不神秘，网络尖刀团队是怎样运营起来的？

一个民间的安全组织到底能存活多久？在过去的九年时间里，我无数次的问过自己这样同一个问题。

 

什么是活着？我口中的这个“活”显然不是说存在，毕竟是一个民间组织不是一家公司，广义上来讲证明我们活着其实是一件很容易的事儿，只要团队内部的微信群还健在没解散、1AQ.COM的官网还能打开，偶尔能发个PR稿出来，就能代表我们还活着。

 

可经营一个民间安全组织真的这样吗？这真的就代表活着吗？显然这很明显的是对“活着”的一种误会！

 

在我眼里一个民间安全组织的“活着”不仅仅是代表着“存在”，更代表着是一种“认可”，成员“认可”你，愿意公开承认他在这个组织里是你的成员，厂商“认可”你，愿意以尊重的方式为你颁发属于团队的奖励。

 

成员的认可

 

回到最初成立网络尖刀的初衷，就是觉得互联网安全行业太混乱了，能交流的人太少，大部分时间都是扯蛋大于技术研究，于是我们就自己造了一个“江湖”。

 

为什么说是江湖呢？因为最初的招揽团队成员其实和交朋友差不多，老一些的朋友可能知道网络尖刀最初的考核标准，一直都是创始人主动邀请制和核心成员内部引荐制度，这样的考核方式就简单粗暴了，我们除了考核技术指标以外，其实很多的时候是看着这个人顺不顺眼，大家能不能做朋友。

 

所以在那个时间点，我们产生了以羊羔、钱途、GD、羊小弟、Mango、M4sk（y1ng/小笼包)、Nicky、Icecolor这样第一批的核心成员，早一点的时候很多人都可以在各个平台看到他们的身影，说句实在的没有他们这几个人把网络尖刀最初的技术担当撑起来，真的没有我们的今天。

 

相信很多人也是因为他们的原因，才加入了我们，我不止一次在公众号上强调过一句话，“技术不好没问题，只要加入到网络尖刀大家可以一起成长，人品有问题的人我们坚决不要，网络尖刀的成员考核人品要求大于技术积累。”

 

当然只靠“江湖气”搞个朋友圈子是不够的，尤其人多起来的时候肯定就会出现问题，所以在这个过程里我们内部细化了一堆标准，成为了内部的守则：

 

一个团队制度

 

在网络尖刀之前行业内的安全组织很多的时候并没有施行“正规化管理”，大部分都是几个志同道合的人一起取个组织名，或者单纯的组队刷漏洞然后而形成的组织，还有更简单粗暴的就是做个安全交流论坛加入会员体系就是其组织成员了。

这些组织其实没有严格门槛制度，没有审核标准，甚至是盲目就可以加入的，在这个情况下我们意识到一个问题，同兴趣、同等能力、各有所长才能够有交流空间，于是网络尖刀团队加入了技术审核标准，同时又构建了一个排他性的条款，加入前你要解决好自己的身份和权衡利弊处理，你不得是除网络尖刀外其他团队的成员。

一个团队制度过滤了那些“混圈”的人，也筛出了一些真正喜欢和尊重你组织的人，网络尖刀内部比较团结其实这个制度有很大原因。

不止于安全问题

很多人觉得成立安全组织有技术就可以了，其实不是这样的，大部分技术问题其实只要愿意不耻下问，或者能够多动手多去尝试是一定可以解决的，安全团队的管理人员大部分解决的都不是安全问题，相反这些年我们解决的大部分都是生活问题。

我们有很多成员年龄都很小，其实我们大部分遇到的问题，很多是人生选择、家庭矛盾、情感纠纷、个人定位及成长所见到的各种问题，其实我们一直都在尽可能的在给予沟通和解决，尤其是EVA加入后，网络尖刀内部更像一个家庭了。

站在你身后

对于公开或者私下与厂商“撕B”问题，对网络尖刀来说已经不是什么稀奇事了，尤其是早期的时候这方面的问题其实蛮多的，以往大部分的安全争议问题都是白帽子与厂商自己来解决，网络尖刀内部有一个规则，如果过度争议的安全问题，我或者其它团队负责人会以团队的方式与厂商沟通。

这种沟通有一个原则，就是跳出来站在中立的角度进行沟通，从沟通中建立标准也制定共识。

良性共识

平台有很多团队的额外奖励，优质的个人白帽子来挖漏洞想要获取团队奖励就存在门槛，很多人因为这个门槛其实很头疼，就是个人很强但是能一起组队的却不够，网络尖刀团队今天基本不太考虑这个门槛，因为优质成员的基数足够大，大部分平台我们内部都可以直接完成组队，厂商的门槛在我们这里其实是没什么太大的难度就可以完成的，这其实就是一种良性共识。

网络尖刀成员这几年基本上在这方面已经做的足够细致了，这也我们为什么获得了这么多厂商的年度排名靠前的首要原因。

法律风控

什么该做什么不该做？哪些问题有法律风险？当成员“被维权”的时候，走错路的时候如何处理响应？我们的内部风控体系以及为成员解决问题，沟通问题应该目前是民间组织里最标准的。

在安全野蛮发展的过程中相关制度不完整，不踩线是不可能的，但是误踩线后如何响应？如何风控？如何最快应急风险最小化？成员的损失如何最小化？我想网络尖刀这方面应该是做的相对已经很好了。

这些年我们的确多次在背后帮助过我们成员解决过和厂商及相关部门的一些问题，用以降低风险，这方面就不方便过多陈诉了。

后续我会在年度总结里发布我们新的一系列计划。

荣誉可持续性

网络尖刀官网上有两个用户常访问版块，一个是团队成员公示，一个是获奖名单。

其实早期我们很核心的成员之前是有JDSEC.COM邮箱的，这几年因为换了1AQ.COM这方面做了一些调整部分成员仍然有我们的这个邮箱，主要是公开了邮箱总被黑产进行骚扰，所以没有大量发放，但是通过考核的成员出现在官网上对大家来说就是第一个荣誉。

第二个就更简单粗暴了，所有成员及团队的获奖不但会出现在我们的公众号、自媒体、第三方合作媒体上，我们还会总结好在官网上倒序排名进行公示，不管如何渠道了解到网络尖刀的，都可以以网络尖刀的品牌信任，关联到我们的成员，大家就一起撑起来了这个品牌的过程中，又一起分享了这个品牌的荣誉。

这个荣誉是随着时间迭代去累计的，并且是持续可查的，今年我们可能会更深度的优化这块的内容展现及引入更智能化的东西。

成员利益最大化

很多人从外部看到的可能是网络尖刀刷了各大SRC榜单，其实这些在内部我们作为联合创始人都有深入的研究标准。

哪个成员适合挖什么平台的漏洞？

今年哪个平台的预算会更多一些？

谁在什么方面会有更高的成长？

哪个平台谁会在年底大概获得怎样的奖励

甚至我们还会去提前与厂商沟通谁能否获得奖励

.....

这些数据我们从背后都是有预估的，而且我们把这些数据都变成目标，从背后软性的监督、激励完成。

厂商的认可

在解决问题方面，所有的厂商的初衷其实都是一致的，大家出现的矛盾如果说的简单粗暴点，就是价格没谈拢、所处的角度不同认知没有达成一致。

一直以来我们都是把自己定位为桥梁作用，就是站在中立的角度解决和沟通问题，也积极推动厂商对团队的认可度，在这个过程中我们与各厂商之间也达成了一些沉淀下来的规则。

护短没问题，但是我更提倡一切有意义的沟通一定要站在中立的角度客观看待问题为原则，这才是有价值的沟通。

团队入驻

比如很多刚成立的厂商SRC邀请网络尖刀团队加入的第一个需求就是我们需要团队功能，国内应该有好几家SRC是因为与网络尖刀合作然后提前推动开启了团队功能。

团队奖励

对于我们来说品牌价值是我们更关注的，所以也积极推动厂商推出团队奖励，事实上很多厂商想建立团队奖励制度的时候我们都有过很多沟通，很多金钱奖励、团队额外奖励、年度的各种团队感谢激励，其实就是在这个过程中沉淀下来的。

成员获取团队奖励的同时，我们又推动厂商在成就白帽子的过程中，在品牌侧设置团队奖励，对团队进行重复认可，白帽子需要这种认可，团队更需要这种认可，这种荣誉来的很实际也很结实。

今天很多成员会在演讲的PPT上写上自己是网络尖刀核心成员，会在简历里上额外写到自己获取过哪个SRC的奖励排名、各种额外奖项。

而在这之前，很多人的简历上大部分写的也只是注册过哪些网站、混迹哪些论坛、是什么样的论坛权限，十年前这样写没毛病，五年前这样写问题也不大，但是今天还是这样写，可能就真的代表除此之外并没有太多实际的额外成就了。

成就对等

我前段时间还看到某些自称11年安全经验的混圈安全人员，自己的简历上个人成就写的是XX网站、XX论坛会员，XX平台签约作者，这个事情其实就很有问题的。

我讲个段子，我这个人是特别支持文娱领域，我有爱奇艺、网易云音乐、QQ音乐、还有WPS会员，如果我是一个文娱领域的从业者，我能把这些东西写到我的简历上证明我个人的成就吗？

显然这是不对的，所以我们一直在推动各个厂商设立各种奖项，来推动成员的认可背书，也为成员在求职过程中获得更多的加分项。

网络尖刀运营标准

网络尖刀最初不只是一个安全组织，直到今天其实也是这样，多元的发展一家安全组织曾经因为这个事儿很多圈内的人都善意的提醒过，也有一些人无脑的喷过，但是今天我回头看这个事儿我还是想说，网络尖刀今天的成就一半是安全团队成员自己的努力，但是另一半的核心也被网络尖刀UED团队及文娱团队各占那25%。

网络尖刀UED团队

直到今天我一直自豪的认为，网络尖刀UED团队推出的我们的官网，我们的各种UI/WEB/ICON，一直都是行业内设计最靠前且最领先作品，作为一个民间组织的UED团队我们甚至可以和商业化公司进行深度对比。

网络尖刀的官网是我们16年推出的，直到今天仍然还不过时而且应该是国内最安全组织里最酷的官网，曾经被很多小朋友各种前端抄袭模仿，黑客的本身是要酷，我们一直努力成为最酷的官网。

不但这样，我们的官网域名 1AQ.COM 应该也是行业里对域名付出“成本”最高的短域名，如果对此感兴趣的，可以了解一下《收个1AQ.COM，给网络尖刀做个官网。》

网络尖刀文娱团队

我们的文娱团队其实是由媒体团队和运营团队重新组合而成的，懂策划、运营、品牌包装又经营大量自有媒体资源的团队来运营网络尖刀，我们就变成了民间组织里品牌运营能力相对最专业的组织。

我们内部有很多标准：

成员获奖推送标准；

团队获奖推送及相应标准；

社会化事件公开发言及响应标准；

跨界出卡通IP、音乐作品对C端覆盖品牌标准；

.....

获奖后多久时间内必须产生并发布我们的获奖信息？最近几年时间大家应该领教过我们团队获奖基本是在会议颁奖后N+1小时内产生获奖推送，大部分是会议没结束我们的获奖就已经推送出来了，最迟也只是到晚宴上。

成员获重要奖项我们不但有公众号推送，还有标准的媒体通稿进行推送，方便成员的ID在搜索引擎上留下痕迹，积累个人品牌。

当然我们作为联合创始人也背了大量“KPI”，文娱团队有要求我们每年必须对外push多少体量覆盖到C端网民的公开发言，从华住酒店泄露、到wannacry勒索病毒、手机APP监听、短信回复N无法退订.....

我们与澎湃、人民网、新京报、雷锋网、红星新闻、IT时报、梨视频等十几家多元化媒体平台保持着长期合作及互动，这一系列的东西其实都是我们内部的标准。

写在最后

作为一个活了9年沉淀的民间安全团队，我们内部的标准可能已经比很多初创公司都标准还职业了，毕竟职业是和人挂钩的，人是专业的职业的，那么事儿就会越来越职业。

这段时间很多人很好奇网络尖刀的内部运营体系，索性就抽了点时间给大家分享一下我们的一些运营思路，网络尖刀的文化其实很有趣，和我这个人很分裂纠结有关，我们很开放愿意不断的对外push各种文化和规则，我们也很封闭核心的资源其实就是人，我们把交流和成长基本都封闭在内部。

悉知开放与封闭的规则，运营的人把它变成规矩，就成就了今天的我们，围绕更细的标准和规则，一篇文章可能已经搞不定了，如果今年有机会我倒是想和各个安全团队负责人、SRC运营人，我们一起组织个围绕安全运营的专项话题，做一些有趣的分享。

想要加入网络尖刀团队的，可以通过访问 www.1aq.com 获取加入准则，围绕安全运营方面我们也在思考需要新增一位运营小妹，欢迎自荐quu#1aq.com。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/