近兩年來，隨著我國數字化進程的不斷推進和深入，網絡安全產業迎來了飛速發展的新機遇。日益復雜的網絡威脅形勢，讓網絡安全產業的土壤更加肥沃，讓那些懷揣著技術理想的安全研究者們逐漸登上時代的舞臺，他們希望乘著行業發展的浪潮，為之貢獻自己的力量。

　　本期是安全419創業者說欄目的第十篇，文章的主角是行業中又一位年輕的創業者——北京云起無垠科技有限公司創始人沈凱文，我們邀請他圍繞當前網絡安全行業的創業環境、創辦云起無垠的心路歷程以及對這家公司未來的愿景和規劃等話題帶來一次深度分享。

　　雖然當前市場環境較為嚴酷，但沈凱文認為，在實網攻防演練行動的推動下，國內“業務驅動安全”市場將迎來爆發式增長。這意味著技術創業者們迎來了屬于自己的時代，創業這件事情恰逢其時。

　　沈凱文創辦的云起無垠專注于Fuzzing（模糊測試）技術領域，致力于研發新一代智能模糊測試引擎為協議、數據庫、API、APP、Web3.0 等應用提供強大的軟件安全自動化分析能力，從源頭助力企業自動化檢測與修復業務系統安全問題，為互聯網每行代碼的安全運行保駕護航。

　　不久前，云起無垠剛剛宣布完成數千萬元天使輪融資，由綠洲資本獨家投資。

　　一位技術研究員的自我迭代和打怪升級

　　雖然在創業者這個身份語境下沈凱文相對年輕，但在安全行業中，他的經歷卻比絕大多數人豐富，堪稱網安行業的“OG”。

　　出于對網絡安全技術的熱愛，沈凱文在初高中時期就已經對“紅藍攻防對抗”得心應手，用他的話說，“紅藍攻防在那個時期很好做，每個網站都存在很多的漏洞。只要給我一個目標，基本上一個下午肯定能夠攻破。”

　　癡迷于網絡安全攻防技術的沈凱文，先是考入湖南大學，就讀網絡安全專業。隨后又憑借著遠超同輩的領悟天賦和技術功底，被保送到了清華大學攻讀碩士學位，并經引薦加入了國內網絡安全競賽和研究領域最頂級的藍蓮花戰隊，開始跟隨一眾黑客大神們征戰世界最高水平的各大黑客競賽，成為中國首屈一指的CTF佼佼者。

　　在藍蓮花戰隊期間，沈凱文與隊友們連續六次入圍全球網絡安全頂級賽事DEFCON總決賽，2019年代表中國大陸在臺灣HITCON黑客大賽上奪得冠軍，同年在GeekPwn國際安全極客大賽中獲得全球第一名。

　　在談到這一段高光時刻的時候，他回憶道，“在藍蓮花打比賽的那段時間，我們去到了世界上最前沿的地方，看到了最頂尖的網絡安全研究是什么樣子?！?/p>

　　連續打了三年比賽后，他也逐漸在安全研究中找到了一絲“手感”，但此時他也面臨畢業的抉擇——繼續留校做科研還是去找一份工作？

　　舉棋不定的時候，學校向沈凱文拋來了繼續保送本校攻讀博士學位的機會，稍作糾結后，他便做出了繼續留校做科研的選擇。就在不久前，沈凱文剛剛完成了博士學位論文的答辯，告別了自己的學生時代。

　　他告訴我們，從成為博士生開始，便正式放棄了曾經無比風光的CTF選手的身份，開始沉下心來專攻協議安全的研究方向，聚焦在自動化漏洞挖掘和協議模糊測試領域，去持續探索新攻擊、新技術與新方法。

　　碩士到博士的這幾年中，在做科研之余，沈凱文并沒有停止對前沿技術的洞察與追蹤。他曾深入到產業界，以實習生的身份加入隊友們創辦的長亭科技，到一線觀察用戶的真實痛點和需求，拿來與自己的技術研究相互印證。這一實習經歷拓寬了他在網絡安全市場的視野，同時也為他積攢了大量甲方客戶資源；

　　他也曾以合伙人的身份與隊友共同創辦了一家安全公司，在那里他不僅是一名技術研究員，更是一位企業管理者。在研究自動化漏洞挖掘的同時，他錘煉了自己關于公司戰略、制度體系、業務流程、財務核算、品牌管理等方面的管理能力。

　　從與隊友創立的安全公司退出后，沈凱文又馬不停蹄地加入了中信資本。在這里他以投資人的視角認真觀察國內外優秀網絡安全公司的發展邏輯、產品形態，在這個過程中，他更加堅定了未來創業的方向——開發安全。

　　在與沈凱文的交談中，我們能感覺到他始終保持著強烈的學習欲望和熱情，從技術到管理，從商業模式到融資策略，他都能夠侃侃而談、如數家珍。過往的工作經歷讓他如同打怪升級一般，逐一點亮了在公司管理上面的所有“技能點”。

　　「開發安全」賽道挑戰與機遇并存

　　屬于技術創業者的時代已經到來

　　在沈凱文看來，當前整個網絡安全行業的大趨勢正在變化，實戰攻防演練和數字化轉型正在推動整個網絡安全市場從合規驅動向業務驅動和結果導向轉變，“合規驅動的時代是關系型、資源型創業者的天下，而需求驅動、業務驅動將會是屬于技術創業者的時代?！?/p>

　　在技術驅動的大背景下，甲方企業負責人開始主動尋找更好的技術解決方案。因此，能明顯觀察到甲方企業主每年會專門預留部分預算，以采購新興的安全技術，比如開發安全、威脅情報產品等。另一方面，傳統安全設備（WAF、IDS）對于大型甲方企業來說，已經逐漸采購齊全，每年只需要付出少量成本進行更新與維護即可。在這個維度上，它們釋放了更多預算空間。

　　今年，在創業環境、博士畢業、合伙人、大方向、技術基礎、商業模式、天使投資人全都處于ready的狀態后，云起無垠這家公司順理成章地成立了。

　　沈凱文談到，“雖然我們在科研上做出了一些小的突破，但科研本身相對曲高和寡。追溯內心，我還是一個實踐型理想主義者，希望為網絡安全行業做出一點貢獻，真正能夠為行業解決一些現實性、根源性的問題?！?/p>

　　談及為何選擇「開發安全」這個細分賽道時，沈凱文認為，作為一個科研型創業團隊，它的使命就是去解決科研型技術難題，去思考如何在本質上提升安全，而不是關注工程問題。而開發安全天然就是適合科研人員從事的領域，包括污點分析、符號執行、模糊測試以及最終的自動化漏洞挖掘在內，每一個都是適合科研人員長期投入的技術挑戰。

　　拋開科研使命不談，沈凱文對于開發安全還有著更深一層的理解。

　　他認為，過去網絡安全行業存在一個幾乎無解的核心矛盾：安全效果難以度量。這就導致用戶很難衡量各款安全產品效果的優劣，最終讓整個市場淪為關系型的商業模式?！叭魏我患揖W絡安全廠商在銷售安全產品時，都無法承諾一定能夠為用戶帶來價值。拿WAF舉例，因為攻擊是低頻的，誰也不知道用戶是否會被攻擊，保證一定能夠檢測到攻擊。在用戶的視角中，如果攻擊失敗了，產品效果如何證明？如果攻擊成功了，產品效果更是無從談起?！?/p>

　　而開發安全則是一種度量標準十分清晰的商業模式。開發安全并不向用戶保證防御效果，而是直接向用戶交付漏洞，漏洞數量的指標讓每一位企業管理者都能夠更直觀地量化和判斷安全產品帶來的價值，因此，安全左移實際上在某種意義上賦予了安全度量的標準，實現商業模式的轉變。

　　“開發安全是一個更加高頻的領域，比如用戶采購了ABCD四家開發安全產品，誰能夠真正地挖出漏洞，這個事情能夠很直接地驗證和度量效果。也只有這件事情上，技術創業者才能夠利用技術優勢構造自身的壁壘?！?/p>

　　因此，沈凱文認為，面臨國內從合規市場向業務驅動市場的轉型，在所有的新興市場中，相比數據安全和零信任安全，開發安全會成為增速最快的細分賽道。

　　Fuzzing技術

　　注定是軟件安全測試技術的未來

　　沈凱文介紹，Fuzzing 是一種針對軟件安全的自動化測試方法，它主要的理念是追尋測試樣例的變異，并通過海量的測試數據來覆蓋更多的程序執行流，從而找到更多的安全問題。Fuzzing 不僅可以發現邏輯類漏洞，還能檢測到內存破壞的漏洞，比如緩沖區溢出、內存泄漏、條件競爭等。其本質原因在于，Fuzzing 對軟件安全測試的整體粒度更細，測試點更多，判斷位置也會更精準。

　　“Fuzzing技術雖然九幾年就被提出了，但當時它還是利用較為落后的暴力枚舉法，更多停留在實驗室環境下。但近 30 年，Fuzzing 技術呈飛躍式發展，它目前除了可以覆蓋 AST 技術以外，還可以利用到一些其他的技術，包括符號執行、語法樹變異、代碼覆蓋引導技術、遺傳算法變異、污點跟蹤等?！币虼怂J為，雖然當前安全行業還有很多從業者還沒有認識到Fuzzing的價值，但從科研的角度看，現代的Fuzzing技術已經趨于成熟，并且逐漸成為軟件測試方法的集成者和開拓者。

　　目前，Fuzzing技術在國際上已被應用在 Google、Microsoft、美國國防部（DoD）等頭部組織機構。據公開統計，近 5 年 Project Zero 項目中已有 37%以上的 CVE 漏洞是由Fuzzing技術挖掘出來的。在國內，Fuzzing技術也已被各大廠商廣泛應用，如華為、阿里等一線廠商均開始嘗試落地Fuzzing技術。

　　沈凱文表示，未來Fuzzing技術在安全行業中的應用和落地將會像AI技術一般，可以從算法引擎上優化傳統軟件安全測試方法（比如傳統 AST 方案）。因此，它會在很多方面比傳統的 AST 方法效果更好，也是目前科研界和工業界認定的下一代軟件測試方法的突破方向。

　　打造開箱即用的“代碼安全基礎設施”

　　讓Fuzzing技術真正為企業賦能

　　“大家都覺得AI技術很厲害，但事實上較少有人主動關注AI的框架，使用AI技術的人可以不懂遺傳、蟻群和反向傳播等算法，但他們依然可以通過接口調用的方式把AI技術順暢地使用起來，享受AI技術為生產和生活帶來的便捷。不遠的將來，Fuzzing也會到達這個階段，它會成為一個成熟的技術，如同API接口一樣能夠直接調用，真正造福于開發人員。”

　　沈凱文談到，互聯網科技發展和技術更迭都始于研發。無論是傳統的數據庫、操作系統，還是新興的車聯網、腦機接口、元宇宙，最終都需要由代碼開發來詮釋與實現。而云起無垠提供的智能模糊測試技術將作為代碼開發的基礎設施，為一切開發場景安全賦能。

　　他表示，Fuzzing的算法引擎對安全人員的技術能力要求較高，比如操作系統底層原理、編譯原理、動靜態分析、符號執行、智能算法等，普通的安全工程師很難在一兩年之內掌握。相較于與WAF類產品，甲方安全人員需要與Fuzzing類產品高頻交互，過高的使用門檻往往會讓用戶望而生畏。因此如何提高產品的易用性，提高用戶的友好程度非常關鍵。

　　當前，云起無垠正在基于智能Fuzzing技術逐步建立產品矩陣，為用戶提供包括黑盒、灰盒和白盒在內的模糊測試類產品，全面覆蓋“開發、測試、部署、運維”在內的各個階段。在產品層面，云起無垠主攻“開箱即用”的設計思路，目前正在通過將技術細節封裝在核？算法引擎中的方式，讓甲方用戶能夠在不深度了解Fuzzing技術的前提下，更便捷地使用安全測試產品，以此來增強用戶的使用友好度。

　　沈凱文最后談到：“在未來的一段時間里，云起無垠也將持續對產品進行打磨，不斷提升產品的用戶友好程度。云起無垠的價值和使命就在于，把Fuzzing技術做到平民化落地，讓它變成一項開發人員能夠真正用起來的技術，成為‘代碼安全基礎設施’，以助力整個信息安全產業的發展”。

更多信息可以來這里獲取==>>電子技術應用-AET<<