认识耶鲁大学学生和黑客兼职担任网络安全监管机构

快速阅读: 据《商业内幕》最新报道，耶鲁大学大三学生亚历克斯·施拉皮罗既是活跃的学生，也是道德黑客。他通过发现漏洞帮助初创公司提升安全性，同时享受大学生活，计划毕业后放缓节奏，专注于AI和机器学习领域。

耶鲁大学一名大三学生亚历克斯·施拉皮罗喜欢和朋友们玩《卡坦岛》桌游，参与课堂项目，并运营一个受欢迎的学生网站。但在宿舍里，他还有一个秘密身份——道德黑客，致力于在坏人发现之前发现初创公司和技术公司的安全漏洞。

上周，施拉皮罗的漏洞挖掘工作引起了Hacker News读者的兴趣。他们对施拉皮罗最近的一项发现——一款名为Cerca的热门约会应用中的一个漏洞——发表了自己的看法。这个漏洞可能暴露用户的电话号码和个人信息，施拉皮罗在一篇博客文章中提到这一点。经过“内部调查”，Cerca得出结论认为“漏洞未被利用”，并在与施拉皮罗交谈后的几个小时内解决了问题。公司发言人表示，Cerca还减少了从用户处收集的数据量，并聘请了一位外部专家审查其代码，该专家没有发现进一步的问题。（《耶鲁每日新闻》曾在4月份首次报道了施拉皮罗的发现。）

风险投资热潮席卷校园，部分原因是人工智能的进步，这促使学生们快速推出产品并完成融资。随着“氛围编程”——即使用AI快速编程——成为技术构建者的常态，施拉皮罗希望道德漏洞猎手能够帮助初创公司在保持安全优先级的同时建立和扩展业务。“这些是真实的人，这是真实的敏感数据，”施拉皮罗告诉BI。“这不是你演示文稿中的一部分，说‘嘿，我们有10,000名用户’。”

构建更安全的初创公司

施拉皮罗表示，他对编程的热爱来自他的母亲，一位前贝尔实验室计算机科学家。像许多初创公司创始人和AI研究人员一样，施拉皮罗在高中时就开始构建副业项目，使用Spotify的API为朋友策划播放列表，并制作X机器人跟踪SEC文件。自学如何“逆向工程”网站使他能够破坏并加强它们——现在他用这项技能来寻找真实公司中的漏洞，以防止恶意行为者利用。

道德黑客在某些技术圈子中是一项流行的副业。（一个专门讨论这一实践的Reddit小组r/bugbounty拥有超过5万名成员。）这是一个初创公司和技术巨头都能从中受益的爱好，因为它帮助他们防止数据被不当获取。微软、谷歌、苹果等重量级公司都运行着漏洞奖励计划，鼓励外部人员找到并报告安全漏洞，以换取经济奖励。

大一时，施拉皮罗在一个他说年收入达数十亿美元的公司中发现了一个“相当严重的漏洞”。（施拉皮罗因签署了一份NDA而拒绝透露公司名称。）他的发现甚至促使一家“年收入达数亿美元”的公司开始建立自己的漏洞奖励计划，施拉皮罗说。他还被两家其他科技公司，包括兼职工作平台SideShift，签约进行软件渗透测试。去年夏天，他在实习期间对Verizon的AI系统进行了渗透测试。

“作为一个使用大量网站的人，我希望我的数据得到妥善处理，”他说。“这是我构建东西时的心态。我想把所有我处理的数据当作是我的个人数据。”

放慢脚步

在纸面上，施拉皮罗似乎是那种辍学后成为创始人的典型人物：他从小就开发和测试应用程序，并运营CourseTable，这是一个每月收到超过800万次请求的耶鲁课程评论数据库。有时，寻求技术合伙人的创始人会联系他，而希望投资下一个天才的风投们则问他何时会创办公司。

目前阻止我筹资的最大障碍不是资金，他说。“我需要投入大量时间，而我喜欢四年制文科大学的生活。”

最近，施拉皮罗发现自己正在学习如何成为一名更聪明的计算机科学家——不是在机器学习课上，而是在他为了第二专业近东语言和文明课程中的一门翻译课上。这帮助他更高效、更有效地将英语转化为Python。“你会在这里遇到很多有趣、酷炫的人，这是你生活中可以真正学习知识的时光，”他说。“以后你不会再有这样的机会。”

虽然他不排除未来创办公司的可能性，但施拉皮罗打算等到明年五月份毕业后再放慢节奏。今年夏天，他将在亚马逊云服务实习，从事AI和机器学习平台相关工作。

(以上内容均由Ai生成)