騰訊信息安全爭霸賽的第四年：喝水人和挖井人

騰訊信息安全爭霸賽（TCTF）的誕生，是一個「出道即巔峯」的故事。

2017年，騰訊安全發起、騰訊安全聯合實驗室主辦的第一屆騰訊信息安全爭霸賽，沒有經歷「冷啓動」的開局之難，第一年就吸引了全球近1000支CTF戰隊參賽，盛名在外的俄羅斯老牌強隊LC↯BC戰隊、日本的binja戰隊和美國的Shellphish、PPP戰隊、匈牙利的傳統CTF強隊!SpamAndHex都在參賽戰隊之列。

2019年的0CTF/TCTF賽事在CTFTime上被打出了接近滿分100分的高分——CTFTime是一個去中心化的賽事資訊和積分網站，以權威和公正著稱，不管是對於戰隊仍是賽事主辦方來講，在CTFtime上的排名和得分都是衡量其水平的最有說服力的指標。

「咱們不是（像你問題裏描述的那樣）花了四年或者花了幾年打造一個這個水平的賽事，咱們是從第一年開始就是最好的，後來幾年水平也沒有掉下來過。」騰訊安全科恩實驗室的負責人吳石說起這一點，語氣裏是掩飾不住的驕傲。

01

生逢其時

正如惟物主義史觀強調的「時勢造英雄」所說：一我的的命運除了自我奮鬥，也和歷史進程離不開關係。TCTF的一騎絕塵，有不少天時地利的條件。

中國第一個公開的CTF賽事大約出如今2014年，通過幾年的發展，到2017年的時候，雖然已經陸續出現一些新的CTF賽事，但質量參差不齊，沒有一個在國際上有影響力。也是那個時候，中國開始重視網絡安全的建設，而舉辦安全競賽是一個很好的推廣網絡安全的抓手。

「當時CTF在中國是一個將起未起的新鮮事，國內安全領域對這個比賽形式只有了一些粗淺的瞭解，但不知道一個好的CTF比賽應該是什麼樣的。」騰訊安全科恩實驗室高級研究員謝天憶回憶，「我那時候就在想，若是之後有機會，我要讓國內的CTF選手知道真正的CTF比賽是什麼樣的。」

巧的是，謝天憶有一天接到了老闆吳石的一個提議：我想辦一個面向全球的CTF比賽，你有沒有信心辦好？謝天憶心想：我就是幹這個的啊。事情就這麼愉快地決定了。

那時候國內有實力去打國際比賽、能打進決賽的CTF戰隊寥寥可數，叫得出名字的一個是清華的藍蓮花，另外一個是上海交大的0ops，而謝天憶就曾經是0ops的隊長。

和謝天憶出於興趣投身CTF賽事不一樣，騰訊安全科恩實驗室負責人吳石想要辦TCTF，最先是出於培養人才的考慮。有一天，0ops戰隊的指導老師姜開達帶了兩個學生來找吳石，請吳石對他們進行「特訓」，讓他們在接下來要進行的一個CTF賽事中打出好成績。「我當時也觀察了一下，國內安全研究人員極度缺少，咱們幾乎招不到人。若是整個行業都這麼缺人，那麼我是否是能夠把這個事情搞大一點，讓更多年輕人均可以參與進來？」

吳石的Keen Team已經被騰訊安全招致麾下，預算、人力、資源都有保障，若是說他以前也曾經產生過辦一個國際賽事的想法的話，那這個時候這個想法的實現已經觸手可及。吳石向他的老闆、騰訊副總裁丁珂表達了想要辦CTF賽事的意願，獲得了後者的大力支持。

2017年，TCTF正式「出道」。第一屆TCTF由騰訊安全聯合實驗室主辦，騰訊安全聯合實驗室七大掌門人吳石、於暘、袁仁廣等悉數出陣，和數十所高校的資深網絡安全老師一塊兒組成了全明星導師團。經過與0ops戰隊的合做，第一屆TCTF順利申請到了有「黑客世界盃」之稱的DEF CON CTF外卡賽的資格，成爲中國大陸當時惟一拿到DEF CON CTF外卡賽資格的賽事。這意味着在TCTF中得到國際賽冠軍的團隊會直接進入DEF CON CTF總決賽。

「從第一年開始的確就有不少海外知名強隊參加TCTF，我本身認爲有兩個緣由，一個是0ops是中國首屈一指的戰隊，與0ops合做辦這個賽事，質量有保障；另外一個是咱們給決賽戰隊提供來中國的差旅，有機會來中國一趟，這些海外戰隊也很樂意。」吳石說。

和國際賽並列的是另外一個面向高校學生的賽道「新星賽」，每一年也吸引幾百支中國高校戰隊出戰。這些高校戰隊平時並無太多機會去海外打比賽，可是在TCTF的賽場上，他們能和來自全世界的頂尖高手們同臺競技。「咱們每一年都堅持作線下賽，其實就是要給國內的這些選手提供一個可以面對面跟國際最頂尖選手交流的機會。這幾年國內的CTF水平總體有飛速的增加，這與跟國際戰隊的交流是密不可分的。」

謝天憶介紹道，衡量一個CTF比賽好很差最關鍵的因素看題目質量。TCTF的出題人憑藉豐富的海外參賽經驗，吸取了國際高水平CTF賽事的一些理念，融合出題人本身的思路以後再去設計了不少很好的題目，在當時的CTF領域一會兒就鶴立雞羣。「參賽選手會以爲比賽題目設計得很好，能學到東西、頗有趣，解出來頗有成就感。」

雖然是輕描淡寫的幾句，但其實出題是一個苦差事，經常要耗費一個團隊一個月的時間。雖然在部門裏承擔了不少管理職責，但謝天憶每一年仍是很積極地參加各類國內外高規格的CTF賽事。一是本身的確很喜歡，二也是由於想要捕捉最前沿的CTF賽題。「要麼跟進前沿安全研究，要麼就常常去打比賽，看看別人在出一些什麼類型的、什麼方向的題目，不然你出的題目很容易就會落伍。」

02

喝水人和挖井人

與2017年騰訊安全聯合實驗室剛剛開始辦TCTF的時候相比，雖然只有短短几年，國內的網絡安全圈子已經發生了很大的變化。全國性的CTF賽事愈來愈多，組織水平相較四年前也有了質的提高，不少高校都有了本身的CTF戰隊：復旦大學六星戰隊、浙江大學AAA戰隊、清華大學Redbud、北航的Lancet、中山大學WaterDrop……去年由國家主管部門指導舉辦的「護網杯」安全競賽，參賽團隊達到了驚人的6479支。

甚至，在「國賽」中打出成績的戰隊，在考研時甚至能夠得到額外加分——這反映的是一種理念的變化：曾經被認爲遊手好閒、奇技淫巧的CTF，現在已經被正名了。

當初困擾吳石的無人可招的局面也有明顯的改善，僅騰訊安全科恩實驗室本身而言，TCTF給它帶來了佔據實驗室一半編制的新成員，今年表明騰訊安全在DEF CON CTF拿下冠軍的A0E戰隊隊長劉耕銘就是第一屆TCTF的新星賽冠軍戰隊成員。

TCTF組委會針對前兩年參加比賽的選手作過一個回訪，從結果上來看，參加過TCTF的選手絕大部分都從事了網絡安全行業，他們流向了一線互聯網公司的網安部門或者專門的網絡安全公司，其中也有至關一部分加入了騰訊。

現在的網絡安全比起四年前算是繁榮了不少，僅從人才培養的角度來看，以辦賽的方式看起來稍顯迂迴，每一年砸在TCTF賽事上的錢若是直接用來從高校定向挖人或者補貼，招人效率可能更高。但以目前網絡安全人才缺口的情況，還遠遠不到不勞而獲的階段。教育部高等學校教指委的報告指出，中國每一年經過高等教育向社會輸送的安全人才不足1.5萬，但每一年安全領域的人才缺口卻高達幾十萬。

「培養人才應該是一個正和博弈而不是零和博弈，是須要你們一塊兒參與、攜手來作好的事情。若是都不挖井、都只想喝現成水的話，這個行業起不來，每一個人都沒有水喝。」吳石說道，「目前有一個很明顯的趨勢，國家不少主管部門也在辦這種比賽，這對於整個行業的繁榮都是有幫助的。」

吳石說，若是沒有發生什麼大的變故，TCTF他們會一直辦下去，「和國內高校的學生保持一個比較好的互動」。

03

光榮與夢想

TCTF今年的預賽已經於6月底完成，決賽將在9月26號展開序幕。和大多數國際競賽同樣，因爲疫情，今年的方式改爲了線上。雖然沒有了「海外差旅」的加持，如今的TCTF也足夠吸引全球高手來切磋。

東京大學的CTF戰隊TSG今年計劃籌辦CTF賽事，因爲和TCTF預賽時間衝突，他們調整了本身賽事的時間。「抱歉給你們帶來困擾，但咱們想參加0CTF（即TCTF的國際賽）！」

今年的決賽陣容一如既往地強大，來自韓國的Koreanbadass、來自戰鬥民族俄羅斯的More Smoked Leet Chicken、美國的00後戰隊perfect blue、中國高校聯合戰隊r3kapig、波蘭勁旅Dragon Sector、日本強隊TokyoWestern、浙江大學的AAA戰隊、華南理工Kap0K、深圳大學的Aurora、西安電子科大的L戰隊……15支全球頂尖戰隊和15支中國高校戰隊齊聚一堂，老牌戰隊要捍衛榮耀，新星戰隊要嶄露頭角，他們都將在TCTF 2020的決賽上綻開他們的光榮與夢想。