在專業議題，尤其是黑客和網絡安全這種艱深——對局外人來講還非常枯燥——的議題上用通俗易懂的比喻是非常好的行為。 比如這一位講者，他在開場白時就用了各式各樣，大大小小的鎖作比喻來解釋安全的重要性。

問題在于，他的開場白已經持續了五六分鐘了。于是我不怎么確定地聽了一下內容，再認真地核對了一遍流程表，這才確定，這位先生早就切切實實地進入了主題。

而他的主題就是對門鎖裝置的突破，換句話說，怎么搞掉你家門上那個擋著外人的東西。

[到得晚，拍得差，看開點]

鎖與猥瑣方法

這不是上午唯一一個以鎖為主題的演講。 您如果實在對開鎖有興趣的話，大概能夠拍下幾乎可以應付所有情境的方法，而且大多都比那部叫《上鎖的房間》的日劇里提到的實用得多。其中讓我印象深刻的是智能密碼鎖的一個開法，它讓人想起一個叫“猥瑣”的詞。

在某個社區的某個帖子里，一些人討論了growth hacking的正確中文翻譯。有人認為該用奇技淫巧——一些回復者接著探討了這四個字的其他組合，還有人說應該譯為“猥瑣”。

“猥瑣”對他們而言，是用非正規手段進行突破的猥瑣表達。比如，面對五次輸入錯誤后自動報警的智能門鎖，如何試出密碼？答案之一：輸入四次后拆開下面的殼子，重置鍵就在那里。

不過，我還是因為網絡安全會議里出現撬鎖這樣貼近生活的話題而耿耿于懷。 下午見到余弦（你們或許在知乎上看過那個如何推倒他的問題）時，順便問了他。他的回答非常直接： 因為這也是漏洞的一種。 實際上，后來問他本次大會的主題時，“漏洞”也是唯一的答案。

當然，漏洞永無止境，比起一個個追蹤而言，關注它們變化的趨勢似乎方便得多。

行為與漏洞演變

變化是緊跟著攻擊對象——現實世界里的麻瓜們，通常被互聯網從業者稱為“普通互聯網用戶”——的操作習慣改變發生的。

簡單的例子是用戶的常用密碼，有人會把密碼設定成手機鍵盤對角線上的字母，比如qsxftyjm，看起來是毫無邏輯的字符，但實際按一下就會發現非常方便。 這么猜比起專業的組合分析當然不靠譜得多，但在越多越人日常使用手機登錄網頁的移動時代，想象一個單手持機者的心理活動，或許也是條捷徑。

復雜一點的還有各種手機瀏覽器的漏洞。包括利用瀏覽器地址欄顯示的方式來偽造假網站的，利用手機應用里的操作進行Tapjacking（類似手法有時會被用到營銷上）的，利用Safari漏洞在合法站點上偽造彈出對話框進行釣魚的等等。

［似乎兩天都沒坐對位子。這是不同瀏覽器上不同的網址顯示方式］

聽起來不太正確，但和費盡心思揣摩用戶心理，最多只用上熱點圖作為技術參考的互聯網營銷者比起來，這些實干的家伙們對使用者行為的理解和誘導深入得多。

社區與眾包眾測

很久之前參加香港協作空間CoCoon的一個活動，一位本地創業者非常感觸地說：“我們有活動了，接下來還有什么？”

接下來還有什么，是任何一個打算有持續影響力的會議都會考慮的問題。對于一個在北京住了七八年的哥倫比亞人而言，參加本次會議就像參加任何一個其他國家的黑客會議一樣，是出于純粹的興趣。他甚至還意外地認出了此前在韓國某會議上照過面的香港人。

但對于不僅僅滿足于到此一游的人而言，他們需要能持久延續的紐帶，比如說，微信群。在余弦把手機遞過來給我看的瞬間，一個依憑KCon成立的群里又多了十幾條新的信息，那是與會者們在討論外面展位上的闖關題。

只有微信也是不夠的。過來參會的人都聽到了組織方知道創宇接下來的社區規劃——如果他們沒有因為睡過頭錯過了上午第一場演講的話。后者中運氣好的那一些可以頂著對方質疑的眼神要求再解釋一次KSZ——安全會議KCon, 漏洞平臺Sebug,以及搜索引擎ZoomEye——的意思。

［Sebug網站］

三個組成模塊里，讓白帽黑客提交漏洞來獲取回饋的Sebug漏洞社區是最新一環。得益于早期烏云等平臺科普的“眾測”概念，它大概也算是最方便理解的一個。至少當我在會后和一位不關注此領域的VC朋友喝咖啡時，他最先弄懂的就是這個漏洞社區的模式。

當時我們正在討論安全圈可能出現什么好玩的東西，而社區這個概念聽起來大有可能。或許就像當年的Dribbble之于設計師一樣， 一個清晰的平臺能讓原本沉默的人材得到自由競爭，甚或脫穎而出的機會。

而在我們談話當時，那批來自天南地北的人正擠在樓上的會場里，在幾分鐘內擠滿了一個由主持人現場建立的微信群， 極少和坐在身邊的人寒暄交談，但非常熱切地在群里發言。 沒有人帶走那個被稱為女朋友的獎品機械鍵盤，但對他們而言，這一趟旅程，最重要的，應該也不是捧上獎品回去而已。