四维创智司红星：做难而正确的事 期望Yak能成为网络安全的基础设施

在2022年5月结束的腾讯数字安全创新大赛中，最佳技术创新奖和最佳网络人气奖被四维创智一家所包揽，他们当时在路演中带来的产品是Yak，这是一种网络安全开发语言，这一方向引起了我们的兴趣。为什么一个做智能化安全的安全企业会去研发一门语言，并且作为自己的主打方向之一呢？于是我们特别邀请到那次路演中的演讲者——四维创智CEO司红星，为我们进一步阐述，同时也了解一下他和四维创智的一些故事。

 

四维创智CEO  司红星

 

 

司红星告诉我们，在高考结束后选择大学方向时，他选择了电子科技大学的信息安全专业，并在大二时期就投入到实际的网络安全工作当中，曾配合参与了真实场景下顶尖水准的攻防对抗。

 

在毕业后，司红星选择了体制内的国家队，大约一年后，摆在司红星面前有很多的选择，一是换个体制内的单位继续做网络安全工作；二是加入一家互联网巨头企业做安全；三是加入网络安全初创企业。

 

从常规来看，似乎很多人都会觉得从稳妥的角度看，第一种最好，如果从名利的角度看，第二种也不错，但司红星却偏偏选择了最具挑战性的第三个。谈及背后的原因，他给出的回答也很简单，不选择第一种是不希望自己的未来成为一种固定模式，不选择第二种则是和自己当时的理想并不符合，“当时的想法也挺简单的，结合此前在百度的实习经历，就感觉去这类企业对我来说缺乏新意，虽然也会去研究一些安全技术，但最终做的事情也只是为了保护一家企业而已。虽然钱会多一些，但从长远看，我认为它并不适合我。”

 

于是，在和好友李雷（四维创智创始人）的几次交流中，他愈发地感觉到去乙方（网络安全企业）是一个更好的选择，因为可以接触到各种各样的甲方用户，甚至包括关键信息基础设施单位，对个人而言有着更为广阔的空间和挑战。

 

因此，司红星毅然做出了最具挑战的决定——加入四维创智这家初创企业，并以这家企业的技术合伙人身份开启了自己崭新的网络安全之路。

 

司红星说自己很幸运，因为在加入四维创智后不久的2014年，中央网络安全和信息化领导小组成立，集中统一领导全国互联网工作，各地网信机构逐渐建立，网络安全管理工作格局逐步成熟，这意味着我国的网络安全体制机制得以确立。司红星认为，整个网络安全行业的大环境在那一年发生了变化，“没有网络安全就没有国家安全”也在那一年的年初被提出。

 

“那一年，国企普遍开始对网络安全给予很高的重视，那时候我们也帮助国家电网的网络安全队伍进行了很多的培训，从2014-2018年，我们参与了很多网络安全人才培养的工作。”他告诉我们，“如果排除当年的相关技术或产品的进展，看到这些大企业积极地投入到网络安全人才的培养和团队整体能力的建设，我们可以看到国家要做好网络安全的决心，这让我们能看到一个希望。”

 

在加入四维创智后，既然是技术合伙人，那么必然要承担起搭建技术团队以及构建企业核心技术能力的重任，这对刚从大学毕业时间不长的人来说，恐怕都会是一个不小的挑战，然而司红星却在第一年就交出了令人满意的答卷。

 

2014年，在司红星的带领下，四维创智的技术团队主要做成了三件事：一是成功打造出第一款产品——“天象”综合渗透测试平台，也是Yakit前身；二是推出面向移动APP的自动化安全检测工具；三是打造出了一款SaaS化的自动化渗透测试平台。

 

 

看完前面的内容，也许觉得四维创智一定会是一家高速发展的初创企业，但现实中并没有那么美好。实际上，一直到2017年年底，四维创智才拿到了天使轮融资，而那个时候，他们已经成立了三年多。在此之前，他们都是依靠自己造血而生。

 

“创业哪有不踩坑的，在我看来，当初遇到的最大问题就是不够聚焦，不够专一。”

 

“当时做的事情很快，但也确实有些多了。”司红星回忆道。以前文提到的移动APP自动化安全检测工具为例，当时产品出来后，也确实带来了上百万元的销售收入，但同投入的成本相比这个成绩其实并不算什么。“后来我们复盘，一致认为这个事情是不对的，虽然当时的移动APP安全检测确实存在市场需求，而且我们的能力也的确可以做，但问题在于，我们当时同时推进的事情太多了，以当时的人力、物力以及财力，很难同时将所有产品都打磨得优秀到可以去和那些专精厂商的同类产品在商业竞争中拼得成功的地步。”

 

在对这些方向进行重新梳理时，又是如何思考的呢？“当时就是基于以终为始的思路去考虑。”司红星回答道，“简单说就是在自己的认知范围内，你认为网络安全的未来是什么样子？”

 

于是在2018年，四维创智启动了AI+安全计划，开始全情投入这一领域。
 

司红星在四维创智人工智能产品发布会上发言

 

 

在他看来，尽管网络安全行业的细分赛道非常的多，但归根到底，网络安全的本质还是攻击和防御双方的对抗，而这个对抗的背后其实是人的对抗。“这个趋势很明显，安全人才的巨大缺口也必然会引出一个庞大的需求，除了缺口之外，安全人才自身的水平也参差不齐，要弥补人力上的不足，无人化、智能化必然会成为未来网络安全的重要发展趋势之一。”据他介绍，在那个时期，四维创智已经全面完成了自动化渗透相关的研发与落地，但自动化终究还是需要人。

 

当时在做选择的时候还有一个背景——Alpha Go的火热。“Alpha Go的确给我们带来了很多启示，像自动化的概念，它只能是一个流程中的某些部分或某个环节去替代人，这绝对不是智能化。因为人的经验还是无法被机器所理解和替代，因此我们就要去思考，如何把人的经验去固化下来，最终通过技术的手段实现真正的用AI做安全。”

 

司红星进一步阐述道，在确定用AI做安全的方向后，接下来还要进一步的细化，比如人工智能其实分为三个层次，分别是运算智能、感知智能和认知智能，其中感知智能目前在国内已经有部分安全企业在应用，而认知智能相对而言层次较高，它需要机器具备理解、推理直至决策的能力。四维创智在这一次，也同样做出了一个“艰难”的选择——用认知智能去做网络安全攻防。“通过AI+安全的方式去替代人的决策，实现将安全从自动化过渡到智能化，是我们内心所想要达到的最终目标。”司红星说道。

 

因此，在经过一番思考后，包括司红星在内的四维创智核心团队做出了放弃移动APP安全检测工具等其他项目的决定，整个企业全面瞄向以认知智能为核心的AI+安全方向。确定了方向和路线之后，接下来就是要落地执行。

 

“现在回过头去看，我们真的是选了一个最难的路径。”司红星笑着说道，“当时整个公司的后勤保障都是有困难的，2017年年底拿的融资很快就用完了，所以我们自己也得造血，一是在这期间也会将之前的一些产品拿出去卖，二是我带着一队人马去做安全服务。通过这些收入再去养我们的AI+安全项目。”

 

用他的话说，做这些所谓不得已而为之的事，目的都只是一个——让四维创智能够有能力继续支撑AI+安全这一远景计划走下去。所以，的确挺难的，虽然他是笑着说这番话的，但是从语气中，仍能体会到当时那种无奈但又坚持的态度。

 

不过从积极的角度看，做这些事情仍然是有收获的。“在当时，无论是卖产品还是卖服务，虽然困难，但是做这些的过程中，我们还是实打实的接触到了很多用户的真实场景以及他们的真实需求，这些对于我们的AI+安全项目也有反哺。”

 

 

在交流的过程中，我们也提出了一个问题，那就是AI+安全的概念现在在国内屡被提及，甚至不少年轻的初创企业都宣称自己在这一领域颇有成就，那么AI+安全这一概念到底是否有被滥用的现象呢？

 

对于这个问题，司红星给出了偏肯定的答案，“仅就目前看到的而言，AI+安全这一概念确实有被滥用的情况。”他告诉我们，就四维创智发展至今的切身体会去看，AI+安全中有很多的坑，可以说还有很多研究领域的无人区，里面很多内容甚至到现在都没有人去验证过，这个试错的时间和成本于初创企业都是极为不友好的，所以他们想要在很短的时间内达到所宣称的高度，可信度并不会很高。

 

除此之外，更为关键的一点还是在于人。“我们可以看一下那些说自己是做AI+安全的创业团队背景，其中到底有没有人工智能方向的人才，因为人工智能在本质上和网络安全之间是完全不一样的，如果一个核心团队都是黑客或者做安服的出身，而没有人工智能领域的人才，那么可以认为他们就是在滥用AI+安全的概念。”

 

在这一块，司红星还说了挺多，篇幅关系就不一一展现，透过他的话语，其实还是有些怒其不争的意味。事实也确实如此，如果总是有一群浑水摸鱼搞PPT产品的玩票者存在，那对于整个行业以及其所面向的用户群体都不是一件好事。

 

 

谈到为何四维创智会决定做一个网络安全语言——Yak这个话题时，司红星表示，认知智能或者具体到决策智能，如果想要它发挥最大的能量去实现落地，那就必须在实际应用中可以做到具备调度的能力，也就是在发现风险后，它可以去调动相应的底层能力去实现对风险的响应和处置。

 

但在实际应用中，司红星和他的团队发现，由于决策智能是一个独立的引擎，但是在调度下面各种工具时会有很大的问题，比如工具数量多达上百种，而且编写工具的语言也是五花八门，直接导致各种能力都是割裂的，要想实现智能化的调度难度极高，同时也给四维创智团队自身的开发效率带来极大的挑战。

 

由于不同的工具只能解决其所对应的某一类问题，而不同工具的数据格式和接口也并不统一，导致无法协同，这种情况下还谈何去让AI决策引擎去调动呢？司红星介绍道，“当时我们想到了两种方式，一是把决策引擎和底层工具都重新写，然后打通他们之间的关联关系，然后通过开放API的方式去供上面的决策引擎调度。”

 

虽然这种方法是可行的，但效果却并不会好，因为这样做归根到底其实还是在缝合各种能力，没有办法做到图灵完备。“最终，我们想到可以通过一个嵌入式的语言去解决这个问题。”

 

于是，Yak诞生了。

 

看到这，也许这个事情感觉挺容易的，但真实情况是非常的难，因为这不仅需要对计算机科学有一个非常好的了解，同时还要对网络安全也要有一个很好的理解，对团队的要求的确很高。

 

接下来我们又有了一个疑问——为什么一个为满足自身需求的一个项目最终却成为了四维创智面向外界的一个主打项目呢？

 

“说起来其实也是不算太久，2021年5月，我当时和Yak语言的作者——姬锦坤经常坐下来探讨一个话题，就是前面我们说的网络安全未来会是什么样子的？其中有一个词被我们多次共同的提到，就是‘融合’。”
 

四维创智技术总监、Yak语言作者 姬锦坤在Xcon黑客大会中发布Yak

 

他阐述道，他所说的融合是指安全产品之间的融合，姬锦坤提到的融合，则是安全底层能力融合成安全产品。那么做一个语言，它的未来能应用在哪些地方？能够为这个行业做些什么呢？这时姬锦坤提到了MATLAB，在计算要求相同的情况下，使用MATLAB可以令编程工作量会大大减少。“就这样探讨了几次，我们就在想，为什么不去做一个网络安全领域中的MATLAB呢？毕竟当时我们的基础还不错，技术能力也有。”司红星谈道，“既然我们自己有这个需求，那么其实行业内的所有用户甚至竞争对手其实也会有这个需求，如果往大了看，它的未来是可以成为整个行业的基础设施，这个概念也是在那时第一次产生。”

 

其实在是否将Yak推向市场这个问题上，司红星也做了很多思考，因为一旦推广出去，就意味着他们的很多能力就会开放给竞争对手，但一种家国情怀促使他们做出了将Yak推出去的决定。“技术可以是无国界的，但网络安全是有国界的。”司红星认为，“中国的网络安全一直是亦步亦趋地跟着国外的发展而发展，国内原生的创新其实很少，我们如果能够把属于中国自己的网络安全语言——Yak做出来并开放给所有的网络安全行业用户，哪怕只是能够帮助他们提升开发效率，在司红星看来都是一个不小的成果，“如果Yak的用户能够进一步地通过它来实现创新，那在我来看，它的成就会远远超过去做闭源安全产品，因为这种贡献是无法用金钱来衡量的。”

 

2021年10月12日，在业内最具盛名的黑客大会之一——Xcon上，四维创智正式对外发布了Yak和配套工具Yakit。

 

 

在谈及对Yak的愿景时，就像2个月前在腾讯数字安全创新大赛上路演时一样，“我们希望Yak能够成为网络安全行业的基础设施，让每一个甲方、乙方都能拥有更快的开发效率、更好的效果。”司红星描述道。“如果现实一点，那还是我们自己先用Yak实现一个工具：Yakit，去替代和融合安全行业从业人员日常高频使用的工具（如BurpSuite、MetaSploit等），在这个场景下，我们期待Yakit能够成为来自中国的Must Have Tool，实现对BurpSuite等高频工具的国产替代。”

 

在谈这个话题的过程中，他还提到了一个词——Powered By Yak，他期望未来这个词能成为一个标识出现在用Yak开发的安全产品介绍上，因为那将会意味着开发者以及用户对Yak的高度认可，就像大家耳熟能详的Intel Inside一样。

 

尽管在现在来看，距离实现这个期望仍有很长的路要走，和其他很多领域一样，真正实现国产化替代并非易事，但司红星本人似乎从来不怕什么难事，就像他最后同我们所强调的——“做难而正确的事”。

 

 

在采访的最后环节，我们想让他总体谈一谈创业多年来的感触，司红星略微停顿了一下，说出了七个字——做难而正确的事。

 

司红星谈到，如果创业是为了挣钱，那就不要去标榜自己为了其他所谓高大上的目的或某种情怀，不如就去踏踏实实的挣钱，当作一个生意去做，那样会更加真实。

 

“如果一开始的目的就是为了财务自由而去创业，那我认为这种所谓的创业者也很难坚持下去，因为在这个过程中他会很痛苦。”他认为，如果真的是抱着做难而正确的事情这一心态，那么无论创业有多艰难，都不会感到痛苦，反而可能还会觉得比较舒服。“我在四维创智这么多年以来，一直是保持着这样的心态，在我们前进道路上的每一个小的进步，哪怕只是得到用户一个小小的肯定，都会让你觉得你做的这些事情最起码影响了或帮助了一个用户，而这个客户的网络安全往往又跟国家的安全息息相关。”

 

在他看来，当Yak逐步被大家所接受，这一个个用户的认可积累起来并形成了一个普遍认可，那么就会发现你影响的将会是庞大的一群人，而他们又代表了中国网络安全的一个未来，这种感受是难以言表的，而通过这些所获得价值，是很难用钱来衡量的。

 

“做难而正确的事情，这里面的意思其实大家都很容易理解，无非就是找到正确的方向，然后无论多么困难都要去坚持地做下去，但在现实中却真是不容易。”司红星表示。

 

就当前而言，其实找到正确的方向并不会太难，因为各行各业都有着很多的成功经验可以借鉴，但成功的最后在于你有多坚持，简单而正确的事情太多人做，难而正确的事情则是很多人会因为各种原因坚持不下去，如果你坚持到了最后，那么也许你和成功之间的距离会越来越近，尽管它的可能性并不是百分之百。

 

“在做难而正确的事情这个过程中，作为创业者也要放平心态，要有很好的自驱力，不断地告诉自己必须要努力，剩下的则交给时间，如果真的没有成功也不要气馁，不要怨天尤人，毕竟不是每一次努力都能成功，就像我自己一样，一直很努力，但也依然经历了一些不成功，但还是大家熟悉的那句话——不努力一定不会成功。”司红星在采访的最后说道。