在2022年5月结束的腾讯数字安全创新大赛中,最佳技术创新奖和最佳网络人气奖由四维创智家获得。他们当时路演带来的产品是网络安全开发语言Yak,这个方向引起了我们的兴趣。为什么一个智能安全的安全企业会把开发一种语言作为主要方向之一?于是我们特别邀请了那次路演的主讲人四维创智CEO司红星为我们进一步阐述,同时了解一些他和四维创智的故事。
四维创智CEO司红星
“一眼就能看到头的路,完全不符合我内心的理想”
司红星告诉我们,高考后选择大学方向时,他选择了电子科技大学的信息安全专业,并在大二时投入到实际的网络安全工作中,参与了真实场景下的顶级攻防对抗。
毕业后,司红星选择了体制内的国家队。大约一年后,司红星面临着很多选择。第一,换个体制内的单位继续做网络安全工作;二是为了安全加入某互联网巨头公司;三是加入网络安全初创。
从常规的角度来看,似乎很多人认为第一个从安全的角度来看是最好的,第二个从名利的角度来看也是不错的,但是司红星却选择了最具挑战性的第三个。谈及背后的原因,他的回答也很简单。如果你不选择第一个,你不希望你的未来成为一个固定的模式。如果不选择第二种,不符合你当时的理想。“当时的想法挺简单的。结合之前的实习经历,觉得去这种企业对我来说缺乏新意。虽然我也会研究一些安全技术,但最后做的只是保护一个企业。虽然钱会多一些,但是从长远来看,我觉得不适合我。”
所以在和好朋友李磊的几次交流中,他越来越觉得去乙方是一个更好的选择,因为可以接触到甲方的各类用户,甚至包括关键的信息基础设施单位,对个人来说会有更广阔的空空间和挑战。
于是,司红星毅然做出了一个最具挑战性的决定——加入四维创智这个初创企业,作为这个企业的技术合伙人,开始了自己全新的网络安全之路。
司红星说自己很幸运,因为2014年,在加入四维创智不久,就成立了中央网络安全和信息化领导小组,集中统一领导全国互联网工作。地方网络信息机构逐步建立,网络安全管理格局逐步成熟,标志着我国网络安全体系和机制初步建立。司红星认为,当年整个网络安全行业的整体环境发生了变化,“没有网络安全就没有国家安全”也是在当年年初提出的。
“当年,国企普遍开始高度重视网络安全。当时我们还帮助国家电网的网络安全团队进行了大量的培训。从2014年到2018年,我们参加了很多网络安全人员培训。”他告诉我们,“如果排除当年相关技术或产品的进步,看到这些大企业积极投入网络安全人才的培养和整体团队能力的建设,就能看到我们国家做好网络安全的决心,这给了我们一个希望。”
加入四维创智后,既然是技术合伙人,就必须承担起建设技术团队,打造企业核心技术能力的重任。对于刚从大学毕业不久的人来说,恐怕是一个不小的挑战。不过,司红星第一年就交上了一份满意的答卷。
2014年,在司红星的带领下,四维创智的技术团队主要完成了三件事:一是成功搭建了第一款产品——“天翔”综合渗透测试平台,也是Yakit的前身;二是推出手机APP自动化安全检测工具;第三是创建一个基于SaaS的自动化渗透测试平台。
“不踩坑怎么创业?”
看了前面的内容,可能会觉得四维创智会是一个快速成长的初创企业,但现实中并没有那么美好。其实直到2017年底,四维创智才拿到天使轮融资。当时他们已经成立三年多了。之前都是靠自己造血。
“不踩坑怎么创业?在我看来,当初遇到的最大问题就是不够专注,不够具体。”
“当时做的很快,但确实多了一点。”司红星回忆道。比如前文中提到的手机APP自动安全检测工具,产品出来后确实带来了上百万元的销售收入,但这个成绩和投入的成本比起来根本不算什么。“后来我们回来,一致认为这个事情不对。虽然当时确实有手机APP安全测试的市场需求,我们的能力也确实有,但问题是我们同时推广的东西太多了。以当时的人力、物力、财力,很难把所有产品同时打磨到可以在商业竞争中与那些专业化厂商的同类产品成功竞争的地步。”
重组这几个方向的时候你是怎么想的?“当时是基于始于终的想法。”司红星回答,“简单来说,在你自己的认知范围内,你认为网络安全的未来是什么样子的?”
于是在2018年,四维创智启动了AI+安全计划,开始投身于这一领域。
司红星在四维创智人工智能产品发布会上发言。
“网络安全的未来是无人化和智能化”
在他看来,虽然网络安全行业有很多子赛道,但归根结底,网络安全的本质是攻防的对抗,而这种对抗的背后其实是人与人的对抗。“这个趋势很明显。安全人才的巨大缺口必然导致巨大的需求。除了差距,安全人才本身的水平也参差不齐。弥补人力的不足,无人化、智能化必然成为未来网络安全的重要发展趋势之一。”据他介绍,那段时间四维创智已经全面完成了自动化渗透相关的RD和落地,但自动化毕竟还是需要人的。
当时做选择的时候有一个背景AlphaGo的流行。“Alpha Go确实给我们带来了很多灵感,比如自动化的概念。只能是某个流程中的某个部分或环节来代替人,这肯定是不智能的。因为人的经验是机器无法理解和替代的,所以我们要思考如何固化人的经验,最终通过技术手段用AI实现真正的安全。”
红星进一步解释,在确定了安全使用AI的方向后,还需要进一步细化。举个例子,人工智能其实分为三个层次,分别是操作智能、感知智能和认知智能,其中感知智能目前被国内一些安防企业使用,而认知智能相对较高,要求机器具备理解、推理甚至决策的能力。这一次,四维创智也做出了“艰难”的选择——利用认知智能进行网络安全攻防。“通过AI+安防取代人的决策,实现从自动化到智能化的转变,是我们的终极目标。”司红星说。
因此,经过一番思考,包括司红星在内的四维创智核心团队做出了放弃手机APP安全检测工具等其他项目的决定,整个企业全面瞄准以认知智能为核心的AI+安全方向。确定了方向和路线之后,接下来就是实施了。
“现在回想起来,我们真的选择了最艰难的一条路。”司红星笑着说,“当时整个公司的后勤保障都很困难。2017年底获得的融资很快就用完了,只好自己造血。首先,一些以前的产品会在这个时期出售。第二,我带了一队人做安保服务。通过这些收入,我们将筹集我们的AI+安全项目。”
用他的话来说,做这些所谓不得已的事情,目的只有一个——让四维创智有能力继续支撑AI+安全的长期计划。所以,真的很难。虽然他是笑着说这话的,但从他的语气中,还是能感受到当时那种无奈却执着的态度。
但是,从积极的角度来看,做这些事情还是值得的。“当时不管是卖产品还是卖服务,虽然很难,但是在做这件事的过程中,我们其实接触到了很多用户的真实场景和他们的真实需求,这也反哺了我们的AI+安防项目。”
“人工智能领域没有人才。AI+安全呢?”
在交流的过程中,我们也提出了一个问题,就是AI+安全的概念在国内被反复提及,甚至很多年轻的创业公司都声称在这个领域有很大成就。那么,AI+安全的概念是否被滥用了呢?
对于这个问题,司红星给出了部分肯定的回答。“就我们所见,AI+安全的概念确实被滥用了。”他告诉我们,从四维创智发展到现在的亲身经历来看,AI+安全有很多坑,可以说研究领域有很多无人区,很多甚至到现在都没有验证过。试错的时间和成本对初创企业极其不友好,所以想在极短的时间内达到宣称的高度,可信度不会很高。
另外,更关键的一点在于人。“我们可以看看那些说自己在做AI+安全的创业团队的背景,有没有AI方向的人才,因为AI和网络安全在本质上是完全不同的。如果一个核心团队全是黑客或者安全工作者,没有AI领域的人才,那么可以认为他们在滥用AI+安全的概念。”
这一节司红星也说了很多,但是空间关系就不一一展示了。通过他的话,其实还是有一些愤怒的。也确实,如果总有一群票玩家浑水摸鱼搞PPT产品,对整个行业及其目标用户群体都不是好事。
“牦牛的诞生源于我们要解决安全能力碎片化的大形势”
在谈到为什么四维创智决定做网络安全语言——YAK时,司红星表示,认知智能或者决策智能,如果想让它发挥最大能量实现落地,在实际应用中必须具备调度能力,即在发现风险后,能够调动相应的底层能力,实现对风险的响应和处置。
但在实际应用中,司宏兴和他的团队发现,由于决策智能是一个独立的引擎,在调度后续工具时会出现很大的问题,比如上百个工具,编写工具的语言多种多样,直接导致各种能力的碎片化。实现智能调度难度极大,也给四维创智团队的开发效率带来极大挑战。
因为不同的工具只能解决与之对应的某一类问题,而且不同工具的数据格式和接口不统一,所以无法协调。在这种情况下,如何调动AI决策引擎?司红星说,“当时我们想了两个办法。一种是同时重写决策引擎和底层工具,然后打通它们之间的关系,然后为上面的决策引擎打开API进行调度。”
这种方法虽然可行,但是效果不会好,因为归根结底还是缝各种能力,没有办法完成图灵。"最后,我们认为可以通过嵌入式语言来解决这个问题."
于是,牦牛诞生了。
看到这里,可能觉得挺容易的,但真实情况是很难的,因为这不仅需要对计算机科学有非常好的理解,还需要对网络安全有很好的了解。对团队的要求确实很高。
接下来,我们又有了一个问题——为什么一个满足自己需求的项目,最后变成了一个面向外界的四维创造智能旗舰项目?
“说出来其实也不算长。2021年5月,我经常和《牦牛语言》的作者季锦坤坐在一起讨论一个话题,就是我们前面说的网络安全的未来会是什么样子?我们多次提到的一个词就是‘融合’。”
四维创智技术总监、《牦牛语言》作者季锦坤在Xcon黑客大会上发布了牦牛。
他解释说,他所说的集成是指安全产品之间的集成,而季锦坤所说的集成是指将底层安全能力集成到安全产品中。那么一门语言的未来可以应用在哪里呢?能为这个行业做些什么?这时季锦坤提到了MATLAB,在计算要求相同的情况下,可以大大减少编程工作量。“经过几次讨论,我们想,为什么不做一个网络安全领域的MATLAB呢?毕竟我们当时基础还不错,也有技术能力。”司红星说,“既然我们自己有这个需求,其实所有的用户甚至行业内的竞争对手也会有这个需求。如果从大的方面来看,它的未来可以成为整个行业的基础设施,这个概念最早就是在那个时候产生的。”
其实司红星对于是否将牦牛市场化做了很多思考,因为一旦推广,就意味着他们的很多能力将向竞争对手开放,但是一种家国情怀促使他们做出了推出牦牛的决定。“技术可以是无国界的,但网络安全是无国界的。”司红星认为,“中国的网络安全一直是随着国外的发展一步步发展的,中国本土的创新其实很少。如果我们能够开发并向网络安全行业的所有用户开放——Yak,我们自己的网络安全语言,并通过它给他们带来甚至是提高效率甚至是创新的成果,那么这将远远超过做闭源安全产品所能达到的效果。这种贡献是无法用金钱来衡量的。”
经过大量的付出和精心的准备,2021年10月12日,在业界最著名的黑客大会之一——Xcon上,四维创智正式发布了Yak及其配套工具Yakit。
“希望Yak能成为网络安全行业的基础设施”
谈到Yak的愿景,正如两个月前在腾讯数字安全创新大赛路演时所说,“我们希望Yak能成为网络安全行业的基础设施,让每一个甲方和乙方都能有更快的开发效率和更好的成果。”司红星描述道。“如果现实的话,还是让我们先用Yakit实现一个工具:Yakit,来替代和整合安防行业员工日常使用的高频工具。在这种情况下,我们预计Yakit将成为中国的必备工具,并实现BurpSuite等高频工具的国内替代。”
在谈到这个话题的过程中,他还提到了一个词——牦牛动力。他希望“未来”这个词可以成为用Yak开发的安全产品介绍上的一个logo,因为这将意味着开发者和用户对Yak的高度认可,就像大家熟悉的Intel Inside一样。
虽然目前来看,要实现这个期望还有很长的路要走,而且和其他很多领域一样,真正实现国产化替代并不容易,但司红星本人似乎从来不怕任何困难,就像他最后和我们强调的那样——“做困难的事,做正确的事”。
“创业给我最大的感觉是做一些困难而正确的事情”
在采访的最后部分,我们想让他谈谈自己创业多年的感受。司红星微微愣了一下,说了七个字——做难做对的事。
司红星说,如果创业是为了赚钱,那就不要为了其他所谓的崇高目的或者某些情怀而标榜自己。不如踏踏实实挣钱,把它当生意做,会更实在。
“如果最初的目的是为了财务自由而创业,那么我觉得这个所谓的创业者是很难坚持下去的,因为在这个过程中他会很痛苦。”他认为,如果你真的抱着做难做对的事情的心态,那么无论创业有多难,你都不会觉得痛苦,反而可能会觉得更舒服。“这么多年,我一直保持着这种心态。我们前进道路上的每一个小小的进步,哪怕只是来自用户的一个小小的肯定,都会让你觉得你所做的事情至少影响或帮助了一个用户,这个用户的网络安全往往与国家的安全息息相关。”
在他看来,当Yak逐渐被大家接受,每个用户的认同积累起来,形成普遍认同的时候,你会发现你会影响一个庞大的群体,他们代表着中国网络安全的一个未来。这种感觉是无法用语言表达的,通过这些获得的价值是很难用金钱衡量的。
“做困难而正确的事,其实大家都很容易理解。无非就是找到正确的方向,然后不管多难都坚持下去,但现实中真的不容易。”司红星说。
目前来看,找到正确的方向并不太难,因为各行各业都有很多成功的经验,但最终的成功在于你有多坚持。简单正确的事,做的人太多,而难的正确的事,很多人因为各种原因不会坚持。如果你坚持到最后,那么也许你和成功的距离会越来越近,虽然它的可能性不是100%。
“在做一件困难而正确的事情的过程中,作为一个创业者,你要冷静,要有上进心,不断告诉自己一定要努力,剩下的就交给时间吧。如果真的没有成功,不要气馁,也不要怨天尤人。毕竟不是每一次努力都能成功。就像我自己,一直在努力,但还是经历了一些失败,但还是那句耳熟能详的话——你不努力。司红星在采访结束时说。
#网络安全#
