2007年1月9日，喬幫主從口袋里掏出全世界第一部 iPhone。

2008年9月23日，谷歌向世界展示了 Android 開山之作 G1。

這些小小的屏幕拼接出新世界的圖景，改變了很多人的生活，也組成了一道堤壩，改道了潘宣辰的命運(yùn)河流。

歷史上任何一個(gè)移動(dòng)端惡意代碼家族，包括每一個(gè)變種，我們至少做過一次人工分析。安天移動(dòng)安全掌門人的潘宣辰對(duì)雷鋒網(wǎng)宅客頻道（公眾號(hào)ID：letshome）這樣說。語氣里不無驕傲。當(dāng)前，安天AVL 移動(dòng)反病毒引擎為包括MIUI、YunOS、金立、獵豹、LBE等ROM廠商和APP開發(fā)者提供安全服務(wù)。

即使是網(wǎng)絡(luò)安全產(chǎn)業(yè)爆發(fā)的今天，也鮮有人敢用這種“活字典”的姿態(tài)，表示自己的團(tuán)隊(duì)和所有的移動(dòng)惡意代碼都“打過照面”。

一種簡(jiǎn)單的重復(fù)，恰是另一個(gè)角度的波瀾壯闊。 

【潘宣辰】

愛上信息安全

黑客帝國(guó)

“我希望能看到各種事物的原理和機(jī)理。而網(wǎng)絡(luò)安全安全的綜合性更強(qiáng)，所以更適合我渴望探索的性格?！迸诵饺绱私忉屗x擇武漢大學(xué)信息安全專業(yè)的原因。武漢大學(xué)是國(guó)內(nèi)第一個(gè)本科信息安全專業(yè)，既有張煥國(guó)老師這樣的專業(yè)泰斗，也有彭國(guó)軍等一批優(yōu)秀的青年教師。而就在一切都新鮮陌生的大一學(xué)年，潘宣辰看到了那部曾經(jīng)觸動(dòng)了很多人的電影——《黑客帝國(guó)》。

你所知道的世界，并不是它的全部。

“代碼”第一次以如此具象的方式，沖擊了他的世界。潘宣辰突然發(fā)現(xiàn)，手里的代碼變得鋒利，鋒利到可以穿透現(xiàn)實(shí)，撕開另一個(gè)世界的入口。

新世界的入口

對(duì)于一個(gè)充滿好奇心的人來說，未知世界一旦曾經(jīng)敞開，便成為魂?duì)繅?mèng)縈的目的。

讓潘宣辰記憶深刻的一次探索來自大三。那年在武漢大學(xué)信息安全專業(yè)的推薦下，他參加了新加坡南洋理工大學(xué)的交流計(jì)劃。

新加坡的版權(quán)意識(shí)很強(qiáng)，所以我們都不敢在網(wǎng)上隨便下載電影。但是那時(shí)的 Windows 有一個(gè)默認(rèn)功能，就是默認(rèn)共享某些磁盤目錄。我利用網(wǎng)絡(luò)漏洞編譯了一個(gè)腳本，搜索了校園局域網(wǎng)，搜索到了所有其他電腦上存儲(chǔ)的電影。

不過這件事情的結(jié)果和我想象得不太一樣。一開始我找到了很多大片，但后來突然感到后怕，我突然意識(shí)到，原來安全是這么脆弱，每一個(gè)人這樣需要保障。

他告訴雷鋒網(wǎng)宅客頻道（公眾號(hào)ID：letshome），這是他第一次在實(shí)際的場(chǎng)景中，體會(huì)到了網(wǎng)絡(luò)安全技術(shù)的“趣味性”；“但更重要一點(diǎn)是，我感受到了網(wǎng)絡(luò)安全的嚴(yán)肅和沉重?！?nbsp;

安天·江?？?/h2>

武大信息安全專業(yè)是國(guó)內(nèi)第一個(gè)信息安全本科專業(yè)，在國(guó)內(nèi)聲望很高，各路大牛都被邀請(qǐng)給同學(xué)們演講授課。不過，潘宣辰唯獨(dú)對(duì)一個(gè)仙風(fēng)道骨的大叔印象深刻。

此人就是肖新光，網(wǎng)名江?？停蔡鞂?shí)驗(yàn)室的創(chuàng)始人。

 

【江?？停ㄓ遥┖团诵剑ㄗ螅?/strong>

他有兩點(diǎn)非常打動(dòng)我：一是對(duì)原創(chuàng)技術(shù)的追求，二是民族產(chǎn)業(yè)情懷。潘宣辰說。

2007年，大三的潘宣辰報(bào)名去安天實(shí)驗(yàn)室實(shí)習(xí)，在實(shí)習(xí)人員報(bào)名表上，他填寫了這樣一句話” 我志愿終生從事信息安全方面的工作，這是我的興趣也是志向……“

在那次面試中，潘宣辰對(duì)江?？驼f：“我認(rèn)定的東西就一定會(huì)堅(jiān)持。”

實(shí)習(xí)結(jié)束了，潘宣辰接到了安天實(shí)驗(yàn)室發(fā)展SOHO研究工作組的計(jì)劃，他決定加入這個(gè)計(jì)劃，組建安天武漢研究小組。于是，一個(gè)三人工作組在武漢“掛牌”成立，潘宣辰想起了那部對(duì)他影響頗深的電影，把研究組命名為“X-Matrix”。這就是安天移動(dòng)安全公司前身。

潘宣辰說，Matrix 對(duì)我的影響比較深刻，尤其在對(duì)多樣性的理解和堅(jiān)持上。真正有活力的組織，有活力的世界必然是多樣性的。我用 Matrix，意在希望我的團(tuán)隊(duì)也是多樣性的。我們團(tuán)隊(duì)遵循初衷，采用扁平化的小組結(jié)構(gòu)，每個(gè)小組就是一個(gè) Matrix，多個(gè)小組，構(gòu)成了 X-Matrix。

對(duì)潘宣辰來說，那段時(shí)間是充滿挑戰(zhàn)的。

設(shè)計(jì)、編碼、組織團(tuán)隊(duì)、發(fā)展新人，同時(shí)又要上課，參加學(xué)?；顒?dòng)。X-Matrix 承擔(dān)的第一個(gè)項(xiàng)目與移動(dòng)安全無關(guān)，是安天 WEB 檢測(cè)系統(tǒng)“獵狐”平臺(tái)的開發(fā)，這個(gè)系統(tǒng)投入了安天承擔(dān)的2008北京奧運(yùn)的安保工作。但安天內(nèi)部驗(yàn)收嚴(yán)格，對(duì)這個(gè)系統(tǒng)給了差評(píng)。第二個(gè)項(xiàng)目是一個(gè)手機(jī)分析的工具，效果也不令人滿意。盡管被總部批評(píng)，但潘宣辰依然意氣風(fēng)發(fā)。并把目光逐漸放到移動(dòng)安全方向，安天歷史上曾嘗試過在WINCE、智能 Linux 等移動(dòng)平臺(tái)上進(jìn)行安全探索，但都因相關(guān)操作系統(tǒng)未成為主流場(chǎng)景而不了了之。那么 iPhone 會(huì)是移動(dòng)安全的主戰(zhàn)場(chǎng)么？Symbian 還有必要投入么？Android 呢？他反復(fù)猜測(cè)著方向，希望做出正確選擇。而此時(shí)，人生也需要選擇，研究生畢業(yè)，是去互聯(lián)網(wǎng)大公司拿高薪；還是留在安天，延續(xù)設(shè)想中的網(wǎng)絡(luò)安全工作。他預(yù)感到一個(gè)使命將要到來。果然，他收到了江?？偷男?，信里說：

“安天是否有建立武漢研發(fā)中心乃至未來武漢研究院的決心，主要在你的決心。”

經(jīng)過一個(gè)晚上的思考，他下定了決心。但他還需要組建一個(gè)團(tuán)隊(duì)，他靈機(jī)一動(dòng)，把江?？偷男胖械摹澳恪?，都改成了“你們”，轉(zhuǎn)給其他同樣面臨畢業(yè)的 XMatrix 小伙伴們看，在反復(fù)的交流和談心后，安天武漢研發(fā)中心開始落地開花。

2010年，安天給對(duì)“武研”的定位是“安天的一個(gè)側(cè)重基礎(chǔ)、偏重高端、以移動(dòng)安全為主導(dǎo)的的研發(fā)團(tuán)隊(duì)”。

槍，彈藥和打法

我不把自己定義為黑客，而是信息安全工程師。對(duì)我來講黑客是“鉆研、開放、分享”的精神和價(jià)值觀。我向往這個(gè)精神，可以某種程度上追逐那種狀態(tài)和感覺，但這不是我的身份。

安天吸引潘宣辰的，是專注于反病毒引擎核心技術(shù)的研發(fā)。但安天人知道，國(guó)際知名廠商的成長(zhǎng)史要比多十年以上，其中的技術(shù)積累和底蘊(yùn)不是簡(jiǎn)單的靠努力能解決的。所以安天在AVL基礎(chǔ)檢測(cè)引擎更多的發(fā)力點(diǎn)更多是放在更快的檢測(cè)速度，更豐富的檢測(cè)場(chǎng)景上，安天如果想超越上世紀(jì)80年代末期興起的反病毒先行者們，就必須在一個(gè)新的空間中搶先發(fā)力。而當(dāng)移動(dòng)安全這個(gè)空間已經(jīng)出現(xiàn)時(shí)，這個(gè)責(zé)任落在潘宣辰和他的團(tuán)隊(duì)肩上了。

2011——槍

最初一年，安天移動(dòng)的全職員工只有不到4個(gè)人。潘宣辰慶幸自己留住了研究小組最得力的喬偉等小伙伴，他們承載著安天打造一個(gè)完美移動(dòng)引擎的期望。

要做到對(duì)病毒最深層次的識(shí)別，就需要有檢測(cè)底層代碼的能力。我們做的是二進(jìn)制級(jí)別的監(jiān)測(cè)。每個(gè) APK 安裝包里面都有很多文件，包括資源、描述、DEX，可執(zhí)行文件，還有自己的結(jié)構(gòu)和函數(shù)符號(hào)。其中一個(gè)很重要的部分就是機(jī)器指令代碼。而這些底層代碼有可能被利用發(fā)起攻擊。

潘宣辰說，這一系列的深度檢測(cè)點(diǎn)，現(xiàn)在看來也只有很少的廠商全部做到了。

鎮(zhèn)守一方，開疆拓土是艱難的，與在總部實(shí)習(xí)完事不操心不同，那個(gè)時(shí)候連機(jī)房都是我自己維護(hù)，面臨的最大困難就是機(jī)房經(jīng)常停電。一旦停電服務(wù)就被迫中斷，不過這算不可抗力吧。

隨著工作初見模樣，安天移動(dòng)反病毒引擎已經(jīng)開始和LBE安全大師、金山手機(jī)毒霸（現(xiàn)在的獵豹移動(dòng)安全）合作，也開始為國(guó)家互聯(lián)網(wǎng)應(yīng)急中心等管理機(jī)構(gòu)選用。

然而，有一點(diǎn)略為出乎潘宣辰的意料。那就是經(jīng)過一家合作伙伴的檢測(cè)，安天AVL移動(dòng)反病毒引擎對(duì)于病毒的檢出率并不高，只有60%-70%。合作伙伴的反饋是：引擎很好，你們把我們所能想象的全部檢測(cè)分支都實(shí)現(xiàn)了，但你們的規(guī)則還不能覆蓋所有樣本。

潘宣辰給雷鋒網(wǎng)宅客頻道（公眾號(hào)ID：letshome）打了一個(gè)有趣的比方。

安天研發(fā)了一把很好的槍，但是這遠(yuǎn)遠(yuǎn)不夠，我們還需要一個(gè)兵工廠提供彈藥。

這些彈藥，就是對(duì)于海量病毒樣本的分析工作。面對(duì)每年翻十倍的惡意代碼樣本，只有4個(gè)核心成員的團(tuán)隊(duì)，顯然沒能力生產(chǎn)“彈藥”。

2012——子彈

潘宣辰問江海客，總部會(huì)給武研什么支持，江海客說，我能給你的支持只有一個(gè)，那就是允許你無節(jié)制的招人。

潘宣辰回憶：當(dāng)時(shí)移動(dòng)安全市場(chǎng)已經(jīng)開始展現(xiàn)初始的生命力。雖然我們起步很早，但是人員不足嚴(yán)重影響了我們的產(chǎn)品效果。我們判斷，如果2012年上半年團(tuán)隊(duì)不到35人，這件事我們就不用做了。

但擴(kuò)展團(tuán)隊(duì)何其之難，招聘“惡意代碼分析工程師”。安天武研的招聘啟事如是說。一個(gè)月過去了，連簡(jiǎn)歷都沒人投。

武漢并不像北上廣深擁有那么多高比格的安全人員，空余孤單的小潘在風(fēng)中凌亂。但是時(shí)間不等人，他心生一計(jì)，把招聘崗位改成了“安卓安全測(cè)試工程師”。用他的話說就是“把有研發(fā)和代碼基礎(chǔ)，但是不愿做一線代碼的人先招過來”。 來了之后就進(jìn)行惡意代碼培訓(xùn)，然后直接干活，而且不能全留下，必須有50%的淘汰率。我們的第一波5-7個(gè)工程師就是這么來的。當(dāng)然，現(xiàn)在他們都是很核心的級(jí)別了。

潘宣辰形容他做的事就是“用人把體系填充好”。

這件事沒白做，在2012年底國(guó)際知名安全軟件評(píng)測(cè)機(jī)構(gòu)AV-Test的移動(dòng)安全首次內(nèi)部測(cè)評(píng)中，安天AVL移動(dòng)反病毒引擎的檢出率指標(biāo)平均領(lǐng)先行業(yè)水平10%-15%。這是國(guó)內(nèi)安全廠商第一次在世界反病毒領(lǐng)域呈現(xiàn)出技術(shù)壓制的效果。潘宣辰津津樂道的是，2013全年，安天AVL移動(dòng)反病毒引擎在AV-Test的六次測(cè)評(píng)中拿了3次第一，并以全年平均檢測(cè)率第一的成績(jī)榮獲“移動(dòng)設(shè)備最佳保護(hù)”獎(jiǎng)項(xiàng)。而在2015年另一個(gè)權(quán)威測(cè)試機(jī)構(gòu)AV-C年度測(cè)試中，安天AVL移動(dòng)反病毒引擎也成為唯一上下半年均取得100%檢出率的產(chǎn)品。

【潘宣辰在 AV-Test 頒獎(jiǎng)現(xiàn)場(chǎng)】

2013——人機(jī)

工程師的取向和黑客的取向，有一個(gè)重要的分水嶺。

黑客閃爍的更多的是個(gè)性與智慧的鋒芒，但對(duì)工程師來說，他們深知，與攻擊者直接對(duì)抗的，不是他們自己，而是產(chǎn)品以及后端的支撐體系。他們必須相信團(tuán)隊(duì)協(xié)作，必須用工程體系延展團(tuán)隊(duì)的經(jīng)驗(yàn)與能力。

2013年，潘宣辰面臨的問題是，惡意代碼幾何數(shù)級(jí)爆發(fā)，而安天移動(dòng)的人力不可能無限增加，必須依靠一個(gè)更強(qiáng)大的工程體系支撐才能完成。而江?？蛯?duì)這個(gè)體系下達(dá)的要求更人抓狂，“海量批處理和大代價(jià)的精細(xì)處理要結(jié)合起來，要進(jìn)一步滿足惡意代碼進(jìn)行取證溯源方面的要求，要能夠?qū)ふ谊P(guān)聯(lián)性、尋找根源?！?/p>

潘宣辰當(dāng)年在安天實(shí)習(xí)時(shí)，最感興趣的系統(tǒng)是“病毒自動(dòng)化分析流水線”。他覺得這條傳統(tǒng)流水線對(duì)自動(dòng)強(qiáng)調(diào)過多，但對(duì)人的經(jīng)驗(yàn)整合不夠，導(dǎo)致對(duì)未知惡意代碼的判定不夠理想?！叭松瞄L(zhǎng)精細(xì)化、高質(zhì)量的單點(diǎn)作業(yè)，而機(jī)器適合規(guī)模化復(fù)制作業(yè)。在惡意代碼判定的工序中，我要不斷提高機(jī)器工作的比例，讓人的力量集中在最重要的位置上，而同時(shí)還要把兩者結(jié)合起來?！?/p>

這件事情遠(yuǎn)比說起來簡(jiǎn)單。教會(huì)機(jī)器像人一樣在千萬種選擇中做出最優(yōu)的判斷，其難度無外乎教大猩猩跳芭蕾。算法的改變，規(guī)則的增刪，每一次修改的嘗試都面臨著退步的風(fēng)險(xiǎn)。

我們?cè)噲D開發(fā)一套系統(tǒng)，在沒有任何先驗(yàn)經(jīng)驗(yàn)的情況下，實(shí)現(xiàn)樣本的分類，然后人工對(duì)于某一類的典型樣本進(jìn)行分析。這樣就可以進(jìn)一步減少人力。雖然我們開發(fā)出了這套系統(tǒng)，識(shí)別率也超過了97%，和人不相上下，但是這個(gè)系統(tǒng)需要兩個(gè)工程師同時(shí)維護(hù)，同樣的事情如果用純?nèi)斯さ姆椒ㄖ恍枰粋€(gè)工程師就能搞定。所以在上線一個(gè)月之后，我們還是把它下線了。

對(duì)于這些反復(fù)和挫折，他習(xí)以為常。今天回望有一個(gè)數(shù)據(jù)，可以證明他們的努力效果不錯(cuò)。從13年至今，移動(dòng)惡意代碼數(shù)量增長(zhǎng)了百倍，而安天移動(dòng)的惡意代碼分析工程師數(shù)量只翻了一番。 

【惡意代碼及工程師增長(zhǎng)曲線對(duì)比/圖片由安天移動(dòng)提供】

人類的科技史，可以概括為：不斷用機(jī)器替代人類勞動(dòng)的過程。安天移動(dòng)反病毒引擎和支撐體系的發(fā)展，似乎也正在印證這一點(diǎn)。潘宣辰重視機(jī)器的力量，但不迷信機(jī)器的力量。

弗里德?科恩發(fā)表過關(guān)于不可能有一種系統(tǒng)能夠檢測(cè)所有的惡意代碼的著名論文。江海客說，這篇論文使安全工作者放棄了對(duì)反病毒技術(shù)不切實(shí)際理論想象而走上了持續(xù)對(duì)抗的正道。

人永遠(yuǎn)無法從這場(chǎng)戰(zhàn)役里退出，因?yàn)槟愕膶?duì)手也是人。

不過，潘宣辰并不悲觀。他對(duì)雷鋒網(wǎng)宅客頻道（公眾號(hào)ID：letshome）說：“目前我們已經(jīng)在人機(jī)之間做出了平衡，接下來要面對(duì)的是新增問題，只要能夠低人力成本地解決新增問題，我們就可以一直保持在病毒對(duì)抗中的優(yōu)勢(shì)地位?！?/p>

團(tuán)隊(duì).Leader

當(dāng)年谷歌祭出 Android 1.0 的時(shí)候，也許沒有預(yù)料到這塊小小的屏幕會(huì)這么快成為“黑客帝國(guó)”的主戰(zhàn)場(chǎng)。

潘宣辰在如翻閱辭海一般研究病毒家族樣本的時(shí)候，也沒有預(yù)料到 安天AVL移動(dòng)反病毒引擎會(huì)這么快為4億手機(jī)用戶提供安全保障。

2013年，26歲的潘宣辰成為安天最年輕的合伙人。

2014年，在進(jìn)行了核心團(tuán)隊(duì)激勵(lì)計(jì)劃后，安天武漢研發(fā)中心已經(jīng)改制為安天移動(dòng)安全公司，在安天一體兩翼的集團(tuán)化布局中，成為兩大業(yè)務(wù)單元之一。潘宣辰毫無懸念的成為安天移動(dòng)安全公司CEO。

2016年，安天移動(dòng)安全發(fā)布了AVL Insight威脅情報(bào)平臺(tái)。設(shè)計(jì)安天全域威脅情報(bào)支撐體系的職責(zé)，也落到潘宣辰的肩上。

對(duì)于未來，這位安天移動(dòng)安全少帥說：

反病毒引擎是我們的技術(shù)內(nèi)核，僅有一個(gè)內(nèi)核是不夠，我們的使命是在移動(dòng)和更多新興場(chǎng)景下，應(yīng)對(duì)更廣泛的威脅，為用戶解決更多的安全問題。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。