火绒安全马刚自述：中国还有一个“纯粹”的杀毒软件

【马刚】

口述/马刚 | 文/史中

十五年前，我加入瑞星。

在瑞星的八年时光里，前五年，我们和金山的雷军打；后三年，我们和 360 的周鸿祎打。我经历过最惨烈的市场竞争，策划了无数安全公司之间的“暗黑攻伐”，目睹了杀毒软件是如何一步步堕落并盘踞用户的电脑。

这些江湖往事，让我难以平静。我决定用以后的时间，做一个“纯粹”的杀毒软件。

（一）

毋庸置疑，当时安全软件是 IT 行业的明星。

严格来说，我不是个技术人。但从那个年代开始，对用户的宣传和恐吓却比技术本身更加卓有成效。当年你很可能在媒体上看到过这样的报道：“70万种木马病毒肆虐网络，必须用正规杀毒软件查杀。”“XX病毒来袭，XX杀毒软件已经提前具备查杀能力”。这很可能是我们策划的手笔。

作为瑞星的市场总监，我把“宣传和战争”当作做市场。

在这些宣传战中，各家都鼓吹自己可以对最新流行的病毒提前查杀，并且搞定了全部的变种。我记得在名震一时的“冲击波病毒”来袭的时候，我们一周内在媒体上发了一千篇稿件。这不是 Ctrl C+ Ctrl V 的通稿，而是一个媒体一篇独立稿件。

通过对黑客和病毒的渲染，去占领人们的头脑。那个时候病毒也多，我们的“恐吓”经常很有效。我依靠这样的战术，一步步让瑞星在和江民、金山的战斗中逐渐占了上风。但我内心很清楚，这些过度宣传最终会对杀毒软件自身产生巨大的伤害。

夸张的宣传手段虽说不光彩，不过各大安全厂商，还有着一个基本的默契，那就是把战争停留在“外部”——杀毒软件不会窥探用户上了什么网站、用了什么软件、买了什么东西，也不会捆绑安装一些软件——保留着最基本的节操。

（二）

有人说周鸿祎是互联网最好的产品经理，我很认同。 360 的产品漂亮，易用。反观那时的瑞星和金山这些传统安全厂商，产品并不够好，甚至可以说对用户体验不重视。

当然，360 雄霸天下的杀手锏，还是免费模式。当时瑞星的用户量是8000万-9000万，而 360 用户迅速突破一亿。然而即使有这么多用户，它的生存得也很艰难。因为不向用户收费，并没有变现的渠道。而传统安全厂商虽然无力还手，却有一个优势，那就是现金流——因为他们的杀毒软件是可以卖钱的。

在我离开瑞星之后不久，360 一统天下。这是个事实。

从 360 时代开端的“三级火箭”模式，逐渐成为桌面产品生存的“铁律”。所谓三级火箭模式，就是：

• 你有一个强势终端安全产品，
  

• 利用这个产品推你的浏览器，

• 收集用户的流量卖给搜索。

无论用什么手段，免费的产品最终都是靠卖流量来挣钱。

圈内一个著名的意见领袖 CAOZ曾经说过：

理解了导航站，就理解了一半的中国互联网。

导航站的战场，正是为了争夺流量而生。换句话说，理解了流量，就知道了中国的软件工程师都在为什么而奔波。

无论做什么产品，都不可能直接向用户收费。而只能通过各种方法劫持、抢夺、吸引用户的流量，然后让广告主掏钱。所以一个成功的桌面产品需要具备两个特点：

1、优秀的用户体验

2、抢夺用户流量的技术能力和玩法

【涌动着流量战争暗流的导航站】

但是，杀毒软件本身不是一个强粘性的产品，它就像医院一样，属性应该是低频和必须的。免费模式注定了杀毒软件必须担负起引流的任务，于是弹窗、广告、捆绑被证明是实现引流的唯一方法。这是用户享受免费杀毒软件的代价。

从那个时点开始至今，中国没有出现一个新的 PC 通用软件品牌。我们知道的还是以前的暴风、迅雷等等。只有老的死掉，没有新的起来。这是为什么呢？

因为连安全软件都不收费了，剩下的软件就更没有收费的可能了。而论弹广告和用户流量，新软件又不是巨头的对手。

换句话说，这个行业不再具备生存空间。PC 软件之间的战争，可以简化成：

巨头对流量的争夺战。

（三）

这个世界并不像我想象得那么美好了。

如果你家需要一个保安，那么最正常的方式是：你付钱，保安为你恪尽职守地服务。

但是，免费模式把这种交易改造为：保安替你免费看家，但是你要允许他找人在你家门口摆摊，并且他还会偷偷地把你家里的情况透露给其他人。

如果用户接受，这种方式也无可厚非。但我认为这其中存在着一个巨大的问题，那就是你无法把握伤害用户的尺度和标准。

我相信没有人在一开始就想做“流氓软件”，但是在激烈的竞争中，免费的杀毒软件必须尝试获得更多的用户信息，劫持更多的用户流量，最终不可遏制地向着“流氓”这个方向滑去。

游戏的玩法很明确：

BAT 从流量商手里买流量；

流量商从流氓软件和病毒手里买流量。

根据我的经验来看，BAT3 一半的流量都来自收购。经过几年发展，原来的流量商和流氓软件制造者已经合并。同一个办公室里左边的团队负责对接 BAT3，右边的团队负责写病毒。

你会发现，原来做杀毒软件的人和原来做病毒的人，现在统统在做流氓软件。因为他们的目标一致——流量和背后的钱。这就是这些年我看到的惊人事实。

这场游戏的目标开始变得简单。

大公司分别养了一帮人，进行技术对抗。在用户看来一切正常，而电脑后台里，各家软件正在用最顶尖的技术来对攻。

恶之花由此盛开。

举一个例子：

有一款软件叫做净广大师。听名字就能知道，这是一个帮助用户阻挡广告的软件。它确实会帮用户阻挡别人的广告。但是根据我们的研究，发现它居然会释放一个驱动程序，进而直接在后台把用户的 HTTPS 加密协议替换成 HTTP 协议，然后劫持用户的流量，盗取用户信息。在这个过程中，释放的木马还会频繁更换文件名，和杀毒软件进行对抗。

如果说这是一款安全软件，我真的不知道怎样去相信。

【“病毒软件”净广大师通过了各大杀毒软件的安全测试】

（四）

正是因为有枪，警察才不能乱开枪；

正是因为有技术，黑客才不能乱黑别人的数据；

这个道理不用解释。

很多事情我难以扭转，2009年，我最早离开瑞星。而其他三位好友，瑞星CTO刘刚、瑞星内核团队主管周军、主机安全主管毛钧也在2011年离开瑞星，我们一起成立了火绒安全。公司创始人中，除了我以外的三个，都是和病毒打了一辈子交道的技术宅。

他们不关心宣传、不关心商业、不关心移动互联网、不关心时髦的黑客大赛。他们只关心一件事：杀毒。

所以，火绒安全只做终端安全，就是我们一直在谈的杀毒软件——PC、手机、服务器。而且，我们要做一款干净的、纯粹的杀毒软件。而且，我相信我们的软件不需要靠免费和攫取生存，它值得用户为之付费。

【火绒安全杀毒界面】

杀毒和医生治病很像。

圈外人、甚至病人自己都很难判断你的医术好坏。但是事实上，在杀毒这条路上，技术的精进是没有止境的。和安全研究员对抗的，是网络那头的活生生的黑客，面对巨额的金钱诱惑，他们可以爆发出的智力和想象力是惊人的。

• 有些病毒会不断变换代码，产生变种；

• 有些病毒会自动探测环境，只在用户的电脑上而不在我们的虚拟环境中发作；

• 有些病毒会借壳，寄居在各大杀毒软件白名单的文件里。

前一段时间，我们发现了一个木马病毒“Toxik”，它寄生在金山 WPS 的升级程序中。而升级程序本身却被各大杀毒软件列进了白名单。

根据文件的行为来判断病毒，这应该是一个杀毒软件最起码的能力。无法想象这个病毒仅仅耍了一个小聪明，就让所有的杀毒软件全军覆没。

从另一个角度上来说，因为病毒制造者拥有顶级的对抗水平，能够完整揭秘病毒包，并且可以跑通病毒所有行为的杀毒引擎少之又少。

【火绒安全截图】

火绒安全做得很好，这值得我骄傲。

我们的公司已经成立了五年多。很惭愧，我们还没能开始商业化：火绒安全软件暂时仍然是免费的。

我们并没有放弃心中正确的道路，只是在那之前，我们需要变得更加强大。我们需要得到更多来自志同道合用户的认可。

这五年当中我们曾经靠给别人做项目挣钱，靠 OEM 和技术输出赚钱养活公司，我们做到了不在安全软件上捆绑任何一个广告。

经过我们的努力，火绒安全在电脑高手的圈子里已经小有名气，并且越来越多追求体验的“小白”用户也加入了我们的用户队伍。我们的用户量达到了几百万。这让我们更有理由相信，未来一定可以靠自己的产品和服务有尊严地取得利润。因为我一直相信在中国的用户里，一定有人不愿意出卖自己的隐私和感受换取免费服务。

我们要做的，就是把自己的产品做好，做到更好，做到最好。

我们不觉得自己多有节操，我们只是想做一件纯粹的事情。我们的工作不时髦，不性感，甚至没有人关注。但是我执念地相信，有一天，所有的聚光灯都会聚拢在我们身上。

后记·采访手记

互联网的冰冷在于，置身其中的人们主动和被动地塑造了一种冰冷的“工具理性”。残酷的生存竞争面前，催生了极端地竞争策略，不得不说这是另一种互联网达尔文主义。

但是，互联网上的居民们，并不仅仅是工具，而是活生生的人。是非和执念，在每个人心中都重若泰山。让这个世界的天平向着我们所执念的方向倾斜哪怕一点点，都无比真实地让我们确认自己存在的价值。

安全，某种意义上来说是一个最传统的行业，所有有关安全的协作都伴随着我们成为人的过程而诞生，它甚至先于互联网千年诞生。安全没有义务向所谓互联网的“真理”妥协，是一种让人动容的坚守。