AdsPower「安全衆測計劃」後，What''s Next？

在 2024 年 6 月，AdsPower 指紋瀏覽器聯合“火線安全平颱”共同髮起了“安全衆測計劃”，吸引了全球範圍內的安全領域專家、白帽子、開髮者和安全愛好者參與，最終共髮出 5 萬元獎金。

這是指紋瀏覽器行業內首個具有裡程碑意義的安全衆測項目，AdsPower 也是行業首家敢於將自身的真實業務環境，提供給白帽子進行安全衆測的廠商。

落地這個項目其實並不容易，當“第一個吃螃蟹的人”，需要勇氣，也需要能力。

行業首家實施「安全衆測計劃」，摸着石頭過河

以往，AdsPower 針對自身的安全優化，更多傾向於內部的定期複盤和評估，也由此做了不少優化措施，包括加強用戶權限管理、優化用戶認証繫統、實施安全客戶端令牌策略等等。

或許在大家意料之外，但又是情理之中的是：我們的繫統每天都在抵禦着 24 小時不間斷的黑客攻擊，但是得益於我們堅固的安全防線，至今未有安全漏洞被利用。

“AdsPower 已經很安全了，但這樣就夠了嗎？”

當局者迷，旁觀者清。內求到一定階段的時候，我們決定向外求，尋找更多突破。於是，“安全衆測”的想法就在我們團隊內部誕生了。

“安全衆測”是一種軟件測試方法，它動員外部專家共同髮現軟件的安全漏洞和缺陷。“白帽子”與“黑客”相對，是指通過黑客手段尋找並報告安全漏洞以幫助修複的安全專家。

在國際上，安全衆測平颱如 Hackerone、Bugcrowd 已經非常成熟，許多頂級互聯網公司和政府機構都採用這種方式進行安全防禦體繫驗証。

我們一緻認爲，如果想要再進一步拔高 AdsPower 的安全性，擁有外部專家的評估視角是非常重要的，我們必須貼近實際運營，從用戶和黑客兩個角度，全麵評估 AdsPower 瀏覽器的安全性並持續優化。

於是問題來了，“安全衆測計劃”應該怎麼做？

事實上，在指紋瀏覽器這個新興行業，並沒有生態先例可供參考，項目怎麼實施就成爲了一個難題。這時候，團隊的高級安全工程師 Henry 提出，可以和“火線安全平颱”合作。

“火線安全平颱”是一個社區原生的白帽子安全平颱，專注於聯合頂級白帽子專家爲企業提供雲端安全服務，在這方麵有着豐富的行業經驗。

於是，我們與白帽子的故事就開始了。

審慎評估安全報告：我們與白帽子的「極限拉扯」

AdsPower“安全衆測計劃”上線“火線安全平颱”後，不到 30 天，就吸引了 70 多位國內外的資深安全研究人員參與。

我們採用了黑盒安全測試的方法，這種方法模擬外部黑客的視角，能夠不受繫統內部邏輯的限製，全麵探索所有入口點和交互方式，從而髮現潛在的攻擊向量，而這些在白盒或灰盒測試中可能被忽視。

（圖片來源於網絡）

然而，對瀏覽器産品進行安全測試仍然相對小衆，其所涉及的瀏覽器、客戶端等場景，是許多白帽子缺乏經驗的。

爲此，我們公開了所使用的技術框架，增強安全衆測的透明度；同時引入了漏洞複議環節，對於安全研究人員提出疑問的漏洞，安全團隊與研髮團隊共同複核，進一步確認漏洞的有效性和危害性。

第一輪安全衆測結束，我們一共收到了 50 多份報告，但並不是每份報告都是有效的。

有些報告隻是“爲了挖漏洞而挖漏洞”，存在無法複現、沒有考慮漏洞在業務當中的實際影響等問題。印象最深刻的是，我們與一位印度安全員來回髮送郵件 20 幾封，針對報告的專業性和有效性進行了不下 10 次的討論，最後才磨合出一份真實有效的安全報告。

最終，經過我們安全團隊的嚴格評估，共有 30 多份安全報告被認爲有效。

這些報告主要集中在“業務邏輯缺陷”方麵。不過，請放心，找到這些潛在的安全漏洞後，我們第一時間修複了問題，並髮佈補丁與更新，迅速進行了安全加固。現在你所使用的 AdsPower，真的非常安全。

比如，針對你最關心的數據傳輸與存儲，AdsPower 目前採用與美國國安局同等級別的橢圓加密算法（D-H 算法），即便是內部安全工程師，也隻能接觸到經不可逆算法加密後的用戶數據。我們正在將這一加密算法擴展至所有 API 接口。

在 7 月的首次安全衆測結束後，我們團隊非常興奮，因爲這意味着，在加強 AdsPower 軟件安全的這條道路上，我們至少摸着小石子已經過了一條小河。

而且在這個過程中也有意外收獲，有不少安全員的來信提到我們産品安全部署到位、非常優秀，這也給了我們很大的信心。

收到有效的安全評估報告後，接下去很重要的一環，就是給我們的“白帽子們”提供對應的獎金。

我們的第一期“安全衆測計劃”的賞金池共有10萬元，並且，爲了鼓勵更多高質量的報告提供，我們還對高質量和創新性的報告給予 20% 的額外獎金，最終也有 5 名安全人員得到這筆獎金。

故事到這裡，似乎是一個“Happy Ending”。但我們仍舊在問：“這樣就夠了嗎？”

在過去的近 6 年時間裡，AdsPower 團隊在服務超過 500 萬全球用戶的同時，也深刻明白一個道理：通過 AdsPower 管理的平颱賬號，是用戶業務的核心資産；核心資産的安全，關繫着用戶業務的生命線。也因此，“安全”也應該是指紋瀏覽器的生命線，值得我們不計成本投入。

正如微軟、蘋果、阿裡等科技巨頭不斷修補繫統漏洞以確保用戶安全一樣，既然 AdsPower 的用戶需要，且我們能夠收到有效的安全報告，那麼這件事就值得繼續做下去。

常態化安全衆測，永遠先用戶一步髮現問題

2024 年 8 月，“安全賞金計劃”（也叫 “Bug Bounty”）在我們官網上線了。

任何人，不管是“白帽子”、開髮者還是安全愛好者，隻要能夠髮現 AdsPower 潛在的安全漏洞，就可以隨時通過官方郵件：security@adspower.net 向我們提交報告，AdsPower 安全團隊將第一時間進行驗証與處理。

一旦安全報告被判定爲有效，AdsPower 將按照不同漏洞等級，從低危、中危、高危到嚴重給予不同等級的獎金，單個漏鬥報告最高可獲得￥6000 人民幣獎勵。

這也就意味着，“安全衆測”已經成爲了我們的官方常態化項目。

隻有持續把自己曝光在外部的審視當中，才能及時髮現自己的問題，並且永遠先用戶一步髮現問題、解決問題。

“安全賞金計劃”在 AdsPower 官網上線至今，一共收到了 70 多份報告，其中確認有效的有 26 份，AdsPower 髮出近 10 萬元現金獎勵，安全修複了數個可能影響業務運行和數據安全的漏洞，並且，這個計劃還在持續進行中。

陸續上線更多第三方平颱，安全之路任重道遠

輕舟漸遠，重山尚在。經曆了與“火線安全衆測平颱”的合作及上線”安全賞金計劃”後，我們還是沒有停下腳步，因爲沒有“最安全”，隻有“更安全”。安全不是出事後的彌補，而是永恆的預防。

所以，近期我們也在 BugRap 上線了“安全衆測計劃”。

BugRap 是一個專注於 Web3 領域的漏洞賞金平颱，依托廣泛的社會化白帽資源和與專業 Web3 安全公司的合作，可以幫助項目方及時髮現並修複産品安全問題。

同時，我們邀請了 CertiK 出具安全審計報告，並獲得了 90+ 的代碼安全高分，成爲少數獲此認証的非 Token 項目。

CertiK 是一家全球領先的安全公司，曾爲蘋果、三星、螞蟻金服、TON 等全球領先的科技組織提供安全審計服務。

後麵我們也將持續上線更多的第三方平颱，並且投入更多的精力與預算，隻爲了給用戶帶去更多的安全。

冩在最後

AdsPower 走到 2024 年底，已經接近 6 個年頭了。

在互聯網行業中，我們也許還是年輕的，但在指紋瀏覽器行業的幾十上百個同類産品中，我們是國內的“首家”，目前也已是全球市場的第一梯隊。

全麵領先，也讓我們不斷提昇對自己的要求，從産品、服務、技術、安全等各個維度，我們都在努力成爲行業的方向標、創新的探路人。

而在用戶安全這一側，“安全衆測計劃”是開始，但不會是結束。

誠邀你成爲 500 萬+用戶的一員，與我們共同見証全球掘金的未來。

💡小彩蛋

AdsPower 安全工程師專訪