北京时间11月22日，Google发布最新安全公告，公开致谢360 Alpha Lab首个发现并提交关于攻破Pixel手机的“梯云纵”漏洞链报告，以及向360 Alpha Lab负责人龚广颁发总金额为201,337美元的漏洞奖励。

　　此次挖掘出“梯云纵”漏洞的幕后功臣，正是360安全大脑中安全专家云下的360 Alpha Lab。他们所拿下201,337美元不仅成为Google漏洞奖励计划(VRP)有史以来最高的奖金纪录，并超越了所有厂商所开出的单项漏洞最高奖励。

　　独立发现“梯云纵”漏洞链，一键远程攻破Google Pixel 3

　　一直在以来，对安全性极为重视的Google，其亲自操刀的Pixel手机被公认为“最难被攻破”的手机。就连世界最高破解大赛Mobile Pwn2Own，自2017年至今3年来，Pixel手机也是唯一未被破解的项目。并且，Google Pixel不仅仅没有被攻破，甚至无人报名挑战，可见攻破Pixel的难度之大。

　　然而今年8月，360 Alpha Lab却在Pixel手机里发现了一组具有持久性的全链远程代码执行漏洞，利用该漏洞链可一键远程获取手机最高控制权限，而该漏洞链的独立发现者360 Alpha Lab将其命名为“梯云纵”漏洞。

　　并且360 Alpha Lab已在测试中证实，利用“梯云纵”漏洞链可成功绕过Google的安全防护机制，顺利攻破无坚不摧的Pixel 3手机。而Pixel 3的失陷也意味着，“梯云纵”漏洞几乎影响所有Android系统和Chrome浏览器，若黑客一旦利用即可任意获取用户敏感信息，对用户个人隐私和财产造成极大威胁。

　　作为国内最大的互联网安全公司，360 Alpha Lab率先发现了该漏洞链的存在，确认其具体危害和可影响范围，并在第一时间将该漏洞提交至Google官方，协助Google实现对“梯云纵”漏洞链问题的修复。

　　不仅斩获Google历史最高奖金，还获得“ 1337” 特别漏洞奖励

　　此次Google致谢中，360 Alpha Lab分别从Android安全奖励计划(ASR)中获得了161,337美元的奖励，并从Chrome奖励计划获得了40,000美元的奖励，总计201,337美元。而201,337美元的漏洞奖励，是所有Google VRP奖励计划中的历史最高奖励。

　　要知道，自2015年发布Google VRP奖励计划以来，最大漏洞奖金一直锁定为200,000美元，然而始终没人获得过这一最高金额。直到“梯云纵”漏洞的发现，360 Alpha Lab才打破了无人触顶的历史，甚至还刷新了Google所支付的最高奖金。

　　这里必须一提的是，Google的基本赏金通常为500美元，但针对特别严重的漏洞，Google别出心裁地设置了Leet(或“1337”)漏洞赏金计划，以特殊的1337美元褒奖那些“特别严重或特别聪明”的漏洞发现。也正如此，“梯云纵”漏洞奖励不仅代表了Google给出的史上最高奖金，同时也是Google官方认定的“特别聪明”漏洞奖励。

　　360 Alpha Lab “梅开二度”，连续霸榜Google史上最高

　　360安全大脑下的360 Alpha Lab，是由360两大顶尖团队Alpha Team 和C0RE Team组建而成，而此次“梯云纵”漏洞的发现，正是两大安全团队强强碰撞的火花。而回数战绩，他们已连续多次获得Google公开致谢：

　　2018年1月， 360 Alpha Lab凭着发现“穿云箭”组合漏洞，拿到Android安全奖励计划(ASR)史上最高金额奖金——112,500美元奖金，而“穿云箭”漏洞在当时所引起的轰动至今仍未平复。

　　2019年3月， 360 Alpha Lab又发现一枚可以用来ROOT目前国内外主流Android手机的“内核通杀”型漏洞——“水滴”漏洞(CVE-2019-2025)，Google发表公开致谢，并奖励漏洞奖金14,000美元。

　　到了2019年11月 ，始终奋战在挖洞第一线的360 Alpha Lab再下一城，又再发现了威力更大、影响更广、奖金更高的“梯云纵”组合漏洞，并再一次刷新Google史上最高漏洞奖金纪录。

　　可以说，360 Alpha Lab无可撼动的挖洞能力，是360整个安全团队挖洞实力的缩影。对于360安全团队而言，不仅连续包揽了Google、微软、苹果三巨头的最高漏洞奖励，并已累计发现包括苹果、Google、微软、华为、高通、VMWare等在内的全球主流厂商CVE漏洞超过2000个(也就是说平均每天都会挖掘1.3个漏洞)，成为全球获得致谢次数最多的安全厂商，刷新世界纪录，向世界展现了来自中国的安全力量。

　　众所周知，在大安全时代，“漏洞”关乎着企业自身的安全、品牌的声誉以及千千万万用户的切身利益，一旦漏洞被不法分子抢先发现并利用，其后果不堪设想。而360安全团队，凭借着其过硬的实力，全年无休地守护着网络安全，与恶势力赛跑，帮助各大企业厂商不断完善系统安全，努力为广大用户提供一个安全的网络环境。