用一个词形容35岁的男人,大家会想到什么? 大叔? 成熟? 世故? 35岁在大多数人眼中都是道无形的坎儿,事业的瓶颈,家庭的压力,机械的生活,还有呈指数下降的精力,体力和创造力。创业对于许多35岁的男人来说,或和那场风花雪月的初恋一样,或是曾经憧憬过的生活。许多人在年轻的时候选择了向稳定与风险最小化妥协,大部分妥协的结果便是庸庸碌碌,按部就班,然后在若干年后突然觉得应该奋起求变,但已有心无力了。
在平均创始人年龄不到30岁的硅谷,创业圈更是小屁孩们的天下,当大家都在寻找“下一个扎克伯格”,平均年龄35+岁的团队在其中似乎有些格格不入。中国人在硅谷系列第四篇我们要讲述的,是一个老男人创业团队,如何放弃大公司的可观的薪水和乐观的前景,在高昂的选择成本面前,毅然选择了风险最高的创业之路。故事的主角,就是移动互联网安全应用团队,团队平均年龄高达37岁,是不折不扣的“老男人”创业团体。移动互联网安全领域各路巨头短兵相接,但尚未有一家有明显优势。Trustlook团队如何“老当益壮”,在巨头面前毫不惧色,专注领域开发,在不到一年的时间里在各大黑客/白客社区闯出名声,并在最近的“心脏流血”漏洞中崭露头角的? 下面我们就一起来和Trustlook创始人,Allan Zhang一起,深入探讨老男人创业与Trustlook团队的各种。
36氪:能简单介绍下团队里各位大龄男青年的的背景么?
Trustlook: 我是原来Palo Alto Network早期的员工,IPO后自己出来了。谢韬从前是Innopath移动设备管理的核心团队成员,后来在雅虎做了很多前端开发,包括Yahoo!Finance和iOS版和Android版。Daniel 是我们大数据那块的的advisor,是原来Yahoo Hadoop team Pig team 的老大。Wilson是我在一个小咖啡馆遇见的,一句话彻底打动了我,他说“我1年半在play store里写了40多个应用",Weimin有着多年的手机和移动互联网开发经验,是移动手机管理软件Mobie的作者外加最初Dealmoon(北美省钱快报)安卓版的作者,三立来自Marvell的支撑着所有数据库和服务层的工作。Tianfang是我们团队里的最小的,87年的白帽子黑客。基本每个人都是战斗力极强的行动手,没有手慢的人。我们是每天发布新版程序,一天一版。
36氪:当年是如何让各位"抛妻弃子"出来干事业的。在硅谷的选择成本非常高,特别是有家室的男人。他们往往在大公司有一份非常可观的薪水和乐观的前景。能让大家聚集起来的动力是什么?
Trustlook: 其实并没有你想的那么难。虽然说创业的成本对于我们来说很高,但是正是对于我们这些在大公司里摸爬滚打了快10年的人来说,我们非常明白企业可以给你一份很好的薪水,但是很难有很强的归属感。打工和创业是两种截然不同的心态。特别是你能遇到一帮能打拼的朋友,都希望燃烧自己青春尾巴, 都在这个业界里看到了移动安全的问题,都希望能改变移动安全的未来,这种选择的成本就立刻下去了。那些在企业里不想出来的,还会和你计较薪水多少的人,你根本在创业过程中遇不到。能在一起首先是要志同道合,早期startup从来都不是靠钱来招人。你想想为什么中国在硅谷这么多工程师,但是这么少 entrepreneur,it must be something wrong。
36氪:那这是哪里不对了? 是因为上一代的华人来硅谷,很多是奖学金博士毕业,人生目的就是为了更好的生活和更稳定的收入,所以才更倾向于在大公司里稳定的职业道路么?
Trustlook: 我觉得是社会对成功的定义和教育培养过程的中的问题。 我们没有照这个方向去培养,我们培养的是,有一个大房子,有两个孩子,有一个太太不上班在家里照顾孩子,这样的生活对于男人来说才是最 "理所当然"的。如果到了35岁还在搞创业,没有一份稳定的收入,这样的男人在普世价值观来说是“失败的”。那这样的人永远成为不了 entrepreneur。Tianfang当时要来我们公司的时候和我说,你就给我基本薪水,其他我一分钱不要,我就是喜欢这个东西,想在你们的团队工作。当时还有一个月,他在Palo Alto Network 第一年的期权就要到期了,他一分钱没要,直接过来了我们这里。一般人是没有这个魄力的。所以我和团队里每个人都说,希望你们走的时候,要创造一个比Trustlook更好的产品和团队。因为我知道骨子里的创业者,是不会停下创业的脚步的。
36氪:其实年龄对于创业来说是把双刃剑,经验人脉,和业界的积累,是创业中降低风险的重要因素。有数据显示VC其实更青睐年长的创业者,因为VC也是趋于低风险投资的。这点你怎么看。
Trustlook: 消费类的产品(consumer product) 都是小年轻玩的我们不太懂。但是类似机器学习,搜索,计算机安全,大数据这类的产品,都有个门槛在,你首先要理解这个行业大家都在哪个水平,你要能站在这个行业的技术前沿,你要能看到这个行业未来三年能往哪里发展,这些都是需要业界经验的。譬如我们的预计未来三年移动物联网安全会到什么地方,那我们现在就抄小路往那个地方走。,瞄准业界三年后在用的技术。这一类行业的创新如果大学一毕业就出来做,失败的概率很大,至少要有5-10年的业界经验积累,才会更有底气。说到底了还是创业初期的技术门槛的差别。消费类的产品往往是要积累到了一定的用户数量,才会出现技术门槛譬如说架构的问题,performance的问题,不像我们一上来要解决的都是技术的问题。技术的高度可以说决定了我们护城河的深浅。
36氪:那我们是不是可以说对后端server side 要求越高的产品,技术门槛越高,更适合有经验的业界人士来做。
Trustlook: 对的。我们看到很多工具类的产品随随便便有1,2亿的用户。或者是社交产品,譬如facebook。这些产品的路子都是先靠体验占领用户,然后利用资本的力量去解决技术的问题,譬如高价聘请技术大牛。到了中期有一部分技术骨干搭建架构,解决高难度技术问题,到了后期是需要越年轻的人越好最好是一张白纸,只要学的快。因为那个时候很多技术问题都是这个公司专用的,其他地方的解决方法也不适用,只要能立刻上手公司现有的东西就行。到了中期有自己的技术骨干,到了后期是自己培养技术人才。越容易做或者越容易用的东西,一旦做成了,想要被简单复制几乎是不可能。进化越慢的行业,对于有业界经验的人来说,可能更有机会。譬如去年上市的FireEye(火眼),号称就是PC业界唯一一家能做到事实病毒和恶意软件检测的企业,立刻拿到了大量美国政府和军方的订单,技术门槛的优势就显示出来了。火眼在PC端的技术就是我们在移动端要做的技术,我们现在做的就是业界三年以后可能在抢的山顶。
36氪:Trustlook的核心技术是动态识别恶意软件和基于用户行为分析的智能预测。但是病毒的变体有会有无数种,更所谓祷道高一尺魔高一丈。安全产品的检测逻辑更像是医疗手段,是基于经验和实验的,能和我们仔细聊聊这种动态识别的可靠性和可延展性么 (reliability and scalability) ?
Trustlook:举一个通俗的例子,老佛爷一顿要吃200道菜,御膳房如何防人投毒是个棘手的问题。传统的验毒方法能保证验出断肠草鹤顶红这类江湖上常见的东西,但面对各种西域奇毒就不一定有用了。最可靠的方法是什么呢?找个小太监试毒,要是尝完过了半个时辰还活蹦乱跳的,估计就没毒。对恶意软件和恶意行为的查杀也是如此。传统的杀毒软件是基于特征码来查杀的,如同例子中的为每一种毒药分别设计检测方法。每出现一个新的病毒,都要专门设计一个特征码,并更新到所有客户端病毒库。这种方式的缺点显而易见:对新病毒的反应时间有时长达200天,而且对未知威胁无能为力。Trustlook所使用的,是“小太监验毒”的方法:将待检测的APP放到一个真实的环境中运行,并在操作系统层面观察其行为,以判断其是否恶意。“验毒”所用的手机,装着Trustlook专门定制的一套安卓系统。该系统的底层经过改写和重新编译,可以详细记录下运行过的app的一切行为细节,并传回服务器。后者会自动生成详细的扫描报告。整个过程,可以在5分钟内完成,真正做到了对未知病毒的实时响应。“行为查杀” 并不是Trustlook首创,只是我们走的比其他人更远。市面上绝大多数同类产品都只能做到“指令流追踪” - 即通过观察APP调用过的系统函数来判断其是否恶意。Trustlook更进一步实现了“数据流追踪”,即追踪所有系统底层中敏感数据的流向,防止电话号码,支付卡号等敏感信息外泄。
下图为Trustlook用来做病毒检测的沙盒设备
36氪: 这种基于指令流追踪的行为查杀,可靠性如何?
Trustlook:我们去年8月在美国拉斯维加斯举行的”B-Side"黑客大会上做过一个令人印象深刻的展示:面对一个未知的,会偷窃用户电话号码的恶意APP,无论该APP如何拆分,甚至多次加密要偷取的电话号码,Trustlook都能通过“数据流跟踪“技术将其识破。而所有的传统杀毒软件面对这个未知APP,全军覆没。传统杀毒软件的瓶颈在于起可靠性依赖于病毒库更新的速度,而我们是根据APP接触用户数据的可疑程度进行查杀,所有的应用会在我们的自己的安卓沙盒里先跑一遍所有的可能路径,然后根绝检测的结果来确认是否为恶意软件或者病毒,这种“试毒”的做法才能真正做到防患于未然。另外最近大家都关注的“心脏流血”漏洞,我们也是第一家有全面解决方案的。我们在漏洞爆发的36个小时内就发布了针对心脏流血漏洞 的安全应用,应用包含了针对网站扫描、手机系统扫描和app扫描,现在还是业界第一个全面针对心脏流血漏洞的安全产品。
36氪:安全这个东西对于绝大多数用户来说,是出了事才会想。大家对自己的隐私和安全数据越来越不重视,更不用说移动安全了。当年亚马逊用个人的购买历史数据来做个性化推荐都引起了不小的非议,到现在大家对facebook光明正大用用户数据来做广告targeting已经见怪不怪。真正会对安全漏洞特别在意的,往往是黑客团体,因为他们是利益驱动需要利用安全漏洞来达到目的。在大家移动安全意识都很薄弱的时候,做移动安全应用的意义在哪里呢?
Trustlook:安全这个东西,是对方有多强,决定了我们这边的需求有多迫切。 或者说是一种又后果导致的被动产生的产业。现在的移动互联网就处在95年的PC,几乎没有杀毒软件,因为无毒可杀。但是随着人们生活越来越离不开移动端,当支付、身份、通讯录都在移动端内一体化的时候,这对于黑客来说是有极大诱惑力的,只是现在还没有到爆发的时候。如果出来一个猛的病毒,朋友圈里10个有8个中了,而且后果很严重,譬如支付宝钱包被盗了,微信账号也被黑了,那大家想都不想就会装杀毒软件了。原来大家是知道PC中毒后会电脑死机,会丢失文件,是在知道后果的前提下了解到杀毒软件的重要性。现在对于移动端来说也是一样,而且移动端更大可能性是会有finance的危害(支付),只是丢一个文件,一个照片,远不如finance 的危害来的严重。一旦有finance 的危害,杀毒的重要性就无需置疑了。如果哪一天,手机也变成了庞大僵尸/木马网络的一部分,那么移动安全的时机就成熟了。
36氪: 安全产品和病毒软件其实就一线之隔,可以保护用户就意味着可以伤害用户。在善恶选择会有摇摆么? 我听说过很多从白客转黑客的例子。因为黑客掌握的技术你也有,黑客想要拿到的东西你也是触手可得,每天要面对大量的诱惑,能和我们讲讲这些经历么?
Trustlook:安全产品讲的就是和对方赛跑,如果安全漏洞你比黑客先知道,你第一件做的事情应该是通知厂商,帮用户修复。另外你看到了太多可以直接转化成利益的东西,这也是为什么很多搞安全人的最后都进去了。而且在我们这个行业,真的很多时候是道高一尺魔高一丈,黑客们有时候跑的比我们快,因为他们是纯利益驱动的。在我们这个行业,有些东西是违规的。譬如做病毒查病毒,或者你发现了漏洞,有了解决方案,先不告知用户,而是走漏风声给黑客,在用户蒙受损失后你再以正义姿态出现进行修复。这些都是违规的。所以安全行业对节操的要求非常搞,对从业人员的人品也是巨大的考验。所以我们招人也一样,所有有政府工作经验的一概不要,所有和黑客产业链有关的也一概不要。黑客和白客就是一线之间,就好像给了你一把刀,你是要切菜还是切人。