原标题：京东安全首席信息安全专家 Tony Lee：纯粹做事，追求极致

音乐剧《致埃文·汉森》中有几句话：

当你在森林里跌落

周围空无一人

你是轰然倒地了

还是默默无声

如果将这十几年来涌动的AI、物联网、云计算等诸多浪潮比作森林的话，频发的危机漏洞就是这片森林中的业障迷雾，试图征战的大小创业公司是闯进森林的勇士。

这些人抑或是公司可能乘上了风口平步青云，也可能暗淡消失。而其中的巨头们，试图走在最前面拨开云雾。京东作为其中的巨头之一，这些年，也正在悄然改变。

京东安全首席信息安全专家 Tony Lee 认为：“过去的20年，安全博弈是不成功的，来到京东，我想是不是可以做点事情，能够真正解决一些问题。”在10月的京东HITB安全峰会上，Tony又一次强调了这个观点。

为什么这么说？这与Tony这些年的经历和他加入京东安全后的改变不无关系。这也是Tony接受雷锋网宅客频道采访时主要探讨的话题。

雷锋网：据说京东安全的安全研究都是服务于京东自身的业务？

Tony：服务于京东自身，是京东安全技术研究的出发点和立足点。但这并不是全部。

安全需要未雨绸缪。我们不仅要研究各种新型威胁，掌握最新的安全技术，最大程度预估威胁。不能等到攻事件发生后才去弥补。所以现在京东安全一方面做基于业务的安全，另一方面也要做最新的安全研究。目前京东有一个硅谷安全研发中心，主要是AI安全、黑产对抗、IoT安全研究；国内有一个京东牧者安全实验室，主要是做IoT安全、区块链安全、等研究项目。

另外，我不想把安全研究限制在一个很窄的范围，因为安全是看长远的，想要获得短期效益不太现实，但安全是有深远价值的。真正的价值显现或许会在未来的五年、甚至十年。我们现在改变自己，或许未来就能改变世界。

举个例子，前不久Facebook 宣布成立区块链技术部门，想要用区块链来保护用户隐私。Facebook 此举当然是服务于业务和用户，但是假设区块链安全得以落地，其带来的影响将会产生多米诺效应，推动整个社会隐私保护的步伐。同样的，这也是京东一直努力的方向。

雷锋网：京东研究物联网安全的初衷是？ 

Tony：京东有海量用户数据、有系统架构，有智能终端，保护用户隐私是我们义不容辞的责任，立足安全，IoT安全也是京东安全正在进行的事情。

最近几年，很多物联网设备泄露用户隐私事件被曝光，比如家庭摄像头被恶意攻击导致互联网大面积瘫痪。这些事件得出的教训是，物联网产品一开始就应该把安全考虑进去。

设想一下，如果IoT厂商在制造音箱、摄像头等智能硬件之初就将安全问题前置，从产品设计阶段就充分考虑了安全构造，那么，产品上市之后出现出现安全问题可能性就会大大降低。但现实问题是，大多产品都是优先考虑用户体验和盈利，安全问题只好让步。在现实面前，安全有些苍白无力。

另外，IoT 安全不能仅靠IoT 厂商重视，需要整个生态系统的安全。比如，苹果的安全就是建立在生态系统的安全性之上。而AppStore中有各种各样的APP，这些APP的出品人未必都是安全专家！

就IoT生态来说，IoT成就了万物互联，其中最关键的要素是云和终端，要保证云端和终端数据的安全、数据传输的安全和数据处理的安全。这就是IoT基础设施的安全生态。而参与者在设计之初就必须考虑完整的安全机制，包括云端的安全机制、系统的安全等等，而不是仅依靠终端厂商的重视。

雷锋网：京东还开拓了车联网安全研究方向？

Tony：今年年初币圈发生了一起震惊四座的事件。一个黑客团伙攻击了币安Binance 交易所，制造了历史上第一个不靠窃取物品，而是打击其信用，从交易市场上面做空盈利的黑客攻击事件。有分析称整个事情背后可能不只有技术性黑客，更可能有金融人士的助推。

所以未来的黑暗势力怎样工作？他们也会有不同领域专家，也可以跨领域运作。起码以后会有越来越多跨界隐蔽作案手法。我们目前正在研究的车联网项目也属于这种类型，并非直接窃取用户的车联网数据，而是通过黑客破解和经济运作手段获利。

比如，大家都知道美国的汽车保险走在世界前沿。保险公司通过一个车联网设备，采集驾驶员的行为数据，比如是否超速，转弯有没有打灯，有没有疲劳驾驶等。如果驾驶习惯差，保险公司就会提升保险费，相反则可以降低保费。京东硅谷研发中心的研究员发现了其中的漏洞，可以恶意篡改这些数据，就像我们在GeekPwn大赛上演示的那样，把一个成熟的老司机改成马路杀手。如果有人想骗保圈钱，就可以用这个套路虚拟各种场景，骗取保费。

事实上，这些车联网研究只是京东安全关注的一个侧面，更重要的是我们想让公众了解未来的威胁会越来越错综复杂，需要防患于未然。

雷锋网：研究这些是否担心被说是追求热词？

Tony：区块链、IoT还有AI是未来的基础设施。我们研究这些不是要追求热词，技术顺利发展的前提一定是打好安全基础。