这事儿,说起来真不是三言两语能讲清楚的。我得从我当时正在忙活的一件事儿说起,这事儿把我给牵扯进去了,然后我才下定决心要搞清楚玄武实验室到底出了什么幺蛾子。
我当时是怎么察觉到不对劲的?
那阵子我正在给一个客户处理一个移动端支付的安全问题,需要大量参考行业顶级的安全报告。玄武实验室,那可是国内移动端安全领域的头牌,他们以前出的那些报告,我几乎都当教科书使。我当时就翻腾着找他们最新的一个关于某个操作系统权限升级的分析报告。
我敲进网址,结果页面刷了半天,蹦出来一个404。我当时就骂了一句,以为是网站抽风了,换了个浏览器再刷,还是404。我心想腾讯这么大的公司,安全实验室的官方网站怎么可能说崩就崩?我赶紧去搜他们的公众号和微博,好家伙,更新停了有一阵子了,而且名字都有点不对劲,像是被格式化了一样。
我当时就懵了。一个行业标杆,突然就悄无声息地,像人间蒸发了一样。我以前跟他们的人打过照面,也听过他们的分享,知道这帮人能量大得很,不是随便能被摆平的。这事儿里头绝对有鬼。
我开始“追捕”线索的过程
我立即抓起手机,开始翻箱倒柜地找人。我以前在深圳混过,圈子里有几个老兄弟,一个在鹅厂安全部门里头,另一个去了阿里那边,多少能闻到点味儿。
我先拨通了那个在鹅厂的朋友A的电话。这小子平时说话就滴水不漏,一听我问玄武的事儿,他声音立马压低了八度,就跟我说了一句:“别问了,战略调整。”然后就说信号不给挂了。
“战略调整”?我听着就来气。大公司都喜欢用这四个字糊弄人,但凡是真能拿出来说的事儿,谁会遮遮掩掩?我寻思着肯定不是好事。于是我立马又轰炸了那个在阿里工作的兄弟B。
B就痛快多了,虽然他不在腾讯内部,但安全圈子就这么大,风吹草动他都清楚。他给我抖搂出来的线索,才是真正的重点。他跟我说:
- 玄武太高调了,动静闹得太大,出尽了风头。
- 他们之前搞了个大新闻,发现的那个漏洞,直接捅到了某个核心业务的马蜂窝。
- 问题是,这个漏洞的披露流程出了岔子,好像是公开得太早了,或者说,他们想追求技术上的名气,但是没有充分考虑到商业和公关的后果。
说白了,就是玄武这帮技术大神们,只想着把技术做到极致,把漏洞挖得底朝天,但是没顾及到公司的面子和利益。有些漏洞,你悄悄修复了就是功劳,非要搞得全世界都知道,让公司灰头土脸,那能有好果子吃?
腾讯官方是怎么“回应”的?我分析了他们的操作
我结合我那两个兄弟的话,再回头去看腾讯官方的动作。腾讯官方从来没有大大方方地出来说“玄武实验室被解散”了。他们玩了一手很经典的乾坤大挪移。
他们的回应,或者说他们的操作,主要集中在以下几点:
- 结构化重组: 玄武实验室这个名字没有了,但是团队的人被打散,并入了其他几个不同的安全和技术部门,比如PCG(平台与内容事业群)的安全部门,还有一部分进了应用宝(Yingyongbao)那边,负责业务安全。
- 品牌整合: 他们把所有顶尖的安全力量打包,重新弄了一个大的安全品牌。这是一种淡化个人英雄主义,强调集体管控的策略。
- 公关口径: 所有的官方说辞都是“优化资源配置”,“整合力量,更聚焦于业务发展”。简单来说,就是把这些爱惹事的顶级黑客们,从研究岗转成了更偏向螺丝钉的业务支持岗。
我当时扒拉了一下他们内部的招聘系统变动,发现确实是这样。玄武那个位置上的高P们,岗位都变了,但人还在。这就证明了,玄武不是因为技术不行或者被外敌入侵而没了,而是因为他们太厉害了,厉害到公司的管理层觉得他们不好管,对外部形象的风险太大了。
腾讯的官方回应,就是一次教科书式的危机公关操作:不承认失败,不承认冲突,只承认“升级”和“更好”。但圈内人都清楚,这就是一场杀鸡儆猴,告诉所有的安全团队:你们的技术牛逼是公司的资产,但你们必须在公司规定的笼子里跳舞。玄武就是那只跳得太高,撞破了笼子顶的鸡。
真实原因总结下来就是八个字:功高盖主,不听指挥。而腾讯的回应,就是把这群人收编进军队,让他们把刀尖对准公司内部的业务,而不是老对着外面捅娄子了。
