编者按:
王琦首次接受深度访谈,诉说在微软、腾讯的工作理念,讲述创办Keen、GeekPwn(极棒)的起伏尘埃——整个采写过程历时一个半月,三次面谈,八易其稿,正文6687字,加之即兴问答、读书推荐总计8317字,建议阅读时间:12分钟。
2013年至2015年,KEEN团队获得世界最高水平信息安全大赛的三次冠军,他们在很短的时间内成为世界范围内由厂商官方确认发现计算机漏洞数量最多、最了解突破安全保护技术的专业安全团队之一。
KEEN团队创始人王琦,业内人称大牛蛙,是前微软(中国)安全响应中心ChinaMSRC创始人之一,2014年获上海IT青年十大新锐奖,同年他带领KEEN创办发起全球首个关注智能生活的安全极客(黑客)赛事平台GeekPwn。
在上海徐家汇的一家咖啡馆,王琦近年首次接受深度访谈,真诚袒露种种过往。
少年王琦的成长
1980年,王琦出生在南阳卧龙岗旁一个名为新野的小县,他的父亲是一位年轻有为的企业家——自上海读完大学毕业后,回河南进入企业从事技术岗位,十年时间,由一名普通的技术员工做到厂长,三十出头便管理着上万人的大企业。
王琦的父亲能取得如此不俗的成就,很大程度要归功于他性格中的细致严谨,他出门前会把每颗纽扣调正,两只袖口要平齐整洁,从头到脚干净大方。这一点,王琦遗传了父亲。
与许多父子的关系一样,王琦和父亲的话不多,在鲜有的交谈中,有一句话让王琦印象深刻。父亲说:“我要把纺织,我的本行,做到业内 Number one,你不是喜欢计算机吗,你也要做到Number one.”
父亲的话深深地触动了王琦,似乎在他骨子里也暗暗地涌动着父亲追求极致的基因。旁人都说王琦是处女座,王琦说:“我跟我爸有点像,不管怎么样,哪怕再小,我也要把它做到我心中完美的样子。”
进入初中,在同龄孩子享受家庭关怀的年龄,王琦遭遇了一系列家庭变故,他的亲人相继离开,连续不断的打击,给心智尚未成熟的王琦带来了剧烈的不安全感。
而带给王琦安全感的——是计算机,他在破解领域的天赋,让他感觉自己的手中好像有了一把可依赖的武器,他仿佛有了一次可以掌控自己生活的机会。
1995年,15岁的王琦第一次使用计算机,在那个年代,计算机是十分稀罕的物品,王琦自己没有,只能到处管别人借。资源的稀缺,让王琦愈发渴望拥有,他将软件破解,试图更加近距离地接触计算机。
可以上网后,王琦一天到晚学习破解各种软件、系统,在聊天室、机房用各种技术手段恶作剧,把其他人踢下线抢夺网络资源,只要破解方法成功一次,王琦就绝不会再使用第二次。
王琦追求的是对技术的掌握而非结果,破解过中的刺激,为王琦带来了成就感,这层满足像是弥合王琦内心不安的良药。
天灾般地家庭变故给王琦带来了不安同时,也给他的思维神经烙上了铁印,他说:“我很少有侥幸心理,因为我始终觉得意料外的糟糕结果一定会发生,我能做的就是尽力做到挑不出毛病、减少意外。如果一件事情未来成功的百分之五十可能性不掌握在自己手里,我会立刻丢弃那个想法。”
另一方面,王琦也留下了不知是福还是祸的后遗症,他坦言:“我后来工作、创业,遇到的坎儿都挺难的,糟糕的时刻也一箩筐,但我几乎没感觉,可能是因为当年那些事儿,让我对困难造成的压力已经不敏感了。”
面对创伤和后遗症,王琦没有选择怨天尤人,而是选择了知人情,尽人事,他每年在Keen公司的年会上都会提到“我为什么要选择奋力工作”的原因。
王琦说:“因为我想让每个员工要成为家庭的靠山,而公司则要成为员工的靠山。”
可如何才能成为靠山?
王琦说:“如果要成为靠山,只有把技术、产品和事业做到极致,才能足以承担那份责任。”
尽管后来父亲去世,但两个人成为Number one的约定,王琦从没有忘记。在之后的工作和创业路上,王琦确实因为极致而获得了成功——但令他和所有人都没想到的是,也因为极致,他遭遇了诸多现实的磨难。
辉煌背后的现实
访谈一开始,王琦点了一杯橙汁,后问服务生:“你这儿能吸烟吗?”得到否定的答复后,王琦转着带血丝的大眼睛,好奇而机警地盯着我手中的钢笔问:“吸烟也记阿。”
我有点不好意思,微笑的点点头。他似乎对采访有几分恐惧,按照他常说的话:“人的思想和行为是由经历决定的。”后来我才知道,他担心媒体的误报影响团队的凝聚力。
王琦创办Keen五年,从初衷上讲,他想把公司做到极致,创造无数个做从零到一,并将其中一个由一做到一百,从结果上看,他似乎真做到了别人眼中的一百分,可在访谈中,王琦却表示他只能给自己打十分。
2011年,王琦穿针引线,聚集了一帮颇具天赋的年轻人,成立Keen团队(碁震),几年内,他们在国际大赛中夺冠无数,风光无二。
2014年,他奔着和微信创始人张小龙一样的憧憬,带着Keen走进腾讯,达成战略合作协议。同年夏天,腾讯就给王琦颁发了“超级伯乐奖”,那年王琦为腾讯引入了诸多顶尖级技
术人才(精英、新秀),使腾讯在安全领域的实力大幅上升。
还是这一年,王琦创办、发起了全球首个关注智能生活的安全极客(黑客)大赛GeekPwn(极棒)。王琦兴致勃勃,渴望与腾讯形成一加一大于二的共赢局面。
以上这份创业履历表放在任何人身上,都至少算作功成名遂,可追求极致的王琦却说自己失败了,如果满分是一百分,王琦只给自己打十分。
王琦说:“我有一个毛病——‘没事找抽’”
早期在微软,王琦就不太在意KPI,进公司没多久王琦就从比尔·盖茨的角度来看整个微软的安全布局该做些什么——进而发现自己需要做什么。
经过一番观察,自2005年起,王琦召集同事,利用业余时间启动了三个在微软(中国)从来没有过的安全项目。
“我想把安全技术的价值发挥到最大,让大家更相信Windows和Bing是安全的。”王琦说:“如果安全工作不能更直接帮助公司巩固、扩大市场份额,那在本职工作的KPI做得再好也意义不大——事实也证明,最后那三个业余项目都十分成功。”
到腾讯后,王琦又开始“没事找抽。”他从马化腾的角度看腾讯的安全布局。
他希望用三年的时间,协助腾讯完成三步走。第一步,让外界知道腾讯懂安全;第二步,看到腾讯会做安全;第三步,让腾讯的安全做的比别人都好。
除此之外,王琦最“没事找抽”的是一个别人当他“疯了”的理想——把Keen打造成做安全专利技术型的公司,打造出一款在未来智能时代,即使是灯泡也能用到的安全保护技术引擎。
王琦说:“以后智能设备出货量是手机的多少倍?这一个房间里面,从电灯泡到热水壶,多少设备。做一款技术引擎是每一个设备都用得到的,那是什么感觉?”
可现实是,这个构思从来没有先例,没有前人走过,在记分板上,这个动作,还是零分。
王琦反复说:“我们有那么多极其有潜力的技术人才,越是别人想不到、不看好的时候,恰恰是我们的机会。”在GeekPwn 2016的开场词里王琦也写道:“别人眼中百分之一的可能性,是我百分之百的驱动力。”
可似乎很少有人相信王琦,亦或者只是理解,无法携手并肩的实战。理想与现实之间有一道难以捉摸的鸿沟,王琦暂时无法逾越。
关于王琦的成与败,外界关注的焦点主要有三。第一针对Keen,第二针对GeekPwn,第三针对王琦的商业化模式。
其中的每一点,都在看似矛盾的同时包含了王琦创办Keen五年的荣耀与无奈。
第一,Keen打比赛原只是起步动作
曾经有媒体这样报道KEEN团队:“ 在国际安全比赛中,15秒找到MacOSX漏洞、20秒找到Windows8.1漏洞、30秒找到iOS漏洞,这是KEEN团队的实力。”
但众人所不知的是,Keen去挑战国际安全比赛,只是王琦商业计划中的起步动作。他从0到1的一小步。
参加比赛之前,KEEN做了一款ToB的安全产品,但他们做的过于复杂和超前,产品所含的技术包含了近几年才流行开来的APT、UTM、态势感知、威胁情报等一些概念,他们设计产品的初衷是假设安全问题一定会发生,而那款名为APOS(异常监测系统)的产品会帮助用户在三十秒以内定位出安全威胁出自于哪里。
尽管Keen通过云计算降低安全成本,造出了相对极致的产品,但当时人们不理解这个产品的概念,王琦带着团队辛辛苦苦去做宣传,可效果不佳。
王琦说:“中小企业,不用花一两百万买安全设备,几千块钱买我的云服务就行了——可是时间不对,新概念的普及是个问题,它硬生生的把我逼成一个天天带着十多个演示案例宣讲的售前工程师。”
一边,TOB产品开发与销售进展缓慢的,另一边,移动互联网却异军突起。
王琦判断这将是一个大的风口,Keen的研究方向在公司成立半年后也开始逐渐向移动互联网转移,为证明Keen在移动互联网领域的核心安全研究实力,王琦和同事选择去挑战世界最高级别的安全赛事Pwn2own。
这一步,Keen团队踩出了响声,没过多久,Keen就在Pwn2own比赛上连续夺冠,国内外媒体铺天盖地的报道:“中国团队Keen破解成功!”
多次在国际顶级大赛上破解成功后,王琦觉得Keen品牌形象已经有了,不需要再通过打比赛向外界证明Keen 在移动互联网领域的实力了,他想接下去就可以潜下心来去做安全技术引擎的研究——完成他一直以来心中的蓝图和梦想。
王琦的下一步动作是补充新鲜的技术力量,使得公司有能力把研究团队分成三个梯队,第一梯队继续在原有领域突破(打比赛、挖漏洞),第二梯队花两到三年时间潜心做创新的安全防护,第三梯队分出来去做未来的跨界创新技术前瞻研究。
王琦说:“十几年来鲜有创新的商业性底层保护技术出现,我们第二梯队应该去啃啃这个硬骨头。而第三梯队就要负责天马行空地跨界,跳出固有安全思维和纬度”。
第三梯队面临的第一个挑战,就是王琦在二〇一四年四月份自己花钱买的一辆特斯拉,车买来当天他就找人拆卸,让团队去做研究。
但王琦的宏伟蓝图实际操作起来却没那么简单。
打比赛的时候,他们每年两次有获奖的机会,可王琦的计划,两到三年,甚至三到五年都不一定能做出结果——由于推行难度过高,王琦的计划最终变得渺茫。
第二,GeekPwn是为了寻找创新的人才和技术
不少人有疑问,GeekPwn(极棒)与Pwn2Own有什么区别?
与世界顶尖黑客大赛Pwn2Own相比,王琦将GeekPwn的目标锁定在了创新上。
其中包括三点,第一,引导研究人员拓展研究领域,不局限于传统安全所涉及的漏洞挖掘对象和方法,第二,铺设舞台,为安全行业发现和留住更多具备潜力的安全新秀,第三,帮助安全行业与腾讯这样的互联网大企业互相扩大影响力,防止安全圈萎缩。
“推手。”是王琦为GeekPwn下的定义。他希望通过GeekPwn找到、留住更多技术潜力股——王琦说:“要让躲在小黑屋里的安全技术爱好者可以成功,让已经成功的牛人更成功,让07到12年间日益萎缩的白帽安全圈重新焕发蓬勃生机。”
GeekPwn三个目标实现的路径,延续了王琦做事的一贯风格——走两个极端。这种风格在王琦的早年经历就有体现——在微软工作时,王琦经常去江西、四川等地的贫困山区做支教志愿者。
其他同事去都是给贫困山区的孩子们送篮球、电脑。王琦去通常做两件事情,第一件,送哨子、小刀、手电筒等。
王琦说:“那里的孩子往往需要早晚抹黑步行二三十里山路上下学,这些小物件关键时候可能发挥作用。”第二件,王琦和同事说把其他钱省下来,每年带孩子们去大山外面,开开眼界。
“这其实是两个极端。”王琦说:“前者是保护眼下人最根本的需要,后者是保障未来的发展方向,可以早起步、早确定。”
与此同时——GeekPwn在技术引导方面,也走的是两个极端路线,一方面是极端的贴近现实生活,让普罗大众也能看得懂、能受益。另一方面,做极端的未来创新,引导安全技术人发现和确认未来的技术方向与目标。
王琦捏了一下鼻子说:“中间路线一般都有很多人走,我觉得很需要也很好,但很少有人能腾出时间去走两个极端,我喜欢从零开始,就往这两个极端拼呗。”
走极端就难免遭人诟病,有人说GeekPwn门槛太低,有人调侃王琦经常捧一些站在传统安全技术角度上看技术很“低级”的新人。
王琦说:“GeekPwn坚持低门槛高标准,哪怕你把智能空调甚至马桶黑了,只要你原创了新的技术方式、方法,别人没见过,没想到过,你就可以来。”
二〇一六年极棒重磅推出的天才黑客、神奇小子(George hotz)就是其中的典型。王琦坦言:“我说消灭无数个零,创造无数个一,其实就是推崇一个人拥有敢想、敢做的安全极客精神,在他人没做到的时候,他能够最先创新突破。”
不止安全圈,在各个领域都有人问:“衡量人才的标准到底什么?”
是获奖?是坚持?还是创新?
王琦说:“我极度反对把衡量人才的标准唯一化,反对用传统标准来衡量新人才。”
第三,商业价值不一定马上实现,也不一定是我摘果实
外界关于王琦的质疑,有不少就来自商业价值,许多人问:“Keen打比赛这么厉害,GeekPwn这么大的规模,花着投资人的钱,不商业化?”
王琦的同事也有类似焦虑:“我们这季度、这半年如果还不能赚钱会怎么样?”
“其实这种焦虑在所有行业的投资案例中是普遍的存在。”王琦对记者说,“焦虑有必要,但如果处理不好这种焦虑,就可能在发展方向上走偏。”
在与腾讯合作之前,王琦希望找到一家,不看一天,不看一周,不看一年,而能看三年、五年的大平台——为的就是防止这种焦虑的产生。
王琦说:“安全的本质是人与人的对抗。投资安全,本质上就是对人的投资。举个例子就像投资一家餐馆或者画室,因为一道招牌菜或者一幅画而投资,回报率远远比投资那位厨师或画师少得多,聪明的投资人都明白这个道理。
我相信Keen的优秀厨师们有一天会做出满汉全席,我不希望他们跑偏,为了短期投资回报所累而天天做盒饭。投资人——特别是投资安全领域的人,进行长期投资的最终收益会万倍于短期收益。”
虽然语出惊人,但王琦显得很平静,像是已经在心底沉淀多年。
王琦用吸管搅拌果汁,喝了一口,接着给出了一个站在最高框架下的视角:“如果我们站在投资人比如马化腾的角度,小马哥急需我把极棒商业化赚钱吗?”
被王琦一问,桌上的人全都一愣,王琦接着说:“如果站在马化腾的角度看短期商业化的焦虑,会完全不同。腾讯的框架很大,如果要盈利,完全可以让另外一个团队去摘果实,我只需要尽力完成我的使命——在安全创新领域做到极致就可以了。安全需要跨界合作、互惠共赢——这就是Keen选择投资人的标准。”
也有人质疑这是王琦在为他没有商业化目标而找的借口。
王琦说:“我创业一开始就是奔着商业化,任何商业化的形式粗略可分为两类,一类是短期收益,快速见效,一类是长期积累,厚积薄发,我希望做的是后者。”
面对部分人的质疑和不解,究竟是王琦忽略了眼前的生活,还是部分人看不到远方,并不好下断言,任何凌驾于道德之上的绑架式评判都有失公允。
但有一点可以确定,王琦经历的创业磨难,几乎是每个安全创业后来者的必经之路——办公司,Keen分成三个梯队想法破产的无奈;办比赛,GeekPwn渴望颠覆衡量人才标准而短期不得的无奈;商业化,寻求更长远发展(研究)路线不被理解的无奈。
三层王琦眼中的失败其实都导向了一点:王琦追求的那个一百分,也许不是每个人的必需品,而外界似乎也很难单纯用”孰对”、”孰错”来下判断。
专注技术,成败皆因极致
在技术圈,很少有人知道王琦是国内第一代黑客。
专注安全较早的看雪论坛成立于2000年,而王琦97年就建了自己的黑客网站。彼时,年度黑客网站评选时,王琦的网站排名第七,他拥有独立IP日访问量达到三千,高峰时超过两万。
在那个时期的几次大规模的中外黑客大战期间,王琦的网站独立IP日均访问量更到达四万,当时某大战的宣战书下面列了一段话:“如果你们需要什么武器和文章,去下面这些网站”,第一个就是王琦的网站。
王琦对安全技术的专注,从那时候起就埋下了根深蒂固的基因。他的成功源自于这股对技术的极致坚持;他的失败,也源自于此。
成立公司后,王琦招人有两个标准,第一,热爱并追求极致,第二,数学好。可以想象,如果要管理这样一群尖端人才,有多大的难度。
在早年管理中,王琦认同乔布斯所言的:“真正A类的人才不需要你来呵护他的自尊心,真正看重的应该是工作表现。”
以这句话为纲领,王琦在管理团队的过程中,发挥了他追求极致的秉性,奔着大目标与团队马不停蹄的前行,奔腾千里,尽管最后效果良好,但团队只撑到一半就人困马乏,甚至到最后,王琦陷入了一个由自己“创造”的窘境,就像《让子弹飞》里的张麻子(姜文 饰)一样。
张麻子问兄弟:“老三,跟我在一起不高兴么?”
老三:“高兴……就是,有点儿不轻松。”
张麻子:“你们俩呢?”
其他兄弟:“有点儿……不轻松。”
尽管每一个王琦发现和引进的人才,都几乎被王琦“三顾茅庐”。
尽管王琦坚信无论有没有他,进入公司的伙伴都会成功——王琦渴望成为他们的“推手”,帮助他们提前发现前进的方向,弥补他们职业经验的不足。
尽管王琦顾及到诸多生活的细节,包括公司员工家里发生了大事,王琦总是第一个主动伸出援手,帮助员工家中排忧解难,甚至有时候忙起来,连衣服王琦也会替员工购买。
王琦说:“我就是希望可以帮助他们消灭生活中遇到的困难,解决后顾之忧,在公司可以轻装上阵。”
尽管王琦做到了他所能做到的一切,但王琦唯独忽略了一点——人的情绪,王琦以对待自己“没事找抽”式的超高标准对待A类人才,在许多工作细节中追求极致,王琦没有深思高压之下人可能产生的种种心理反应——而这看似难以捉摸的心理状态,是他做其他贴心事所难以平衡的。
对人情绪把控的缺失,正是导致王琦“失败”的最终原因。
创业五年后,王琦嫣然回首,对此有些心酸,有点儿无奈——他说:“这是五年创业给我上的最重要的一课。”
现在——GeekPwn是王琦的从零到一,也是他唯一给自己打出十分的项目,能否从十成长到一百,明年五月和十月的GeekPwn,也许王琦会给出一些答案。
【王琦随谈】:所有过往,皆为序章
王琦有ToC情结,想让安全真正在“大众产品”中体现出价值,让安全界有才华的安全研究员获得“人们正在使用我的产品”的满足感。
【王琦随谈】:“安全研究员发现和帮助修复了Android漏洞,看见大家用Android手机,安全研究员可能心里暗爽一下,但如果与微信的开发者相比,能在地铁里看到所有人都在用自己开发的产品联络、过年都用自己产品发红包,这两种爽的感觉还是不同的。
我希望白帽黑客应该像英雄一样被对待,比如享有‘网络世界安全卫士’的荣誉。”
谈到目标的选择和坚持,王琦与王健林有不同的说法。
【王琦随谈】:“目标必须大。如果设定的目标不够远,不够大,很容易在行进的路上‘乱花渐欲迷人眼。’
比如,如果我们是创业做企业,目标就可以选择华为,我们就要像任正非一样对待自己、要求自己,我们就是要和能力最强的人比较,而且只和地球上那些最优秀的人比较。
很多人看到自己认识的人,因为前年跳了槽,去年投股,今年炒房,甚至公司上了市最后赚了钱,就开始怀疑自己是不是选错了职业方向或用错了方法——但其实不是这样——只要心里有大目标,就只需要做好一件事情,那就是拼命在自己的领域做到极致,去追赶大目标,即时最后你只做到最强人的百分之三十,你也非常成功了。”
有朋友问王琦:“具体要怎么做呢?”
【王琦随谈】:“很简单啊,如果在你的领域,如果任正非或者某某某最厉害,根据你的年龄,看他们与你同龄的时候在干什么,在看什么书,写什么文,如何学习如何进步。不要拿七十多岁功成名就的任正非和自己比,要拿和你同事业期任正非比。始终拿自己和世界第一找差距,我们成不了世界前一百,这样努力下去做到前一千也没准——也已经很成功了。”
朋友对王琦说:“你这个太牛逼了,你去想这些,简直和疯子一样。”
【王琦随谈】:“我不认为这是在发疯,我比许多人都接受目标不能实现的失败结果,因为我知道我这辈子几乎不能达到那个目标高度,如果说完满是一百分,我从零开始拼命努力最后只达到三十分,可以了,我接受,其实已经很不错了。如果我不朝着那个目标努力或者中间跑偏了,我三分可能都达不到。”
王琦是一个极客,Keen他想做成安全专利技术型的公司,GeekPwn他想寻找创新型人才和技术,商业上,他更注重长远发展,将安全创新做到极致。
这样极致的人往往不成功便成仁,虽然现在谈论王琦的成败为时尚早,但他所做的一切已经摆在了众人面前。Keen是他的过去现在时,GeekPwn是他的现在将来时,他的未来是什么?
在他的微信签名上有一行字:所有过往,皆为序章——KEEN、GeekPwn、哔哔哔。
(完)
王琦推荐书单:
《偶然中的必然》 张远南
书评:既然没有限定推荐书目的范围,第一个推荐这本儿童读物给为人父母的朋友。这是张远南老师数学丛书中的一本,这个系列给我儿童时期成长留下了极其深刻而且深远的影响。
《激荡三十年》 吴晓波
书评:不必多介绍了,也不必较真这个是经济著作还是学术著作,以及很多细节严谨与否。三十出头的吴晓波第一个把一幅幅断层后时代中国民营企业兴衰相用人文情怀的故事语言表达出来,值得我们从堪称悲壮的群体企业家成功失败中领悟。
《解忧杂货铺》 东野圭吾
书评:可能很多人都看过,我是别人根据我量身推荐才阅读的,推荐喜欢错综复杂的推理同时享受复杂观感的朋友看。
《曙光中的机器人》 阿西莫夫
书评:曙光中的机器人,落暮里的人类。一段时期我一直用著作等身的阿西莫夫头像做微信头像。推荐给喜欢推理、侦探、科幻三合一的朋友看。
《永失我爱》 王朔
书评:这本俗气的小说,如果说有什么推荐理由的话,大概有两点,我一直喜欢朔爷用京腔京句营造的画面感,另一个就是这篇小说居然让尚不知情为何物读高中的直男我读流泪了。
很多朋友还没有养成阅读后点赞的习惯,希望大家阅读后能够顺便点赞,以示鼓励!安在长期坚持原创内容真的很不容易,一篇文章常常经过三四道修改才会发布,朋友们的支持是我们坚持下去的动力,坚持是一种信仰,专注是一种态度!
另外,如寻求安在报道,请加微信号anzersh。
回复关键字,看最经典的黑客传奇
回复010:原创 | 智者大潘
回复011:原创 | 360谭晓生的方法论
回复012:原创 | 龚蔚:我不是黑客教父
回复013:原创 | Ucloud之父季昕华
回复014:原创 | “苹果”是我干掉的,韩争光
回复015:原创 | 云舒,我为什么要离开阿里
回复016:原创 | TK,从妇科圣手到黑客教主
回复017:原创 | 乌云来了,我是方小顿
回复018:原创 | 破解了特斯拉的林伟
回复019:原创 | 刺风有道,吴翰清的云端飞扬
回复020:原创 | 铁马“冰河”,侠骨黄鑫
扫描二维码 关注更多精彩
新锐丨大咖丨视频丨白帽丨在看
回复关键词获得关于安在更多信息