AdsPower「安全众测计划」后，What's Next？

在 2024 年 6 月，AdsPower 指纹浏览器联合“火线安全平台”共同发起了“安全众测计划”，吸引了全球范围内的安全领域专家、白帽子、开发者和安全爱好者参与，最终共发出 5 万元奖金。

这是指纹浏览器行业内首个具有里程碑意义的安全众测项目，AdsPower 也是行业首家敢于将自身的真实业务环境，提供给白帽子进行安全众测的厂商。

落地这个项目其实并不容易，当“第一个吃螃蟹的人”，需要勇气，也需要能力。

行业首家实施「安全众测计划」，摸着石头过河

以往，AdsPower 针对自身的安全优化，更多倾向于内部的定期复盘和评估，也由此做了不少优化措施，包括加强用户权限管理、优化用户认证系统、实施安全客户端令牌策略等等。

或许在大家意料之外，但又是情理之中的是：我们的系统每天都在抵御着 24 小时不间断的黑客攻击，但是得益于我们坚固的安全防线，至今未有安全漏洞被利用。

“AdsPower 已经很安全了，但这样就够了吗？”

当局者迷，旁观者清。内求到一定阶段的时候，我们决定向外求，寻找更多突破。于是，“安全众测”的想法就在我们团队内部诞生了。

“安全众测”是一种软件测试方法，它动员外部专家共同发现软件的安全漏洞和缺陷。“白帽子”与“黑客”相对，是指通过黑客手段寻找并报告安全漏洞以帮助修复的安全专家。

在国际上，安全众测平台如 Hackerone、Bugcrowd 已经非常成熟，许多顶级互联网公司和政府机构都采用这种方式进行安全防御体系验证。

我们一致认为，如果想要再进一步拔高 AdsPower 的安全性，拥有外部专家的评估视角是非常重要的，我们必须贴近实际运营，从用户和黑客两个角度，全面评估 AdsPower 浏览器的安全性并持续优化。

于是问题来了，“安全众测计划”应该怎么做？

事实上，在指纹浏览器这个新兴行业，并没有生态先例可供参考，项目怎么实施就成为了一个难题。这时候，团队的高级安全工程师 Henry 提出，可以和“火线安全平台”合作。

“火线安全平台”是一个社区原生的白帽子安全平台，专注于联合顶级白帽子专家为企业提供云端安全服务，在这方面有着丰富的行业经验。

于是，我们与白帽子的故事就开始了。

审慎评估安全报告：我们与白帽子的「极限拉扯」

AdsPower“安全众测计划”上线“火线安全平台”后，不到 30 天，就吸引了 70 多位国内外的资深安全研究人员参与。

我们采用了黑盒安全测试的方法，这种方法模拟外部黑客的视角，能够不受系统内部逻辑的限制，全面探索所有入口点和交互方式，从而发现潜在的攻击向量，而这些在白盒或灰盒测试中可能被忽视。

（图片来源于网络）

然而，对浏览器产品进行安全测试仍然相对小众，其所涉及的浏览器、客户端等场景，是许多白帽子缺乏经验的。

为此，我们公开了所使用的技术框架，增强安全众测的透明度；同时引入了漏洞复议环节，对于安全研究人员提出疑问的漏洞，安全团队与研发团队共同复核，进一步确认漏洞的有效性和危害性。

第一轮安全众测结束，我们一共收到了 50 多份报告，但并不是每份报告都是有效的。

有些报告只是“为了挖漏洞而挖漏洞”，存在无法复现、没有考虑漏洞在业务当中的实际影响等问题。印象最深刻的是，我们与一位印度安全员来回发送邮件 20 几封，针对报告的专业性和有效性进行了不下 10 次的讨论，最后才磨合出一份真实有效的安全报告。

最终，经过我们安全团队的严格评估，共有 30 多份安全报告被认为有效。

这些报告主要集中在“业务逻辑缺陷”方面。不过，请放心，找到这些潜在的安全漏洞后，我们第一时间修复了问题，并发布补丁与更新，迅速进行了安全加固。现在你所使用的 AdsPower，真的非常安全。

比如，针对你最关心的数据传输与存储，AdsPower 目前采用与美国国安局同等级别的椭圆加密算法（D-H 算法），即便是内部安全工程师，也只能接触到经不可逆算法加密后的用户数据。我们正在将这一加密算法扩展至所有 API 接口。

在 7 月的首次安全众测结束后，我们团队非常兴奋，因为这意味着，在加强 AdsPower 软件安全的这条道路上，我们至少摸着小石子已经过了一条小河。

而且在这个过程中也有意外收获，有不少安全员的来信提到我们产品安全部署到位、非常优秀，这也给了我们很大的信心。

收到有效的安全评估报告后，接下去很重要的一环，就是给我们的“白帽子们”提供对应的奖金。

我们的第一期“安全众测计划”的赏金池共有10万元，并且，为了鼓励更多高质量的报告提供，我们还对高质量和创新性的报告给予 20% 的额外奖金，最终也有 5 名安全人员得到这笔奖金。

故事到这里，似乎是一个“Happy Ending”。但我们仍旧在问：“这样就够了吗？”

在过去的近 6 年时间里，AdsPower 团队在服务超过 500 万全球用户的同时，也深刻明白一个道理：通过 AdsPower 管理的平台账号，是用户业务的核心资产；核心资产的安全，关系着用户业务的生命线。也因此，“安全”也应该是指纹浏览器的生命线，值得我们不计成本投入。

正如微软、苹果、阿里等科技巨头不断修补系统漏洞以确保用户安全一样，既然 AdsPower 的用户需要，且我们能够收到有效的安全报告，那么这件事就值得继续做下去。

常态化安全众测，永远先用户一步发现问题

2024 年 8 月，“安全赏金计划”（也叫 “Bug Bounty”）在我们官网上线了。

任何人，不管是“白帽子”、开发者还是安全爱好者，只要能够发现 AdsPower 潜在的安全漏洞，就可以随时通过官方邮件：security@adspower.net 向我们提交报告，AdsPower 安全团队将第一时间进行验证与处理。

一旦安全报告被判定为有效，AdsPower 将按照不同漏洞等级，从低危、中危、高危到严重给予不同等级的奖金，单个漏斗报告最高可获得￥6000 人民币奖励。

这也就意味着，“安全众测”已经成为了我们的官方常态化项目。

只有持续把自己曝光在外部的审视当中，才能及时发现自己的问题，并且永远先用户一步发现问题、解决问题。

“安全赏金计划”在 AdsPower 官网上线至今，一共收到了 70 多份报告，其中确认有效的有 26 份，AdsPower 发出近 10 万元现金奖励，安全修复了数个可能影响业务运行和数据安全的漏洞，并且，这个计划还在持续进行中。

陆续上线更多第三方平台，安全之路任重道远

轻舟渐远，重山尚在。经历了与“火线安全众测平台”的合作及上线”安全赏金计划”后，我们还是没有停下脚步，因为没有“最安全”，只有“更安全”。安全不是出事后的弥补，而是永恒的预防。

所以，近期我们也在 BugRap 上线了“安全众测计划”。

BugRap 是一个专注于 Web3 领域的漏洞赏金平台，依托广泛的社会化白帽资源和与专业 Web3 安全公司的合作，可以帮助项目方及时发现并修复产品安全问题。

同时，我们邀请了 CertiK 出具安全审计报告，并获得了 90+ 的代码安全高分，成为少数获此认证的非 Token 项目。

CertiK 是一家全球领先的安全公司，曾为苹果、三星、蚂蚁金服、TON 等全球领先的科技组织提供安全审计服务。

后面我们也将持续上线更多的第三方平台，并且投入更多的精力与预算，只为了给用户带去更多的安全。

写在最后

AdsPower 走到 2024 年底，已经接近 6 个年头了。

在互联网行业中，我们也许还是年轻的，但在指纹浏览器行业的几十上百个同类产品中，我们是国内的“首家”，目前也已是全球市场的第一梯队。

全面领先，也让我们不断提升对自己的要求，从产品、服务、技术、安全等各个维度，我们都在努力成为行业的方向标、创新的探路人。

而在用户安全这一侧，“安全众测计划”是开始，但不会是结束。

诚邀你成为 500 万+用户的一员，与我们共同见证全球掘金的未来。

💡小彩蛋

AdsPower 安全工程师专访