作者:赵广立 来源:科学网微信公众号 发布时间:2022/11/29 18:41:54
选择字号:
“微众学者”姜宇:33岁清华副教授,不做纸上谈兵的研究

22年前,中国工程院院士孙家广在清华大学倡议创立软件学院,提出“学中练、练中学、练中闯、练中创”的实践教学理念,希望培养出既能结合学术前沿、又能解决实际问题的高层次软件人才,“不能只是纸上谈兵”。

12年前,姜宇直博清华大学投在孙家广院士门下,“实践教学理念”对他产生深远影响。如今,33岁的姜宇是清华大学软件学院副教授。他现在每天带着课题组20多个硕博士生“学练闯创”,把科研成果既发在了学术刊物和会议,也写在了保障软件系统安全的一行行代码中——

他主持国家自然科学基金优秀青年基金、科技部重点研发计划项目等众多项目;近三年来他们在广泛使用的系统软件中挖掘出数百个漏洞,被收入中美国家信息安全漏洞库;研发的相关自动化漏洞挖掘技术成果,被谷歌、华为、微软合并应用……

在接受《中国科学报》专访时,姜宇告诉记者,他的课题组很挑课题,不能解决产业界真实需求的课题一般不会做。这是受孙老师的影响:“从现实需求中提炼科学或工程问题并尝试解决它,而不是‘造’问题。”

独特的科研理念让姜宇与产业界很“对味”。近日,微众银行披露首期微众学者计划5人名单,他的名字赫然在列。作为“微众学者”,姜宇获得微众银行百万级科研经费支持和在产业一线开展研究的机会;微众银行区块链团队则通过与其密切合作,在区块链系统底层安全保障和技术储备上如虎添翼。

这是一个产研协同、互动双赢的生动案例。

姜宇其人

常年写代码,姜宇却不是那种“不善言辞”的程序员。

在读本科期间,他参加了多项风格迥异的比赛,每一次都取得还不错的成绩:美国大学生数学建模竞赛拿了二等奖,“华彩北邮”辩论赛获得冠军,还荣获北京市“三好学生”等奖项。大四那年,他以年级第三名的成绩直博进入清华大学。

计算机大类专业的博士不容易毕业。进入孙家广院士课题组读博,姜宇也老老实实地为自己设下了“六年毕业”的小目标。然而意外地,姜宇四年半就拿到了毕业证,毕业论文还获得了2015年中国计算机学会优秀博士论文奖。

姜宇 受访者供图

说起来有点幸运。博四那年,他一边按部就班提交2015年6月的毕业申请表,一边留意海外高校博士后工作的机会,并给有意向的两位老师写邮件。未料,美国伊利诺伊大学厄巴纳香槟分校(UIUC)的Lui Raymond Sha教授却给他回复了一封稍显急迫的邮件:当前窗口期有Funding支持,我现在的博后要去卡内基梅隆大学(CMU)工作了,能不能尽快来先交接他的工作?

姜宇有点犯难,他跟导师孙家广院士商量:能不能先去UIUC,回来再毕业?

院士觉得他这样“没必要”,告诉他:你已符合毕业条件,可以先完成答辩直接过去。

恩师的一番好意让他心生感动,但这也意味着时间紧迫。当时恰逢“十一国庆小长假”, 为了赶写毕业论文,连续7天吃睡都在实验室。

“孙老师真的很好,他用了整整两天的时间帮我逐字逐句地修改论文。”姜宇还记得,他在实验室“闭关”写论文的几天里,孙院士还常常给他带饭,给他买甲所餐厅的特色大饼。

UIUC地处美国伊利诺伊州幽静的双子城厄巴纳―香槟市,是全美计算机专业排名前五的高校。在UIUC的一年多里,姜宇过着几乎“两点一线”的学习生活。这期间,他目睹并亲身经历了大家如何协作共创,解决实际问题,做真实系统;也耳濡目染了Lui和合作导师任尚苹教授如何做人、做事、做学问。除了科研,UIUC美好的记忆还有工程学院的乒乓球冠军、玉米地里的萤火虫。

“代码被用比发论文更有意义”

软件系统的“破绽”常常不容易发现。包括数据库、操作系统、协议等在内的软件系统,常因代码错误、逻辑缺陷等质量问题存在一些漏洞,这些漏洞一旦被黑客利用或引发系统崩溃,就可能造成不可估量的损失。例如,复杂的车控系统哪怕偶尔出现的差错,都有可能酿成严重交通事故。

而随着软件规模越来越大、复杂度越来越高,这类问题愈加凸显。

此外,数据泄密、信息篡改、软件错误导致的各类事故时有发生。“我们的工作就是尽可能保障系统更稳定,在上线之前测算出存在的问题、找到可能会被利用的漏洞,并尝试做必要的修复。”

软件系统上线之前的测试至关重要,这是查缺补漏的最后一环。而这正是姜宇的用武之地——相比应急下场的“救火队员”,他更希望把安全保障做在前面。

借助深度学习与模糊测试等手段,姜宇团队研发了自动化的漏洞挖掘技术;把这些技术做成分析工具,就可以用在诸如Linux内核、MySQL等大型系统软件中,去嗅探出一些潜藏的“bug”。

近三年,他们就利用这些技术在人们广泛使用的系统软件中挖掘出数百个漏洞——均被收录入中美国家信息安全漏洞库。相关的自动化漏洞挖掘技术成果,也被谷歌、华为、微软这些IT巨头合并应用。

“用我们的分析工具找到bug,总会很开心。”姜宇说,看到自己团队写的代码、研发的技术被合并、使用,“感觉比发表论文意义更大”。

科研实干者与微众银行的“互相成就”

对科研成果落地应用的聚焦,也让姜宇与微众银行的缘分,早在几年前就注定了。

“我们和姜老师团队尝试了科研课题、协同育人、师资培训等多种形式的校企合作。”微众学者计划负责人蔚菡萏告诉《中国科学报》,从犀牛鸟基金微众银行技术专题项目开始,到如今的微众学者计划,微众银行与清华大学校企双方的合作扎实而深入,“有幸结识姜宇老师这么一位年轻有为、低调谦逊的科研实干者,也是我们高校合作工作的宝贵收获。”

姜宇团队在微众学者计划中承担的课题主要侧重于对微众银行牵头打造的FISCO BCOS区块链底层平台进行安全把关。

微众银行区块链底层平台研发负责人李辉忠向《中国科学报》解释说,区块链被称为“传递信任的机器”,微众银行要协同各方打造一个值得信任的区块链平台,首先要确保它足够安全、稳定、高效。只有如此,这个平台才有价值,才有机会发挥作用、担当使命。

“安全是首当其冲的问题。但区块链平台综合了多学科的各类技术体系架构、融合了很多技术栈,复杂程度比普通软件高得多。作为开发团队,我们很难做到面面俱到,因此在保障平台安全方面,姜宇团队的加入给了我们很大的帮助。” 李辉忠说,在最重要的安全问题上,微众银行希望通过产研协同,进一步加固和保障。

与姜宇老师团队建立合作关系后,效果是立竿见影的。双方构建并持续迭代软件安全保障系统,针对区块链系统底层基础软件的漏洞进行检测,帮助发现了系统自身 bug;同时还对智能合约、共识协议及密码库展开安全测试及异常节点的监测,全方位保障区块链底层系统安全。

让李辉忠觉得欣喜的是,姜宇还会把团队在学术上最新的想法、发现的最新问题与他们讨论,让他们有机会从研发的源头上避免漏洞或错误的出现。这让李辉忠等一干技术人员可以与科研一线保持同步。

而在姜宇看来,这种成就是相互的。

“得益于和微众银行的密切合作,我们团队在区块链安全方面的工作取得了更深入的成效。”姜宇告诉《中国科学报》,就在2021年,他们在区块链平台的安全测试遇到了瓶颈;此时,微众银行抛出了橄榄枝。

拿到实际需求和问题,姜宇带领团队继续投入研究,顺藤摸瓜,竟一步步渐入佳境。

“微众学者计划提供了真实的商业场景,供我们团队将保障区块链底层系统安全的技术模型直接投入实验和应用。这种形式,帮助我们团队能够真正做到研以致用,既能快速迭代技术创新,又能直接获取应用数据。”姜宇表示。

在同微众银行合作的几年里,从傅滢同学到任萌同学,姜宇已收获了两“茬”硕士毕业生,如今第三批硕士也在毕业路上了。严师出高徒,学生们在区块链安全测试领域的研究也收到了成效:他们针对区块链平台智能合约的安全检测与加固成果发表在软件工程领域知名会议ISSTA、FSE和期刊TSE、TOSEM上;关于基础设施共识协议的安全检测工作,发表在系统安全领域顶级会议S&P上。相关的工作成果,更是成为平台测试和防护的重要工具。

不过,让姜宇印象最为深刻的是,组内有位博士四年级的学生马福辰——主导了区块链平台分析测试工具的研发,并写成论文投稿,但最初结果不顺利。

他试着去安慰,没想到马福辰对他说:“看到这个成果在微众银行用上了,比发论文感觉更有意义。”微众银行相关技术专家也反馈称,这款工具很好用,“找到了从没关注到的严重问题”。

“他能那样说,感觉学生成长了,我自己也成长了。”姜宇说。

 
特别声明:本文转载仅仅是出于传播信息的需要,并不意味着代表本网站观点或证实其内容的真实性;如其他媒体、网站或个人从本网站转载使用,须保留本网站注明的“来源”,并自负版权等法律责任;作者如果不希望被转载或者联系转载稿费等事宜,请与我们接洽。
 
 打印  发E-mail给: 
    
 
相关新闻 相关论文

图片新闻
利用量子精密测量技术开展暗物质搜寻 天文学家找到最小恒星了吗
超大容量变速抽蓄工程进入机电安装阶段 问答之间 | 如何开展科研之路
>>FC碰碰胡老虎机法典-提高赢钱机率的下注技巧
 
一周新闻排行
 
编辑部推荐博文