刘刚：坏人还在，只是开始慢慢成立公司了 CEO说_【博客天下】

从技术角度讲，部分商业软件的侵权行为和病毒几乎没有区别。...

口述者：刘刚

年龄：39岁

身份：火绒安全实验室CEO

文 ✎ 张文政

编辑 ✎ 徐臻

大多数人想到病毒时，会想起它们的复杂变种、骇人的名字，还有传染性和危害性。当然，这个时期已经过去了，那时计算机局域网以及国际互联网尚未壮大。但是越接近现在这个阶段，病毒的形态越隐蔽，威胁更大。早期黑客写病毒是以炫技式的破坏为主，现在他们偏向于赚钱。他们偷你的东西，但不让你知道。我想强调的是，对用户的作恶一直存在，只是恶人化装了。

现如今，商业软件的整体“流氓化”、“病毒化”也在愈演愈烈。从技术角度讲，部分商业软件的侵权行为和病毒几乎没有区别。你现在看到用户多数是在说“流氓”，很少会说病毒，因为他们分不清楚这些。不管相不相信，原来那一票坏人都还在，甚至从藏匿在暗处到开始慢慢地成立公司了。你杀他，他会站出来说，“喂，我是软件，我正经公司啊，我要发律师函给你啊！”

我们面对的问题很大。我想提供的这一条发展路径，是试图区别于“免费模式”的。我们抵制任何捆绑、收集隐私等侵权行为，始终秉持安全厂商的基本操守。我一直跟病毒打交道，也走过了从普通码农到创业者的道路。我没上完大专，自学了代码编程，进入瑞星。那时候是2002年，我们为企业和个人提供终端安全防护产品。瑞星是中国最早几个计算机反病毒标杆之一，我在那里经历了从基层病毒分析员到负责整个技术部门管理的CTO，经历了公司以及传统终端安全行业从繁盛到被360横扫的过程。

新型互联网安全厂商的安全技术严重依赖OEM供应商，自身在安全技术上的投入并不多。周鸿祎的确很厉害，他兴起了流量这个生意，并依靠这个作为基础构建了他的流量帝国，把整个传统安全行业冲垮了。国内其他公司也有样学样，比如腾讯，3Q大战的失利使得腾讯推出一款自己的安全产品作为私人军队跟360拼。顺便提一下，因为流量抢夺而进行的攻防暗战，只会使用户的电脑出现不兼容的错误或莫名其妙多出一些软件。

在这个行业发生巨变的过程中，原生的动力就已经变质了，越来越偏离用户实际上会遇到什么问题，并且不知不觉中这种商业模式就变成了欺瞒用户的根源。

后来我和瑞星的领导有过一次沟通，最后达成的共识是：瑞星应该保持它的专业性，至于收费还是免费可以再探讨。可不出一个礼拜领导就反悔了，要全面学360。我感到一种格格不入，那种感觉就像我们原来是医生，你现在非要说我们都变成了皮条客。

再后来我和几个瑞星的同事一道在2011年辞职，同年年底创建了火绒安全实验室，我希望带领公司以及整个终端安全行业走向更纯粹、干净的发展。

做流量的生意是互联网行业主流的方式，但它至少对安全行业不适合。我们始终认为安全软件是保安或医生，为用户的安全服务，在建立了信任之后，收费或走传统广告的模式，我为你的安全着想，我获取收益，应该是这样一种简单的关系，不应该是我赖在你的机器上不择手段地劫持流量赚钱。所谓流量劫持，是指通过一定技术手段，控制用户的上网行为，让你打开不想打开的网页，看到不想看的广告，这些都会给劫持者带来收益。

你问我火绒的思路是不是我们一开始就想好的？不是的，这些都是在后面停下来才回头总结出来的。慢慢地发展中我们发现，哦，原来我们的产品，跟他们挺不一样的，或者说截然不同，因为我们要保护用户的利益。几天前，由于有用户向我们举报，经过截获、分析、追踪并验证，我们发现当用户从某互联网巨头旗下的两个网站下载任何软件时，都会被植入恶意代码，通过在用户电脑上长期潜伏，用来劫持各种流量，我们随后公开发布了一份安全报告。

现在国内已经没有人站在用户的立场上去考虑问题了，特别是安全软件这一块儿。有朋友劝我们：“你会被弄死啊，人家分分钟灭了你们呀！”但问题是，我们是干吗的？是做安全软件的，我的用户中毒了，我有没有义务去帮他们解决这个问题？有没有义务必须告诉用户这是怎么一回事儿？

网上一直流传着一个笑话：现在做个病毒多难啊，做个安全软件容易多了。可见用户对安全软件已经完全丧失了以前的那种信任，患者不再相信医生了。从2014年发布第一个版本开始，我们就在慢慢重新建立我们跟用户之间的信任关系。我们早期的用户主要是白领、网管或者说计算机爱好者。我们跟他们之间的互动是很频繁的，比如说我们建了论坛和很多QQ群，我们一出了功能，他们就义务帮我做产品测试，帮我们发现问题。

从那时到现在，这些早期用户已经跟了我们3年了，早已经打消了对我们的怀疑，甚至成了意见领袖的角色，帮忙做了很多口碑推广。

我们还通过上线软件安装拦截功能，帮助用户控制软件的流氓行为。这种功能是我以前怎么都不会想到的，安装软件提示用户干吗？但是，随着静默捆绑安装行为越来越肆无忌惮，用户产生了这种需求，把这个功能提供给用户，他们才觉得自己终于有自主权了，机器被装什么都可以知道了。随着社会的发展，国人趋于成熟，我慢慢看到更多用户的觉醒，他们对电脑的自主控制权、知情权和隐私权等权益的保护意识更强了，他们会用脚来投票。

安全问题随时会变化，但你的职业依然要遵守一定的原则。我们至今没有融一笔钱，也谈过一些资本，但几乎很少有人愿意看我们的项目。用我的合伙人马刚的话说，“我们的故事不够性感”，你跟人家说我们坚持独立自主做技术研发，他会觉得你很累，看病、收钱，这不就跟干苦力差不多吗？你没办法跟投资人讲出更好的故事。当我意识到马上发不出工资的时候，我们几个合伙人就会暂时放慢产品开发的节奏，通过接一些外包的软件开发工作或研究机构的科研项目来赚钱，创业5年了，我们也坚持下来了，没死。

我不敢说我们能带来什么社会意义，我更愿意说，任何人你追求自我都是可以的，只要去坚持，你是能做到的。技术是我们的核心竞争力，虽然我们几个合伙人当年都是瑞星的骨干，但创业过程中依然会遇到很多坑，这也是我们这支纯粹的技术团队的短板。

在我刚成为CEO的时候，是不适应这种角色转变的，因为我是程序员出身，更习惯于解决实际的技术问题，但做了CEO，会发现很多东西不明确，就连问题在哪儿都不知道，就像被关在一个小黑屋里面不敢迈步。这么些年我悟出的道理是，绝对不能等，一定要去摸，至于步子大小，要在当时的条件下作出决断，当试着在屋子里走了一圈之后，就已经收获了一点经验。

国内整个大环境确实比较浮躁，很多人都是信奉结果导向，目的是挣钱，就不在乎做的事以及怎么做了，今天什么热、什么是所谓的风口，他就做什么。

我不认为个人安全产品免费，并抱着做一款纯粹、干净的愿望是一种情怀，我至少没有找到比做好现在这件事情让我更开心的事儿，至于做好之后有什么回报，在我们眼里那只是副产品，因为我们把这件事做好，能对用户产生价值，那我们就会有回报，对吧？那就结了，没那么复杂。