今年6月下旬，第四屆中國網絡安全大會期間，一封來自某“白帽黑客”父親的公開信在網絡信息安全業內流傳。這位“黑客父親”稱，其子袁煒是一名白帽黑客，去年12月初，白帽黑客袁煒通過烏云平臺提交了一份關于世紀佳緣的漏洞報告，隨后世紀佳緣確認并修復了該漏洞，并致謝烏云網和袁煒。但隨后，世紀佳緣發現900條數據泄露并報案，3月8日，袁煒被警方帶走，外界紛紛質疑是世紀佳緣“釣魚”，而世紀佳緣回應稱，袁煒與數據泄露有關。事后，袁煒妻子委屈且不平地跟記者哭訴：“明明是做了好事，怎么還被抓了？”

19日晚23時，網友“互聯網的那件事”連發兩條微博稱，國內知名白帽子社區“烏云”網站顯示無法訪問。并爆“烏云出事了，據說被連鍋端了！高層都被銬走了！”20日，烏云官網掛出公告稱“烏云及相關服務將進行升級。我們將在最短的時間內，以最好的姿態回歸。”坊間傳言，烏云網停擺跟“袁煒事件”有關。

不管傳聞是否可信，這兩起事件的連續發酵使得白帽黑客一時間受到規模性的關注。袁煒不是第一個被抓的白帽黑客，烏云網也不是第一次被關閉。如果傳言是真，他們到底冤不冤？

黑客不只有黒帽和白帽

一提起黑客，不少人都要皺起眉頭：黑客嘛，攻擊網站盜取信息唄。而其實，黑客并非都是黑的，細分起來還包括：黒帽、白帽、灰帽、紅帽。黒帽大家都不陌生，其他幾個則較少被提起。

白帽

白帽是指那些專門研究或者從事網絡、計算機技術防御的人，他們通常受雇于各大公司或網絡安全平臺，通過攻擊自己或者客戶的系統來進行安全檢查，使得企業及時修復漏洞，維護系統安全。嚴格意義上的白帽攻擊系統但不竊取系統數據。

灰帽

灰帽與白帽相似，但與白帽不同的是，盡管他們的技術實力要遠勝過一般的白帽，但灰帽通常并不受雇于那些大型企業，他們往往將黑客行為作為一種業余愛好或者是義務來做，希望通過他們的黑客行為來警告一些網絡或者系統漏洞，以達到警示別人的目的，因此，他們的行為沒有絲毫惡意。

紅帽

紅帽其實屬于白帽范疇，但通常，紅帽通常是在一個國家受的網絡或者計算機受到國外其他黑客的攻擊時，第一時間做出反應和回應，目的是維護國家信息安全。

簡單來說，白帽是給企業服務的，紅帽是為國家服務的，灰帽是為興趣服務的。

白帽黑客為什么那么愛“多管閑事”？

在袁煒被抓后，其妻深感委屈和不平：明明是做了好事，為什么還被抓了？大多數人看來，世紀佳緣對白帽子袁煒的善意并不領情，而其實，袁煒并非第一個收到如此待遇與的白帽黑客。此前，白帽黑客提交漏洞被互聯網公司忽略或被倒打一耙的現象不在少數，畢竟，不是所有的互聯網公司都不喜歡看到自己的系統被攻破，更何況對方還把漏洞公之于眾，所以很多白帽子忙活一場收獲的并不是感謝，但眾多的白帽黑客們依然樂此不疲。

一種白帽黑客僅僅是因為愛好（別問為什么，就是這么任性），不求名不求利，我樂意。所以那些被披露的互聯網公司的感受根本不在他們的考慮范圍內。

還有一種白帽黑客是受雇于漏洞平臺，是職業白帽黑客。他們考提交漏洞賺錢，一個電腦小白經過急訓半年，剛入行的白帽黑客年薪可達20萬，而且這只是起始工資，以后每年遞增。另外，參加黑客比賽還可獲得一筆客觀的獎金，據報道，騰訊和極棒今年5月份在澳門舉辦的黑客大賽，給冠軍團隊開出42萬的高額獎金。所以，不菲的收入也是相當一部分白帽黑客前赴后繼的原因。

白帽黑客并不“白”

白帽和企業之間缺乏信任

受雇于漏洞平臺的白帽黑客和企業之間很難建立牢靠的信任關系。目前，白帽檢測漏洞所使用的工具sqlmap跟黒帽攻擊企業系統時所使用的工具是一樣的，sqlmap是安全圈內常用的工具之一，它會自動將測試信息存儲到本地的一個隱藏文件夾，其中也包括一些敏感信息其結果是：一方面企業難以分辨白帽檢測和黒帽攻擊，另一方面，這也使得白帽的檢測具有可疑性。

其次，很多白帽黑客發現漏洞后會通過漏洞進入系統越界操作，攻擊系統數據，以驗證漏洞，然后再向廠商提交漏洞報告，這種行為被戲稱為“洗白”。即使是已經在2012年和烏云網建立合作關系的世紀佳緣都不能容忍白帽黑客攻擊數據的行為，更何況那些跟漏洞平臺沒有半毛錢關系的企業呢？

另外，還有一些“白帽黑客”根本就是打著白帽的名號行黑帽之實，這無疑給漏洞平臺和企業之間本來脆弱的信任雪上加霜。

法律依據缺失

一直以來，白帽黑客都游走在法律邊緣，一方面，白帽黑客的檢測行為不受法律保護。只要是在沒有獲得企業的授權的情況下，白帽子自發挖漏洞的行為都是違法的，即便是通過漏洞平臺，企業注冊了該平臺的賬號；另一方面，目前還沒有明確的相關法律對白帽黑客檢測行為的底線進行界定，而袁煒被抓有可能是根據《刑法》第二百八十六條非法獲取計算機信息數據罪的相關規定，即：“這一犯罪是指違反國家規定，對計算機信息系統中的存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的行為。”而根據《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》，獲取網絡金融服務的身份認證信息10組以上，或其它身份認證信息500組以上的，認定為非法獲取計算機信息系統數據。

平臺監管缺失

很多平臺對白帽黑客缺乏監管。因為大部分論壇注冊用戶和白帽黑客都不是實名，，平臺對白帽黑客提交的信息也難以驗證，黑客檢測網站也是隨機的。甚至，平臺對白帽黑客的監管也缺乏法律依據。

有些黑客渾水摸魚，借機攻擊企業系統，還有些白帽子借漏洞對企業進行變相敲詐等等，這些都反應出平臺監管的無力。

如果以上這些問題不能解決，如果傳言是真，那么，那些被抓的白帽黑客和那些被關掉的漏洞平臺也應該明白：這不是第一次，也不會是最后一次。