2007年1月9日，喬幫主從口袋里掏出全世界第一部 iPhone。

2008年9月23日，谷歌向世界展示了 Android 開山之作 G1。

這些小小的屏幕拼接出新世界的圖景，改變了很多人的生活，也組成了一道堤壩，改道了潘宣辰的命運河流。

歷史上任何一個移動端惡意代碼家族，包括每一個變種，我們至少做過一次人工分析。安天移動安全掌門人的潘宣辰對雷鋒網宅客頻道（公眾號ID：letshome）這樣說。語氣里不無驕傲。當前，安天AVL 移動反病毒引擎為包括MIUI、YunOS、金立、獵豹、LBE等ROM廠商和APP開發(fā)者提供安全服務。

即使是網絡安全產業(yè)爆發(fā)的今天，也鮮有人敢用這種“活字典”的姿態(tài)，表示自己的團隊和所有的移動惡意代碼都“打過照面”。

一種簡單的重復，恰是另一個角度的波瀾壯闊。 

【潘宣辰】

愛上信息安全

黑客帝國

“我希望能看到各種事物的原理和機理。而網絡安全安全的綜合性更強，所以更適合我渴望探索的性格?！迸诵饺绱私忉屗x擇武漢大學信息安全專業(yè)的原因。武漢大學是國內第一個本科信息安全專業(yè)，既有張煥國老師這樣的專業(yè)泰斗，也有彭國軍等一批優(yōu)秀的青年教師。而就在一切都新鮮陌生的大一學年，潘宣辰看到了那部曾經觸動了很多人的電影——《黑客帝國》。

你所知道的世界，并不是它的全部。

“代碼”第一次以如此具象的方式，沖擊了他的世界。潘宣辰突然發(fā)現(xiàn)，手里的代碼變得鋒利，鋒利到可以穿透現(xiàn)實，撕開另一個世界的入口。

新世界的入口

對于一個充滿好奇心的人來說，未知世界一旦曾經敞開，便成為魂牽夢縈的目的。

讓潘宣辰記憶深刻的一次探索來自大三。那年在武漢大學信息安全專業(yè)的推薦下，他參加了新加坡南洋理工大學的交流計劃。

新加坡的版權意識很強，所以我們都不敢在網上隨便下載電影。但是那時的 Windows 有一個默認功能，就是默認共享某些磁盤目錄。我利用網絡漏洞編譯了一個腳本，搜索了校園局域網，搜索到了所有其他電腦上存儲的電影。

不過這件事情的結果和我想象得不太一樣。一開始我找到了很多大片，但后來突然感到后怕，我突然意識到，原來安全是這么脆弱，每一個人這樣需要保障。

他告訴雷鋒網宅客頻道（公眾號ID：letshome），這是他第一次在實際的場景中，體會到了網絡安全技術的“趣味性”；“但更重要一點是，我感受到了網絡安全的嚴肅和沉重?！?nbsp;

安天·江?？?/h2>

武大信息安全專業(yè)是國內第一個信息安全本科專業(yè)，在國內聲望很高，各路大牛都被邀請給同學們演講授課。不過，潘宣辰唯獨對一個仙風道骨的大叔印象深刻。

此人就是肖新光，網名江?？?，安天實驗室的創(chuàng)始人。

 

【江?？停ㄓ遥┖团诵剑ㄗ螅?/strong>

他有兩點非常打動我：一是對原創(chuàng)技術的追求，二是民族產業(yè)情懷。潘宣辰說。

2007年，大三的潘宣辰報名去安天實驗室實習，在實習人員報名表上，他填寫了這樣一句話” 我志愿終生從事信息安全方面的工作，這是我的興趣也是志向……“

在那次面試中，潘宣辰對江海客說：“我認定的東西就一定會堅持?！?/p>

實習結束了，潘宣辰接到了安天實驗室發(fā)展SOHO研究工作組的計劃，他決定加入這個計劃，組建安天武漢研究小組。于是，一個三人工作組在武漢“掛牌”成立，潘宣辰想起了那部對他影響頗深的電影，把研究組命名為“X-Matrix”。這就是安天移動安全公司前身。

潘宣辰說，Matrix 對我的影響比較深刻，尤其在對多樣性的理解和堅持上。真正有活力的組織，有活力的世界必然是多樣性的。我用 Matrix，意在希望我的團隊也是多樣性的。我們團隊遵循初衷，采用扁平化的小組結構，每個小組就是一個 Matrix，多個小組，構成了 X-Matrix。

對潘宣辰來說，那段時間是充滿挑戰(zhàn)的。

設計、編碼、組織團隊、發(fā)展新人，同時又要上課，參加學?；顒?。X-Matrix 承擔的第一個項目與移動安全無關，是安天 WEB 檢測系統(tǒng)“獵狐”平臺的開發(fā)，這個系統(tǒng)投入了安天承擔的2008北京奧運的安保工作。但安天內部驗收嚴格，對這個系統(tǒng)給了差評。第二個項目是一個手機分析的工具，效果也不令人滿意。盡管被總部批評，但潘宣辰依然意氣風發(fā)。并把目光逐漸放到移動安全方向，安天歷史上曾嘗試過在WINCE、智能 Linux 等移動平臺上進行安全探索，但都因相關操作系統(tǒng)未成為主流場景而不了了之。那么 iPhone 會是移動安全的主戰(zhàn)場么？Symbian 還有必要投入么？Android 呢？他反復猜測著方向，希望做出正確選擇。而此時，人生也需要選擇，研究生畢業(yè)，是去互聯(lián)網大公司拿高薪；還是留在安天，延續(xù)設想中的網絡安全工作。他預感到一個使命將要到來。果然，他收到了江?？偷男?，信里說：

“安天是否有建立武漢研發(fā)中心乃至未來武漢研究院的決心，主要在你的決心。”

經過一個晚上的思考，他下定了決心。但他還需要組建一個團隊，他靈機一動，把江?？偷男胖械摹澳恪保几某闪恕澳銈儭?，轉給其他同樣面臨畢業(yè)的 XMatrix 小伙伴們看，在反復的交流和談心后，安天武漢研發(fā)中心開始落地開花。

2010年，安天給對“武研”的定位是“安天的一個側重基礎、偏重高端、以移動安全為主導的的研發(fā)團隊”。

槍，彈藥和打法

我不把自己定義為黑客，而是信息安全工程師。對我來講黑客是“鉆研、開放、分享”的精神和價值觀。我向往這個精神，可以某種程度上追逐那種狀態(tài)和感覺，但這不是我的身份。

安天吸引潘宣辰的，是專注于反病毒引擎核心技術的研發(fā)。但安天人知道，國際知名廠商的成長史要比多十年以上，其中的技術積累和底蘊不是簡單的靠努力能解決的。所以安天在AVL基礎檢測引擎更多的發(fā)力點更多是放在更快的檢測速度，更豐富的檢測場景上，安天如果想超越上世紀80年代末期興起的反病毒先行者們，就必須在一個新的空間中搶先發(fā)力。而當移動安全這個空間已經出現(xiàn)時，這個責任落在潘宣辰和他的團隊肩上了。

2011——槍

最初一年，安天移動的全職員工只有不到4個人。潘宣辰慶幸自己留住了研究小組最得力的喬偉等小伙伴，他們承載著安天打造一個完美移動引擎的期望。

要做到對病毒最深層次的識別，就需要有檢測底層代碼的能力。我們做的是二進制級別的監(jiān)測。每個 APK 安裝包里面都有很多文件，包括資源、描述、DEX，可執(zhí)行文件，還有自己的結構和函數符號。其中一個很重要的部分就是機器指令代碼。而這些底層代碼有可能被利用發(fā)起攻擊。

潘宣辰說，這一系列的深度檢測點，現(xiàn)在看來也只有很少的廠商全部做到了。

鎮(zhèn)守一方，開疆拓土是艱難的，與在總部實習完事不操心不同，那個時候連機房都是我自己維護，面臨的最大困難就是機房經常停電。一旦停電服務就被迫中斷，不過這算不可抗力吧。

隨著工作初見模樣，安天移動反病毒引擎已經開始和LBE安全大師、金山手機毒霸（現(xiàn)在的獵豹移動安全）合作，也開始為國家互聯(lián)網應急中心等管理機構選用。

然而，有一點略為出乎潘宣辰的意料。那就是經過一家合作伙伴的檢測，安天AVL移動反病毒引擎對于病毒的檢出率并不高，只有60%-70%。合作伙伴的反饋是：引擎很好，你們把我們所能想象的全部檢測分支都實現(xiàn)了，但你們的規(guī)則還不能覆蓋所有樣本。

潘宣辰給雷鋒網宅客頻道（公眾號ID：letshome）打了一個有趣的比方。

安天研發(fā)了一把很好的槍，但是這遠遠不夠，我們還需要一個兵工廠提供彈藥。

這些彈藥，就是對于海量病毒樣本的分析工作。面對每年翻十倍的惡意代碼樣本，只有4個核心成員的團隊，顯然沒能力生產“彈藥”。

2012——子彈

潘宣辰問江海客，總部會給武研什么支持，江?？驼f，我能給你的支持只有一個，那就是允許你無節(jié)制的招人。

潘宣辰回憶：當時移動安全市場已經開始展現(xiàn)初始的生命力。雖然我們起步很早，但是人員不足嚴重影響了我們的產品效果。我們判斷，如果2012年上半年團隊不到35人，這件事我們就不用做了。

但擴展團隊何其之難，招聘“惡意代碼分析工程師”。安天武研的招聘啟事如是說。一個月過去了，連簡歷都沒人投。

武漢并不像北上廣深擁有那么多高比格的安全人員，空余孤單的小潘在風中凌亂。但是時間不等人，他心生一計，把招聘崗位改成了“安卓安全測試工程師”。用他的話說就是“把有研發(fā)和代碼基礎，但是不愿做一線代碼的人先招過來”。 來了之后就進行惡意代碼培訓，然后直接干活，而且不能全留下，必須有50%的淘汰率。我們的第一波5-7個工程師就是這么來的。當然，現(xiàn)在他們都是很核心的級別了。

潘宣辰形容他做的事就是“用人把體系填充好”。

這件事沒白做，在2012年底國際知名安全軟件評測機構AV-Test的移動安全首次內部測評中，安天AVL移動反病毒引擎的檢出率指標平均領先行業(yè)水平10%-15%。這是國內安全廠商第一次在世界反病毒領域呈現(xiàn)出技術壓制的效果。潘宣辰津津樂道的是，2013全年，安天AVL移動反病毒引擎在AV-Test的六次測評中拿了3次第一，并以全年平均檢測率第一的成績榮獲“移動設備最佳保護”獎項。而在2015年另一個權威測試機構AV-C年度測試中，安天AVL移動反病毒引擎也成為唯一上下半年均取得100%檢出率的產品。

【潘宣辰在 AV-Test 頒獎現(xiàn)場】

2013——人機

工程師的取向和黑客的取向，有一個重要的分水嶺。

黑客閃爍的更多的是個性與智慧的鋒芒，但對工程師來說，他們深知，與攻擊者直接對抗的，不是他們自己，而是產品以及后端的支撐體系。他們必須相信團隊協(xié)作，必須用工程體系延展團隊的經驗與能力。

2013年，潘宣辰面臨的問題是，惡意代碼幾何數級爆發(fā)，而安天移動的人力不可能無限增加，必須依靠一個更強大的工程體系支撐才能完成。而江?？蛯@個體系下達的要求更人抓狂，“海量批處理和大代價的精細處理要結合起來，要進一步滿足惡意代碼進行取證溯源方面的要求，要能夠尋找關聯(lián)性、尋找根源?！?/p>

潘宣辰當年在安天實習時，最感興趣的系統(tǒng)是“病毒自動化分析流水線”。他覺得這條傳統(tǒng)流水線對自動強調過多，但對人的經驗整合不夠，導致對未知惡意代碼的判定不夠理想?！叭松瞄L精細化、高質量的單點作業(yè)，而機器適合規(guī)?；瘡椭谱鳂I(yè)。在惡意代碼判定的工序中，我要不斷提高機器工作的比例，讓人的力量集中在最重要的位置上，而同時還要把兩者結合起來。”

這件事情遠比說起來簡單。教會機器像人一樣在千萬種選擇中做出最優(yōu)的判斷，其難度無外乎教大猩猩跳芭蕾。算法的改變，規(guī)則的增刪，每一次修改的嘗試都面臨著退步的風險。

我們曾試圖開發(fā)一套系統(tǒng)，在沒有任何先驗經驗的情況下，實現(xiàn)樣本的分類，然后人工對于某一類的典型樣本進行分析。這樣就可以進一步減少人力。雖然我們開發(fā)出了這套系統(tǒng)，識別率也超過了97%，和人不相上下，但是這個系統(tǒng)需要兩個工程師同時維護，同樣的事情如果用純人工的方法只需要一個工程師就能搞定。所以在上線一個月之后，我們還是把它下線了。

對于這些反復和挫折，他習以為常。今天回望有一個數據，可以證明他們的努力效果不錯。從13年至今，移動惡意代碼數量增長了百倍，而安天移動的惡意代碼分析工程師數量只翻了一番。 

【惡意代碼及工程師增長曲線對比/圖片由安天移動提供】

人類的科技史，可以概括為：不斷用機器替代人類勞動的過程。安天移動反病毒引擎和支撐體系的發(fā)展，似乎也正在印證這一點。潘宣辰重視機器的力量，但不迷信機器的力量。

弗里德?科恩發(fā)表過關于不可能有一種系統(tǒng)能夠檢測所有的惡意代碼的著名論文。江?？驼f，這篇論文使安全工作者放棄了對反病毒技術不切實際理論想象而走上了持續(xù)對抗的正道。

人永遠無法從這場戰(zhàn)役里退出，因為你的對手也是人。

不過，潘宣辰并不悲觀。他對雷鋒網宅客頻道（公眾號ID：letshome）說：“目前我們已經在人機之間做出了平衡，接下來要面對的是新增問題，只要能夠低人力成本地解決新增問題，我們就可以一直保持在病毒對抗中的優(yōu)勢地位?！?/p>

團隊.Leader

當年谷歌祭出 Android 1.0 的時候，也許沒有預料到這塊小小的屏幕會這么快成為“黑客帝國”的主戰(zhàn)場。

潘宣辰在如翻閱辭海一般研究病毒家族樣本的時候，也沒有預料到 安天AVL移動反病毒引擎會這么快為4億手機用戶提供安全保障。

2013年，26歲的潘宣辰成為安天最年輕的合伙人。

2014年，在進行了核心團隊激勵計劃后，安天武漢研發(fā)中心已經改制為安天移動安全公司，在安天一體兩翼的集團化布局中，成為兩大業(yè)務單元之一。潘宣辰毫無懸念的成為安天移動安全公司CEO。

2016年，安天移動安全發(fā)布了AVL Insight威脅情報平臺。設計安天全域威脅情報支撐體系的職責，也落到潘宣辰的肩上。

對于未來，這位安天移動安全少帥說：

反病毒引擎是我們的技術內核，僅有一個內核是不夠，我們的使命是在移動和更多新興場景下，應對更廣泛的威脅，為用戶解決更多的安全問題。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。