一家在安徽合肥创业的安全公司,用2年时间从0开始钻研自主研发“代码虚拟执行”,这个技术在美国属于被禁止出口的级别。
如今,他们的产品虽然尚未商业化,但已经赢得几家大客户的青睐。根据估算,一旦商业化,其产品价格将只有国外同等效果产品的一半甚至三分之一。而且,一年只要成交5-10单,他们就可以实现盈利。这家公司,就是琥珀科技。
虚拟执行如何让bug无所遁形?
在漫威电影《奇异博士》中,古一法师为了教奇异博士法术,就在真实世界中创造了一个充满镜面的虚拟空间,在这个虚拟空间中,学徒可以练习任何大规模杀伤性法术,而不用担心给真实世界造成一丁点伤害。
琥珀科技就是想在比特空间创造这样的虚拟世界。“琥珀里的小虫子不仅无所遁形,而且无法带来伤害,我们就是要给bug造出类似的琥珀空间”,正是因为这么想,李华才将公司起名为琥珀科技,而他要做的,则是代码扫描。
在很多人看来,代码扫描已经是比较成熟的产业,为什么琥珀科技这个时候还杀进来呢?对于这类质疑,李华显得底气满满。“现在虽然工具很多,但是都不够成熟,尤其是自动化程度不够,只能扫描出三五成的问题,大部分问题还需要人工发掘,这样很浪费时间。好的工具至少应该自动解决八九成问题,这才能大大减轻人的负担”。
为什么传统工具只能扫描出三五成的问题呢?不是猪队友拖得厉害,而是神对手越来越多。
对此,李华说,大部分安全工具都很“大而化之”,但是大多数攻击都伪装得和普通行为很像,所以诸如态势感知、人工智能等,只能筛选出浅层次的问题,真正复杂的问题很难被发现。比如黑客可以从一开始就误导数据,先产生很多类似攻击的正常行为,这样训练久了,就容易误导机器将攻击当做正常行为。
虽然机器学习很火,但是让机器学代码是学不尽的,毕竟道高一尺魔高一丈。面对这个矛盾,琥珀科技的想法是从程序的逻辑入手,创造一个虚拟环境,让这个程序运行到极致,但又不会对真实环境产生伤害,这样不就知道好坏了吗?琥珀科技采用的这个核心技术,被称为“虚拟执行”。
对于这门技术,李华的介绍说,“虚拟执行介于黑盒测试和白盒测试之间,我们通过模拟各种行为,来触动程序的各种执行逻辑,在一个虚拟环境里找到尽可能多的可能性。这等于在受控的环境里寻找极端情况,以此来发现逻辑和漏洞。”
其实,虚拟执行技术并不是琥珀科技原创,它最早源于伯克利,知名安全公司火眼(FireEye)也掌握了虚拟执行技术,但这项技术在美国是被禁止出口的。对于中国企业而言,目前基于虚拟执行的商业产品还是空白。
为了让虚拟执行产品达到商用标准,琥珀科技自主从0起步独立研发,至今已经打磨了近2年。据了解,该产品的核心技术攻关问题已经完成解决。
虽然产品尚未出炉,但是出于对其准确、高效、高自动化程度的青睐,已经有一些大客户向琥珀科技抛来了橄榄枝。据了解,目前一家国内知名语音识别企业以及一家运营商均对琥珀科技产品产生兴趣,已经明确表达了使用意向。
对于这款产品的前景,李华颇为乐观地表示,“目前类似这一类代码扫描产品主要依靠进口,一旦我们效果达到商业水准,定价只有进口产品的一半甚至三分之一,这对用户吸引力也较大。根据我们测算,1年只要能签订5-10单业务,就能够覆盖成本,但实际市场需求远不止此。”
游戏爱好者的安全之旅
虽然创业做的是很复杂的技术,但是李华的创业之路的开始却很简单。
2015年时,李华在一家美国安全创业公司工作,那家公司“外行领导内行”的现实让他不胜其烦。虽然他脑子里也一直在观察和思考安全行业,有了创业的念头,但是对于接下来何去何从,何时做,具体做什么,却一时还没有确定的方向了想法。
杨毅是琥珀科技的创始人之一,也是李华的前同事。此前共事时,李华的技术水平给他留下了深刻印象。在那段苦恼岁月里,李华有次找杨毅吐槽,杨毅听后就怂恿他,“你技术这么好,现在国内的安全行业又正红火,不如去创业吧,你要创业,我一定跟着你”。由此契机,李华当时愣了一下,思量再三后,下定决心创业。
不仅有了送上门的合伙人,邀请琥珀科技CTO加盟,李华也只花30秒。
当时李华和杨毅棚在一起物色技术大牛时,想到了另一位前同事位朋友,名叫李川,是思科CTG安全团队的资深安全专家。但是他有些顾虑,因为那位兄弟李川的性格比较沉稳,而且家住四川轻易不愿意冒险,而且李华从思科此前离职后和他也有两年没怎么联系了,如今突然邀请创业,他会同意吗?
令李华大喜过望的是,当他发出邀请微信后,过了不到30秒,对方甚至都没细问项目和公司的详情,也没谈任何薪水、股份之类的具体条件,就直接回复了一个“好”字。速度之快,让李华都惊讶万分。后来,李川这位兄弟告诉李华,之所以愿意过来,主要是相信李华的人品和技术。
合伙团队之所以如此看好李华,与他的过硬技术功底有很大关系。正如李华自己所说,安全创业不同于其他行业,只能是内行领导内行。所以李华自身的技术水平,成了团队最重要的凝聚力来源。
李华的技术源于他强烈的好奇心和不错的自学能力,这似乎是所有黑客的共同特质。
还在读大学的李华,李华因为特别爱玩《星际争霸》,就非常想弄清楚游戏是怎么写出来的。由于当时网上没啥资料,他干脆就拿《星际争霸》做研究,从最基本的问题研究起,比如小兵怎么自己找路,机器怎么自己定对抗策略等。
完全不按套路地琢磨了几个月后,李华竟写出了一个类似《帝国时代》的游戏,和电脑AI作战也可以,联机对战也支持而且居然还能正常玩。后来,写游戏甚至比打游戏更吸引李华。大学期间,他大概写了三十多个小游戏,有些小游戏还很受同学欢迎。在不断地写游戏的同时,李华还自学了不少关于程序语言,打下了扎实的技术功底。
李华踏上安全之路,同样也是出于兴趣驱动好奇。
2007年,李华所在的WebeEx公司被思科收购后,在酝酿成立一个安全小组。当时李华觉得安全挺有意思,就报名竞聘。但当时李华对安全其实并不不太懂,忐忑再三后,李华决定自学。
在接下来的2个月里,李华罗列了一堆关于安全的疑问知识点,四处找资料来恶补,最然后居然就顺利过关,再以后成了Cisco
webexWebEx安全团队的负责人第三位安全专家。从那时起,李华走上了安全之路。
从当年的打工仔到如今的创业者,在接受安在采访时,真正让李华兴奋的还是技术和产品。而且,他身上没有创业者常见的焦虑,更多的是因为专注而带来的放松。这一点,或许与李华在美国工作经历有关。
在美国工作时,李华很惊讶地发现,美国公司做事不紧不慢,大家都还挺开心,而且事情做得也不差。“后来我看明白了,美国公司非常关注质量,进度可能不快,但是质量很有保障。相比之下,很多中国公司进度很快,可质量就不好说了,容易引起返工反而浪费时间。所以,做之前先想清楚问题,然后再开始做,往往能事半功倍”。这番感悟,也影响了李华的创业风格。
创业后,在明确了“虚拟执行”的方向后,李华在这个领域精根细作。按照李华的计划,“争取年内拓展一批试用用户,给业界带来新一代的代码安全扫描技术”。
