入，沒有進(jìn)行破壞和篡改或者牟利等行為的，不構(gòu)成犯罪。但這個法規(guī)的判定不太嚴(yán)謹(jǐn)，白帽黑客隨時可以采取取巧的手法繞過監(jiān)管，而對于程序安全的保障幾乎全靠個人在道德上的自律。

這又引申出另一個問題，從嚴(yán)格意義上來說白帽的劃分標(biāo)準(zhǔn)是相當(dāng)模糊的。最近這幾年出現(xiàn)的激進(jìn)駭客(Hacktivist)則介乎白帽與黑客之間，以“匿名者(Anonymous)”這個組織為例，他們有著自己的一套正義法則。

在2002年前后，Anti-Sec社區(qū)中就有一類人，他們在白天上班的時間內(nèi)專注于網(wǎng)絡(luò)和系統(tǒng)安全的相關(guān)事宜，回到家后又開始從事黑客的工作。2011年10月，匿名者(Anonymous)攻擊了40個與兒童色情相關(guān)的網(wǎng)站，并將1500位訪客的個人信息公之于眾，這種行為也許在某種程度上是合乎道義的，但他們也確實(shí)觸犯了法律。

相比之下，VR領(lǐng)域中也存在類似的“灰色地帶”，VR情色一直被人們所津津樂道，這其中也包含了一些不能搬上臺面的合法內(nèi)容。白帽在某種條件的促使下將會拿不準(zhǔn)行事的標(biāo)準(zhǔn)，從而對合法內(nèi)容展開相應(yīng)的攻擊，進(jìn)而侵犯他人的隱私。

·白帽機(jī)制可以引入安全體系，但需要相關(guān)規(guī)則的約束

僅僅依靠白帽自身的道德約束是不夠的，要完善整個體系需要有相關(guān)規(guī)則的制定。常規(guī)的方法就是增加獎勵機(jī)制，讓“做好事”的受益程度大于“做壞事”的受益程度。

谷歌在不久之前的一份聲明中闡述，他們在6年間總共對漏洞的發(fā)現(xiàn)者回饋了約600萬美元的賞金，僅2015年內(nèi)就給300多位白帽頒發(fā)了200萬美元的獎金。在將漏洞的審查范圍擴(kuò)展到Android和iOS平臺之后，VR平臺則是Google的下一個目標(biāo)，去年最高的獎金數(shù)額為37500美元，而這個數(shù)字還在不斷的上升。

微軟和Facebook在白帽的酬勞設(shè)置上也顯得十分慷慨，微軟在去年將獎金的數(shù)額翻了一倍，表示一個漏洞的反饋?zhàn)疃嗄塬@得10萬美元的獎勵，而Facebook從2011年至今也已發(fā)放了430萬美元的查錯獎勵了。

除了加大獎勵金額外，企業(yè)在不同領(lǐng)域也應(yīng)該設(shè)置相應(yīng)的白名單。如若是針對虛擬現(xiàn)實(shí)領(lǐng)域，就面向VR方面相關(guān)的白帽開放部分程序的入口，這樣一方面能加大查錯的范圍，另一方面又能確保點(diǎn)對點(diǎn)的正確性。

白名單的設(shè)置也應(yīng)該引入一些信用標(biāo)準(zhǔn)，只對通過驗(yàn)證的白帽發(fā)放。例如規(guī)定白帽曾經(jīng)提交過數(shù)個相關(guān)的規(guī)范漏洞報告，或是在業(yè)界積累了一定的口碑。Facebook的政策也許能夠作為一個參考，他們直接向白帽發(fā)放Visa借記卡，只要他們匯報的漏洞得以確認(rèn)，獎勵就會直接發(fā)放到借記卡中。

Facebook安全響應(yīng)團(tuán)隊經(jīng)理Ryan McGeehan表示，有了這種獨(dú)立的黑客卡，白帽黑客的變現(xiàn)速度更快且更隱蔽。而這種借記卡的存在，也相當(dāng)于一種變相的白名單體系，目前已經(jīng)有81個安全人員得到了Facebook的Visa借記卡。

白帽黑客作為駭客范疇內(nèi)最具約束力和自制力的團(tuán)體，在技術(shù)和道德上都起到了先驅(qū)模范作用，并非是應(yīng)該泯滅的對象。白帽的初衷都是為了分享知識和交流解決問題，而整個互聯(lián)網(wǎng)科技領(lǐng)域不應(yīng)該由于個人的變味從而否定整個社群。在一定規(guī)則的引導(dǎo)下，白帽機(jī)制能為VR領(lǐng)域甚至整個科技領(lǐng)域帶來可觀的收益。