由万向区块链实验室主办的2023上海区块链国际周·区块链全球峰会今日开幕，嘉宾包括万向区块链董事长肖风、香港特别行政区立法会议员（科技创新界）邱达根、香港数码港管理有限公司行政总裁任景信等。作为业内领先的Web3 安全机构，CertiK出席峰会“Web3基石：安全与隐私”圆桌讨论。CertiK首席安全官李康教授与其他Web3安全机构代表积极探讨，如何打造更加安全的Web3未来。

以下内容为李康教授圆桌发言实录：

Q 主持人：您如何看待Web3行业当前的发展情况，以及Web3安全与隐私在Web3行业发展中的定位和意义？

A 李康教授：

整个Web3行业是初期阶段，但也是一个发展阶段。对于用户来讲，Web3的可用性有巨大的提升空间。因为现在Web3行业仍旧非常碎片化，大家在各个角落里建设，努力发展出非常广泛的大众化应用，但目前还在探索阶段。

对于开发者来说，Web3已经进入到了比五年前要好很多的阶段。作为开发人员，现在已经有很多平台和工具可以使用，大家开始建设，甚至有一个群雄逐鹿的阶段。对于开发者来讲，不是处于起步阶段，而是已经起步的阶段。

我们的共识是Web3必须有安全，去中心化的形式如果没有安全的保驾护航，没有办法让大众来用。如果没有办法做到去伪存真，把优质项目和伪劣项目分开，把安全项目和不安全项目分开，社区无法发展，所以我认为安全是必须的。

Q 主持人：您觉得Web3安全与隐私已有哪些成功的实践经验和成熟赛道？以及您如何看待这些业态和赛道未来的发展？

A 李康教授：

其他嘉宾从用户驱动和监管驱动讲了这个赛道，我基本同意。我从另外一个维度看这个赛道，比如从一个项目的生命周期，审计往往是在项目上线之前，上线之后更新也要做。但是上线之前的部分，是经常做的审计服务赛道，这部分大家公认有这么一个需求，到底提供什么价值，这个赛道好不好，这是另当别论。还有上线之后的监测，线上项目在运行，到底跑得的是什么样的交易呢？是不是有风险？

还有另外一个赛道，就是事件发生以后的响应。CertiK也做，帮你发现是什么情况，还有追钱。有不同的维度，有项目上线前的审计，有上线后的监测，还有事件之后的追踪和恢复。

Q 主持人：您觉得Web3安全与隐私当前最大的挑战是什么？以及应该如何应对这些挑战？

A 李康教授：

挑战很多，这里挑两个讲。

第一，不能埋怨用户的安全意识，最大的挑战是现在Web3从业开发者安全意识不足。以我个人了解和经历来谈，当前Web2大厂里的开发人员，不管是国内还是海外的，对于安全意识非常重视。倒回去15年，也许开发人员写程序可以不注重安全，但现在大厂里不可能，持续不重视安全开发的程序员很难在大厂里一个季度不被淘汰。

在Web3里，很多海外开发人员是刚刚毕业（甚至没有毕业）的学生，很多人转行过来。整体上开发意识和安全意识非常不足。再举个支撑的例子，最近Immunify发布了他们在bug bounty上发现的前十大的安全问题，最大的问题是不对程序输入做安全检查。开发社区需要成长，因此开发人员需要有安全意识。

第二，项目方不管是管理者，还是所有人的安全意识都不足，比如说Rekt news上出过事的项目，80%没做过审计，我也非常同意之前嘉宾讲的审计不一定能解决所有的安全问题。但做远远比你不做强。

生态里仍然有部分人觉得安全是一个产品和服务就可以一次性解决问题的事情。我买了你的产品，或者用了我们的审计就安全了，他把安全想成很简单买个产品就一次性解决的。在Web2里已经不这么看了，安全是风险管理，是长期投入的事情。如果不改变这两点，往下都很难走，所以最大的两个挑战要克服。

你有投入，但是由于攻防的不对称，黑客总是有更多的优势。回过来为什么要做安全？因为安全不是我能保证风险降为零，安全是能让你比你的竞争对手跑得更快一点，熊在后面追你，你不一定非要比熊跑得更快，但你要比竞争对手跑得更快，这是理念上的变化。

Q 主持人：您觉得AI与Web3的发展关系是什么？AI对Web3安全与隐私又有哪些帮助和想象空间？

A 李康教授：

第一，AI用到安全里中讨论最多的，是用AI的方法来发现代码安全问题，帮助做审计的工作。这部分已经被讨论很多了，这里就不展开了。

第二，AIGC可能是和Web3结合非常有前景的方向，但是内容所有权需要用区块链保护，安全的角色非常重要。如果大众认为AI可以做数据生成，能跟Web3内容做结合，安全保障是非常必要的。

Q 主持人：作为管理者和技术负责人，您觉得Web3安全需要怎样的人才，Web2安全从业人员应如何进入Web3安全领域？

A 李康教授：

如果你是Web2安全做的很好的，那就来吧，因为有足够的问题，另外你遇到的对手和Web2里的对手一样的，他们那帮人原来在Web2攻击你，现在都在Web3了，所以来吧。

随着 Web3技术的不断发展，Web3的安全前景将受到越来越多的关注和重视。虽然仍需面对诸多挑战，但CertiK将持续为开发者和用户提供更好的安全体验，推动Web3业态的进一步发展和普及。