四葉草馬坤：安全并非產出服務，所以賺錢會慢一點

2012年馬坤和幾個朋友創辦四葉草安全公司時候，是個三無公司，沒有項目，沒有客戶，沒有人。

2015年12月，四葉草安全宣布獲得3000萬元 Pre-A輪融資，投資方為浙江如山資本。

時隔兩年，在 2017 年最后一個工作日，四葉草安全宣布完成 6700 萬人民幣的 A 輪融資，由基石基金領投，魯信創投、如山資本等跟投。

“2015 年融資后，我們一直沒有跟資方對接，直到 2017 年七八月份的時候，為了一些后期發展才開始籌備，相對來說整個融資過程比較順利。”馬坤告訴雷鋒網宅客頻道。

這是一種緣分，馬坤把四葉草安全與資方的碰撞如此形容，“相比 base 在北上廣的公司，落戶西安的四葉草資源可能會少一點，被認可更多的是我們的創業理念和價值觀吧。”

事實真的如此輕松嗎？

▲馬坤

安全行業賺錢難？

“安全公司起初都比較難賺錢，原因是這并非一個產出服務，而是做保障的，所以會慢一些。”

四葉草創立五年，至今年 9 月份才開始盈利，之前基本略有虧損。“因為我們早期一直在做外包服務，就是接活兒做項目，公司沒有市場和銷售，所以整個利潤相對較薄，投入又較高。”

馬坤也坦白在 Pre-A 輪融資前出現過多次發不出工資的情況，不過每次快發不出工資時，就會接到幾個項目。

“我們的運氣比較好。”

雪中送炭未必不好，但終究不是長遠之計。

而目前無論是黨政軍以及一些大型企業，面臨的數據跟蹤、商業競爭背后黑客的驅動力越來越大，客戶需求慢慢變成剛需。再加上《網絡安全法》推出，企業安全投入開始增多。對于企業來說，安全并非產出服務，但它可以保障企業不被黑客行為傷害造成商業損失。

“我們要做的就是給企業看病，這是我個人以及我們團隊喜歡做的事，所以并沒有急于求成。公司成立到現在這五年，我們抱著一種喜歡并對未來比較有信心的心態，一直在堅持。”

從開始靠外包養活小團隊，再逐漸擴大團隊，承辦 CTF 比賽和完善全時風險感知平臺 Bugfeel 等產品，從親自跑客戶到現在招了幾個銷售市場人員，四葉草從僅能夠養活自己開始慢慢盈利。

產品如是

想在檢測領域做強做深并不容易。

如果說四葉草安全最初發布的基于社區的分布式漏洞掃描平臺 Bugscan 是通過社區匯集多種黑客思維，并將這種黑客思維進行數據建模，然后將模型輸入到產品頂層，以此實現產品初步的互聯網特性。

那么接下來從一個免費的分布式平臺，過渡到一個商業化的產品則較為困難。

之前的產品使用者是黑客、發燒友以及安全愛好者們，后期則要讓甲方客戶理解，這兩種思維方式顯然不一樣。對于黑客來說，簡單，迅速，直接，準確發現問題十分關鍵。

“甲方則會要求更為豐富，比如文檔、報告，還有一些格式化的東西，以及提案，所以我們在很長的時間內對產品進行了優化，包括對報告的優化，對界面的優化，以及對客戶提案的優化，還有對用戶理解模型的優化。”

當然，這一“聯動”的計劃在轉型中面臨從黑客思維轉向甲方思維，“很多時候我們認為這個應該這樣做，但是客戶認為那樣做。所以需要我們在中間取一個折中點，既保留自己的特色，又讓甲方可以接受。除此之外，我們的團隊成員多是攻防技術出身，沒有甲方的工作經驗。所以在這一環節中，我們陸續從甲方挖了一些人解決問題。”

競爭與合作

事實上一些大廠也有漏洞掃描平臺，競爭絕不會少。

但在馬坤看來，自家的“娃娃”是有個性的，這種個性更多是在行為層面發現用戶的漏洞，而不單純的依靠特征。

傳統廠商的漏洞掃描平臺多依靠特征發現一些漏洞，即針對一條條呆板的規則進行比對發現，可以把它理解成殺毒軟件掃描病毒的方式。

而四葉草通過多年的安全服務項目和社區，集成了大量的黑客行為模型，并把這種模型加之以特有算法，初步實現了一些人工智能，然后讓產品自動化的模仿人的行為，發現用戶漏洞。

模型的搭建少不了數據支持，馬坤告訴雷鋒網宅客頻道，四葉草得到的這些數據依托之前搭建的分布式漏洞掃描社區，目前注冊人數超過兩萬，每天活躍人數500-1000人。這些白帽子會在社區發布如何驗證漏洞的插件，而這些插件即四葉草所收集的數據，也就是黑客行為模型。每天所能收集到的二、三十個插件就是模型更新迭代的“原料”，馬坤也將這種方式比作“互聯網的眾籌模型”。

當然，有競爭也會有合作。

對于主機層面的漏洞掃描，更為需要特征，而對應用層面的漏洞掃描，行為則更為重要，所以四葉草也會與同行進行互補，聯合做項目。

但馬坤明確表示不準備在主機檢測層面投入過多精力。

“因為目前黑客的攻防，很多都是從網站或者平臺著手的，如果以房間相類比，窗子或者房間內部的某些家具會成為其率先著手突破的入口，這些家具相當于一些應用。而整個地基，或是橫梁可以比作操作系統，黑客對這一層面投入并不如前者。”馬坤對雷鋒網說道。

作為聚焦 Web 以及應用層面檢測的四葉草在這輪融資之后也將對產品進行一些細分。比如可能按照行業去劃分，或者為客戶進行定制，做出不同的版本。

“現在我們主要客戶是政府運營商、金融，互聯網企業，我們會按照現有的幾個行業進行劃分。因為每個行業用戶使用的操作系統，數據庫，以及它的網絡環境，資產種類是不一樣的，而我們有了很多客戶案例，現在正在做這種產品的劃分。”

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。