第一位在DEF CON演讲的女黑客

黄琳不太喜欢那张被刊登在美国《福布斯》杂志上的照片。

照片里的她眼神犀利，一抹大红唇，跟平时戴框架眼镜、几乎不化妆、T恤牛仔裤的她大相径庭。图说写道，“第一位在DEF CON演讲的女黑客”。

登上过美国《福布斯》杂志的黄琳。

2015年，她第一次代表360公司参加世界顶级黑客大会DEF CON，发布了一项关于如何低成本地实现GPS欺骗的相关研究，被国内外媒体争相报道。

“我们市场部的人给了他们（《福布斯》）一张图片，他们就用了。”她觉得，照片把她拍得“太凶了”，艳丽的大红唇完全不符合自己低调的性格。但她当时没有提出异议——从另一个角度来看，“他们就是美国的那种报道风格”。

凡事看两面的习惯，赋予了黄琳一种平和心态——尽管一般人很难想象，一个在北京居住、有两个孩子的国内顶尖互联网公司中层是如何做到不焦虑的。

顺利

35岁才转型做网络安全

与大众对黑客的普遍认知——年纪小、偏科、攻击性强相比，黄琳似乎完全站在了对立面。高考状元和博士头衔傍身，35岁才转行踏入网络安全行业，还对挖漏洞兴趣不大，怎么看都是黑客中的异类。

黄琳的大学专业是通信，毕业后也一直从事相关工作，缓慢的工作节奏逐渐让她倦怠。

2014年，阿里巴巴、京东、新浪微博先后赴美上市，互联网行业如日中天，身边不少人跳槽去了互联网公司，她也觉得，这或许是个不错的选择。

机会很快就来了。

工作之余，黄琳会在个人博客上记录一些研究心得。柴坤哲就是在网上搜索资料时，成了她的“小迷弟”。

彼时360的安全团队只有两个，柴坤哲所在的信息安全部是其一。“大概是五年前，资料很少。我找到第一个比较重要的资料，就是黄老师翻译的一本国外文献，然后我还从新浪博客看了她的很多资料”。

柴坤哲形容自己抱着“粉丝追星”的心态开始联系黄琳，不但在网上向她请教问题，还会关注她的行程。终于，在一次国内某创客论坛的线下沙龙上，柴坤哲见到了作为演讲嘉宾的黄琳。

短暂聊过之后，柴坤哲起了邀请黄琳加入360的念头。“我们当时真的比较迫切需要一个引路人”，他说，团队不缺好想法，但如何把漏洞的危害具象化、精细化，如何联结通信相关的官方资源，都让他们一筹莫展。而这些刚好就是黄琳擅长的。

黄琳也清晰地记得这次促成自己职业生涯转折点的见面。她回忆，当时她想体验互联网公司快节奏的工作风格，刚好360公司又离家近，“后来我就随口问他，你们那招不招人？他说招，我说行，我给你投个简历”。

没有纠结，没有坎坷，机会来了便顺势而为，结果却往往是好的，甚至是超出预期的。

黄琳人生中其他的重要节点，似乎无一例外也是这样。

黄琳和同事参加世界顶级黑客大会DEF CON。

殷婕和黄琳高中时住同一个寝室。她说，黄琳成绩一直很好，但绝不是拼命的人，也不是那种“说考得不好结果考很高，或者默默复习又说没复习”的人。学习之外，黄琳的体育、文艺样样拿得出手，唱歌更是在班里“数一数二”，但又“完全不花哨”。

黄琳也说，那时候她并不是年级里最拔尖的学生，很少能考一、二名。结果高考的时候，“最厉害的那几个人没有考到那么好，我又可能稍微考好了一点，再加了一个少数民族分（5分）”，意料之外成了全市第一。

而让她一举成名的GPS欺骗攻击研究，看上去更是顺利得令人羡慕。那时距离她踏入网络安全行业才不过半年，是她入职360公司以后接手的第一个大项目。

GPS欺骗攻击不是一个新鲜的议题，国内外都有团队在研究，而且都有做导航出身的科班人员加入。而黄琳从未接触过卫星导航，一切都得从头学起。为此，她专门借了几本书，其中一本是同事郑玉伟带给她的。

郑玉伟说，这个项目最重要的是建立数据模型，但现有的公开资料基本都是讲怎么接收卫星信号，关于怎么造出卫星信号的寥寥无几。

整个项目做了半年多时间，其中一半时间黄琳都在学习理论知识和写代码。得知北航的一个学生也写过类似代码，她就特地跑去学校请教了他好几次，“学一段，写一段，再学一段，写一段”，硬是啃下了最核心的代码部分。

不过，黄琳印象最深的还是在屏蔽室里调试代码的场景。那是一间约4平米的屋子，四周用十厘米厚的铁板围起来，能完全隔绝外界信号干扰。由于通风部分损坏，密闭的空气里常常弥漫着一股难闻的气味。

这样的日子一直持续到项目后期，才出现一丝曙光。郑玉伟很佩服黄琳，他知道，这份坚持和定力在安全圈有多难得。

“其实安全的圈子，总体还是比较浮，有很多人可能弄一点看起来的成果拿出去讲，很少是把东西做得很踏实的”，郑玉伟说，“像黄老师花了半年时间，但大部分人估计三个月甚至两个月出不了成果，就开始考虑换个方向。这其实是需要有一定的定力在那里。”

2015年，美国拉斯维加斯，DEF CON现场。黄琳展示了攻击演示的视频：把无线电设备连上电脑，运行代码，成功地远程让一辆停在360公司北京总部楼下停车场的汽车被定位在西藏纳木错湖的中心。整个设备使用了通用的软件无线电平台和网络上免费的开源代码，这使得攻击成本接近于零。

这项研究证明，假GPS信号的制作成本可以很低，不需要价值几十万甚至上百万的GPS信号模拟器，而这种便宜简单的攻击方法可能造成的危害却是巨大的。

还有一次，360市场部同事小琪需要整理发表黄琳团队的研究成果，但怎么也搞不懂其中的原理。“后来黄老师说，这个GPS系统‘傻乎乎只知道听卫星说什么’，所以你的欺骗设备在旁边使劲喊，它就信了。我一下子就理解了，让我觉得这个卫星是个小可爱，跟那些‘直男’研究员们跟我说的完全不一样。”

柴坤哲用了“华丽转身”形容黄琳从学术圈转到黑客圈的过程。“我觉得人到一定年龄的时候，人的思维是很难转变的”，但比他年长十几岁的黄琳让他意外。

“她能从一个我们提供想法、只负责实践的人，直接变成自己能产生攻击点，然后甚至不仅能发现这个攻击点，还能再去想该怎么去修复，该怎么去落地，这就是我觉得她最牛的一点。”柴坤哲说。

规矩感

很少迟到和加班的另类黑客

和许多互联网公司一样，黄琳的工位是一个敞开的格子间，和360独角兽团队的同事在一块儿。

她的桌子太好认了。柴坤哲说，黄琳习惯把东西摆在四角，显得整个桌子非常空非常整齐，要是哪天带电脑回家了，桌子的整洁程度“就感觉这个人好像已经离职了”。

另一个明显区别于其他人的，是她很少迟到和加班——好几个同事都提到了这一点。在互联网公司，做到这一点不容易，对于以不守常规著称的黑客来说，更是罕见。

黄琳一般9:30到公司，晚上7点下班，12点前睡觉，很少加班。按时上下班的前提是，她利用工作时间就能把工作处理得很好。

“像我们一般情况下，早上有极大概率会迟到，然后晚上都会加班到很晚……”柴坤哲说，“但黄老师就能充分利用这八九个小时，我只要一瞄她电脑，基本上就是工作的内容。”

在作息自由、流行“996”的互联网公司，不受外界影响，保持自己的节奏，需要强大的自律和自信，尤其对于有两个孩子的黄琳来说。

黄琳注册了两个微博和两个微信，工作和生活被严格切割开。她也很少把工作带回家，实在不得已，也会尽量在陪伴完孩子之后，晚一点再工作。

殷婕曾在她家借住过一个礼拜。“我就看她陪她女儿，很有耐心，给了很多关注……她是挺忙的，但不会用工作找借口，该给什么就给什么。”最让殷婕佩服的是，黄琳的陪伴是非常投入和高质量的，不看手机，不会抱怨，全心全意把自己降到孩子视角。

“从工作和生活中各个地方去看，她就是一个很干净、很规矩、很整齐的人。”柴坤哲觉得，这或许是因为书读得多。“像这种读书多的人，有很明显的规矩感，安排得非常妥当。”

这种滴水不漏的规矩感也表露在情绪上。

 

工作中的黄琳效率极高，很少迟到和加班。

在绝大多数情况下，黄琳几乎永远是平和、包容的。这种状态能带给自认做事急躁的郑玉伟一种“事情总会解决”的安心感。曾经“得罪”过黄琳的柴坤哲则笑言她是个“毫无波澜的人”。

刚成为同事的时候，黄琳请柴坤哲帮忙做个小实验，柴坤哲满口答应，中途却因一些原因耽误了，最后干脆没有出现，也没有回复消息。第二天见面，他能感觉到黄琳有点生气，但最后只是得到一句“你这家伙也太不靠谱了”便再无下文。

“她真的会把所有的情绪以及所有东西……说藏起来也好，就是从她平时的状态以及谈吐，情绪什么的都是完全看不出来的”，柴坤哲说，“她真的是一个能管理好一切的人”。

黄琳却完全是另一番感受：“从那以后我就知道，黑客的工作风格是什么样的：非常随性，不按套路来。”而她的规矩感和多年从事学术研究养成的书卷气，似乎和自带江湖气的黑客圈有点格格不入。

360公司有一些被黄琳称为有“黑客感”的同事，他们热衷于做攻击，“碰到一个门锁就想开，遇到一个WiFi就想‘黑’进去”，但她没兴趣，反而觉得怎么这么容易就被攻破了，“很悲哀的那种感觉”。

“这可能跟我之前在通信圈有关系，通信是以功能为主导的，其实很多时候安全都是个辅助的角色。”她还会站在对方的立场想：人家为什么留这个漏洞？可能是为了兼顾功能的无奈之举。

这种情绪反差经常发生。柴坤哲觉得，黄琳是一个“不太热衷于做攻击的人，但她特别希望了解攻击的思路，然后根据这个思路想办法怎么去防御”，女性特有的柔能恰到好处地填补原安全团队缺乏防御观念的短板。

DEF CON会后，黄琳以“第一位在DEF CON演讲的女黑客”的身份被美国《福布斯》报道，照片里的她罕见地化了妆。

回忆起首次登上外媒的经历，黄琳难得地流露出一丝懊恼的情绪：“那张照片把我拍得太凶了！”

不争

不太强势的柔性领导

被《福布斯》报道后，黄琳身边的亲戚朋友开始叫她“女黑客”，但她并不享受。

黄琳曾跟同事小琪聊到，自己正在补习《密码学》和一些安全领域里的基础课程。小琪说，当时黄琳已颇有名气，却还在自嘲“可能还不如一个刚刚毕业的人”，这让她非常意外。

“我觉得黑客应该是一个非常优秀的程序员，我还没有那么优秀。”黄琳很崇拜同事郑文彬和郑玉伟，认为他们才是真正的黑客，“技术上很扎实，然后能钻得很深”，而自己只能在已有代码的基础上改成需要的样子，也缺乏架构大批量代码的能力。

即使是在国内外引起关注的GPS欺骗攻击，她做完也“并没觉得牛”，回头看也就是“还不错”、“实际上也没有那么厉害”。她认为，当时不只她们团队在做，国外有一个学者写出来的代码甚至比她的“好太多”。

与其用“谦虚”来形容黄琳，不如说她有一套严密的评价标准和清晰的自我认知，能时时自省，绝不会为了提升自己的形象而夸大其词。

她跟老公Key曾经聊过自己的“人设”，结论是“靠谱”，所以她讲话往往都会“收着说”。

一件事情如果能做到八分，就直说能做到八分；而绝对不会因为只能做到八分，却夸下海口说能做到十分。

 

生活中的黄琳很靠谱，说话喜欢“收着说”。

到黄琳接手时，360独角兽安全团队已跻身国内一线的安全团队，频频在世界级黑客大会上亮相。柴坤哲觉得，整个团队的名气可能已到达了一个顶峰，而这几年，360公司也有了一些变化，越来越看重落地能力。

“以前只需要在国际上打造360的品牌影响力”，柴坤哲说，“但现在可能多少会有一些要求，比如说这个团队每年要挣多少钱。”

进入管理岗位后，黄琳得主动找项目。这让她明显感受到了性格不够强势带来的影响，比如有时争取不到团队需要的资源，或者在团队管理上遇到瓶颈。

“我不是很强势，就比较希望说下面的人做的是自己有兴趣的事，但有些人可能什么都不感兴趣，怎么办？我逼你干事，你就能干好吗？”她说。

柴坤哲觉得，黄琳的柔性管理方式对于齐心协力做一件事的精英团队来说十分受用，但对一些个性鲜明、很有自己想法的人，这种方式不一定奏效。

黄琳至今也没想清楚要不要改变自己的管理风格，但她觉得“可能挺难的”。

有时，她会把工作上的烦恼说给Key听，但Key觉得没什么好想的。在他眼里，黄琳没有特别大的野心——“你都没有那么强烈的愿望去争，当然就得认可人家选择的结果”。

中庸

生活工作中的平衡高手

黄琳喜欢旅游，出差间隙常常会在周边找个地方转转。但她不会刻意地把行程安排得特别细致，“如果很随意的话，可能会发现一些有意思的东西。”

松弛，是她工作生活中的常态。她的所有决定看似随遇而安，却是绝对自洽的，外界评价很少能撼动她自己构建的评价标准。

Key说，黄琳有时看到别人住的房子很好，也会羡慕，但仅限于“如果有，当然也可以”的程度。“我们家换房子都是我张罗的，她从来不想这些问题”。

黄琳生二胎的时候，遇到了态度非常恶劣的医生，只能忍着剧痛生娃，连哼哼几声也要被骂。

生活中的黄琳随性，她更喜欢这样的自己。

事后，她在博客里详细记录了整个生产过程，写到医生的态度时，却颇有些为其开脱的味道：“像我这样脾气好的产妇应该不多吧？”“顺产的价格一定太低了，低得医生一点也不愿意接生。”

远高于一般水准的情绪爆发点，被黄琳归结于“天生的”。她的心率比较慢，70次/分钟左右，而且稍微有点甲减（一种常见的由甲状腺分泌的甲状腺素不足导致的内分泌疾病），所以“整个人的新陈代谢不是特别兴奋，情绪很稳定”。

但更大程度上，可能还是归功于她的思考习惯：同理心和批判性思维兼具。“两边都看，你就不会特别地焦虑”——这是她多年琢磨出来的“中庸之道”。

她在和同事兴奋地讨论如何把一个刚找出来的新漏洞用作攻击手段时，也会冷静地指出修复这个漏洞可能影响到的功能，试图在两者之间找到平衡。

这种平衡感贯穿了黄琳的生活，包括孩子的教育。

在一线城市，家长往往会为了孩子在学区附近租房住。黄琳一家却早早达成了共识：原地不动。

Key说，他们不是没有想过搬去教育资源更好的区，但那样一来，全家老小未来十年甚至更长时间的生活质量可能都会降低，他们不能接受。“孩子是家庭的一部分，但我们自己、我们的父母也是家庭的一部分，我们不会把所有的期望或者说全部的重心堆在孩子那”，他说。

“我会尽量让自己活得更自由，更随性。”黄琳是这么说的，也是这么做的。

她曾在接受采访时说，不喜欢曝光自己以往的成绩，更不喜欢在黑客前面加个“女”字，“你看很少有人会说‘我国女科学家屠呦呦获得诺贝尔奖’”。

她觉得，真正的“牛”是在所有人里面做到最好，不分性别不分国别。但她自认做不到。

作家郝景芳曾在一次演讲中谈到现代女性面临的焦虑时说，最有效的解决办法不是想尽办法让工作家庭都完美，而是接受两者都不完美。

黄琳深以为然，“那怎么办？就这样呗，不完美就不完美，对吧？”