狠人薛鋒：被歷史“翻牌兒”的黑客，悄悄替你兜了十年暗槍

淺友們好~我是史中，我的日常生活是開撩五湖四海的科技大牛，我會嘗試用各種姿勢，把他們的無邊腦洞和溫情故事講給你聽。如果你想和我做朋友，不妨加微信（shizhongmax）。

狠人薛鋒：

被歷史“翻牌兒”的黑客

悄悄替你兜了十年暗槍

（零）一篇低調報告，一個“三好學生”

2017年，美國某著名網絡安全公司給他的客戶們低調地發去一封內參，分析了一個人和他剛創立的公司。

報告里寫著：

ThreatBook，中國首家威脅情報公司，未來可能成為北京方面提煉網絡安全情報的關鍵角色。。。

目前中國網絡安全整體水平還比較低，這為中國前愛國黑客創立的私營公司提供了難得的機會，為提升中國的整體網絡安全發揮作用。

語氣雖然有點兒小題大做，但不得不佩服，美國老表是真的識貨。

彼時，這家安全公司才成立兩年，三五個人七八條槍。放眼全中國 Top 10000 的企業，用它產品的還不超 20 家。但遠在千里之外的同行就已經感受到了如山壓力。。。

如今，又八年過去，預言洶涌成真。中國 Top 10000 的企業，有超過一半直接或間接被它守衛著。

這么說吧，你我這樣的普通人，只要用手機、會上網、去銀行、交稅、上社保，就很有可能在它營造的碩大金鐘罩之下了。

正式認識下，ThreatBook 的中文名字是——微步在線。

而這位黑客，就是薛鋒。

反正我第一眼見到薛鋒，根本無法把他的形象和“黑客”、“中國最前沿的技術公司”、“網絡安全守護者”這些關鍵詞聯系起來。非要形容的話，他看上去更像一個三好學生。

但他卻屢屢被歷史“翻牌兒”，一襲黑衣，飛檐走壁，與惡人魔法對轟。事了拂衣去，相忘于江湖。

妥妥的賽博狠人。

在微步在線成立的第十個年頭，我想把薛鋒重新介紹給你。

薛鋒

（一）溫故 2015

別被薛鋒少年感的談吐所迷惑，眼角不經意出現的皺紋還是會暗示一些過往。

因為對技術與生俱來的癡迷，2000 年左右，還在上大學的薛鋒就在各種黑客技術論壇發表虎狼之詞，妥妥算是中國黑客的“上古神獸”。

大學畢業后他進入公安系統做技術工作，隨后跳入一家外企 Nevis 在中國開設的實驗室，然后加入了微軟、亞馬遜。

這些“民間+官方+中國+海外”的背景乍看混搭，但在薛鋒的心里并無分別：

他的目標始終如一：抓壞蛋。 他的方法始終如一：用數據。

為了后文無痛理解，這里咱們多解釋一句。

抓壞蛋的數據分兩種：一種是行為數據，一種是標識數據。

比如一個工業園區，有人擅闖禁區、撬保險柜。這些“行為數據”妥妥意味著他是個壞蛋。

但如果一個人已經榮登通緝令，你發現他在門口張望，肯定不用等他實施偷竊行為，直接扭送派出所就行了呀！這就是“標識數據”。

重溫以上簡單的道理，再回到 2015 年，你大概能理解薛鋒的激動。

當時絕大多數公司的安全團隊都靠“行為數據”抓壞蛋，倒不是別的，因為他們只能看到行為數據。。。

但是，薛鋒在微軟和亞馬遜卻見識了另一番天地，這些全球頂尖公司已經玩轉了“標識數據”。

但凡你有前科，那我家大門鐵定不對你打開。

問題來了：世界這么大，我咋知道誰有前科呢？

其實在全球的網絡空間，早就散落著各種“蛛絲馬跡”：

有黑客使用過的工具殘骸，有受害者分享的日志，也有地下論壇交流的病毒木馬，也有大廠發布的漏洞補丁詳情，只缺一雙“發現的眼睛”。

把各種明暗數據匯總，并且篩選、計算，整理成一套實時更新的“通緝令”，這玩意兒就叫——威脅情報。

本來巨頭們都是自己收集威脅情報悄悄用，但在 2015 年，一家來自西班牙的威脅情報平臺 VirusTotal 掀了桌子。

它做了一件“飛入尋常百姓家”的事兒：為所有人提供情報訂閱服務！

大小公司恍然大悟：原來花點錢訂閱個“通緝令”，就能幫自家的安全系統上大分，何樂不為？

畫面切回北京。

薛鋒正和幾個朋友日常擼串。

不是普通朋友，個頂個都是“上古黑客神獸”，有人在阿里，有人在騰訊，有人在百度、美團，簡直是卡死了中國互聯網公司的半壁江山。

薛鋒每隔一兩個月都會攢大家聚一下，順便切磋一下前沿技術。

這次佐餐的主題就是“威脅情報”。

大家一對才發現：各自公司都想嘗試威脅情報，但都缺個靠譜的情報供應商。。。

以往聊天是純聊天，聊完之后各自滾回去上班，但這次薛鋒真忍不住了。

“咱們干脆出來 ? 創！業！吧！”

轉頭，就去注冊了微步在線。

現在看來，這操作多少帶點兒草莽，但穿越回 2015，一切再合理不過。

那時的中國經濟突然爆燃到前所未有的亮度，時代把安全感撲灑到每個普通人身上，風中都飄著甜味。

“不僅是我，同一批創業的朋友都壓根沒想過失敗。大家覺得就算胡亂折騰，至少也是一年比一年好。”薛鋒回憶。

正是這種莫名的樂觀，讓微步在線被歷史翻牌兒，成為了中國第一家威脅情報公司。

我讓薛鋒凝練一下那個時代，他想了片刻，說：寬容。

“你只要打出旗號說自己站在威脅情報這個賽道，投資人就感興趣，媒體就來報道你，大家也不看你的客戶有多少，收入有幾千萬，就是想幫你。”

很快，寬容的空氣平等地催生了更多威脅情報公司，真的假的高仿的疑似的，加一塊兒能有十幾家。

現在回想，薛鋒感謝自己的行動力——要是微步在線成立再晚一兩個月，這“第一”就要被別人喊了去。

彼時大家全在起步階段，論收入都少得可憐，但微小的“對稱性破缺”已悄然出現：

微步在線搞出了“X 情報社區”，玩法簡單而炸裂：所有人都能免費（少量）查詢威脅情報，所有人都能貢獻威脅情報。

很多公司的安全師傅，遇到拿不準黑白的 IP 或網址，就上來查一下；在自家系統里發現攻擊者連接了未知 IP，也順手共享給社區，為通緝令添磚加瓦。

這樣一來，微步在線的情報真真是“給看也給摸，好壞大家說”，很快就在各大安全社區的心智里駐扎下來。

也正是從那時起，中國有頭有臉的企業，但凡想要訂閱威脅情報，就看到天空飄來四個字兒：微步在線。

不找薛鋒來聊聊，那總覺得不對味兒。

（二）買報紙有買一輩子的嗎？！

2017年，薛鋒坐在一家頭部券商的辦公室，對面齊刷刷三位頭發灰白的老師。儼然像是研究生答辯。。。

已經辯了倆小時，兩邊好不容易把威脅情報的價格談妥，下一步就是簽協議。

薛鋒從里到外松了口氣，這是微步在金融領域的第一個客戶，如果“破冰”，后面就有第二個、第三個。

“哦對了，你們稅率是多少？”對方隨口一問。

“稅率是啥？”薛鋒又支棱起來。

三位專家差點摔桌子底下，小伙兒連稅率都不知道，就敢做我們的生意？！

薛鋒見勢不妙，趕緊穩住老師們，出去給財務掛電話，兩分鐘也沒搞明白什么是“增值稅”，只好回來鸚鵡學舌把稅率背出來。

老師們輕輕皺眉，交換了眼神，說：“你回去吧，我們再研究研究。”

“我不走，今天必須把協議簽了我才走！”薛鋒不知怎么冒出這么一句，仿佛梁靜茹附體，渾身都是勇氣。

對方被他逗樂了，為首的專家苦笑了一下，說：“先把協議拿來看下吧。”

薛鋒趕緊把準備好的協議呈上去。對方端詳了兩分鐘，眉頭突然收緊：“等等。。。你說的這個數，不是一次性的費用？是每年的費用？”

“是啊！”薛鋒瞪大眼睛。

協議被推到一邊。

“憑什么？”

“憑什么？你訂報紙不可能一次訂一輩子的吧？買愛奇藝賬號，也得一年一給錢吧？”薛鋒哭笑不得又理直氣壯，在他心里，這和太陽從東邊升起一樣，是無需解釋的。

接下來一個小時，薛鋒完全扭轉了自己卑微的乙方角色，貼臉給對方幾位老師輸出了一通“訂閱制”的合理與必然。

到最后，對方竟然頻頻點頭，把意向協議拿過來給簽了。。。

現在回想起那個兇狠場面，薛鋒的評價是：后怕。。。

別說在 2017 年，就是今天，很多人還是對訂閱制有偏見——畢竟每隔一段時間就要續費，掏一次錢就肝疼一次。

設身處地想想，咱們每年訂百來塊錢的愛奇藝都手抖，何況要訂每年上百萬的情報呢？

當時那家券商，如果讓薛鋒拿著空白協議回家，他什么脾氣都沒有。

只不過，世界線沒選那條岔路而已。

這份合同，可太珍貴了：

后來薛鋒去見第二家券商，人家也氣勢洶洶地問：“為啥每年都要收我們錢？”

薛鋒笑笑：“另一家跟你們同級別的券商，人家早接受訂閱了！”

對方不信，薛鋒真就把這份合同掏出來，捂著客戶名字給他們看合同條款。對方就同意了。。。

后來薛鋒又去談銀行，沒有銀行案例，就把前面幾家券商的合同都給人家展示一遍，也成功拿下。。。

就這樣左腳踩右腳，直接奠定了微步在線在金融行業的江湖地位，貢獻了創業初期的大把收入。

如今回望，薛鋒當然是幸運的，但好像又不能簡單地歸結為“撞大運”。

退到時代的岸邊，你會目睹浪潮：

2013年，微軟 Office、Adobe、vmware 這些通用軟件已經全部完成了從買斷制到訂閱制的轉變。

2016年，更垂直的企業級軟件，如 Oracle、SAP、AutoDesk 也在全面轉向訂閱制。

為啥？道理也簡單：

對于廣義的“軟件”來說，更新迭代越慢，就越偏工具屬性；更細迭代越快，就越偏服務屬性。

工具當然是一手交錢一手交貨，交易完成，兩不相欠。

服務意味著要*持續*花費精力來提供，付一次錢管一輩子，那不是買服務，那是買奴隸。。。

具體到威脅情報：

網絡世界的攻擊者每分每秒都有新的動向，所以情報也必須每分每秒更新，服務屬性拉滿，對于情報提供者來說，訂閱才是更好的收費方式嘛！

而且，既然能訂閱，就意味著能退訂。威脅情報提供者為了留住客戶，就必須上緊發條不斷挖掘更準更新的情報。從這個角度看，訂閱對客戶來說也是好事一樁。

“他好我也好，怎會不流行？”

這就是薛鋒的判斷邏輯。

時代的浪頭無情，會隨機吞噬“站錯邊的人”。

與其說薛鋒幸運，不如說因為他勇敢地押注了歷史的正確一側，才變得幸運。

這里有必要多解釋一句：“勇敢押注”并非“閉眼梭哈”——它更像肌肉，源自漫長而不間斷的鍛煉。

從十年前起，微步在線的大小群組中，存在感最高的就是薛鋒這個 CEO。

每隔個把小時，他都會在不同的群里快閃一下，甩一個他最近看到的覺得有用的文章。可能是技術分享，可能是并購消息，可能是行業報告，也可能僅僅是某個新概念。

同事們把這種操作視為“公司心跳”。隔一段時間沒看到分享鏈接，大家就會心慌，我家 CEO 哪去了？

看似婆婆媽媽的日常，其實就是在“鍛煉”。

薛鋒相信，人在世間行走，主要靠腦袋里的三樣法寶：算力、模型、數據。

算力就是智商，人和人的智商相差無幾；思維方式是模型，這才是人們拉開差距的主要原因；而模型不會自己進化，調節它只能靠數據。

想象一下，我們腦袋里有好多指針。同步某個信息，也許會對某個指針有千分之一度的微調。日積月累，我們的模型就變得更有競爭力，做出的決策會比別人好一丟丟。

薛鋒拆解其中的動力學。

這不，就在 2017 年的某一天，薛鋒又甩出一個新詞兒。。。

（三）何以被依賴

孟龍站在電梯里，身邊一個穿灰襯衫的人，背著書包，昂首挺胸，沖他笑了笑。孟龍禮貌地點頭，心里琢磨著接下來的面試，沒在意兩人在同一層下樓。

五分鐘后，孟龍進入面試間，對面正是那個灰襯衫——薛鋒剛見客戶回來。。。

孟龍是個性情中人，他當時并不了解微步在線已經是被北極光、高瓴等資本追捧的明星，也不清楚薛鋒是履歷光鮮的大黑客，就憑 CEO 老哥這平易近人的氣場，一起創業肯定帶勁！

“你聽說過‘客戶成功’嗎？想不想做？”薛鋒問孟龍。

“沒聽過，但我可以做。”孟龍先搖頭后點頭。

別看薛鋒說得像個老司機，這個詞兒他也剛聽不久。

忘記在哪讀到一則新聞，說國外的酷公司都在成立“客戶成功部門”，主要任務就是幫客戶用好自家產品。

腦袋里多年訓練的“神經網絡”瞬間凸顯。直覺告訴薛鋒，這很重要！

因為“續訂率”是情報產品的生死線。就算你的情報再好再準，只要客戶玩不轉，就會說你爛，第二年妥妥退訂。。。

續訂率對未來收入的影響巨大！

于是，2017 年，微步在線在客戶都沒幾個的情況下，早早就成立了“客戶成功部門”。

“歪，我是微步在線負責客戶成功的，您什么時候有時間，我去拜訪。。。”孟龍對著聽筒熱情洋溢。

“成功？什么成功？我們已經挺成功了。嘟、嘟、嘟。。。”對方掛斷。

最開始幾個月，像這樣羞恥地碰一鼻子灰是家常便飯。

孟龍告訴我，還有更羞恥的：有的客戶根本不知道自己是客戶。

這是因為，有些集成商采購了微步的情報，然后轉售給了他的客戶，客戶不清楚自己訂閱了神馬威脅情報，更別說用好了。

這里的難言之隱是：出于復雜的利益關系，集成商大多不希望微步直接和客戶建立聯系。

“如果不能達成面基，這類客戶第二年流失率就會達到 80%。”孟龍痛心疾首。

當時逼得沒招，孟龍把上學時追女孩子的技巧都使出來了，要么趁著給客戶做維護的機會創造偶遇，要么趁和客戶獨處的時候表明心跡。

實在逮不著機會，孟龍就拉薛鋒助陣，托朋友找關系“遞小紙條”，突破層層阻礙千里姻緣一線牽，只為強行幫他們成功。。。

這么瘋狂地干了一兩年，孟龍發現“攻守之勢異也”：客戶遇到不懂的，開始主動請他過去講解；甚至不少一線工程師還把領導拉來，領導發現情報這玩意兒好使，又介紹給其他團隊使用。

“從被客戶嫌棄，到被客戶依賴，這里面的成就感，你細品。”孟龍咂嘴。

聽他回憶這些，我腦海里突然冒出劉強東的故事。

當年老劉在中關村租了個柜臺做“京東多媒體”，主要是給婚紗影樓的老板賣光盤刻錄的軟硬件。人家老板交完錢準備走，劉強東愣是不讓，必須坐這兒半小時，手把手教會了才放你走。

后來，天南海北的婚紗影樓老板都傳開了，來中關村就找京東買東西，學會了回去好掙錢。

這種“強行”幫客戶成功的勁頭，還真是頗有幾分神似。

事實證明，在幼年階段就建立客戶成功部門，成了薛鋒再次被歷史翻牌兒的“神之一手”。

不僅老客戶續訂率飆到 90% 以上，炸燃口碑也源源不斷地“勾引”新客戶。從天空俯瞰，微步用情報編制的金鐘罩，正在迅速擴展到各行各業。

但曠野上有只“大象”——微步一直沒找到機會保護體量巨大的制造業。

薛鋒在等待歷史的再次眷顧。

2017 年的一個早晨，銷售同事接到一個電話，直接從椅子上彈起來，對方不是微步駕輕就熟的互聯網和金融客戶，而是一家能源巨頭！

薛鋒趕緊沖到客戶總部，可聽完對方的需求，卻開始撓頭。

按理說，查詢情報的標準姿勢是客戶連接微步在線的云端數據庫（這被稱為 SaaS 模式）。

可這家企業很大，查詢頻率極高。這樣一來，網絡壓力太大不說，總連外網也不符合央企的系統建設傳統。

所以他們想建立一個“威脅情報平臺”，讓微步把情報定時推送進去。

薛鋒的糾結在于：這樣的私有部署很難傳輸全量情報，而且定時推送會導致情報滯后，威力必然受到束縛。

可是如果不做妥協，豈不是和這一類企業都說再見了嗎？

錢賺不到事小，保護不了中國經濟的基本盤事才大！

想來想去，薛鋒下定決心，開辟一個新產品線，這就是 TIP。

負責 TIP 的，正是 2015 年一邊擼串一邊參與了微步在線起心動念的另一位“神獸”，任政。

任政很快發現，這里有坑！

當時微步的業務正超速擴展，每個人都努著 12 分勁兒，分身乏術。任政把全公司抄個底兒掉，好不容易撈下來一位原本準備辭職的研發工程師。。。

客戶不管你這個，三天兩頭催促：“你們的產品進度如何？啥時候給我們看看？”任政擔心拖久了合作有變，咬著牙說：下周！

“其實當時一行代碼還沒有。”他回憶。

研發小哥熬夜一周，總算拿出了一個超級精簡的“靈魂預覽版”。

任政硬著頭皮展示，客戶用關愛的眼神看他。。。

為了打消疑慮，任政干脆提出，每周二到客戶那現場辦公！一邊聊具體功能，一邊實時轉達給后方的研發小哥，當時改，當時看。

客戶終于被微步的誠意打動了，也開始認真對待。

是時候展現真正的技術了！

每周二吃完午飯，就打車幾十公里到客戶那，變成了任政的肌肉記憶。風雨無阻堅持了一年多，不僅系統順利部署進去，還迭代了好幾個版本。

在如此巨無霸企業中磨練出來的 TIP，再進入行業其他客戶，那必然降維打擊，無比絲滑，好評如潮。

讓我觸動的是，無論是任政還是孟龍，聊起七八年前的客戶都如數家珍，像是在回憶多年未見的老朋友，某種超越商業關系的情緒縈繞在空氣中。

這些難以準確言表的氛圍，也許構成了微步在線對“客戶”的完整定義。

回到當時，隨著薛鋒把威脅情報送進各行各業，客戶們送了他一個有點兒萌的外號——情報薛。

可情報的標簽太響亮，反而成了微步在線的“枷鎖”。。。

因為情報畢竟只是一張“通緝令”，要想真正抓到壞蛋，不能僅靠這張薄薄的紙。你還得擼胳膊挽袖子，親自下場去肉搏呀！

薛鋒開始 YY 更多“近身肉搏”的產品。

（四）把“靈魂”灌進去

如果把一家企業的網絡空間比作一個“工業園區”，壞蛋的目標就是潛入進來，找到藏在里面的機密信息。

園區里的保安隊人手一份“通緝令”，目標是撲倒壞蛋。

有幾個經典的位置可供保安們選擇：

如果守在大門口，就叫“防火墻”（FW）； 如果守在通往每棟樓的路口，就叫“網絡檢測響應”（NDR）； 如果守在大樓內部的房間里，就叫“端點檢測響應”（EDR）。

這第一款“肉搏產品”，薛鋒選了路口（NDR），產品的名字叫——TDP。

說到做產品，那哲學可多了去了：比如小米的親民標品哲學，蘋果的完美主義哲學，OV 的下沉渠道哲學。。。

這時的薛鋒，腦袋里模模糊糊有感覺：要能像蘋果那樣就好了。

于是他鬼使神差地給 TDP 配備了“鐵三角組合”：

產品 Leader + 研發經理 + 產品經理

研發經理負責技術，有點兒像孫悟空：

一路的妖怪都是都是他打死的不假。但技術再牛，一路打上西天，佛祖（客戶）也不會把真經（錢）給他。

產品 Leader 有點兒像唐僧：

他可能不了解妖怪，但他了解西天。雖然對大伙兒沒有強制力，但卻能用自己的靈魂定義產品的愿景，指引大家往西天的方向行進。

產品經理的角色有點像八戒：

他負責溝通，讓用戶和產品之間順暢溝通，也讓團隊成員之間高效溝通。這種溝通，是通過一個個具體的功能邏輯、按鈕排布、界面配色來實現的。

事實證明，通過這種排布，薛鋒又早早地把幸運女神給召喚了出來。

2017 年一推出，TDP 就跟其他國產同類產品的使用體驗拉開了幾個檔次。

還用“保安”來打比方的話，大概是醬：

TDP 這個保安一米八大個，渾身腱子肉，制服帥氣肩章閃亮，說話好聽業主都愛； 更要命的是，它手里捏著這份威脅情報，撲壞蛋一撲一個準兒，基本沒有冤假錯案。。。

衡量一個網安產品“撲壞蛋”的能力，有倆核心指標：檢出率和誤報率。

這兩個指標是蹺蹺板，檢出率高，就可能有冤假錯案；冤假錯案少了，就可能漏報。

TDP 當然也逃不出這個規律，只不過這群人下狠功夫，把這兩個指標在蹺蹺板的前提下還同時推到了行業第一。

有客戶不解，逼問薛鋒為啥兩項指標都拿第一，是不是騙人？

薛鋒當時的回答很帶勁：

咱上學的時候，差的同學可是語文數學都差，好的同學可是語文數學都好！

這是 TDP 早期版本的截圖。

實際上，這種很早就定下的“鐵三角模式”，成為微步在線產品力的來源。后來的故事屢屢證明，但凡對“鐵三角”執行得不到位，幸運女神就不搭理這群人。。。

任政就翻過車。

他本是某產品 Leader 的角色，應該像唐僧一樣吃齋念佛把控西天大方向，但他偏偏手癢癢，努力自學設計軟件，畫了一套精細的產品原型圖。

結果產品經理拿到這個圖，已經沒啥發揮空間，只能上上色，改動一下按鈕位置。

拿到客戶那，反饋極差，人家根本搞不懂他的腦回路。

任政這才恍然大悟，原來自己是以一個“黑客神獸”的視角設計的，而客戶那邊的使用者，主要是普通的網絡安全運維同學，你搞的這些自以為高大上的功能，人家不想學，也學不會。

實際上，就算天才如喬布斯，也經歷過這樣的“自嗨”階段。

當時喬布斯設計的 NeXT 電腦，主推“面向對象編程”的 Objective-C 語言。對于深刻理解編程的大神來說，那簡直是效率神器；可是對于普通程序員來說，這玩意兒太抽象了，切換成本極高。。。

果不其然，NeXT 電腦市場慘敗。

走過幾次彎路后，微步在線形成一道“奇景”：產品經理的角色大多都沒有網絡安全背景。

這倒不是有意篩選的結果，而是一個人如果在網絡安全技術里陷得太深，就很難再對普通小白用戶的需求保持敏感。

你看，鐵三角不是凹造型，它的精髓是：

頂點上的三個人必須把自己的靈魂*平等地*灌注進去。

后來江湖上竟然出現傳言， 微步在線找了一個“中央美院”的團隊來做產品設計。

我向薛鋒求證，確實有過一個清華美院的姑娘在產品團隊待過，但時間不長，對團隊的理念沒啥影響。

想來，“美院”的傳言雖不真切，卻是市場對微步產品能力的頂級認可。

微步在線就這樣摸著石頭過河，走上了“蘋果模式”。

注意，所謂蘋果模式，不僅意味著產品自成一派，還意味著價格也比同行高一大截。

這幫人對此感到驕傲。

孟龍記得，當時有個客戶不了解微步，一看到價格直接心生反感，說話不客氣：東西這么貴，只有 SB 才買！

孟龍也不惱：“8000 塊的山寨機，和1萬塊的 iPhone，你說誰更便宜？貴不貴你先試試，試又不要錢。”

試試就試試！正好這個客戶要參加國家級攻防演練，同時接入了好多安全產品。

結果有一路進攻隊隱藏極深，眼看已經騙過了所有安全產品，就在快拿到核心資料的緊要關頭，TDP 單騎突出，彈出報警，直接把壞蛋撲倒在了最后一米。

客戶心悅誠服地買了微步的單，絕口不提貴不貴的事兒了。

至此，江湖上傳頌的微步三劍客——威脅情報查詢（API）、TIP、TDP 已經聚義完畢。

從 2018 年開始，三劍客大殺四方，金融、互聯網、制造業的頭部企業被次第掛上客戶墻，微步在線開創了與創業公司體量極不相稱的宏大版圖。

猛踩油門之下，老司機薛鋒也終于開始體驗“失控”的刺激。

這是之前文章里我給大家看過的微步在線的客戶墻。（當時的客戶墻都得打碼才能發出來，現在的客戶墻過于炸裂，不宜展示）

（五）失控

2018 年是上輪經濟周期的小高點。隨著全球經濟緩步入冬，微步在線卻漫步在自己的春天里，在 2019-2022 年連續進行了四輪融資。

薛鋒成了草原上闊步的獅子，目之所及的斑馬羚羊全是點心。

微步在線的人數從 100 暴增至 400，新產品也像煙花一樣次第發射。

必須承認的是，即便串演超級英雄電影的主角，薛鋒也難得地保持了冷靜：小心翼翼地依賴過往的成功所塑造的“思維模型”做新的決策。

但問題在于：能否擴大成功，取決于你對已有成功的理解“是否足夠深刻”。

一個慘痛的教訓，就是后來暫停的產品 OneEDR。

沿用之前“工業園區”的比喻，OneEDR 這個保安守衛的是哪呢？大概是“生產車間”的位置。

這個位置最貼近一手數據，同時所處的環境也最為復雜。

所以 EDR 的首要原則是“穩定”：保安的搏斗姿勢一定要干凈，不能把壞蛋按倒在地后，回頭一看瓶瓶罐罐被撞碎了一地。

但把產品做穩定需要極為豐富的內力，并且從產品的第一行代碼開始就要把經驗傾注進去。

在 OneEDR 產品上，薛鋒堅持了“鐵三角模式”，卻在三個角兒上同時啟用了“沒踩過坑”的新人。

就是這點兒微小的冒進，推倒了多米諾骨牌，產品最初的穩定性欠佳。

薛鋒記得，當時一家頭部互聯網公司聽說微步推出了 OneEDR，滿心歡喜來吃螃蟹，結果部署進去第二周就出現了不穩定的情況，只好返廠回爐。

與情報 API 產品當年在金融領域口碑正循環相反，OneEDR 陷入了口碑的“負循環”。

一向沉穩的車，走位也開始畫龍。。。

隨后幾年，產品一邊修補，一邊嘗試進入更多企業，問題開始暴露，很多都與最初的設計思路相關，改起來成本巨大。

改到后來，OneEDR 的水平其實也說得過去了。但薛鋒反應激烈：“微步”兩個字已經成為品類第一的代名詞，這樣“非第一”的產品存在一天，對微步在線的口碑就傷害一天，后患無窮。

他拿起屠刀，直接砍掉了這個投入幾十人，研發了四年的產品。

OneEDR 停服，很快就有客戶找來：“我們覺得挺好的！后續不用你管升級，只要讓我們續費繼續用就行！”

即使面對這樣送上門的錢，薛鋒還是誠懇道歉：“對不起，必須要停。”

從那以后，薛鋒對新品研發流程進行了大升級，追加了兩個嚴肅的原則：

第一，“鐵三角”中至少有一角是完整參與過某個老產品的人，確保做出的東西從第一行代碼就遺傳了微步的“精神內核”。 第二，任何產品研發前，大家必須坐在一起反復討論清楚三個問題：我們為什么要做這個？我們為什么能做成？我們為什么能做到第一名？想不清楚就不能動。

“未知是最可怕的東西。只要你清楚失敗的原因，它就不嚇人了。”薛鋒用一貫輕松的語氣對我說。

其實，就在 OneEDR 關停前的 2020 年，大伙兒已經在嘗試扶穩方向盤。

他們挑戰了另一個難度極高的 EDR：辦公網主機安全產品，命名為 OneSEC。

這又是個啥？沿用“工業園區”的比喻，OneSEC 守護的位置就是辦公樓里面的一間間“辦公室”。

這里，是最靠近數據的核心位置，是“盜夢空間”的最底層。

薛鋒還不知道，一場嚴重的內部糾結，正在前方等待。。。

（六）執拗

為了保證 OneSEC 的成功，薛鋒部署了有史以來最豪華的“鐵三角”，其中最重要的“產品 Leader”角色給了雅芳，她也曾是初代 TDP 的產品 Leader，履歷中未有敗績。

薛鋒雖不插手細節，卻提出一個非分要求：必須堅持云化模式。

也就是說，OneSEC 需要把企業辦公主機里發生的重點行為都傳到微步在線的云端服務器上進行判定，而非在本地計算。

問題是，之前做 TIP 的時候，薛鋒是主動妥協過的，同意做了本地化部署，為什么到了 OneSEC 卻這么剛呢？

因為時間是把殺豬刀。

五年過去，一切都變了。

第一，黑客變了。

頂尖黑客非常狡猾。他們了解“通緝令”的存在，就會以更快的速度改換身份，有的甚至幾秒鐘就能“變裝成功”。

第二，情報變了。

面對快速變裝的黑客，但凡情報慢更新慢一點兒，漏過的概率就會大大增加。此時如果還把情報定時傳輸到本地，效果會大打折扣。

第三，算力變了。

越是高手黑客，在辦公主機里留下的痕跡越少，需要把大量的數據聯合起來計算，再與威脅情報和行為模式進行匹配才能精準地發現。

這么高強度的計算，本地計算機已經搞不定，必須利用云上算力才能算明白。

無論從什么角度看，我們都回不去了：云化模式的 OneSEC 效果會比本地部署好無數倍。

可問題是：企業內網的底層數據要實時上傳云端，很多客戶跨不過這道心理的坎兒。。。

有些人甚至擔心這違反政策。

實際上，相關政策規定關鍵基礎設施企業不能把*業務數據*外傳，可 OneSEC 上傳的數據只是底層的機器運轉數據，和業務無關，并不違反政策。

但你講你的道理，人家可以不聽。

很多企業的一線同事測試后都表示：你這東西是真好，我們很想用。但領導一聽要外傳數據，死活不讓買。。。如果能本地部署，我們馬上付錢。

強行推了一年，雅芳的懷疑與日俱增：是不是現在的歷史時機真的不成熟？哪怕咱曲線救國，先做一版本地化的 OneSEC，將來再引導客戶往云上發展也行啊！

她去找薛鋒很多次，每次都被堅定駁回。

到最后，薛鋒索性說了狠話：“不做云化，那就沒必要做這個產品了！”

雅芳眼淚都快下來了。

“云化模式能力更強，對客戶更好；云化模式產品輕量，運行簡單，對微步也更好。他好我也好，怎么不能成？”薛鋒解釋。

彼時薛鋒的身影，和坐在第一家券商客戶里狠狠堅持“訂閱制”的他合二為一。

云上還是本地的討論，就此終結。

微步眾將開始了艱苦的“巷戰”：

他們去到客戶那里，掰開揉碎了講道理，甚至直接打開蓋子——允許客戶隨機抓包，看看 OneSEC 究竟上傳了什么東西，究竟有沒有不合適的數據。

如果客戶執意要買本地版 OneSEC，哪怕加價到可怕的程度，微步的回答也是倆字：沒有。

就這樣，一個客戶一個客戶地布道，一個客戶一個客戶地部署，又堅持了半年、一年、兩年。

到了 2024 年，薛鋒發現，居然有同行偷偷打聽：“微步 OneSEC 的云化模式是怎么搞的，我們也想試試。”

薛鋒長舒了口氣，他分明嗅到市場堅冰消融的潮濕，那是春天的氣息。

再一次被歷史翻牌兒的感覺，真好。

故事講到這兒，薛鋒站起身來，特意在白板上寫下了這十年總結的“十字真言”：

堅持訂閱，

堅持云化優先。

事實上，正因為堅持“訂閱”和“云化”，才能讓微步在同行陷入定制化泥淖的時候，卻保持了恐怖的平穩增長。

這是對執拗的獎賞。

善于自省的人會用“成本思維”看待錯誤：出錯越早，成長的代價越小。

這些核心產品的成敗得失，在 AI 浪潮迎頭拍過來的時候，成了薛鋒心里的壓艙石。

2023 年，微步在線低調發布了一個“小”產品——XGPT。

XGPT 像個變形金剛，既可以放在產品里用于解讀告警、輔助操作，也可以單獨使用，回答用戶有關安全的一切問題。

這時，薛鋒又來了一個騷操作，把 XGPT 直接放在了“X 社區”，和當年你的情報一樣，變成了普通人“既能看也能摸”的東西。

很顯然，在他心里，“AI+安全”與當年的威脅情報有著共通之處：它們都是一個巨大時代的起點。

“這么說？你們還攢著什么大招嗎？”我問。

“我們等著瞧。”薛鋒擺出三好學生的經典笑容。

這是 XGPT 的界面，你也可以去“X 情報社區”上試試。

（七）一直游到“泡沫消散”

出來混，總是要還的。

2015年，寬容的春風催生了無數網安公司寶寶；

2025年，嚴酷的寒冬見證了慘烈的內卷。

求生的掙扎并不體面，人性中的陰影無暇遮蔽。

很多公司為了生存，利用采購文化中的陋習，采用極低價格競爭。到后來愈演愈烈：有人投標采用低價拿下后，知道自己無法盈利，干脆有預謀地爛尾，誰也別做。

但對此，薛鋒卻比我預想中冷靜得多。

“我們并非生活在真空，我們生活在有細菌的世界里，你不得不接受。”他說。“在微步所有的訂單里，大概有 30%-40% 會碰到低價競爭。沒有這些低價單當然更好，但有，也沒關系。”

我突然有一種“安卓機掐架，蘋果在旁邊觀戰”的既視感。

“哪些單子你們會同意低價呢？”我好奇。

“那些一線同事真心喜歡，但由于歷史原因有著糟糕采購制度的單子。”他脫口而出。

“你怎么知道他喜不喜歡？”

“這可太容易了。在試用階段，他登錄頻繁不頻繁？他和你見面時，是什么表情？和你聊天時，會不會對具體的功能提出建議？喜歡是藏不住的。客戶只要說一句‘想要’，就夠了。”他說。

我腦海里莫名出現了那句話：只要你走出 1 步，剩下的 99 步交給我。

原來薛鋒把生意做成了戀愛。

“你有沒有覺得，從你聽說網絡安全這個行業到今天，現在是它最低光的時刻？”薛鋒突然問我。

我不得不點頭。

“但在我看來，現在距離最低點已經不遠了。我對網安行業充滿信心。”他話鋒一轉，我差點閃了腰。

任何一個行業，只要經歷過被資本辣手“催化”的階段，都會出現供給過剩的泡沫。

泡沫消散的過程是痛苦的，是漫長的，但不是沒有盡頭的。

薛鋒提醒我注意一個奇怪的現象：

就在 2025 年，網絡安全的巨頭公司，雖然收入規模更大，但產品都是批發走量。而像微步在線這種主打技術的創業公司，產品反而更貴。

他的解讀是：這是個豐富的世界，有些產品就是為了“合規”而存在，而有些產品是為“解決問題”而存在。

在我們創業之初的愿景里，沒有一條是我要成為規模第一的企業。我們這群人是為了解決這個世界上存在的問題，才走到了一起，才走了十年。

薛鋒說。

他之所以樂觀，就是因為看到時代的“引擎”正悄然更替：“解決問題”正在替代“合規”，成為網絡安全行業滾滾向前的首要驅動力。

如果說 2015 年是網絡安全行業萬物盛開的寒武紀；

那么十年后的 2025，屬于強者的白堊紀正緩緩展開。

繼續向前游，一直游到海水變藍，一直游到“泡沫消散”。

十年不夠，就再游十年。

前兩天去香港出差，薛鋒坐在出租車上穿過鬧市，不自覺地看兩邊的店面。

越看越開心：這個快餐大牌、那個便利店連鎖、還有這銀行那銀行，都已經是微步在線的客戶。

驕傲并非因為“大牌有面兒”，而是因為這些企業服務著億萬用戶。某種意義上說，微步在線已經和普通人的生活血脈相連，無法分開。

確認這一點，讓薛鋒覺得過去十年的一切都值了。

轉過街角，偶然抬頭，又看到一家著名機構的招牌，發現還不是自己的客戶。薛鋒立刻像個孩子一樣撇嘴，心里念叨：“哎，還要努力。。。”

薛鋒不是替自己著急，是替客戶著急。

中國大小企業加起來，每年有一千億的網絡安全預算，即便如此，還有那么多大企業在用著陳舊的、根本不能保護他們安全的東西。

這種魔幻的感覺，就像是已經到了 iPhone 時代，你看到還有人用諾基亞，并且抱怨為啥不好用。

“這不是轟轟烈烈的革命，而是漫長的歷史進程。它已經開始了，我們要讓它加速。”薛鋒說。

是的，他嫌歷史翻他牌兒的速度不夠快。

薛鋒事事論理，鮮有感性一面。

但在臨別前，他突然分享了一個小故事：

那是兩年前的“五一長假”前夕，一款新產品開發到了最后關頭，反正隔天就是假期，大家決定留下來加會兒班，把產品搞完回家好好玩。

薛鋒一看，也決定留下來陪大家。

本來以為 10 點前能搞定了，可是遇到一些小問題，大家在一起討論，想解法，竟然搞到了半夜一點還沒結束。薛鋒在旁邊把所有郵件都回完了，索性也不走了，陪大家到底。

那天最后搞定，已經到了凌晨四點。

伙伴們在晨曦中道別，那一刻，連薛鋒這么“鐵石心腸”的人也被擊中。

“如果你問我創業十年最珍惜什么。”薛鋒說，“就像爬山，坐纜車幾分鐘就上去，可車廂里坐的都是陌生人，這樣的山頂少了趣味。只有一群相知的好朋友，用雙腳一步步爬上去，那些回憶才是獨一無二的。”

“珍貴的不是山頂，是誰曾經和你一起爬山。”

他說。

冰封網安十年

熱血微步在線

再自我介紹一下吧。我叫史中，是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友，可以搜索微信：shizhongmax。

哦對了，如果喜歡文章，請別吝惜你的“在看”或“分享”。讓有趣的靈魂有機會相遇，會是一件很美好的事情。

Thx with in Beijing