愛因斯坦的一句話對(duì)趙偉的影響很大，他說“這個(gè)世界是危險(xiǎn)的，不是因?yàn)槟切┬皭旱娜?，而是因?yàn)槟切o動(dòng)于衷的人，”這句話一直刺激著趙偉，不能無動(dòng)于衷。

  

趙偉13歲開始混跡于國際黑客圈，代號(hào)“ICBM”，從事系統(tǒng)漏洞分析工作。2006年他進(jìn)入世界頂級(jí)安全實(shí)驗(yàn)室McAfee，從事Web安全技術(shù)研究,被奉為信息安全界的武林秘籍《黑客大曝光》就是趙偉所在的小組完成的。

但是趙偉并沒有留戀這份月薪8000美金的工作，毅然決然回國創(chuàng)立了知道創(chuàng)宇。在一次XCON大會(huì)上趙偉遇到了另外一位知道創(chuàng)宇創(chuàng)始人楊冀龍，知道創(chuàng)宇還有很多牛人包括黑哥（周景平）、潘少華、還有已經(jīng)離開的余弦等，他們秉承著“為國為民”的宗旨，開啟了知道創(chuàng)宇的安全堅(jiān)守之路。

 

（知道創(chuàng)宇創(chuàng)始人 CEO：ICBM 趙偉）

想真正保護(hù)用戶，解決網(wǎng)絡(luò)安全問題

是我們縱容了“不安全”嗎？10多年前的互聯(lián)網(wǎng)，還屬于無序競爭的蠻荒時(shí)代，彼時(shí)流氓軟件橫行，網(wǎng)頁常被掛馬，軟件捆綁“全家桶”等。這些到底是誰造成的？是人還是時(shí)代？

趙偉告訴雷峰網(wǎng)：“當(dāng)時(shí)父母的電腦桌面上屏幕上滿滿的各種插件以及工具，根本沒法用?！?/p>

在趙偉看來，安全是用來保護(hù)用戶的，而流氓軟件的目的是為了掙錢，正是哪些無動(dòng)于衷的人才導(dǎo)致流氓軟件肆虐。

有些公司確實(shí)能做些什么，最后為了一些蠅頭小利給流氓軟件開了道，最后被時(shí)代淘汰，或許一點(diǎn)兒也不冤。

趙偉想做的就是真正能夠保護(hù)用戶。2008年，知道創(chuàng)宇推出第一款產(chǎn)品“365門神”，這是聯(lián)合中國反流氓軟件聯(lián)盟一起做的一款PC客戶端安全軟件。這款軟件在網(wǎng)民瀏覽網(wǎng)頁及使用搜索引擎時(shí)能對(duì)掛馬網(wǎng)站和釣魚網(wǎng)站給予警告并攔截，獲得網(wǎng)友一致好評(píng)。

365門神是全球第一個(gè)用Python的安全類產(chǎn)品，還采用了當(dāng)年比較超前的云防御體系，前端插件只負(fù)責(zé)執(zhí)行保護(hù)措施，采集網(wǎng)頁信息—分析安全性—判斷并記錄病毒、木馬樣本這一系列工作都由其后端系統(tǒng)完成。為了識(shí)別哪些網(wǎng)站被植入木馬和惡意代碼，知道創(chuàng)宇的這群人把全球的網(wǎng)絡(luò)都檢測一遍，并對(duì)照200多個(gè)指標(biāo)給他進(jìn)行打分排名，因此形成了一個(gè)龐大的樣本庫，這吸引了微軟和一波國外安全公司的訂單。

趙偉也沒想到，前端插件被競爭對(duì)手挫骨揚(yáng)灰，但后端采集的惡意網(wǎng)頁和掛馬樣本卻成了互聯(lián)網(wǎng)安全行業(yè)的香餑餑。不可置否知道創(chuàng)宇是幸運(yùn)的。

在交談中，趙偉談到，我們還能活著且欣欣向榮，真是謝天謝地，幸虧我們心態(tài)比較好。

雖然365門神沒能做下去，但也不算沒有收獲，至少有了訂單讓公司活了下來。當(dāng)時(shí)趙偉就想，客戶端安全做不下去，那就做web掃描器，面向云服務(wù)和SaaS層。因?yàn)樗麄儼l(fā)現(xiàn)云要做起來的話，生產(chǎn)廠商可以自己搞定安全，操作系統(tǒng)廠商也可以自己搞定安全，pass廠商同樣也能搞定，但是SaaS層是客戶自己開發(fā)的，漏洞會(huì)很多，所以調(diào)轉(zhuǎn)船頭做Web掃描，也就是WebSOC ，這一產(chǎn)品可以對(duì)網(wǎng)站進(jìn)行立體監(jiān)控。

源于想解決網(wǎng)絡(luò)安全問題的初衷，做了很多任性的事情，比如堅(jiān)持做公益性的社會(huì)活動(dòng)。

趙偉說，“流氓軟件能起來，是因?yàn)榇蠹胰鄙侔踩芰??！彼幌氤蔀槟切o動(dòng)于衷的人。因此牽頭成立了“安全聯(lián)盟”，對(duì)抗網(wǎng)絡(luò)坑蒙拐騙。

安全聯(lián)盟主要是交換威脅情報(bào)，然后再把威脅情報(bào)發(fā)給大家，大家一起抵制坑蒙拐騙。其中使用這些威脅情報(bào)的不乏小米、華為、騰訊、百度等大廠，但安全聯(lián)盟打擊‘黃’‘賭’‘毒’‘坑’‘蒙’‘拐’‘騙’‘偷’，也斷了某些人的財(cái)路，得罪了黑產(chǎn)。

趙偉感嘆：“做公益活動(dòng)惹黑產(chǎn)，但這就是我們的初衷啊。”

還好正義沒有缺席。2018年初，“安全聯(lián)盟”被CCTV2評(píng)為大國重器，而當(dāng)時(shí)被評(píng)為“大國重器”的還有導(dǎo)彈以及航空母艦，國家已經(jīng)把網(wǎng)絡(luò)安全提到了何等重要的程度。

關(guān)于情懷，關(guān)于熱愛

情懷伴隨著熱愛，但熱愛的目標(biāo)指向哪里，卻通向了完全不同的路徑。我們常贊美一個(gè)人，“他是一個(gè)有情懷的企業(yè)家”，也會(huì)同時(shí)說相反的話“情懷不能當(dāng)飯吃”，足以看出關(guān)于情懷一詞的悖論。

“有時(shí)候，我們會(huì)被自己的理念和想法綁架，但我們確實(shí)不想當(dāng)無動(dòng)于衷的人，所以就想實(shí)打?qū)嵉陌堰@個(gè)理念踐行下去，”趙偉如是說。

行業(yè)內(nèi)有理想有情懷的大有人在，真正為了用戶需求做事的鳳毛麟角，大多都是“拿錢做事”，極少有“做事拿錢”的人。知道創(chuàng)宇算是極少數(shù)的一個(gè)。

而有些事情做了就做了，比如開源。突破關(guān)鍵技術(shù)不是關(guān)起門來搞創(chuàng)新，而是要在開放創(chuàng)新中讓全球創(chuàng)新資源“為我所用”。

趙偉認(rèn)為只有我們給開源的安全社區(qū)有貢獻(xiàn)，別人才會(huì)給我們貢獻(xiàn)idea。因此，2020年知道創(chuàng)宇404實(shí)驗(yàn)室開啟一項(xiàng)計(jì)劃，通過開源或者開放的方式，推進(jìn)設(shè)計(jì)安全研究各個(gè)領(lǐng)域不同環(huán)節(jié)的工具化，將立足于不同安全領(lǐng)域、不同安全環(huán)節(jié)的研究人員鏈接起來。

其中不僅限于突破安全壁壘的大型工具，也會(huì)包括涉及到優(yōu)化日常使用體驗(yàn)的各種小工具，除了404本身的工具開放以外，也會(huì)不斷收集安全研究、滲透測試過程中的痛點(diǎn)，以改善安全圈內(nèi)工具龐雜、水平層次不齊、開源無人維護(hù)的多種問題，營造一個(gè)更好更開放的安全工具促進(jìn)與交流的技術(shù)氛圍。

趙偉說：“我們做事情的目的是解決網(wǎng)絡(luò)安全的大問題，不只是什么掙錢干什么?！弊鳛橐粋€(gè)企業(yè)家，他確實(shí)做到了。

知道創(chuàng)宇的ZoomEye（鐘馗之眼）是中國唯一一個(gè)進(jìn)入世界開源情報(bào)（OSINT）檢索工具榜單，甚至可以與被稱為“互聯(lián)網(wǎng)上最可怕的搜索引擎”Shodan相媲美，用戶通過它可以瀏覽其數(shù)據(jù)庫以查找連接到互聯(lián)網(wǎng)的設(shè)備，例如路由器、物聯(lián)網(wǎng)（IoT）設(shè)備、監(jiān)視器等。而一些機(jī)構(gòu)測評(píng)出ZoomEye的受歡迎程度甚至一度高過Shodan。

ZoomEye 還擁有兩大探測引擎：Xmap 和 Wmap，通過持續(xù)性的探測、識(shí)別，可有效標(biāo)識(shí)出互聯(lián)網(wǎng)設(shè)備及網(wǎng)站所使用的服務(wù)及組件。研究人員可以通過 ZoomEye 方便地了解網(wǎng)絡(luò)資產(chǎn)分布情況及漏洞的危害范圍等信息。比如，以前面對(duì)APT攻擊，一般的方式是見招拆招，而ZoomEye可以通過對(duì)其特征的分析從抓一個(gè)“小毛賊”到可以抓一窩“小毛賊”。

趙偉認(rèn)為安全靠公司不行，得靠整個(gè)社區(qū)，把人的力量集合起來，才能更好的守護(hù)安全。所以知道創(chuàng)宇做了社區(qū)，除了上述的社區(qū)、工具，有一個(gè)比知道創(chuàng)宇成立還早的社區(qū)那就是seebug漏洞社區(qū)平臺(tái)，原名Sebug，于2006年就已經(jīng)上線，是國內(nèi)最早、最權(quán)威的漏洞庫之一。

一個(gè)企業(yè)的氣質(zhì)很大程度上取決于其創(chuàng)始人的氣質(zhì)。

趙偉是一個(gè)好奇心極其強(qiáng)的人，且從來不會(huì)循規(guī)蹈矩。小時(shí)候因?yàn)閱栴}太多令母親買了《十萬個(gè)為什么》，不知出于什么心理竟然全部“背”了下來，別人迷戀打游戲，他卻熱衷于幫助同學(xué)破解游戲簡單通關(guān)；后來又喜歡計(jì)算機(jī)，很多書都是“背”的方式讀的，甚至將DOS系統(tǒng)的兩百多個(gè)命令背了下來進(jìn)行研究，真真是個(gè)奇人。

這也就能合理的解釋，為什么趙偉大學(xué)時(shí)期讀《道德經(jīng)》、研究佛教。知道創(chuàng)宇這個(gè)名字也因此頗有一番哲學(xué)智慧。

《心經(jīng)》寫道：“色不異空，空不異色”，色，是有顏色、有形狀態(tài)的物質(zhì)現(xiàn)象，是呈現(xiàn)在我們面前的萬事萬物；空，是空性，不是什么都沒有的一潭死水式的斷滅空、頑空，而是指所有事物都是各種因緣和合而生起，不能離開其他事物獨(dú)立存在的空性。老子說：“陰陽對(duì)立統(tǒng)一相互轉(zhuǎn)化”，王陽明說：“知行合一”，趙偉對(duì)此深以為然。

“知道”就是腦海中明白這個(gè)道理，“創(chuàng)”就是創(chuàng)造，“知道”和“創(chuàng)造”要合二為一，知道創(chuàng)宇這個(gè)名字就是由此而來。

趙偉坦言，我們并不想出名，我們只是想把自己的事做好，把客戶保護(hù)好。

情懷不能當(dāng)飯吃，如果情懷指向理想自我，風(fēng)險(xiǎn)就會(huì)比較大；如果情懷指向需求，是可以當(dāng)飯吃的。以現(xiàn)在知道創(chuàng)宇的成績來看，這碗飯捧的還是蠻香的。

“戰(zhàn)斗士”趙偉心中的凈土

細(xì)數(shù)網(wǎng)絡(luò)安全行業(yè)發(fā)展的這些年，經(jīng)歷的每一次內(nèi)卷都足以重塑行業(yè)格局。第一次內(nèi)卷，是早期傳統(tǒng)安全公司“卷銷售”，賣硬件盒子傳統(tǒng)老三樣，企業(yè)買了之后10個(gè)有9個(gè)落灰，真正的攻擊是全方位的光靠盒子根本防不?。坏诙蝺?nèi)卷，是商業(yè)模式的內(nèi)卷，免費(fèi)與收費(fèi)之爭，又卷死一波殺毒公司；第三次內(nèi)卷，互聯(lián)網(wǎng)大廠下場又把安全卷了一圈，把安全的成本包括人才成本又提高一截。

趙偉也卷不動(dòng)了，再卷下去遲早都得變成炮灰。2012年，知道創(chuàng)宇接受了騰訊投資。

要說知道創(chuàng)宇一路走來有至暗時(shí)刻也有高光時(shí)刻，而趙偉就像一個(gè)“戰(zhàn)斗士”，一路披荊斬棘，不僅要“沖鋒陷陣”還要保護(hù)隊(duì)友，就是為了能在卷生卷死的網(wǎng)絡(luò)安全世界活下來。

一直以來，他都特別拼命，就為了拿到單子，用這些項(xiàng)目養(yǎng)活團(tuán)隊(duì)。2009年的時(shí)候，公司賬戶已經(jīng)分文沒有了，他不敢告訴員工，自己四處找朋友借錢，怕招來的技術(shù)大牛跑掉，自己多年的心血付之一炬。

趙偉對(duì)于安全的看法是超前的，但太超前了就難以被接受?！澳阒荒茴I(lǐng)先行業(yè)半步，領(lǐng)先一步就會(huì)死，何況我們當(dāng)時(shí)領(lǐng)先了五步?！?/p>

在其他公司招成百上千個(gè)銷售的時(shí)候，知道創(chuàng)宇只有幾個(gè)銷售，現(xiàn)在團(tuán)隊(duì)已經(jīng)發(fā)展到1800人，真正的銷售也就幾十人，軟件即服務(wù)的SaaS形式，是知道創(chuàng)宇不變的追求。

在網(wǎng)絡(luò)世界，黑客來自于世界各地不受地域限制，攻擊也是全方位的。趙偉認(rèn)為，只有云管邊端全方位的防護(hù)，才能保護(hù)用戶的安全，而這也意味著要不斷投入巨資，才能做出一流的產(chǎn)品。所以知道創(chuàng)宇的前幾年過的并不容易，但是在趙偉的心中一直都有一方凈土或者說夢(mèng)想。

當(dāng)人為了生存而拼命向前奔跑的時(shí)候，根本無暇顧及心中那埋藏已久的悸動(dòng)。在很小的時(shí)候，趙偉心中就埋下了兩顆理想的種子，第一，做自己的漏洞測試平臺(tái)；第二，做中國人的純技術(shù)的黑客分享大會(huì)。

2012年在拿到了騰訊的投資后，趙偉實(shí)現(xiàn)了年少時(shí)的夢(mèng)想，舉辦了第一屆 KCon黑客大會(huì)，今年正好是十一周年?！捌渌陌踩虡I(yè)大會(huì)，去演講我們還得給人家交錢，但是 KCon是給別人錢，只要你的方案通過，參會(huì)的花銷都由知道創(chuàng)宇提供，可以說很任性了”。

KCon至今仍是特別純粹的技術(shù)分享會(huì)，細(xì)細(xì)觀察，不難發(fā)現(xiàn)， KCon 的 K字，就是趙偉的 ID：ICBM的前倆個(gè)字母IC。

 

KCon就像是IC少年的理想、青年的純粹、中年的責(zé)任， 這片凈土是理想也是責(zé)任。

尾聲

技術(shù)人員創(chuàng)業(yè)認(rèn)為技術(shù)是天，當(dāng)然也是對(duì)的，技術(shù)進(jìn)步才是社會(huì)發(fā)展的原動(dòng)力。很多年前，有人告誡趙偉，SaaS安全雖然用戶體驗(yàn)很好，但對(duì)創(chuàng)宇來說，這樣投入太大了、太重了。

就像云計(jì)算基礎(chǔ)設(shè)施前期需要巨大的投入一樣，云安全確實(shí)也是一個(gè)需要大投入的技術(shù)，在趙偉看來，云技術(shù)是最適合做安全的一種體系架構(gòu)，這種SaaS化的云服務(wù)，是最好的保障用戶的方式。

“我們就想把事情做好，而不是什么輕，只看什么掙錢做什么，我們的夢(mèng)想是把安全的網(wǎng)絡(luò)給到用戶?！?/p>

隨著數(shù)字經(jīng)濟(jì)的發(fā)展，讓企業(yè)所有的數(shù)據(jù)分別聚集在“云、管、邊、端、網(wǎng)”里，不論是資源和業(yè)務(wù)系統(tǒng)都在云上面，只有用云技術(shù)來防護(hù)云業(yè)務(wù)，才是真正的云安全。

然而做云安全、云服務(wù)，需要買很多云資源，比如你的流量是100兆，不整1個(gè)G怎么防御，別人100兆就打死了，路一定得寬，這就是燒錢的原因。

一位趙偉的朋友說，都快累死了，還給自己背這么大的壓力。以往，黑客就像互聯(lián)網(wǎng)里面神一般的存在，想入侵誰都行，掌握著生殺予奪的權(quán)利。大俠當(dāng)?shù)暮煤玫?，非要給人家看家護(hù)院。趙偉說，我也沒想明白，但是我知道自己不想當(dāng)無動(dòng)于衷的人。

“不忘初心，為國為民”，知道創(chuàng)宇有這樣一幫人，我更不想辜負(fù)他們這群人非常寶貴且脆弱的情懷。如果再來一次，一定還會(huì)這樣選擇......

（雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。