导读：马上就要到儿童节了，我的同事黄琳有点"愁"——她这几天在阿里西溪园区的文创店逛了很久，却没有找到送给儿子的礼物。"在那里没发现适合小学生的东西。"看着眼前这个戴着黑框眼镜，穿着休闲短袖的女子，听着她轻轻地吐槽，我完全无法想象她有着另外一重"神秘"的身份。

黑客黄琳开启了新的征程，她决定加入支付宝，冲上最前线，只因 "这里有大量直面黑灰产的机会"。她像个磨刀十年的将士，操练出一身本领，就等着鬼魅入侵，上阵厮杀。

"新人"黄琳其实成名许久，无论她有多不愿意重复提及以往的荣光，那个2015年的夏天始终绕不开。

在拉斯维加斯，世界顶级黑客大会DEF CON上，黄琳展示GPS欺骗攻击研究，利用硬件设备和SDR（软件定义无线电）模拟GPS信号发射，欺骗一架禁飞区的无人机起飞，并将明明在北京的地址，错误显示在西藏纳木错湖。

在这个被技术和更高的技术严密垒筑的勇者圣殿里，黄琳一战成名天下知。《福布斯》率先报道，称赞她为"第一位在DEF CON演讲的女黑客"。国内的媒体给她戴上"让地球脉搏心率失常的"桂冠。在民间黑客心里，她有一个更通俗的称呼——那个黑掉GPS的人。

支付宝资深安全专家黄琳

黄琳不太喜欢《福布斯》杂志上登的照片，大红唇配上犀利的眼神，把她照得太凶了。相反，那张手举无人机，戴黑框眼镜，不化妆、穿休闲衫牛仔裤，脚踩一双白色帆布鞋的照片，才是真实的她。

没有黑客气质的黑客

"我的妈妈是个hacker"，有一次黄琳的儿子在英语课上，回答老师的提问，父母从事的职业是什么？

黄琳听说后，赶紧跟儿子商量，"咱们以后就说妈妈是engineer，千万别说hacker，太可怕了，别把老师给吓到了"。

绝大多数时候，黄琳都没有攻击性，跟人们传统印象中，不按套路出牌的江湖黑客形象相去甚远。甚至连生孩子遇到态度恶劣的医生，她也不太哼哼，反而担心医生会不会受累。

就连黑掉GPS的瞬间，她想到的是，这么容易就攻进去了，"很悲哀的那种感觉"。而身边的男同事，早已激动得恨不能击掌相庆。

别的黑客碰到一个门锁就想开，遇到一个WiFi就想黑进去，黄琳还会站在对方的立场想：人家为什么留这个漏洞？可能是为了兼顾功能的无奈之举。比起攻击，她更佩服把系统建设起来的人，因为发现一个漏洞很容易，建立一套安全的系统却很难。

她特别希望了解攻击的思路，然后根据这个思路想办法怎么去防御，在看不见硝烟的网络安全战场，她更像持盾抵御的战士。

尽管被吐槽没有黑客气质，但黄琳身上女性独有的浪漫气质，赋予了她天马行空的想象力，她曾想把GPS的演讲做成柴静的《苍穹之下》，被男同事们否决了。

"支付宝安全实验室"公众号中的一篇技术文章(https://mp.weixin.qq.com/s/lLrKx5VvSlnvyQDwK6TPug)

上面这幅图，就是黄琳最近给一篇关于4G/5G中间人攻击的技术文章画的原理图。为了解释黑客恶意攻击，冒充手机的身份，把数据包发往某个服务器的场景，手绘漫画用简单的线条笔绘出攻击过程。写完以后，她还几次找不同的人问："能看明白吗？"

曾经有个年轻的女同事整理黄琳的研究成果，怎么也搞不懂原理。黄琳告诉她，"这个GPS系统傻乎乎只知道听卫星说什么，所以你的欺骗设备在旁边使劲喊，它就信了"。女同事一下就理解了，甚至觉得这个卫星很蠢萌，比那些"直男"老师们讲的一套套原理好理解多了。

很"轴"的黑客

黄琳喜欢分享，生活中与两个孩子相处的趣事，工作中一有灵光乍现的点子，或者想不通的地方，她都会记录在博客、微博里。

去年她在一次开车途中，电台突然窜进推销性保健品的内容，"这是碰上黑广播了！"。之后她就下决心跟团队一起，动手做了一个系统，侧面打击黑广播。后来，黄琳还专门写了篇文章梳理黑广播的危害，分享无线技术打击黑广播的新角度，发布在自己的微博上。

黄琳曾在自己的文章里提到一名安全研究员小灰灰，他蹲在公司的自动售货机前半个月，为了研究一个不花钱就能买饮料的安全漏洞；小灰灰也曾蹲在ofo前好多天，引来无数朝阳大妈的侧目，为了发现能够不花钱就骑车的漏洞；他甚至在黑客大赛上抢过黄健翔的话筒，对着现场的观众普及安全知识。

同类的气质是相近的，黄琳的身上也有黑客"轴"的一面。2016年初，她和当时的团队发现了运营商 4G 通信协议的漏洞，这个漏洞可能被坏人利用。当她公布这个漏洞后，不乏有人质疑她小题大做。运营商觉得通信协议里有的是漏洞，多这一条没什么。通信圈认为，满大街的背包客伪基站，手机数据被什么盗不是盗。设备商、终端商很难为了小威胁而投入金钱对设备进行升级。

但在黄琳心里，这是一件关系隐私的大事，寸土都不能让。她和团队为此奔走努力，把这个问题带到了顶级安全会议BlackHat和DEF CON上展示。2017年尾，这个漏洞终于被官方标准组织 3GPP 修复。此时距离发现漏洞将近2年。

实现"普惠安全"的梦想

"安全是件奢侈的事"，黄琳不无遗憾的说，比如像蓝牙音箱之类的小设备，最便宜的才几十块钱，加上安全的功能成本可能增至几百块钱。市面上的小公司还没有余力去做安全，他们首先要解决的是公司要存活下来的问题。

所以当黄琳加入支付宝后，他们小组提出某个设备有漏洞时，她并没有对设备升级抱有希望。虽然这个漏洞还没有被黑灰产发现和利用，但想要补救的话，需要设备商、终端商更换零件，成本高达上百万元。

提出漏洞后，黄琳的安全团队跟业务团队反复讨论。没多久，黄琳接到电话，同事兴奋地向她传递消息，业务团队在会上拍板了！同意花几百万把这些设备全部升级。

这个答案给黄琳带来极大震撼，成了她最近最有感触的一件事。

此前，黄琳曾在法国电信研究院工作9年，2014年加入前公司，一待就是6年，期间进行大量的无线安全研究。15年的研究沉淀积累的天赋，开始拖着黄琳，往全新的赛道飞奔。这一次，她选择走到一线，来到黑灰产活跃的地带，跟攻击者们真刀实枪的对抗。

业务团队的支持，无疑给了她底气。她发现，支付宝是一个愿意深层次为客户安全考虑的公司，即使风险尚未出现，也愿意付出极高的成本，提高安全性。这也让黄琳感觉到，自己一直在寻求的"普惠安全"的梦想乐土，终于显露出清晰的轮廓。

黄琳现在所在的支付宝天宸安全实验室，聚焦在移动及IoT安全领域，致力于研究并落地下一代金融级安全防御基础设施。说白了，就是要解决当前的移动安全和正在到来的5G时代、IoT时代的安全防御技术难题。

更具体一些，黄琳所领导的IoX组，就是关注各种设备底层的基础安全问题。支付宝有各种各样的支付设备，商场超市便利店里随处可见的收银机、扫码机，还有逐渐增加的刷脸支付设备。这些设备的安全，不管是底层的传感器、摄像头、系统内核问题，还是链路上的安全问题，都是她所在的小组关注的方向。

IoX组与达摩院XG Lab携手搭建5G实验网，探索4G/5G网络下新的安全特性

入职以来，黄琳见识到了几次与黑灰产的正面交锋。负责发现风险的团队，报告黑灰产活动，不同专业小组的人迅速集合，尽快采取行动。有人向攻击者发起反击切断链路；有人负责防御；直到监测到异常流量明显降低，攻击者离开。

有的人在危险爆发后想对策，有的人则能提前洞察危机。处理正在发生的威胁，和处理可能发生的风险，是黄琳团队的两类任务。

如果不从事网络安全工作，黄琳最想成为的人是医生。合成作战把她拉进无影灯下的向往世界：就像新冠疫情下，一堆医生围着情况紧急的病人，ECMO要不要更换导管，大家当下必须做一个决定，并且尽快完成手术。

职场大牛的韧与柔

比起很多事业有成的人重新出发后的不适，黄琳过度的平顺，她从来没把自己摆到特别高的位置。即使是在国内外引起关注的GPS欺骗攻击，她做完也"并没觉得牛"。补习《密码学》时，还自嘲"可能还不如一个刚刚毕业的人"。为了写好一个代码，身为女博士的她，可以跑去向北航的普通学生请教。

加入支付宝这段时间，她一直在看、在学不同的东西，琢磨起一款名为"蜻蜓"的新型刷脸支付设备，可信计算部分怎么实现的？人脸识别的算法又是怎么做的？

工作上刨根问底的黄琳，一回归生活变得有些"钝"感。

作为两个孩子的母亲，她感慨自己和孩子们的共情不够。有时候孩子生气了，她还没意识到。最近二宝频繁问她，"妈妈为什么我一到晚上就老生气？" 黄琳也说不出所以然来，"跟哥哥吵架了？""想吃的东西家里没有？"，女儿不满意她的答案，气鼓鼓跑到房里把门一关，等气消了又会出来。

黄琳也不想深究，她很喜欢的一本儿童绘本《气球小熊》。里面的主人公小熊，在不同情绪下会把自己涨得鼓鼓的，就像待爆的气球，给小熊喝点水，喂点好吃的，它就能恢复原状。

"给孩子一个爆掉的机会" 黄琳觉得把孩子当小熊哄也不错，当孩子不开心的时候，让孩子叽里呱啦乱作会儿，把气爆出来。之后再摸摸头安慰，小朋友心里就舒服了。

她说这些话的时候，一根筋"轴轴的"女黑客不见了，中庸平和的黄琳又回到眼前。