说到阿里巴巴集团的安全牛，数量十分可观。但有三位同学的特点非常突出。他们三个
的安全底子都很厚，但又分别有自己特别擅长的地方：一位精于Linux底层安全，一位精


于工具打造，还有一位则是专注于Web/Java的安全专家。

高材生冷酷曲
从1999年开始，CoolQ的ID就没变过，Q（曲）是他的姓的首字母，全名曲富平。就读于
山东大学数学系的他，与国际知名的漏洞挖掘专家袁哥是系友。而发表过MD5破解论文的


王晓云教授，也是他们院里出来的。
较早的时候，国内安全科班出身的人不多，Coolq就是其中的少数派。在中科院软件所大


型网络与信息安全专业读完硕士之后，他进入了当时国内非常著名安全公司绿盟科技，
而且一干就是八年。2014年开始，进入阿里巴巴安全部。
关于Coolq的入行经历，颇有点知耻而后勇的意思。
读本科时，Coolq在数学系机房兼任网管。有一次机房被IP位于德国的黑客入侵，但由于


他的反黑技术尚浅，所以不知道怎么把对方赶出去。
这次事情让他认识到做黑客也挺有意思的，于是他就到处找安全相关的文章学习，慢慢
的也开始研究应用和内核的实现。
读研的时候获得了不少人的帮助，Linux安全方面的技术进步很快。作为少数几个在
phrack上发表过全文的中国人，仅一篇paper就在05年轻松获得了绿盟安全研究员的
offer。
目前Coolq负责阿里云底层系统的安全，这是一个非常复杂的分布式系统。工作中需要和


业务团队一起，保障阿里云在设计和实现上能够安全运转。
作为一个过来人，Coolq对安全人员的职业选择有着自己的敏感度。他留意到Google、
Amazon、Facebook之类的国外甲方安全团队几乎很少看见中国人。因此他善意的提醒各
位年轻的同行 —— 在甲方做安全，信任是个大问题。

全能工匠papaya
Papaya这个名字很奇特，但他的另一个ID更奇特：木瓜。于是大家都叫他瓜哥。
瓜哥的真名叫刘志生，属于闷头做事那种人，早先混80sec（一个民间安全组织，乌云的


前身），说自己偶尔开发点安全工具。
不过熟悉瓜哥低（men）调（sao）品德的人都知道，他说的偶尔，很可能精心打磨很久
。
2001年刚上高中，瓜哥觉得当时会点电脑是很牛的事情，又赶上“红黑大战”，感觉非
常厉害，一下子就被“黑客”和“红客”迷住了。
为了掌握安全知识，瓜哥花了大量的时间阅读和实践。家中摆满了《黑客防线》、《黑
客x档案》之类的杂志，各种黑客网站，论坛，也都留下了他的足迹。
对于安全知识的学习，瓜哥的观点值得新手注意。
他认为很多黑客技术的知识点都比较零散，简单有效容易带来成就感。但是像网络和开
发，最好能够进行系统的学习，如果有专业课程那就最好。但最重要的还是实践。小技
巧无法替代系统的学习，新手切勿本末倒置。
目前瓜哥负责阿里集团的漏洞扫描平台，这也是他心爱的重型武器，扫描的速度和准确
率都十分惊人。任何漏洞只要一公布，他的扫描器马上就能把有问题的机器找出来，通
知相关人员修复。这款重型武器在他的打磨下日趋强大，不过他也会哀怨为什么鲜有志
同道合者来杭州和他一起研发。如果他的小组再来几个得力的小伙伴，不知道还会搞出
多少神奇的产品。

精通应用安全的浪子
说起“空虚浪子心”这个名字，早一波的安全人员应该会很熟悉。作为当年的中国X黑客


小组核心成员，不管是在黑客杂志还是一些安全论坛上，这个ID出现的频率都很高。
2012年，空虚浪子心 突破了Google引以为傲的沙盒，技惊四座，然后大家就在第二季度


更新的漏洞发现者名单中看到两个醒目的汉字 —— “周拓”(空虚浪子心的本名)，不
过他倒没太在意，继续奋战在安全的一线。没过几个月，他代表阿里巴巴在XCON 2012安


全大会上演讲了《攻击JAVA WEB》，换起了大家对Spring和Struts这类Java框架漏洞的
注意。然后就和很多进入企业的安全人员一样，慢慢变得不爱出声。不过，由于“浪子
”的实力摆在那，平时又要经常在江湖上走动，因此他也没办法低调。
前段时间，知名开源框架Apache Struts 2的安全问题不断被爆出，国内外一时腥风血雨


。Struts官方虽然放出补丁，但很快又被黑客绕过。但国内的安全人员一直在努力的封
堵漏洞，最早发布Struts2 S2-020绕过漏洞解决方案的人里面，就有空虚浪子心。
浪子的技术不错，酒量也很好，日子过的很洒脱。平日里潇洒来去，倒是很对得起他昵
称。作为一个整天在前线与黑客过招的安全牛，他对黑色产业链有着深刻的见解。
当问起他对黑帽子最想说的话时，他回答：“兄弟们，首先（我）支持你们！我知道其
实大家都是一个行业的，同样辛苦，同样都是技术diao丝。
我小时候一直有个梦想，“黑客技术一定有一天可以赚钱，我要靠这个技术吃饭”，只
是你们可能走的有点偏，但是这不要紧。你干的事情，往往让乙方安全大赚特赚，也让
甲方安全得到更多重视，总之让安全行业得以蓬勃发展。
别搞不该搞的站，别乱听人忽悠一起搞站，大多数人都是这么进去的。要有目的，有原
则，有专业，一击不中，远遁千里。一定做好自身安全防范，规范化自己的行为和动作
，尽量形成套路，线上时常清理擦除痕迹，线下想好各种出路。
当然，站在公司立场上，万一哪天咱们对上了，请多多指教，我虚心学习，但是不会手
软，我很遗憾。”
看吧，他就是这么亦正亦邪的。

阿里巴巴集团2015校园招聘-“安全工程师”职位的报名仍在进行中！投递简历请前往阿


里校招官网http://campus.alibaba.com/；

有疑问请咨询官网客服http://t.cn/RhD1NX2。