王琦:一個極致主義者的從零到一

編者按

王琦首次接受深度訪談,訴說在微軟、騰訊的工作理念,講述創辦Keen、GeekPwn(極棒)的起伏塵埃——整個采寫過程歷時一個半月,三次面談,八易其稿,正文6687字,加之即興問答、讀書推薦總計8317字,建議閱讀時間:12分鐘。

2013年至2015年,KEEN團隊獲得世界最高水平信息安全大賽的三次冠軍,他們在很短的時間內成為世界範圍內由廠商官方確認發現計算機漏洞數量最多、最了解突破安全保護技術的專業安全團隊之一。

KEEN團隊創始人王琦,業內人稱大牛蛙,是前微軟(中國)安全響應中心ChinaMSRC創始人之一,2014年獲上海IT青年十大新銳獎,同年他帶領KEEN創辦發起全球首個關注智能生活的安全極客(黑客)賽事平台GeekPwn。

在上海徐家匯的一家咖啡館,王琦近年首次接受深度訪談,真誠袒露種種過往。

少年王琦的成長

1980年,王琦出生在南陽卧龍崗旁一個名為新野的小縣,他的父親是一位年輕有為的企業家——自上海讀完大學畢業後,回河南進入企業從事技術崗位,十年時間,由一名普通的技術員工做到廠長,三十齣頭便管理著上萬人的大企業。

王琦的父親能取得如此不俗的成就,很大程度要歸功於他性格中的細緻嚴謹,他出門前會把每顆紐扣調正,兩隻袖口要平齊整潔,從頭到腳乾淨大方。這一點,王琦遺傳了父親。

與許多父子的關係一樣,王琦和父親的話不多,在鮮有的交談中,有一句話讓王琦印象深刻。父親說:「我要把紡織,我的本行,做到業內 Number one,你不是喜歡計算機嗎,你也要做到Number one.」

父親的話深深地觸動了王琦,似乎在他骨子裡也暗暗地涌動著父親追求極致的基因。旁人都說王琦是處女座,王琦說:「我跟我爸有點像,不管怎麼樣,哪怕再小,我也要把它做到我心中完美的樣子。」

進入初中,在同齡孩子享受家庭關懷的年齡,王琦遭遇了一系列家庭變故,他的親人相繼離開,連續不斷的打擊,給心智尚未成熟的王琦帶來了劇烈的不安全感。

而帶給王琦安全感的——是計算機,他在破解領域的天賦,讓他感覺自己的手中好像有了一把可依賴的武器,他彷彿有了一次可以掌控自己生活的機會。

1995年,15歲的王琦第一次使用計算機,在那個年代,計算機是十分稀罕的物品,王琦自己沒有,只能到處管別人借。資源的稀缺,讓王琦愈發渴望擁有,他將軟體破解,試圖更加近距離地接觸計算機。

可以上網後,王琦一天到晚學習破解各種軟體、系統,在聊天室、機房用各種技術手段惡作劇,把其他人踢下線搶奪網路資源,只要破解方法成功一次,王琦就絕不會再使用第二次。

王琦追求的是對技術的掌握而非結果,破解過中的刺激,為王琦帶來了成就感,這層滿足像是彌合王琦內心不安的良藥。

天災般地家庭變故給王琦帶來了不安同時,也給他的思維神經烙上了鐵印,他說:「我很少有僥倖心理,因為我始終覺得意料外的糟糕結果一定會發生,我能做的就是儘力做到挑不出毛病、減少意外。如果一件事情未來成功的百分之五十可能性不掌握在自己手裡,我會立刻丟棄那個想法。」

另一方面,王琦也留下了不知是福還是禍的後遺症,他坦言:「我後來工作、創業,遇到的坎兒都挺難的,糟糕的時刻也一籮筐,但我幾乎沒感覺,可能是因為當年那些事兒,讓我對困難造成的壓力已經不敏感了。」

面對創傷和後遺症,王琦沒有選擇怨天尤人,而是選擇了知人情,盡人事,他每年在Keen公司的年會上都會提到「我為什麼要選擇奮力工作」的原因。

王琦說:「因為我想讓每個員工要成為家庭的靠山,而公司則要成為員工的靠山。」

可如何才能成為靠山?

王琦說:「如果要成為靠山,只有把技術、產品和事業做到極致,才能足以承擔那份責任。」

儘管後來父親去世,但兩個人成為Number one的約定,王琦從沒有忘記。在之後的工作和創業路上,王琦確實因為極致而獲得了成功——但令他和所有人都沒想到的是,也因為極致,他遭遇了諸多現實的磨難。

輝煌背後的現實

訪談一開始,王琦點了一杯橙汁,後問服務生:「你這兒能吸煙嗎?」得到否定的答覆後,王琦轉著帶血絲的大眼睛,好奇而機警地盯著我手中的鋼筆問:「吸煙也記阿。」

我有點不好意思,微笑的點點頭。他似乎對採訪有幾分恐懼,按照他常說的話:「人的思想和行為是由經歷決定的。」後來我才知道,他擔心媒體的誤報影響團隊的凝聚力。

王琦創辦Keen五年,從初衷上講,他想把公司做到極致,創造無數個做從零到一,並將其中一個由一做到一百,從結果上看,他似乎真做到了別人眼中的一百分,可在訪談中,王琦卻表示他只能給自己打十分。

2011年,王琦穿針引線,聚集了一幫頗具天賦的年輕人,成立Keen團隊(碁震),幾年內,他們在國際大賽中奪冠無數,風光無二。

2014年,他奔著和微信創始人張小龍一樣的憧憬,帶著Keen走進騰訊,達成戰略合作協議。同年夏天,騰訊就給王琦頒發了「超級伯樂獎」,那年王琦為騰訊引入了諸多頂尖級技

術人才(精英、新秀),使騰訊在安全領域的實力大幅上升。

還是這一年,王琦創辦、發起了全球首個關注智能生活的安全極客(黑客)大賽GeekPwn(極棒)。王琦興緻勃勃,渴望與騰訊形成一加一大於二的共贏局面。

以上這份創業履歷表放在任何人身上,都至少算作功成名遂,可追求極致的王琦卻說自己失敗了,如果滿分是一百分,王琦只給自己打十分。

王琦說:「我有一個毛病——『沒事找抽』」

早期在微軟,王琦就不太在意KPI,進公司沒多久王琦就從比爾·蓋茨的角度來看整個微軟的安全布局該做些什麼——進而發現自己需要做什麼。

經過一番觀察,自2005年起,王琦召集同事,利用業餘時間啟動了三個在微軟(中國)從來沒有過的安全項目。

「我想把安全技術的價值發揮到最大,讓大家更相信Windows和Bing是安全的。」王琦說:「如果安全工作不能更直接幫助公司鞏固、擴大市場份額,那在本職工作的KPI做得再好也意義不大——事實也證明,最後那三個業餘項目都十分成功。」

到騰訊後,王琦又開始「沒事找抽。」他從馬化騰的角度看騰訊的安全布局。

他希望用三年的時間,協助騰訊完成三步走。第一步,讓外界知道騰訊懂安全;第二步,看到騰訊會做安全;第三步,讓騰訊的安全做的比別人都好。

除此之外,王琦最「沒事找抽」的是一個別人當他「瘋了」的理想——把Keen打造成做安全專利技術型的公司,打造出一款在未來智能時代,即使是燈泡也能用到的安全保護技術引擎。

王琦說:「以後智能設備出貨量是手機的多少倍?這一個房間裡面,從電燈泡到熱水壺,多少設備。做一款技術引擎是每一個設備都用得到的,那是什麼感覺?」

可現實是,這個構思從來沒有先例,沒有前人走過,在記分板上,這個動作,還是零分。

王琦反覆說:「我們有那麼多極其有潛力的技術人才,越是別人想不到、不看好的時候,恰恰是我們的機會。」在GeekPwn 2016的開場詞里王琦也寫道:「別人眼中百分之一的可能性,是我百分之百的驅動力。」

可似乎很少有人相信王琦,亦或者只是理解,無法攜手並肩的實戰。理想與現實之間有一道難以捉摸的鴻溝,王琦暫時無法逾越。

關於王琦的成與敗,外界關注的焦點主要有三。第一針對Keen,第二針對GeekPwn,第三針對王琦的商業化模式。

其中的每一點,都在看似矛盾的同時包含了王琦創辦Keen五年的榮耀與無奈。

第一,Keen打比賽原只是起步動作

曾經有媒體這樣報道KEEN團隊:「 在國際安全比賽中,15秒找到MacOSX漏洞、20秒找到Windows8.1漏洞、30秒找到iOS漏洞,這是KEEN團隊的實力。」

但眾人所不知的是,Keen去挑戰國際安全比賽,只是王琦商業計劃中的起步動作。他從0到1的一小步。

參加比賽之前,KEEN做了一款ToB的安全產品,但他們做的過於複雜和超前,產品所含的技術包含了近幾年才流行開來的APT、UTM、態勢感知、威脅情報等一些概念,他們設計產品的初衷是假設安全問題一定會發生,而那款名為APOS(異常監測系統)的產品會幫助用戶在三十秒以內定位出安全威脅出自於哪裡。

儘管Keen通過雲計算降低安全成本,造出了相對極致的產品,但當時人們不理解這個產品的概念,王琦帶著團隊辛辛苦苦去做宣傳,可效果不佳。

王琦說:「中小企業,不用花一兩百萬買安全設備,幾千塊錢買我的雲服務就行了——可是時間不對,新概念的普及是個問題,它硬生生的把我逼成一個天天帶著十多個演示案例宣講的售前工程師。」

一邊,TOB產品開發與銷售進展緩慢的,另一邊,移動互聯網卻異軍突起。

王琦判斷這將是一個大的風口,Keen的研究方向在公司成立半年後也開始逐漸向移動互聯網轉移,為證明Keen在移動互聯網領域的核心安全研究實力,王琦和同事選擇去挑戰世界最高級別的安全賽事Pwn2own。

這一步,Keen團隊踩出了響聲,沒過多久,Keen就在Pwn2own比賽上連續奪冠,國內外媒體鋪天蓋地的報道:「中國團隊Keen破解成功!」

多次在國際頂級大賽上破解成功後,王琦覺得Keen品牌形象已經有了,不需要再通過打比賽向外界證明Keen 在移動互聯網領域的實力了,他想接下去就可以潛下心來去做安全技術引擎的研究——完成他一直以來心中的藍圖和夢想。

王琦的下一步動作是補充新鮮的技術力量,使得公司有能力把研究團隊分成三個梯隊,第一梯隊繼續在原有領域突破(打比賽、挖漏洞),第二梯隊花兩到三年時間潛心做創新的安全防護,第三梯隊分出來去做未來的跨界創新技術前瞻研究。

王琦說:「十幾年來鮮有創新的商業性底層保護技術出現,我們第二梯隊應該去啃啃這個硬骨頭。而第三梯隊就要負責天馬行空地跨界,跳出固有安全思維和緯度」。

第三梯隊面臨的第一個挑戰,就是王琦在二〇一四年四月份自己花錢買的一輛特斯拉,車買來當天他就找人拆卸,讓團隊去做研究。

但王琦的宏偉藍圖實際操作起來卻沒那麼簡單。

打比賽的時候,他們每年兩次有獲獎的機會,可王琦的計劃,兩到三年,甚至三到五年都不一定能做出結果——由於推行難度過高,王琦的計劃最終變得渺茫。

第二,GeekPwn是為了尋找創新的人才和技術

不少人有疑問,GeekPwn(極棒)與Pwn2Own有什麼區別?

與世界頂尖黑客大賽Pwn2Own相比,王琦將GeekPwn的目標鎖定在了創新上。

其中包括三點,第一,引導研究人員拓展研究領域,不局限於傳統安全所涉及的漏洞挖掘對象和方法,第二,鋪設舞台,為安全行業發現和留住更多具備潛力的安全新秀,第三,幫助安全行業與騰訊這樣的互聯網大企業互相擴大影響力,防止安全圈萎縮。

「推手。」是王琦為GeekPwn下的定義。他希望通過GeekPwn找到、留住更多技術潛力股——王琦說:「要讓躲在小黑屋裡的安全技術愛好者可以成功,讓已經成功的牛人更成功,讓07到12年間日益萎縮的白帽安全圈重新煥發蓬勃生機。」

GeekPwn三個目標實現的路徑,延續了王琦做事的一貫風格——走兩個極端。這種風格在王琦的早年經歷就有體現——在微軟工作時,王琦經常去江西、四川等地的貧困山區做支教志願者。

其他同事去都是給貧困山區的孩子們送籃球、電腦。王琦去通常做兩件事情,第一件,送哨子、小刀、手電筒等。

王琦說:「那裡的孩子往往需要早晚抹黑步行二三十里山路上下學,這些小物件關鍵時候可能發揮作用。」第二件,王琦和同事說把其他錢省下來,每年帶孩子們去大山外面,開開眼界。

「這其實是兩個極端。」王琦說:「前者是保護眼下人最根本的需要,後者是保障未來的發展方向,可以早起步、早確定。」

與此同時——GeekPwn在技術引導方面,也走的是兩個極端路線,一方面是極端的貼近現實生活,讓普羅大眾也能看得懂、能受益。另一方面,做極端的未來創新,引導安全技術人發現和確認未來的技術方向與目標。

王琦捏了一下鼻子說:「中間路線一般都有很多人走,我覺得很需要也很好,但很少有人能騰出時間去走兩個極端,我喜歡從零開始,就往這兩個極端拼唄。」

走極端就難免遭人詬病,有人說GeekPwn門檻太低,有人調侃王琦經常捧一些站在傳統安全技術角度上看技術很「低級」的新人。

王琦說:「GeekPwn堅持低門檻高標準,哪怕你把智能空調甚至馬桶黑了,只要你原創了新的技術方式、方法,別人沒見過,沒想到過,你就可以來。」

二〇一六年極棒重磅推出的天才黑客、神奇小子(George hotz)就是其中的典型。王琦坦言:「我說消滅無數個零,創造無數個一,其實就是推崇一個人擁有敢想、敢做的安全極客精神,在他人沒做到的時候,他能夠最先創新突破。」

不止安全圈,在各個領域都有人問:「衡量人才的標準到底什麼?」

是獲獎?是堅持?還是創新?

王琦說:「我極度反對把衡量人才的標準唯一化,反對用傳統標準來衡量新人才。」

第三,商業價值不一定馬上實現,也不一定是我摘果實

外界關於王琦的質疑,有不少就來自商業價值,許多人問:「Keen打比賽這麼厲害,GeekPwn這麼大的規模,花著投資人的錢,不商業化?」

王琦的同事也有類似焦慮:「我們這季度、這半年如果還不能賺錢會怎麼樣?」

「其實這種焦慮在所有行業的投資案例中是普遍的存在。」王琦對記者說,「焦慮有必要,但如果處理不好這種焦慮,就可能在發展方向上走偏。」

在與騰訊合作之前,王琦希望找到一家,不看一天,不看一周,不看一年,而能看三年、五年的大平台——為的就是防止這種焦慮的產生。

王琦說:「安全的本質是人與人的對抗。投資安全,本質上就是對人的投資。舉個例子就像投資一家餐館或者畫室,因為一道招牌菜或者一幅畫而投資,回報率遠遠比投資那位廚師或畫師少得多,聰明的投資人都明白這個道理。

我相信Keen的優秀廚師們有一天會做出滿漢全席,我不希望他們跑偏,為了短期投資回報所累而天天做盒飯。投資人——特別是投資安全領域的人,進行長期投資的最終收益會萬倍於短期收益。」

雖然語出驚人,但王琦顯得很平靜,像是已經在心底沉澱多年。

王琦用吸管攪拌果汁,喝了一口,接著給出了一個站在最高框架下的視角:「如果我們站在投資人比如馬化騰的角度,小馬哥急需我把極棒商業化賺錢嗎?」

被王琦一問,桌上的人全都一愣,王琦接著說:「如果站在馬化騰的角度看短期商業化的焦慮,會完全不同。騰訊的框架很大,如果要盈利,完全可以讓另外一個團隊去摘果實,我只需要儘力完成我的使命——在安全創新領域做到極致就可以了。安全需要跨界合作、互惠共贏——這就是Keen選擇投資人的標準。」

也有人質疑這是王琦在為他沒有商業化目標而找的借口。

王琦說:「我創業一開始就是奔著商業化,任何商業化的形式粗略可分為兩類,一類是短期收益,快速見效,一類是長期積累,厚積薄發,我希望做的是後者。」

面對部分人的質疑和不解,究竟是王琦忽略了眼前的生活,還是部分人看不到遠方,並不好下斷言,任何凌駕於道德之上的綁架式評判都有失公允。

但有一點可以確定,王琦經歷的創業磨難,幾乎是每個安全創業後來者的必經之路——辦公司,Keen分成三個梯隊想法破產的無奈;辦比賽,GeekPwn渴望顛覆衡量人才標準而短期不得的無奈;商業化,尋求更長遠發展(研究)路線不被理解的無奈。

三層王琦眼中的失敗其實都導向了一點:王琦追求的那個一百分,也許不是每個人的必需品,而外界似乎也很難單純用」孰對」、」孰錯」來下判斷。

專註技術,成敗皆因極致

在技術圈,很少有人知道王琦是國內第一代黑客。

專註安全較早的看雪論壇成立於2000年,而王琦97年就建了自己的黑客網站。彼時,年度黑客網站評選時,王琦的網站排名第七,他擁有獨立IP日訪問量達到三千,高峰時超過兩萬。

在那個時期的幾次大規模的中外黑客大戰期間,王琦的網站獨立IP日均訪問量更到達四萬,當時某大戰的宣戰書下面列了一段話:「如果你們需要什麼武器和文章,去下面這些網站」,第一個就是王琦的網站。

王琦對安全技術的專註,從那時候起就埋下了根深蒂固的基因。他的成功源自於這股對技術的極致堅持;他的失敗,也源自於此。

成立公司後,王琦招人有兩個標準,第一,熱愛並追求極致,第二,數學好。可以想像,如果要管理這樣一群尖端人才,有多大的難度。

在早年管理中,王琦認同喬布斯所言的:「真正A類的人才不需要你來呵護他的自尊心,真正看重的應該是工作表現。」

以這句話為綱領,王琦在管理團隊的過程中,發揮了他追求極致的秉性,奔著大目標與團隊馬不停蹄的前行,奔騰千里,儘管最後效果良好,但團隊只撐到一半就人困馬乏,甚至到最後,王琦陷入了一個由自己「創造」的窘境,就像《讓子彈飛》里的張麻子(姜文 飾)一樣。

張麻子問兄弟:「老三,跟我在一起不高興么?」

老三:「高興……就是,有點兒不輕鬆。」

張麻子:「你們倆呢?」

其他兄弟:「有點兒……不輕鬆。」

儘管每一個王琦發現和引進的人才,都幾乎被王琦「三顧茅廬」。

儘管王琦堅信無論有沒有他,進入公司的夥伴都會成功——王琦渴望成為他們的「推手」,幫助他們提前發現前進的方向,彌補他們職業經驗的不足。

儘管王琦顧及到諸多生活的細節,包括公司員工家裡發生了大事,王琦總是第一個主動伸出援手,幫助員工家中排憂解難,甚至有時候忙起來,連衣服王琦也會替員工購買。

王琦說:「我就是希望可以幫助他們消滅生活中遇到的困難,解決後顧之憂,在公司可以輕裝上陣。」

儘管王琦做到了他所能做到的一切,但王琦唯獨忽略了一點——人的情緒,王琦以對待自己「沒事找抽」式的超高標準對待A類人才,在許多工作細節中追求極致,王琦沒有深思高壓之下人可能產生的種種心理反應——而這看似難以捉摸的心理狀態,是他做其他貼心事所難以平衡的。

對人情緒把控的缺失,正是導致王琦「失敗」的最終原因。

創業五年後,王琦嫣然回首,對此有些心酸,有點兒無奈——他說:「這是五年創業給我上的最重要的一課。」

現在——GeekPwn是王琦的從零到一,也是他唯一給自己打出十分的項目,能否從十成長到一百,明年五月和十月的GeekPwn,也許王琦會給出一些答案。

【王琦隨談】:所有過往,皆為序章

王琦有ToC情結,想讓安全真正在「大眾產品」中體現出價值,讓安全界有才華的安全研究員獲得「人們正在使用我的產品」的滿足感。

【王琦隨談】:「安全研究員發現和幫助修復了Android漏洞,看見大家用Android手機,安全研究員可能心裡暗爽一下,但如果與微信的開發者相比,能在地鐵里看到所有人都在用自己開發的產品聯絡、過年都用自己產品發紅包,這兩種爽的感覺還是不同的。

我希望白帽黑客應該像英雄一樣被對待,比如享有『網路世界安全衛士』的榮譽。」

談到目標的選擇和堅持,王琦與王健林有不同的說法。

【王琦隨談】:「目標必須大。如果設定的目標不夠遠,不夠大,很容易在行進的路上『亂花漸欲迷人眼。』

比如,如果我們是創業做企業,目標就可以選擇華為,我們就要像任正非一樣對待自己、要求自己,我們就是要和能力最強的人比較,而且只和地球上那些最優秀的人比較。

很多人看到自己認識的人,因為前年跳了槽,去年投股,今年炒房,甚至公司上了市最後賺了錢,就開始懷疑自己是不是選錯了職業方向或用錯了方法——但其實不是這樣——只要心裡有大目標,就只需要做好一件事情,那就是拚命在自己的領域做到極致,去追趕大目標,即時最後你只做到最強人的百分之三十,你也非常成功了。」

有朋友問王琦:「具體要怎麼做呢?」

【王琦隨談】:「很簡單啊,如果在你的領域,如果任正非或者某某某最厲害,根據你的年齡,看他們與你同齡的時候在幹什麼,在看什麼書,寫什麼文,如何學習如何進步。不要拿七十多歲功成名就的任正非和自己比,要拿和你同事業期任正非比。始終拿自己和世界第一找差距,我們成不了世界前一百,這樣努力下去做到前一千也沒準——也已經很成功了。」

朋友對王琦說:「你這個太牛逼了,你去想這些,簡直和瘋子一樣。」

【王琦隨談】:「我不認為這是在發瘋,我比許多人都接受目標不能實現的失敗結果,因為我知道我這輩子幾乎不能達到那個目標高度,如果說完滿是一百分,我從零開始拚命努力最後只達到三十分,可以了,我接受,其實已經很不錯了。如果我不朝著那個目標努力或者中間跑偏了,我三分可能都達不到。」

王琦是一個極客,Keen他想做成安全專利技術型的公司,GeekPwn他想尋找創新型人才和技術,商業上,他更注重長遠發展,將安全創新做到極致。

這樣極致的人往往不成功便成仁,雖然現在談論王琦的成敗為時尚早,但他所做的一切已經擺在了眾人面前。Keen是他的過去現在時,GeekPwn是他的現在將來時,他的未來是什麼?

在他的微信簽名上有一行字:所有過往,皆為序章——KEEN、GeekPwn、嗶嗶嗶。

(完)

王琦推薦書單:

《偶然中的必然》 張遠南

書評:既然沒有限定推薦書目的範圍,第一個推薦這本兒童讀物給為人父母的朋友。這是張遠南老師數學叢書中的一本,這個系列給我兒童時期成長留下了極其深刻而且深遠的影響。

《激蕩三十年》 吳曉波

書評:不必多介紹了,也不必較真這個是經濟著作還是學術著作,以及很多細節嚴謹與否。三十齣頭的吳曉波第一個把一幅幅斷層後時代中國民營企業興衰相用人文情懷的故事語言表達出來,值得我們從堪稱悲壯的群體企業家成功失敗中領悟。

《解憂雜貨鋪》 東野圭吾

書評:可能很多人都看過,我是別人根據我量身推薦才閱讀的,推薦喜歡錯綜複雜的推理同時享受複雜觀感的朋友看。

《曙光中的機器人》 阿西莫夫

書評:曙光中的機器人,落暮里的人類。一段時期我一直用著作等身的阿西莫夫頭像做微信頭像。推薦給喜歡推理、偵探、科幻三合一的朋友看。

《永失我愛》 王朔

書評:這本俗氣的小說,如果說有什麼推薦理由的話,大概有兩點,我一直喜歡朔爺用京腔京句營造的畫面感,另一個就是這篇小說居然讓尚不知情為何物讀高中的直男我讀流淚了。

因為知乎運營規範的要求,安在不再在知乎專欄中談論互聯網黒市相關話題內容,正常完整的內容只在安在微信公眾號AnZer_SH中發布,有喜歡的這部分相關內容的同學請加微信公眾號ID:AnZer_SH。

推薦閱讀:

當老闆問你我們的網站安全嗎?我們到底該如何回答?
華盟網第五期WEB安全攻防(一)上海站
【重磅推薦】安全客2017季刊-第3期

TAG:极客Geek | 黑客Hacker | 网络安全 |