浅友们好~我是史中，我的日常生活是开撩五湖四海的科技大牛，我会尝试用各种姿势，把他们的无边脑洞和温情故事讲给你听。如果你想和我做朋友，不妨加微信（shizhongmax）。

（零）一篇低调报告，一个“三好学生” 

2017年，美国某著名网络安全公司给他的客户们低调地发去一封内参，分析了一个人和他刚创立的公司。

报告里写着：

ThreatBook，中国首家威胁情报公司，未来可能成为北京方面提炼网络安全情报的关键角色。。。

目前中国网络安全整体水平还比较低，这为中国前爱国黑客创立的私营公司提供了难得的机会，为提升中国的整体网络安全发挥作用。

语气虽然有点儿小题大做，但不得不佩服，美国老表是真的识货。

彼时，这家安全公司才成立两年，三五个人七八条枪。放眼全中国 Top 10000 的企业，用它产品的还不超 20 家。但远在千里之外的同行就已经感受到了如山压力。。。

如今，又八年过去，预言汹涌成真。中国 Top 10000 的企业，有超过一半直接或间接被它守卫着。

这么说吧，你我这样的普通人，只要用手机、会上网、去银行、交税、上社保，就很有可能在它营造的硕大金钟罩之下了。

正式认识下，ThreatBook 的中文名字是——微步在线。

而这位黑客，就是薛锋。

反正我第一眼见到薛锋，根本无法把他的形象和“黑客”、“中国最前沿的技术公司”、“网络安全守护者”这些关键词联系起来。非要形容的话，他看上去更像一个三好学生。

但他却屡屡被历史“翻牌儿”，一袭黑衣，飞檐走壁，与恶人魔法对轰。事了拂衣去，相忘于江湖。

妥妥的赛博狠人。

在微步在线成立的第十个年头，我想把薛锋重新介绍给你。

薛锋

（一）温故 2015 

别被薛锋少年感的谈吐所迷惑，眼角不经意出现的皱纹还是会暗示一些过往。

因为对技术与生俱来的痴迷，2000 年左右，还在上大学的薛锋就在各种黑客技术论坛发表虎狼之词，妥妥算是中国黑客的“上古神兽”。

大学毕业后他进入公安系统做技术工作，随后跳入一家外企 Nevis 在中国开设的实验室，然后加入了微软、亚马逊。

这些“民间+官方+中国+海外”的背景乍看混搭，但在薛锋的心里并无分别：

他的目标始终如一：抓坏蛋。

他的方法始终如一：用数据。

为了后文无痛理解，这里咱们多解释一句。

抓坏蛋的数据分两种：一种是行为数据，一种是标识数据。

比如一个工业园区，有人擅闯禁区、撬保险柜。这些“行为数据”妥妥意味着他是个坏蛋。

↓↓↓

但如果一个人已经荣登通缉令，你发现他在门口张望，肯定不用等他实施偷窃行为，直接扭送派出所就行了呀！这就是“标识数据”。

↓↓↓

重温以上简单的道理，再回到 2015 年，你大概能理解薛锋的激动。

当时绝大多数公司的安全团队都靠“行为数据”抓坏蛋，倒不是别的，因为他们只能看到行为数据。。。

但是，薛锋在微软和亚马逊却见识了另一番天地，这些全球顶尖公司已经玩转了“标识数据”。

但凡你有前科，那我家大门铁定不对你打开。

问题来了：世界这么大，我咋知道谁有前科呢？

其实在全球的网络空间，早就散落着各种“蛛丝马迹”：

有黑客使用过的工具残骸，有受害者分享的日志，也有地下论坛交流的病毒木马，也有大厂发布的漏洞补丁详情，只缺一双“发现的眼睛”。

把各种明暗数据汇总，并且筛选、计算，整理成一套实时更新的“通缉令”，这玩意儿就叫——威胁情报。

本来巨头们都是自己收集威胁情报悄悄用，但在 2015 年，一家来自西班牙的威胁情报平台 VirusTotal 掀了桌子。

它做了一件“飞入寻常百姓家”的事儿：为所有人提供情报订阅服务！

大小公司恍然大悟：原来花点钱订阅个“通缉令”，就能帮自家的安全系统上大分，何乐不为？

画面切回北京。

薛锋正和几个朋友日常撸串。

不是普通朋友，个顶个都是“上古黑客神兽”，有人在阿里，有人在腾讯，有人在百度、美团，简直是卡死了中国互联网公司的半壁江山。

薛锋每隔一两个月都会攒大家聚一下，顺便切磋一下前沿技术。

这次佐餐的主题就是“威胁情报”。

大家一对才发现：各自公司都想尝试威胁情报，但都缺个靠谱的情报供应商。。。

以往聊天是纯聊天，聊完之后各自滚回去上班，但这次薛锋真忍不住了。

“咱们干脆出来 ❤ 创！业！吧！”

转头，就去注册了微步在线。

现在看来，这操作多少带点儿草莽，但穿越回 2015，一切再合理不过。

那时的中国经济突然爆燃到前所未有的亮度，时代把安全感扑洒到每个普通人身上，风中都飘着甜味。

“不仅是我，同一批创业的朋友都压根没想过失败。大家觉得就算胡乱折腾，至少也是一年比一年好。”薛锋回忆。

正是这种莫名的乐观，让微步在线被历史翻牌儿，成为了中国第一家威胁情报公司。

我让薛锋凝练一下那个时代，他想了片刻，说：宽容。

“你只要打出旗号说自己站在威胁情报这个赛道，投资人就感兴趣，媒体就来报道你，大家也不看你的客户有多少，收入有几千万，就是想帮你。”

很快，宽容的空气平等地催生了更多威胁情报公司，真的假的高仿的疑似的，加一块儿能有十几家。

现在回想，薛锋感谢自己的行动力——要是微步在线成立再晚一两个月，这“第一”就要被别人喊了去。

彼时大家全在起步阶段，论收入都少得可怜，但微小的“对称性破缺”已悄然出现：

微步在线搞出了“X 情报社区”，玩法简单而炸裂：所有人都能免费（少量）查询威胁情报，所有人都能贡献威胁情报。

很多公司的安全师傅，遇到拿不准黑白的 IP 或网址，就上来查一下；在自家系统里发现攻击者连接了未知 IP，也顺手共享给社区，为通缉令添砖加瓦。

这样一来，微步在线的情报真真是“给看也给摸，好坏大家说”，很快就在各大安全社区的心智里驻扎下来。

也正是从那时起，中国有头有脸的企业，但凡想要订阅威胁情报，就看到天空飘来四个字儿：微步在线。

不找薛锋来聊聊，那总觉得不对味儿。

（二）买报纸有买一辈子的吗？！

2017年，薛锋坐在一家头部券商的办公室，对面齐刷刷三位头发灰白的老师。俨然像是研究生答辩。。。

已经辩了俩小时，两边好不容易把威胁情报的价格谈妥，下一步就是签协议。

薛锋从里到外松了口气，这是微步在金融领域的第一个客户，如果“破冰”，后面就有第二个、第三个。

“哦对了，你们税率是多少？”对方随口一问。

“税率是啥？”薛锋又支棱起来。

三位专家差点摔桌子底下，小伙儿连税率都不知道，就敢做我们的生意？！

薛锋见势不妙，赶紧稳住老师们，出去给财务挂电话，两分钟也没搞明白什么是“增值税”，只好回来鹦鹉学舌把税率背出来。

老师们轻轻皱眉，交换了眼神，说：“你回去吧，我们再研究研究。”

“我不走，今天必须把协议签了我才走！”薛锋不知怎么冒出这么一句，仿佛梁静茹附体，浑身都是勇气。

对方被他逗乐了，为首的专家苦笑了一下，说：“先把协议拿来看下吧。”

薛锋赶紧把准备好的协议呈上去。对方端详了两分钟，眉头突然收紧：“等等。。。你说的这个数，不是一次性的费用？是每年的费用？”

“是啊！”薛锋瞪大眼睛。

协议被推到一边。

“凭什么？”

“凭什么？你订报纸不可能一次订一辈子的吧？买爱奇艺账号，也得一年一给钱吧？”薛锋哭笑不得又理直气壮，在他心里，这和太阳从东边升起一样，是无需解释的。

接下来一个小时，薛锋完全扭转了自己卑微的乙方角色，贴脸给对方几位老师输出了一通“订阅制”的合理与必然。

到最后，对方竟然频频点头，把意向协议拿过来给签了。。。

现在回想起那个凶狠场面，薛锋的评价是：后怕。。。

别说在 2017 年，就是今天，很多人还是对订阅制有偏见——毕竟每隔一段时间就要续费，掏一次钱就肝疼一次。

设身处地想想，咱们每年订百来块钱的爱奇艺都手抖，何况要订每年上百万的情报呢？

当时那家券商，如果让薛锋拿着空白协议回家，他什么脾气都没有。

只不过，世界线没选那条岔路而已。

这份合同，可太珍贵了：

后来薛锋去见第二家券商，人家也气势汹汹地问：“为啥每年都要收我们钱？”

薛锋笑笑：“另一家跟你们同级别的券商，人家早接受订阅了！”

对方不信，薛锋真就把这份合同掏出来，捂着客户名字给他们看合同条款。对方就同意了。。。

后来薛锋又去谈银行，没有银行案例，就把前面几家券商的合同都给人家展示一遍，也成功拿下。。。

就这样左脚踩右脚，直接奠定了微步在线在金融行业的江湖地位，贡献了创业初期的大把收入。

如今回望，薛锋当然是幸运的，但好像又不能简单地归结为“撞大运”。

退到时代的岸边，你会目睹浪潮：

2013年，微软 Office、Adobe、vmware 这些通用软件已经全部完成了从买断制到订阅制的转变。

2016年，更垂直的企业级软件，如 Oracle、SAP、AutoDesk 也在全面转向订阅制。

为啥？道理也简单：

对于广义的“软件”来说，更新迭代越慢，就越偏工具属性；更细迭代越快，就越偏服务属性。

工具当然是一手交钱一手交货，交易完成，两不相欠。

服务意味着要*持续*花费精力来提供，付一次钱管一辈子，那不是买服务，那是买奴隶。。。

具体到威胁情报：

网络世界的攻击者每分每秒都有新的动向，所以情报也必须每分每秒更新，服务属性拉满，对于情报提供者来说，订阅才是更好的收费方式嘛！

而且，既然能订阅，就意味着能退订。威胁情报提供者为了留住客户，就必须上紧发条不断挖掘更准更新的情报。从这个角度看，订阅对客户来说也是好事一桩。

“他好我也好，怎会不流行？”

这就是薛锋的判断逻辑。

时代的浪头无情，会随机吞噬“站错边的人”。

与其说薛锋幸运，不如说因为他勇敢地押注了历史的正确一侧，才变得幸运。

这里有必要多解释一句：“勇敢押注”并非“闭眼梭哈”——它更像肌肉，源自漫长而不间断的锻炼。

从十年前起，微步在线的大小群组中，存在感最高的就是薛锋这个 CEO。

每隔个把小时，他都会在不同的群里快闪一下，甩一个他最近看到的觉得有用的文章。可能是技术分享，可能是并购消息，可能是行业报告，也可能仅仅是某个新概念。

同事们把这种操作视为“公司心跳”。隔一段时间没看到分享链接，大家就会心慌，我家 CEO 哪去了？

看似婆婆妈妈的日常，其实就是在“锻炼”。

薛锋相信，人在世间行走，主要靠脑袋里的三样法宝：算力、模型、数据。

算力就是智商，人和人的智商相差无几；思维方式是模型，这才是人们拉开差距的主要原因；而模型不会自己进化，调节它只能靠数据。

想象一下，我们脑袋里有好多指针。同步某个信息，也许会对某个指针有千分之一度的微调。日积月累，我们的模型就变得更有竞争力，做出的决策会比别人好一丢丢。

薛锋拆解其中的动力学。

这不，就在 2017 年的某一天，薛锋又甩出一个新词儿。。。

（三）何以被依赖 

孟龙站在电梯里，身边一个穿灰衬衫的人，背着书包，昂首挺胸，冲他笑了笑。孟龙礼貌地点头，心里琢磨着接下来的面试，没在意两人在同一层下楼。

五分钟后，孟龙进入面试间，对面正是那个灰衬衫——薛锋刚见客户回来。。。

孟龙是个性情中人，他当时并不了解微步在线已经是被北极光、高瓴等资本追捧的明星，也不清楚薛锋是履历光鲜的大黑客，就凭 CEO 老哥这平易近人的气场，一起创业肯定带劲！

“你听说过‘客户成功’吗？想不想做？”薛锋问孟龙。

“没听过，但我可以做。”孟龙先摇头后点头。

别看薛锋说得像个老司机，这个词儿他也刚听不久。

忘记在哪读到一则新闻，说国外的酷公司都在成立“客户成功部门”，主要任务就是帮客户用好自家产品。

脑袋里多年训练的“神经网络”瞬间凸显。直觉告诉薛锋，这很重要！

因为“续订率”是情报产品的生死线。就算你的情报再好再准，只要客户玩不转，就会说你烂，第二年妥妥退订。。。

续订率对未来收入的影响巨大！

于是，2017 年，微步在线在客户都没几个的情况下，早早就成立了“客户成功部门”。

“歪，我是微步在线负责客户成功的，您什么时候有时间，我去拜访。。。”孟龙对着听筒热情洋溢。

“成功？什么成功？我们已经挺成功了。嘟、嘟、嘟。。。”对方挂断。

最开始几个月，像这样羞耻地碰一鼻子灰是家常便饭。

孟龙告诉我，还有更羞耻的：有的客户根本不知道自己是客户。

这是因为，有些集成商采购了微步的情报，然后转售给了他的客户，客户不清楚自己订阅了神马威胁情报，更别说用好了。

这里的难言之隐是：出于复杂的利益关系，集成商大多不希望微步直接和客户建立联系。

“如果不能达成面基，这类客户第二年流失率就会达到 80%。”孟龙痛心疾首。

当时逼得没招，孟龙把上学时追女孩子的技巧都使出来了，要么趁着给客户做维护的机会创造偶遇，要么趁和客户独处的时候表明心迹。

实在逮不着机会，孟龙就拉薛锋助阵，托朋友找关系“递小纸条”，突破层层阻碍千里姻缘一线牵，只为强行帮他们成功。。。

这么疯狂地干了一两年，孟龙发现“攻守之势异也”：客户遇到不懂的，开始主动请他过去讲解；甚至不少一线工程师还把领导拉来，领导发现情报这玩意儿好使，又介绍给其他团队使用。

“从被客户嫌弃，到被客户依赖，这里面的成就感，你细品。”孟龙咂嘴。

听他回忆这些，我脑海里突然冒出刘强东的故事。

当年老刘在中关村租了个柜台做“京东多媒体”，主要是给婚纱影楼的老板卖光盘刻录的软硬件。人家老板交完钱准备走，刘强东愣是不让，必须坐这儿半小时，手把手教会了才放你走。

后来，天南海北的婚纱影楼老板都传开了，来中关村就找京东买东西，学会了回去好挣钱。

这种“强行”帮客户成功的劲头，还真是颇有几分神似。

事实证明，在幼年阶段就建立客户成功部门，成了薛锋再次被历史翻牌儿的“神之一手”。

不仅老客户续订率飙到 90% 以上，炸燃口碑也源源不断地“勾引”新客户。从天空俯瞰，微步用情报编制的金钟罩，正在迅速扩展到各行各业。

但旷野上有只“大象”——微步一直没找到机会保护体量巨大的制造业。

薛锋在等待历史的再次眷顾。

2017 年的一个早晨，销售同事接到一个电话，直接从椅子上弹起来，对方不是微步驾轻就熟的互联网和金融客户，而是一家能源巨头！

薛锋赶紧冲到客户总部，可听完对方的需求，却开始挠头。

按理说，查询情报的标准姿势是客户连接微步在线的云端数据库（这被称为 SaaS 模式）。

可这家企业很大，查询频率极高。这样一来，网络压力太大不说，总连外网也不符合央企的系统建设传统。

所以他们想建立一个“威胁情报平台”，让微步把情报定时推送进去。

薛锋的纠结在于：这样的私有部署很难传输全量情报，而且定时推送会导致情报滞后，威力必然受到束缚。

可是如果不做妥协，岂不是和这一类企业都说再见了吗？

钱赚不到事小，保护不了中国经济的基本盘事才大！

想来想去，薛锋下定决心，开辟一个新产品线，这就是 TIP。

↓↓↓

负责 TIP 的，正是 2015 年一边撸串一边参与了微步在线起心动念的另一位“神兽”，任政。

任政很快发现，这里有坑！

当时微步的业务正超速扩展，每个人都努着 12 分劲儿，分身乏术。任政把全公司抄个底儿掉，好不容易捞下来一位原本准备辞职的研发工程师。。。

客户不管你这个，三天两头催促：“你们的产品进度如何？啥时候给我们看看？”任政担心拖久了合作有变，咬着牙说：下周！

“其实当时一行代码还没有。”他回忆。

研发小哥熬夜一周，总算拿出了一个超级精简的“灵魂预览版”。

任政硬着头皮展示，客户用关爱的眼神看他。。。

为了打消疑虑，任政干脆提出，每周二到客户那现场办公！一边聊具体功能，一边实时转达给后方的研发小哥，当时改，当时看。

客户终于被微步的诚意打动了，也开始认真对待。

是时候展现真正的技术了！

每周二吃完午饭，就打车几十公里到客户那，变成了任政的肌肉记忆。风雨无阻坚持了一年多，不仅系统顺利部署进去，还迭代了好几个版本。

在如此巨无霸企业中磨练出来的 TIP，再进入行业其他客户，那必然降维打击，无比丝滑，好评如潮。

让我触动的是，无论是任政还是孟龙，聊起七八年前的客户都如数家珍，像是在回忆多年未见的老朋友，某种超越商业关系的情绪萦绕在空气中。

这些难以准确言表的氛围，也许构成了微步在线对“客户”的完整定义。

回到当时，随着薛锋把威胁情报送进各行各业，客户们送了他一个有点儿萌的外号——情报薛。

可情报的标签太响亮，反而成了微步在线的“枷锁”。。。

因为情报毕竟只是一张“通缉令”，要想真正抓到坏蛋，不能仅靠这张薄薄的纸。你还得撸胳膊挽袖子，亲自下场去肉搏呀！

薛锋开始 YY 更多“近身肉搏”的产品。

（四）把“灵魂”灌进去 

如果把一家企业的网络空间比作一个“工业园区”，坏蛋的目标就是潜入进来，找到藏在里面的机密信息。

园区里的保安队人手一份“通缉令”，目标是扑倒坏蛋。

有几个经典的位置可供保安们选择：

如果守在大门口，就叫“防火墙”（FW）；

如果守在通往每栋楼的路口，就叫“网络检测响应”（NDR）；

如果守在大楼内部的房间里，就叫“端点检测响应”（EDR）。

这第一款“肉搏产品”，薛锋选了路口（NDR），产品的名字叫——TDP。

说到做产品，那哲学可多了去了：比如小米的亲民标品哲学，苹果的完美主义哲学，OV 的下沉渠道哲学。。。

这时的薛锋，脑袋里模模糊糊有感觉：要能像苹果那样就好了。

于是他鬼使神差地给 TDP 配备了“铁三角组合”：

产品 Leader + 研发经理 + 产品经理

研发经理负责技术，有点儿像孙悟空：

一路的妖怪都是都是他打死的不假。但技术再牛，一路打上西天，佛祖（客户）也不会把真经（钱）给他。

产品 Leader 有点儿像唐僧：

他可能不了解妖怪，但他了解西天。虽然对大伙儿没有强制力，但却能用自己的灵魂定义产品的愿景，指引大家往西天的方向行进。

产品经理的角色有点像八戒：

他负责沟通，让用户和产品之间顺畅沟通，也让团队成员之间高效沟通。这种沟通，是通过一个个具体的功能逻辑、按钮排布、界面配色来实现的。

事实证明，通过这种排布，薛锋又早早地把幸运女神给召唤了出来。

2017 年一推出，TDP 就跟其他国产同类产品的使用体验拉开了几个档次。

还用“保安”来打比方的话，大概是酱：

TDP 这个保安一米八大个，浑身腱子肉，制服帅气肩章闪亮，说话好听业主都爱；

更要命的是，它手里捏着这份威胁情报，扑坏蛋一扑一个准儿，基本没有冤假错案。。。

衡量一个网安产品“扑坏蛋”的能力，有俩核心指标：检出率和误报率。

这两个指标是跷跷板，检出率高，就可能有冤假错案；冤假错案少了，就可能漏报。

TDP 当然也逃不出这个规律，只不过这群人下狠功夫，把这两个指标在跷跷板的前提下还同时推到了行业第一。

有客户不解，逼问薛锋为啥两项指标都拿第一，是不是骗人？

薛锋当时的回答很带劲：

咱上学的时候，差的同学可是语文数学都差，好的同学可是语文数学都好！

实际上，这种很早就定下的“铁三角模式”，成为微步在线产品力的来源。后来的故事屡屡证明，但凡对“铁三角”执行得不到位，幸运女神就不搭理这群人。。。

任政就翻过车。

他本是某产品 Leader 的角色，应该像唐僧一样吃斋念佛把控西天大方向，但他偏偏手痒痒，努力自学设计软件，画了一套精细的产品原型图。

结果产品经理拿到这个图，已经没啥发挥空间，只能上上色，改动一下按钮位置。

拿到客户那，反馈极差，人家根本搞不懂他的脑回路。

任政这才恍然大悟，原来自己是以一个“黑客神兽”的视角设计的，而客户那边的使用者，主要是普通的网络安全运维同学，你搞的这些自以为高大上的功能，人家不想学，也学不会。

实际上，就算天才如乔布斯，也经历过这样的“自嗨”阶段。

当时乔布斯设计的 NeXT 电脑，主推“面向对象编程”的 Objective-C 语言。对于深刻理解编程的大神来说，那简直是效率神器；可是对于普通程序员来说，这玩意儿太抽象了，切换成本极高。。。

果不其然，NeXT 电脑市场惨败。

走过几次弯路后，微步在线形成一道“奇景”：产品经理的角色大多都没有网络安全背景。

这倒不是有意筛选的结果，而是一个人如果在网络安全技术里陷得太深，就很难再对普通小白用户的需求保持敏感。

你看，铁三角不是凹造型，它的精髓是：

顶点上的三个人必须把自己的灵魂*平等地*灌注进去。

后来江湖上竟然出现传言， 微步在线找了一个“中央美院”的团队来做产品设计。

我向薛锋求证，确实有过一个清华美院的姑娘在产品团队待过，但时间不长，对团队的理念没啥影响。

想来，“美院”的传言虽不真切，却是市场对微步产品能力的顶级认可。

微步在线就这样摸着石头过河，走上了“苹果模式”。

注意，所谓苹果模式，不仅意味着产品自成一派，还意味着价格也比同行高一大截。

这帮人对此感到骄傲。

孟龙记得，当时有个客户不了解微步，一看到价格直接心生反感，说话不客气：东西这么贵，只有 SB 才买！

孟龙也不恼：“8000 块的山寨机，和1万块的 iPhone，你说谁更便宜？贵不贵你先试试，试又不要钱。”

试试就试试！正好这个客户要参加国家级攻防演练，同时接入了好多安全产品。

结果有一路进攻队隐藏极深，眼看已经骗过了所有安全产品，就在快拿到核心资料的紧要关头，TDP 单骑突出，弹出报警，直接把坏蛋扑倒在了最后一米。

客户心悦诚服地买了微步的单，绝口不提贵不贵的事儿了。

至此，江湖上传颂的微步三剑客——威胁情报查询（API）、TIP、TDP 已经聚义完毕。

从 2018 年开始，三剑客大杀四方，金融、互联网、制造业的头部企业被次第挂上客户墙，微步在线开创了与创业公司体量极不相称的宏大版图。

猛踩油门之下，老司机薛锋也终于开始体验“失控”的刺激。

这是之前文章里我给大家看过的微步在线的客户墙。（当时的客户墙都得打码才能发出来，现在的客户墙过于炸裂，不宜展示）

（五）失控 

2018 年是上轮经济周期的小高点。随着全球经济缓步入冬，微步在线却漫步在自己的春天里，在 2019-2022 年连续进行了四轮融资。

薛锋成了草原上阔步的狮子，目之所及的斑马羚羊全是点心。

微步在线的人数从 100 暴增至 400，新产品也像烟花一样次第发射。

必须承认的是，即便串演超级英雄电影的主角，薛锋也难得地保持了冷静：小心翼翼地依赖过往的成功所塑造的“思维模型”做新的决策。

但问题在于：能否扩大成功，取决于你对已有成功的理解“是否足够深刻”。

一个惨痛的教训，就是后来暂停的产品 OneEDR。

沿用之前“工业园区”的比喻，OneEDR 这个保安守卫的是哪呢？大概是“生产车间”的位置。

这个位置最贴近一手数据，同时所处的环境也最为复杂。

所以 EDR 的首要原则是“稳定”：保安的搏斗姿势一定要干净，不能把坏蛋按倒在地后，回头一看瓶瓶罐罐被撞碎了一地。

但把产品做稳定需要极为丰富的内力，并且从产品的第一行代码开始就要把经验倾注进去。

在 OneEDR 产品上，薛锋坚持了“铁三角模式”，却在三个角儿上同时启用了“没踩过坑”的新人。

就是这点儿微小的冒进，推倒了多米诺骨牌，产品最初的稳定性欠佳。

薛锋记得，当时一家头部互联网公司听说微步推出了 OneEDR，满心欢喜来吃螃蟹，结果部署进去第二周就出现了不稳定的情况，只好返厂回炉。

与情报 API 产品当年在金融领域口碑正循环相反，OneEDR 陷入了口碑的“负循环”。

一向沉稳的车，走位也开始画龙。。。

随后几年，产品一边修补，一边尝试进入更多企业，问题开始暴露，很多都与最初的设计思路相关，改起来成本巨大。

改到后来，OneEDR 的水平其实也说得过去了。但薛锋反应激烈：“微步”两个字已经成为品类第一的代名词，这样“非第一”的产品存在一天，对微步在线的口碑就伤害一天，后患无穷。

他拿起屠刀，直接砍掉了这个投入几十人，研发了四年的产品。

OneEDR 停服，很快就有客户找来：“我们觉得挺好的！后续不用你管升级，只要让我们续费继续用就行！”

即使面对这样送上门的钱，薛锋还是诚恳道歉：“对不起，必须要停。”

从那以后，薛锋对新品研发流程进行了大升级，追加了两个严肃的原则：

第一，“铁三角”中至少有一角是完整参与过某个老产品的人，确保做出的东西从第一行代码就遗传了微步的“精神内核”。

第二，任何产品研发前，大家必须坐在一起反复讨论清楚三个问题：我们为什么要做这个？我们为什么能做成？我们为什么能做到第一名？想不清楚就不能动。

“未知是最可怕的东西。只要你清楚失败的原因，它就不吓人了。”薛锋用一贯轻松的语气对我说。

其实，就在 OneEDR 关停前的 2020 年，大伙儿已经在尝试扶稳方向盘。

他们挑战了另一个难度极高的 EDR：办公网主机安全产品，命名为 OneSEC。

这又是个啥？沿用“工业园区”的比喻，OneSEC 守护的位置就是办公楼里面的一间间“办公室”。

这里，是最靠近数据的核心位置，是“盗梦空间”的最底层。

薛锋还不知道，一场严重的内部纠结，正在前方等待。。。

（六）执拗 

为了保证 OneSEC 的成功，薛锋部署了有史以来最豪华的“铁三角”，其中最重要的“产品 Leader”角色给了雅芳，她也曾是初代 TDP 的产品 Leader，履历中未有败绩。

薛锋虽不插手细节，却提出一个非分要求：必须坚持云化模式。

也就是说，OneSEC 需要把企业办公主机里发生的重点行为都传到微步在线的云端服务器上进行判定，而非在本地计算。

问题是，之前做 TIP 的时候，薛锋是主动妥协过的，同意做了本地化部署，为什么到了 OneSEC 却这么刚呢？

因为时间是把杀猪刀。

五年过去，一切都变了。

第一，黑客变了。

顶尖黑客非常狡猾。他们了解“通缉令”的存在，就会以更快的速度改换身份，有的甚至几秒钟就能“变装成功”。

第二，情报变了。

面对快速变装的黑客，但凡情报慢更新慢一点儿，漏过的概率就会大大增加。此时如果还把情报定时传输到本地，效果会大打折扣。

第三，算力变了。

越是高手黑客，在办公主机里留下的痕迹越少，需要把大量的数据联合起来计算，再与威胁情报和行为模式进行匹配才能精准地发现。

这么高强度的计算，本地计算机已经搞不定，必须利用云上算力才能算明白。

无论从什么角度看，我们都回不去了：云化模式的 OneSEC 效果会比本地部署好无数倍。

可问题是：企业内网的底层数据要实时上传云端，很多客户跨不过这道心理的坎儿。。。

有些人甚至担心这违反政策。

实际上，相关政策规定关键基础设施企业不能把*业务数据*外传，可 OneSEC 上传的数据只是底层的机器运转数据，和业务无关，并不违反政策。

但你讲你的道理，人家可以不听。

很多企业的一线同事测试后都表示：你这东西是真好，我们很想用。但领导一听要外传数据，死活不让买。。。如果能本地部署，我们马上付钱。

强行推了一年，雅芳的怀疑与日俱增：是不是现在的历史时机真的不成熟？哪怕咱曲线救国，先做一版本地化的 OneSEC，将来再引导客户往云上发展也行啊！

她去找薛锋很多次，每次都被坚定驳回。

到最后，薛锋索性说了狠话：“不做云化，那就没必要做这个产品了！”

雅芳眼泪都快下来了。

“云化模式能力更强，对客户更好；云化模式产品轻量，运行简单，对微步也更好。他好我也好，怎么不能成？”薛锋解释。

彼时薛锋的身影，和坐在第一家券商客户里狠狠坚持“订阅制”的他合二为一。

云上还是本地的讨论，就此终结。

微步众将开始了艰苦的“巷战”：

他们去到客户那里，掰开揉碎了讲道理，甚至直接打开盖子——允许客户随机抓包，看看 OneSEC 究竟上传了什么东西，究竟有没有不合适的数据。

如果客户执意要买本地版 OneSEC，哪怕加价到可怕的程度，微步的回答也是俩字：没有。

就这样，一个客户一个客户地布道，一个客户一个客户地部署，又坚持了半年、一年、两年。

到了 2024 年，薛锋发现，居然有同行偷偷打听：“微步 OneSEC 的云化模式是怎么搞的，我们也想试试。”

薛锋长舒了口气，他分明嗅到市场坚冰消融的潮湿，那是春天的气息。

再一次被历史翻牌儿的感觉，真好。

故事讲到这儿，薛锋站起身来，特意在白板上写下了这十年总结的“十字真言”：

坚持订阅，

坚持云化优先。

事实上，正因为坚持“订阅”和“云化”，才能让微步在同行陷入定制化泥淖的时候，却保持了恐怖的平稳增长。

这是对执拗的奖赏。

善于自省的人会用“成本思维”看待错误：出错越早，成长的代价越小。

这些核心产品的成败得失，在 AI 浪潮迎头拍过来的时候，成了薛锋心里的压舱石。

2023 年，微步在线低调发布了一个“小”产品——XGPT。

XGPT 像个变形金刚，既可以放在产品里用于解读告警、辅助操作，也可以单独使用，回答用户有关安全的一切问题。

这时，薛锋又来了一个骚操作，把 XGPT 直接放在了“X 社区”，和当年你的情报一样，变成了普通人“既能看也能摸”的东西。

很显然，在他心里，“AI+安全”与当年的威胁情报有着共通之处：它们都是一个巨大时代的起点。

“这么说？你们还攒着什么大招吗？”我问。

“我们等着瞧。”薛锋摆出三好学生的经典笑容。

这是 XGPT 的界面，你也可以去“X 情报社区”上试试。

（七）一直游到“泡沫消散” 

出来混，总是要还的。

2015年，宽容的春风催生了无数网安公司宝宝；

2025年，严酷的寒冬见证了惨烈的内卷。

求生的挣扎并不体面，人性中的阴影无暇遮蔽。

很多公司为了生存，利用采购文化中的陋习，采用极低价格竞争。到后来愈演愈烈：有人投标采用低价拿下后，知道自己无法盈利，干脆有预谋地烂尾，谁也别做。

但对此，薛锋却比我预想中冷静得多。

“我们并非生活在真空，我们生活在有细菌的世界里，你不得不接受。”他说。“在微步所有的订单里，大概有 30%-40% 会碰到低价竞争。没有这些低价单当然更好，但有，也没关系。”

我突然有一种“安卓机掐架，苹果在旁边观战”的既视感。

“哪些单子你们会同意低价呢？”我好奇。

“那些一线同事真心喜欢，但由于历史原因有着糟糕采购制度的单子。”他脱口而出。

“你怎么知道他喜不喜欢？”

“这可太容易了。在试用阶段，他登录频繁不频繁？他和你见面时，是什么表情？和你聊天时，会不会对具体的功能提出建议？喜欢是藏不住的。客户只要说一句‘想要’，就够了。”他说。

我脑海里莫名出现了那句话：只要你走出 1 步，剩下的 99 步交给我。

原来薛锋把生意做成了恋爱。

“你有没有觉得，从你听说网络安全这个行业到今天，现在是它最低光的时刻？”薛锋突然问我。

我不得不点头。

“但在我看来，现在距离最低点已经不远了。我对网安行业充满信心。”他话锋一转，我差点闪了腰。

任何一个行业，只要经历过被资本辣手“催化”的阶段，都会出现供给过剩的泡沫。

泡沫消散的过程是痛苦的，是漫长的，但不是没有尽头的。

薛锋提醒我注意一个奇怪的现象：

就在 2025 年，网络安全的巨头公司，虽然收入规模更大，但产品都是批发走量。而像微步在线这种主打技术的创业公司，产品反而更贵。

他的解读是：这是个丰富的世界，有些产品就是为了“合规”而存在，而有些产品是为“解决问题”而存在。

在我们创业之初的愿景里，没有一条是我要成为规模第一的企业。我们这群人是为了解决这个世界上存在的问题，才走到了一起，才走了十年。

薛锋说。

他之所以乐观，就是因为看到时代的“引擎”正悄然更替：“解决问题”正在替代“合规”，成为网络安全行业滚滚向前的首要驱动力。

如果说 2015 年是网络安全行业万物盛开的寒武纪；

那么十年后的 2025，属于强者的白垩纪正缓缓展开。

继续向前游，一直游到海水变蓝，一直游到“泡沫消散”。

十年不够，就再游十年。

前两天去香港出差，薛锋坐在出租车上穿过闹市，不自觉地看两边的店面。

越看越开心：这个快餐大牌、那个便利店连锁、还有这银行那银行，都已经是微步在线的客户。

骄傲并非因为“大牌有面儿”，而是因为这些企业服务着亿万用户。某种意义上说，微步在线已经和普通人的生活血脉相连，无法分开。

确认这一点，让薛锋觉得过去十年的一切都值了。

转过街角，偶然抬头，又看到一家著名机构的招牌，发现还不是自己的客户。薛锋立刻像个孩子一样撇嘴，心里念叨：“哎，还要努力。。。”

薛锋不是替自己着急，是替客户着急。

中国大小企业加起来，每年有一千亿的网络安全预算，即便如此，还有那么多大企业在用着陈旧的、根本不能保护他们安全的东西。

这种魔幻的感觉，就像是已经到了 iPhone 时代，你看到还有人用诺基亚，并且抱怨为啥不好用。

“这不是轰轰烈烈的革命，而是漫长的历史进程。它已经开始了，我们要让它加速。”薛锋说。

是的，他嫌历史翻他牌儿的速度不够快。

薛锋事事论理，鲜有感性一面。

但在临别前，他突然分享了一个小故事：

那是两年前的“五一长假”前夕，一款新产品开发到了最后关头，反正隔天就是假期，大家决定留下来加会儿班，把产品搞完回家好好玩。

薛锋一看，也决定留下来陪大家。

本来以为 10 点前能搞定了，可是遇到一些小问题，大家在一起讨论，想解法，竟然搞到了半夜一点还没结束。薛锋在旁边把所有邮件都回完了，索性也不走了，陪大家到底。

那天最后搞定，已经到了凌晨四点。

伙伴们在晨曦中道别，那一刻，连薛锋这么“铁石心肠”的人也被击中。

“如果你问我创业十年最珍惜什么。”薛锋说，“就像爬山，坐缆车几分钟就上去，可车厢里坐的都是陌生人，这样的山顶少了趣味。只有一群相知的好朋友，用双脚一步步爬上去，那些回忆才是独一无二的。”

“珍贵的不是山顶，是谁曾经和你一起爬山。”

他说。

往期推荐：

👉最燃黑客情报官薛锋：端起AK伏特加，代表人民把坏人抓

👉“黑客情报官”薛锋：真相只有一个，我们必须找到它

冰封网安十年

再自我介绍一下吧。我叫史中，是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友，可以搜索微信：shizhongmax。

哦对了，如果喜欢文章，请别吝惜你的“在看”或“分享”。让有趣的灵魂有机会相遇，会是一件很美好的事情。

Thx with  in  Beijing