创业者说|四叶草安全马坤：从当黑客到开公司 选择做一个会看病的良医

 

十年有多久？是三千六百五十天、八万七千六百七十二小时、五百二十六万零三百二十分钟。对于尚且年轻的网络安全行业来说，这番历程已不算短暂。

 

相比位于北上广深的企业来说，从西安生根发芽的四叶草安全或许天然缺少丰富的资源和高调的舞台，但这并未阻拦他们的江湖地位。马坤作为白帽安全圈的老炮，书写过浓墨重彩的攻防对抗，引起过圈子大范围的轰动，创办四叶草安全后，他带领公司成为立足西安网络安全的一张名片，并进一步发展为行业中辐射西北、面向全国的一块磐石。

 

一枚小草看似飘摇，四百多小草实则强韧，站在十岁的台阶上，回头与向前，都是故事。马坤却说，十年，这才刚开始！我们找到这位桀骜的黑客，和他聊聊起伏的过往，和不可知的未来。

 

 

 

学生时代的马坤原本是一个妥妥的学霸，高考失利是他人生中的第一次打击。在与之向往的名校失之交臂后，巨大的落差让他一度消沉，在一所普通一本理工院校变成了游离课堂之外的“怪”学生。天天泡在网吧，却意外接触到了“黑客”圈子。神秘、好奇，他开始对黑客的一切产生浓厚的兴趣。

 

那是二十一世纪初，哪有什么现成的网安人才培养体系，凭着一腔热情，马坤的学霸基因重启，开启疯狂输入模式，往返于图书馆与网吧之间，查阅书籍、观看教程，自学摸索各类远程控制、木马、键盘记录等技术。

 

纸上谈兵算不得热爱，实践出真知是成为黑客的必经之路。在大学期间，马坤干了许多看起来“离经叛道”的事儿，比如，通过IPC共享的漏洞控制机房电脑发布恐怖网页；黑掉学校网站，控制办公系统拿到几份试卷的样卷；渗透进某整个省的高校，在网站的js文件中挂出寻人启事寻找失联同学……

 

在2001年中美撞机事件发生后，民间爆发了中美黑客大战，轰动一时。出于朴素的爱国正义感，马坤作为组织者之一参与其中，化名为某ID，在短时间内成为了中国红客联盟核心成员。在历时七天的较量中，他和盟友们将五星红旗插遍美国各主流网站，这段颇为刺激的经历，让黑客圈子记住了马坤的名字。

 

技能的逐步升级让他不再满足于仅从国内社区汲取养料，他开始与国际上的同行们交流切磋，掌握了更多渗透实战经验。2005年，马坤作以核心成员的身份加入了火狐技术联盟FST，ID为cnfjhh，圈内人称cn。

 

当时就有朋友鼓动马坤，“听说你能力很强，有本事把暴雪黑了。”那是《魔兽世界》（暴雪公司出品的网络游戏）风靡全球的2006年，年轻气盛的黑客绝不服气，当即就磨刀霍霍，在渗透中发现了漏洞并潜入内网，在官方主页留下了一句「Test by cnfjhh」。

 

这场到此一游的打卡，马坤并没有改动任何东西，也没有留下任何后门。在他还并不算长的黑客经历中，虽然有入侵的能力，但他从未破坏过任何他人网络。

 

炫技，或许是很多黑客在网络世界中证明自己的方式，马坤说，“我干这个事是因为我喜欢，我想证明我可以。正义，应该成为能力的一个底线，绝不因诱惑去污损自己的爱好。”

 

 

一直以来，黑客技术在马坤心里就是一个纯粹的爱好，大学毕业后，他走上了常规的职场之路，先后在政府单位和一家百年外企工作。在外企的五年里，虽然待遇丰厚，但看着技艺逐渐尘封，他还是充满了失落。身边的朋友们在陆续热火朝天地创业，马坤不禁心动，“我在黑客这个事儿上投入了这么多，能不能让兴趣和事业产生结合呢？”

 

举棋不定之间，有朋友给马坤介绍了一个外包项目，他与黑客圈子的几位朋友完成交付后，看到了希望——兴趣能力也可以用来工作。于是，他与几个兄弟组队，为CNCERT检查全国多个省运营商网络漏洞问题，这再次印证了他的希望——这项技能不仅可以是一份工作，网络安全未来会逐渐成为一个具有市场需求的行业，自己的技术是可以有所作为的。

 

拿出工作攒下的微薄积蓄，几个志同道合的朋友，一间办公室，2012年，西安四叶草信息技术有限公司诞生了。

 

携攻防技术而入行的四叶草安全，立志要成为网络安全解决方案提供商，但是初入商业市场，第一课就是颠覆技术发烧友的理想化认知。

 

“我们就是个没活、没客户、没人的三无团队”，马坤回忆说，“当时的大环境，客户认为做安全等于买设备，他们的合作伙伴，就是安全设备销售商，不是我们这种徒有技术的正义黑客。”

 

商业的本质是趋利，标新立异并不是问题，但没有竞争力、没有探索出商业模式只能被火速淘汰。马坤在理想与现实中弯腰，为了保证生存，转变为销售角色卖了十余单安全设备。

 

在这个过程中，他却越发肯定了自己最初的判断。“安全行业需要解决的问题，跟生病就医是一样的，身体不舒服，首先应该做诊断，因此发现用户的漏洞和缺陷是第一步，然后再对症治疗，而不是不管缘由直接卖药。”

 

病人不清楚自己哪里有问题，医生只关注药品的销量和利润，这种头痛医脚的怪圈是不健康的。诊断不赚钱，所以没人重视，但马坤觉得，该走的路，一步也不能少。

 

于是，马坤带领团队尝试着新的模式，在售卖设备之前先给客户做安全评估，拿到授权后模拟攻击者的思路和行为进行渗透测试，发现存在的缺陷弱点。人工安全服务何其辛苦，没有产品，就只能手动检测每一台机器、每一个网段、每一项配置，完全依靠专家知识和经验，报酬却非常微薄，公司发不出工资是经常的事。

 

 

财务上的窘迫驱使马坤思考公司的发展方向，完全依靠人力去做安全服务，肯定不是长久之计。一方面，身处西安的四叶草安全在人才招募上面临瓶颈，另一方面，要把攻防技术甚至是非常攻击者视角的知识经验沉淀为更普适的、适合防守方使用的安全产品并不容易。

 

马坤认为，这需要把「人的能力」插件化，并且把让「攻」和「防」都实现自动化。

 

他和团队伙伴早年混社区的优势，搭建了一个安全社区，集思而广益，汇集了大量的、新的、高级的黑客思维、攻击手法，再结合四叶草安全长期积累的一线经验和精湛技术，梳理进行数据建模并输入到产品顶层，发布了国内首款基于社区的分布式漏洞扫描平台——Bugscan。

 

在后续的产品设计中，马坤解释道，“我们有个内网探针，可以抓获内网流量，以便快速学习其中的行为特征，并将其形成类似于规章制度一样的规则。产品部署比较灵活，可以旁录进去，也可以串联进去，一旦发现异常，串联进去可以做拦截处理，旁录进去也可以做预警处理。”

 

下一步是自动化的防御，“黑客入侵的思路通常是通过工具暴力枚举、或者是对某个SQL注入点不断进行尝试拆解，包括数据库字段、表段等，从而暴露更多的敏感信息。而我们会部署动态混淆加密技术的前置产品，一旦黑客访问，URL会在一次访问后自动加密，待第二次访问同一个URL时就已经失效了。这步操作就可以抵御绝大部分工具类的黑客。”

 

这样就形成了从内网到外网的防范机制，实践中会根据客户体量，部署数量相匹配的探针及外网软硬件。这套从感知、监测到防御的安全产品+服务的体系被命名为感洞Bugfeel，在落地实践中取得了良好的反馈。同时，随着服务客户的增多，团队体会到不同行业需求和场景的天差地别，四叶草安全开始从通用安全服务往细分行业发力，定制出面向金融、运营商等行业的综合安全解决方案。

 

 

从2017年起，四叶草安全与蚂蚁金服达成战略合作，为其平台商户提供全面全时段的安全检测和监测服务。这轮合作不仅让四叶草安全真正面向大型互联网企业积累经验，也让马坤看到蚂蚁生态中更多的中小企业面临的安全困境——总是被攻击被勒索，却不知道哪里有风险，不知道怎么做防御。

 

马坤意识到，安全不能只是行业头部才能享受的服务，中小企业的安全需求同样是普遍而急迫的。他们将旗下产品与服务进行整合，推出了SaaS化智能化服务平台凌洞，提供一站式的安全产品服务，可以帮助用户用更低的成本、更高的效率建立起安全屏障。

 

 

如果完全从商业的角度考虑，服务中小企业可能并不是最上乘的选择。目光拉长，我们回望四叶草安全的十年，会发现马坤的选择与答案。

 

就像创业之初大家都在卖盒子的时候，他也知道做安全检测不赚钱、做安全服务很累人，但该走的路还是要走的。就像还作为独立黑客的时候，拥有高超技术要想变现并不是太难的事情，但轻松的选择不等于就是对的。

 

在2015年拿到Pre-A 轮融资之前，四叶草安全出现过几次发不出工资的情况，直到2017年，公司才开始走出亏损实现盈利。“持续的投入、长久的蛰伏确实是熬人的，但坚持做正确的事，市场是会看到的。”马坤表示，“我们总是在说安全行业要守护国家数字经济建设的安全底线，这么多中小企业的安全缺陷不就是底线吗？安全不应该让他们望而生畏，我们有能力和经验，服务中小企业是非常适宜非常应该的。”

 

其实，坚持本心不是为了感动自己，作为一个企业家，对员工、对行业、对股东都负有重要的责任。马坤认为，走正确的路，不仅是赢得自我尊重和旁人喝彩，哪怕是最世俗的财务回报，也会在正确的道路上悉数回馈。

 

他表示，能够在资源无法抗衡一线城市、经营状况欠佳的境遇中获得资本支持，更多就是对团队理念和价值观的认可。此后，他们几乎保持着每两年一轮的融资节奏，其中包括蚂蚁金服的巨额注资，客户和市场当然不是用脚投票的。截至目前，四叶草安全已累计为6100多个用户项目提供技术服务和安全保障，同时旗下的感洞平台为1700多万互联网企业的资产安全风险持续保驾护航。这些成果，是十年的坚持带来的。

 

 

马坤的赤子之心不仅体现在做产品服务客户上，他们还一手搭建了网络安全人才培养体系。自学成才的他深谙技术人才对于行业发展的重要性，安全公司不能没有人，但是如何挖掘理想的人才、如何培养出技术精湛的人才，一直存在很大的市场缺口。

 

早期的安全社区和Bugscan为喜爱或从事安全工作的技术人员提供了学习与交流的阵地，自此，他们基于自身的攻防实战基因打造了网络攻防实训平台、网络攻防竞赛平台，并从2015年开始举办SSCTF网络安全技能大赛，开凿安全从业者水平纵向成长路径。

 

如今，公司已经成立了网络安全人才培养专属部门——四叶草网络安全人才培养与创研中心，提供数字时代下的安全学习产品、靶场产品、安全保障服务、安全竞赛服务、认证培训服务等，形成人才培养、技术创新、产业发展的良性生态。

 

回过头看，四叶草安全的业务覆盖了漏洞风险发现、安全防御体系建设和攻防实战型人才培养，始终是围绕着其提倡的「以攻促防」理念来为行业提供服务和价值。

 

 

这十年不仅是四叶草安全从无到有的十年，网络安全行业也从不完全成体系到如今细分领域众多、参与者众多，整体呈现蓬勃向上的大好发展之势。

 

马坤认为，现在的安全创业起步或许会变得更加简单，但实现安全本质、满足安全需求也会变得更难。

 

行业起步阶段，传统安全厂商倾向于做大而全的业务，但实际上，用户并不是需要一个全家桶，只是基于一些客观现实环境，用户可能并不希望引入很多的安全服务商，他会希望有一个服务商来解决所有的安全问题。这导致了安全行业中一个很现实的痛点——同质化严重。

 

往后发展，安全需要能真正解决问题，行业必然会趋于细分。虽然底层技术——无论是操作系统、协议或是算法是通用的，但是赋予到上层应用时，面临的是不同的业务场景，会促使针对性更强的、聚焦细分领域的安全解决方案的出现。同时，在面向的客户行业也会趋于细分。比如，运营商会有自己的政策和诉求，金融行业有相应的标准和等级，甲方对于安全的需求越来越旺盛、同时也越来越精细。

 

反映到如今的安全创业生态中，资本市场和创业企业都会去瞄准一些细分的安全理念、技术趋势，比如专注于数据安全、业务安全、交付安全等等，设计出能与大厂同台竞争的方案和服务，满足对口客户的需求。

 

对于创业者来说，无论是投资环境还是国家政策和客户意识，无疑是比十年前健全很多的，创业不再那么举步维艰。但与之相对应的，安全技术和客户业务的融合要求变得更高，不懂业务很难能把安全做好，各行各业的信息化依赖程度只会越来越高，一旦发生安全事故往往都是大事，满足合规和保障安全都不可掉以轻心，虽然政策东风频吹、资本信息高涨、市场在持续扩大，看似无限机会在前方，想要活下去、立得住，需要有真功夫。

 

谈到四叶草安全的下一个十年，马坤表现得非常理性，“按照现在的速度，无论是技术变革还是市场需求，十年足以翻天覆地，我不想去吹牛。但我们希望，未来三年内努力让公司上市，让更多的人能知道我们四叶草安全。每个人的精力有限，企业也一样，我们也需要专注，我们会继续致力于‘先于黑客发现并解决问题’的思路，在安全攻防领域为大家保驾护航，获得行业和市场的认可。下一个十年究竟会是什么样，我们一起拭目以待。”