隐藏的天赋

• 竞技游泳：曾多年参与竞技游泳
• 乐器选择：天生适合键盘的手指曾演奏小号
• 终身娱乐选择：《办公室》、《世界大战Z》、《黑客帝国》、《绝命毒师》、《幕后危机》
• 最爱的非营利组织：RSPCA（英国防止虐待动物协会）
• 喝茶方式：用嘴喝
• 超能力：不会宿醉

行动胜于言语

关于卡勒姆·卡尼（Callum Carney）首先要知道的是：他不喜欢谈论自己。害羞？未必。机智风趣？确实。但理解卡勒姆的最好方式是通过他的行动而非言语。年仅23岁的他已是崭露头角的安全研究天才，年轻时就在微软、Spotify和谷歌等机构发现重大漏洞取得卓越成就。虽然从不自夸，但卡勒姆在云安全保护方面做出了巨大贡献，并快速赢得了声誉和诸多荣誉。

黑客启蒙：从游戏账号被盗开始

卡勒姆从小对计算机充满好奇，当他的Habbo游戏账号被黑、硬币被盗时，他既恼火又好奇（他坦承这是自己的错，因为密码是Callum123）。这种不公平的种子随着他对计算机热情的增长而发芽。学生时代，他花在修理别人电脑上的时间比课堂学习还多。

早期他偶然看到演示跨站脚本（XSS）的直播，这激起了他的兴趣。当屏幕上首次弹出“你被黑了！！！”的警报时，他的黑客梦想成为了现实。

“从那一刻起我就上瘾了，再也无法摆脱这种兴奋感。安全研究令人沉迷。”

16岁的重大发现

大学计算机课上，卡勒姆在课堂上摆弄笔记本电脑，无聊但好奇的他开始尝试黑客攻击课程网站域名，最终发现了一个严重漏洞。为避免尴尬，他匿名报告了该漏洞，但忘记更新共享URL，暴露了自己是该校学生。当时他仅16岁。

正如他所说，刚开始总会犯些小错误，对吧？殊不知，受影响网站的托管公司是学院的子公司。对方团队回复要求会面讨论他的发现。经过深思熟虑（甚至与母亲商量）和对严重后果的担忧，他接受了会面。幸运的是，他未被逮捕（在英国，道德黑客仍属灰色地带）。相反，该公司有远见地冒险聘用了他——卡勒姆已成为该团队一员六年！

白帽黑客的双重身份

白天工作之余，卡勒姆兼职安全研究员。作为多年的微软最有价值研究员（MVR），他的声誉不容忽视。虽然最初并非针对大型科技公司寻找漏洞，但他对自己的影响力感到自豪。

“我将整个社区和这个领域视为最后一道防线。大公司内部有很多流程和聪明人制定这些流程，我们的职责是检查确保没有遗漏，并发现它们。我视其为网络安全的最后防线。”

给新晋研究者的建议

在指导新一代研究者方面，卡勒姆坚信这个领域适合任何人，现在就是加入的最佳时机。

“学习安全的资源不断增长。我认为通过阅读先前披露的问题，并通过在制定了安全政策的组织中寻找漏洞进行报告来实际操作应用程序，是非常好的学习方式。”

卡勒姆强调如果一开始不成功不要气馁。他建议，无论测试什么都是人制作的，而人都会犯错。坚持推进，但不要过度劳累。他最喜欢发现的漏洞是那些普通用户毫无察觉的类型——就像小时候玩Habbo时硬币被盗的经历。他希望自己是那个发现可窃取他人资产、修复漏洞，而用户甚至不知道存在威胁的人。这一理念也适用于他更大的漏洞赏金。

“停止怀疑自己或找理由不做某事。尝试一下。”

同行评价

尽管不愿过多谈论自己，但他机智幽默、反应敏捷，展现出内心深处的可爱品质。研究员Wouter（@wtm_offensi）乐于分享对卡勒姆的看法：

“我和卡勒姆大约四年前首次见面，在一个仅限邀请的漏洞赏金活动中，他关于漏洞狩猎发现和经验的演讲令人印象深刻。在那次及随后几年的活动中，我认识到卡勒姆是一位年轻但技艺高超的研究者，不仅相处愉快（谁不喜欢英式幽默），而且知道何时努力工作以交付高效漏洞完成任务。在某未公开的黑客活动合作分享见解后，我们保持在线联系交流发现。与其他研究者分享信息并不总是最容易的事，因为我们大多依赖漏洞作为（主要）收入来源，但卡勒姆总是愿意作为陪练伙伴帮助思考。如今我们偶尔合作进行Azure相关研究，互相帮助使漏洞狩猎更有趣。卡勒姆似乎总能找到令人兴奋的目标，例如潜在目标。我是他本人及其工作的忠实粉丝。”

与WTM一样，我们也是卡勒姆（@callum_infosec）的超级粉丝，非常感谢他与MSRC的出色研究和合作！感谢您为保护微软客户安全做出的贡献。