2018年11月20日23時(shí)46分，與黑產(chǎn)團伙的纏斗才結束，騰訊天御團隊的麥克長(cháng)舒一口氣，拿出手機，給妻子發(fā)了一條微信：“我出來(lái)了”。這是麥克和妻子的常用暗語(yǔ)，表示工作已經(jīng)結束。

但麥克還沒(méi)來(lái)得及歇會(huì )，僅僅4分鐘后，23時(shí)50分，麥克在的某銀行微信群發(fā)來(lái)消息——“請立即支援我們!”

麥克馬上匯報、拉人建群、分工，不出五分鐘，全員又投入戰斗。“干活!”麥克@所有人，點(diǎn)開(kāi)數據，此時(shí)數據顯示惡意用戶(hù)占比已經(jīng)高達83%，可謂滿(mǎn)屏皆紅，形勢相當危急，難怪銀行的小伙伴如此著(zhù)急。代號為“黃蜂”的隊友在QQ上發(fā)來(lái)暗號——“羊來(lái)了”。麥克的頭像頻閃，接收“黃蜂”發(fā)來(lái)的壓縮包。通過(guò)分析，麥克判斷，臨近年底，黑產(chǎn)團伙為了年終獎，正在拼命薅羊毛，而目標正是該銀行的紅包活動(dòng)。

4天前的11月16日，某銀行發(fā)布的紅包活動(dòng)上線(xiàn)。紅包活動(dòng)一上線(xiàn)，立即被黑產(chǎn)團伙獲知，當天就有“散客”在論壇上稱(chēng)，已建好300人的群，只要加入助力互拆，每天能拿滿(mǎn)100元紅包。這意味著(zhù)，如果黑產(chǎn)團伙蜂擁而至，紅包就可能被瓜分殆盡，銀行不但損失資金，也無(wú)法從中獲取到一個(gè)真正用戶(hù)。

當時(shí)“黃蜂”已經(jīng)知道黑產(chǎn)團伙即將行動(dòng)，并告知了該行，但其經(jīng)過(guò)評估后并沒(méi)有接入騰訊天御系統。這一疏忽，到20日深夜很快變成了一場(chǎng)驚濤駭浪般的沖擊，黑產(chǎn)團伙從四面八方襲來(lái)，眼看防線(xiàn)即將失守，該行的小伙伴不得不緊急求助。

拂曉時(shí)，才順利接入風(fēng)控系統，防線(xiàn)重建，麥克哈欠不斷，倦意難掩。“黃蜂”發(fā)來(lái)六字：小賊們已投降。“收隊!”麥克習慣性掏出手機，要給妻子發(fā)微信。多年以來(lái)，麥克的妻子并不知曉他所從事工作的具體細節，只知道當收到麥克發(fā)來(lái)微信“我去干活了”，就不打擾他。

突然，數據防御警示再次震動(dòng)。麥克隔屏感受到，成百上千部手機排成幾面“手機墻”控制的“肉雞”如千軍萬(wàn)馬般朝系統再度涌來(lái)。麥克回應奇速，“升級!”隊友配合迅速更迭防御措施，加驗證碼，火速將黑產(chǎn)攔截在外。敵方察覺(jué)到防御系統已經(jīng)升級，于是，戰線(xiàn)陷入了短暫的沉寂。“還是嫩了點(diǎn)”，麥克嘆了口氣。

剎那間“黃蜂”發(fā)來(lái)警示不斷，“肉牛!”“肉牛!”“肉牛!”居然鎩羽重來(lái)，麥克屏息凝神，心想并未脫離險境，放大招!“多專(zhuān)家知識庫……人工矯正……”他扔進(jìn)群一串文字。

連續追擊，三大回合下來(lái)，麥克覺(jué)得仿佛帶著(zhù)團隊站在黑夜的城墻上不斷抗擊著(zhù)呼嘯而至的敵軍，他們也在黑暗的掩護下不斷試圖攻破城墻最薄弱的地方，“黃蜂”接連的情報讓他頓感敵方攻勢凌厲，雖然疲憊，但麥克不斷給團隊鼓氣，“弟兄們扛住!”

直到26日，“黃蜂”發(fā)來(lái)捷報：小賊們完敗。麥克雙手從電腦前放下來(lái)，掏出手機。此時(shí)已入夜。

麥克已經(jīng)記不太清這是他加入騰訊安全天御團隊后參與的第幾次戰斗。發(fā)生在網(wǎng)絡(luò )世界的戰爭并不會(huì )在現實(shí)世界留下什么痕跡，他也從未看到過(guò)對手的臉，但他清楚地知道對手們每一個(gè)攻擊策略。

盯上目標后，黑產(chǎn)們會(huì )用“手機墻”、“肉牛”等方式進(jìn)攻。前者是一種專(zhuān)門(mén)利用真實(shí)、活躍的手機號進(jìn)行“薅羊毛”的方式，由團伙成員同時(shí)在線(xiàn)操作;后者是一種叫做“人肉眾包”的方式，一個(gè)由“任務(wù)分發(fā)—多人點(diǎn)擊—獲利分配”等環(huán)節組成的鏈條，背后操盤(pán)的是“牛頭”或“羊頭”，他們有專(zhuān)屬暗號，下面有大量“肉牛”，這些“肉牛”都是真人操控。

這些攻擊者試圖偽裝成正常用戶(hù)騙過(guò)設防的“城墻”，沖進(jìn)“城池”，瓜分每一個(gè)活動(dòng)的獎金、獎品，留下一地雞毛。麥克和團隊除了早早建立層層防守，最大的難題就是甄別“肉牛”，又不誤傷真實(shí)的用戶(hù)。

這就需要麥克們啟動(dòng)多專(zhuān)家知識庫系統，針對有異常行為的用戶(hù)進(jìn)行打標簽，有些甚至需要人工輔助矯正，再將這些標簽加到現有的風(fēng)控引擎里，讓機器不斷學(xué)習，從而更準確的甄別。但武器再好，也還需要戰法，所以麥克和團隊幾經(jīng)戰場(chǎng)輪換，會(huì )復盤(pán)每一場(chǎng)攻防戰，不斷提升防御水平，隨著(zhù)作戰技能增加，被動(dòng)的防守逐漸演變成主動(dòng)升級應對式進(jìn)攻。

這一切都是為了安全。所謂“道高一尺，魔高一丈”，對手從不會(huì )認輸，黑產(chǎn)偷襲永不停止。安全是一個(gè)特殊的領(lǐng)域。如果不出事，大家無(wú)法感受得到安全團隊的存在，一旦出事，那一定會(huì )被大家認為是安全團隊的失職。多年以來(lái)，麥克和團隊被“隱藏”于騰訊安全部門(mén)，雖然打造了騰訊的“安全長(cháng)城”，應對了無(wú)數次大大小小的沖擊，但并不為外界所知。

直到騰訊開(kāi)始了to B轉型，這支騰訊內部的風(fēng)控部隊被派往各地幫助合作伙伴。這才有11月20日的那場(chǎng)“驚魂夜”。

事實(shí)上，如果合作伙伴及早聽(tīng)從建議，巍峨的“城墻”能將黑產(chǎn)擋在外面，但彼時(shí)，面對剛剛走出騰訊體系尚籍籍無(wú)名的天御團隊，歷來(lái)以安全自詡的銀行并不敢貿然讓其全面投入。麥克們雖然在騰訊內部已經(jīng)久經(jīng)戰事，但身處全新的戰場(chǎng)，也曾戰戰兢兢、如履薄冰，在與黑產(chǎn)搏擊作戰的日日夜夜，他們肩負著(zhù)騰訊安全、風(fēng)控能力輸出的重任，更深知絕不能有失，因為若戰敗一次，損失的不僅是客戶(hù)的“銀子”，還有騰訊的“招牌”。

戰場(chǎng)只有一個(gè)勝者，那必須不能是黑產(chǎn)。

“新兵”上陣

做風(fēng)控，除了有御敵打仗的，還要有修城墻的。慕華就是修墻的。

早在2018年初，騰訊天御團隊的慕華就牽頭落地騰訊安全在金融領(lǐng)域的一些項目。但他和幾個(gè)小伙伴到北方某行最開(kāi)始的時(shí)光并不那么美好：辦公基礎設施簡(jiǎn)陋，該行覺(jué)得數據敏感不愿提供太多。

進(jìn)駐該行的第一天，行方只發(fā)了一臺用于跑數據的電腦，慕華當時(shí)目測，這機器得有六七年的歷史。兩個(gè)建模的同事盯著(zhù)這臺“吱吱”運轉，偶爾死個(gè)機、沒(méi)事卡個(gè)殼兒的“老古董”跑數據。誰(shuí)都知道，電腦配置越高，跑數據的效率越高，但彼時(shí)行方就只給了這臺很簡(jiǎn)陋的普通PC機，訓練模型當然受限。

更頭疼的問(wèn)題是數據。銀行對數據的保護程度很高，行方交易數據不允許帶出行里，所以需要在銀行這邊將數據打通。但打通之前最難的是要梳理行方有哪些數據，“銀行的數據一般都散落在各個(gè)模塊，導致分析系統運轉困難，我們要去幫銀行梳理，之后再推動(dòng)把數據統一存儲到某一個(gè)地方。”

梳理完數據也僅僅是走出第一步。很快，負責建模的小伙伴找到慕華吐槽，“誤報率太高了，行方?jīng)]有提供足夠的樣本，我建不好這個(gè)模型。”

好不容易建好了模型，麻溜地，趕緊跑起來(lái)，一看，誤報率高，檢出率也不理想。當時(shí)北方正值寒冬，大家的心也跟著(zhù)哇涼哇涼的。行方負責人也跑過(guò)來(lái)質(zhì)問(wèn)慕華，“你們到底行不行?還不如我們人工自己做的模型。”

得，慕華帶著(zhù)大家大老遠從深圳過(guò)來(lái)，兩頭跑，水土不服倒是其次，這開(kāi)局不利，更讓人著(zhù)急上火。慕華一直覺(jué)得自己做的工作就是“金融界的FBI”，來(lái)都來(lái)了，總不能帶著(zhù)大家灰溜溜地跑回深圳吧，那大家顏面何在。他強撐著(zhù)給小伙伴們不斷“打雞血”：克服困難，必須得上!于是，負責建模的小伙伴不斷調整優(yōu)化模型，以此同步反推行方的數據整合工作。

在推動(dòng)銀行數據打通這件事上，也怨不得銀行謹慎，一位銀行網(wǎng)絡(luò )部門(mén)的員工告訴《中國企業(yè)家》，數據是銀行的核心，不會(huì )輕易放開(kāi)。目前多數銀行尚未完全接入外部科技公司的風(fēng)控產(chǎn)品，除了擔憂(yōu)會(huì )被搶了自己的“飯碗”，還有涉及安全方面的問(wèn)題。

同一時(shí)間，頻繁往返于幾家銀行的同事杜俊同感焦慮。他發(fā)現銀行在風(fēng)控或數字化領(lǐng)域普遍處于較早期的階段。雖然一些銀行也表示出了強烈的合作訴求，希望有更多的業(yè)務(wù)場(chǎng)景輸送，但同時(shí)也表現謹慎和顧慮，導致合作的難度很大。

何況，騰訊的安全團隊并沒(méi)有太多在銀行產(chǎn)品領(lǐng)域的經(jīng)驗，在銀行看來(lái)，雖然天御在騰訊體系內做安全、做風(fēng)控是一把好手，但在“國之重器”的銀行領(lǐng)域，他們也就是初出茅廬的“新兵”，將風(fēng)控大門(mén)交給其一起把守，到底有沒(méi)有譜?

風(fēng)控是銀行資金出去的關(guān)卡，上述銀行人士告訴《中國企業(yè)家》，銀行貸款運營(yíng)經(jīng)理要出業(yè)績(jì)，而風(fēng)控要在出口把握資金安全，這本身就是一對矛盾。銀行自身設計一套嚴密的標準和流程，但這套標準和流程，在面對海量消費用戶(hù)時(shí)正亟待升級改造。杜俊為解決這一問(wèn)題，在聯(lián)合建模階段就邀請行方相關(guān)研發(fā)人員參與進(jìn)來(lái)，同時(shí)會(huì )針對行里的訴求提出整套解決方案。

即使如此，一些銀行也心存擔憂(yōu)與質(zhì)疑。有家銀行看到杜俊團隊設計的產(chǎn)品的攔截率較高，立馬提出質(zhì)疑，“你們到底準不準，拒掉這么多用戶(hù)，那些被拒掉的用戶(hù)真的有這么差嗎?”

要獲取銀行的信任并不是件容易的事情，慕華回憶說(shuō)，“他們很執著(zhù)，需要一次次有耐心地交流。”

但沒(méi)有比實(shí)戰結果更具有說(shuō)服力的了。經(jīng)過(guò)實(shí)戰檢驗后，目前接入天御產(chǎn)品的客戶(hù)超過(guò)7000家，一些合作銀行的覆蓋率從此前30%左右提升到了85%左右，誤報率降低了10倍。

接入銀行的金融科技系統并不容易，銀行的IT系統是一個(gè)非常成熟、龐大的系統，天御的產(chǎn)品對接過(guò)程中，不得不去適配過(guò)去的各種規則和邏輯。并且，每一家銀行所采用的核心系統可能是不同供應商供應的，同一個(gè)接口可能有不同的適配的方式。而天御的方案更多是考慮通用化的能力，當去適配銀行的核心接口做調試時(shí)，就要應對各種非標準化、個(gè)性化的挑戰。

雖然合作的銀行數量在增加，但整體而言，要實(shí)現行業(yè)數據的聯(lián)防聯(lián)控還有一定難度。天御團隊里的歌林博士就深有體會(huì )，為了解決這個(gè)問(wèn)題，他已經(jīng)奔走了兩年。2017年10月以前，歌林在新加坡一家人工智能公司工作?；貒髢A向于在深圳做建模工作，不久加入了騰訊，一入職，他就被派往“工地”，“我入職第三天就讓我出差，當時(shí)沒(méi)有入職培訓，出差系統上還沒(méi)有我的名字。”

為了給合作伙伴“建墻”，整個(gè)研發(fā)團隊出差航空里程計是128.2萬(wàn)公里，可繞地球赤道約32圈。

“鏢師”煉成

2013年，麥克博士畢業(yè)后進(jìn)入國防研究所工作，做一些和軍工大數據相關(guān)的項目，一干就是四年，工作內容?保密。2017年，他加入騰訊安全天御團隊，成為當時(shí)小組六個(gè)核心成員之一，從事大數據、AI方面的工作。具體工作是什么?現在妻子只知道他在企業(yè)做業(yè)務(wù)安全工作，但還是不知道工作細節，兩人依然使用早年的暗語(yǔ)。

干這一行業(yè)，就如同古代的“鏢師”，行走江湖的招數，越少人知道越好，你可想象夜黑風(fēng)高，小心潛行，也頗有幾分武俠之意。

軍工領(lǐng)域雖然高精尖，但進(jìn)入民用場(chǎng)景，也絕非就是“降維打擊”，最大的差異和挑戰在于場(chǎng)景數據源更加復雜，何況銀行客戶(hù)要求高，每一次服務(wù)銀行就像一次“押鏢”。“相當于他們(銀行)找到了一個(gè)類(lèi)似古代的鏢局來(lái)幫他們護鏢”，行走江湖講究名頭，最好是讓對方知難而退，“當黑產(chǎn)團隊看到由某鏢局護鏢，覺(jué)得不好惹，不敢上前打劫，主動(dòng)放棄。”

兩年下來(lái)，麥克認為“天御”這個(gè)名頭還是有幾分用的，亮出來(lái)，對黑產(chǎn)團隊就起到了些震懾作用，這也算是對團隊工作效果和價(jià)值的認可。

“鏢師”古已有之，北宋年間，隨著(zhù)商業(yè)不斷發(fā)展、財務(wù)流通日益增強，保護人員和錢(qián)財安全的鏢師行業(yè)應運而生。但“走鏢”是一件極其辛苦的事，江湖險境叢生，他們經(jīng)常風(fēng)餐露宿、日夜兼程。這像極了騰訊安全團隊的日常，奔走各處，日夜加班，防備黑產(chǎn)“響馬”打劫，而他們對抗黑產(chǎn)團伙的經(jīng)驗值源于歷年騰訊安全團隊的積累。

騰訊以IM起家，“每天有上數億用戶(hù)在使用，安全風(fēng)控壓力極大。原來(lái)QQ的老板都習慣晚上12點(diǎn)開(kāi)每日例會(huì )，回家凌晨?jì)扇c(diǎn)了，還會(huì )去刷QQ的一些體驗，在群里發(fā)各種案例和大家探討。根據要求，我們當時(shí)就要做出響應，壓力可想而知。”慕華回憶。

自2008年加入騰訊安全以來(lái)，慕華一直從事和騰訊業(yè)務(wù)安全相關(guān)的崗位，現在是騰訊天御產(chǎn)品組長(cháng)。騰訊旗下產(chǎn)品眾多，在黑產(chǎn)還未成風(fēng)之前，他就打過(guò)各種打擊外掛的戰役。2008年“開(kāi)心農場(chǎng)”游戲曾火爆一時(shí)，慕華和同事發(fā)現無(wú)論服務(wù)器怎么擴容，總有用戶(hù)用“外掛”刷菜，這導致服務(wù)器壓力倍增，外掛這東西還嚴重擾亂了秩序和破壞規則，蠶食游戲體驗，是行業(yè)重點(diǎn)打擊對象，而當時(shí)封“外掛”就由慕華等人負責。

封“外掛”并非是件簡(jiǎn)單的活兒，也是會(huì )惹出意想不到的麻煩。慕華不會(huì )忘記那個(gè)躲在窗戶(hù)后瑟瑟發(fā)抖的午后。“你們把做那個(gè)QQ農場(chǎng)安全的人給我交出來(lái)!我要見(jiàn)他!他把我的這個(gè)賬號給封了，是什么意思?”那天，有個(gè)文著(zhù)“左青龍、右白虎”文身的光頭男子突然跑到騰訊大廈客服中心嚷道。

客服通過(guò)在線(xiàn)打字將實(shí)時(shí)情況傳遞給慕華，問(wèn)他要不要下來(lái)處理。從窗戶(hù)往下看了一眼，慕華瞬間覺(jué)得還是不下去為好。后來(lái)客服實(shí)在頂不住了，就給慕華打電話(huà)，“你為什么要封我號?我明明就不是外掛，你為什么非說(shuō)我是外掛?你把證據給我交出來(lái)!”慕華在電話(huà)另一頭聽(tīng)到了男子的聲音，小聲回復客服，“我見(jiàn)了他，就會(huì )被打死，你先緩一緩。”后來(lái)經(jīng)過(guò)溝通才平息了風(fēng)波。

他到底有沒(méi)有開(kāi)外掛?開(kāi)了!慕華篤定地說(shuō)。“很多用戶(hù)只是嘴硬罷了”，根據之前處理經(jīng)驗，慕華認為，實(shí)際上當把證據亮出來(lái)，對方就會(huì )立刻啞火，變成央求解封賬號。畢竟他們在這上面投入了非常多的心血，“雖然花大價(jià)錢(qián)買(mǎi)了外掛，但很認真在玩這個(gè)游戲。”

但有時(shí)確實(shí)會(huì )“傷”及無(wú)辜。曾有一位五十歲的老阿姨被封號后，找上門(mén)討說(shuō)法。但慕華和同事在后臺檢查她的操作流水，顯示“菜”成熟了過(guò)兩三秒，一定會(huì )被她搶?zhuān)?ldquo;這個(gè)行為和外掛真是一模一樣的”。為自證清白，老阿姨把自己偷菜的筆記本拿給慕華看，上面一筆一畫(huà)記著(zhù)她的哪個(gè)朋友的什么菜在幾點(diǎn)會(huì )成熟。

“確實(shí)是誤判了。”慕華和團隊立即復盤(pán)反思，“還得提升技術(shù)水平，不要誤殺好人，也進(jìn)一步升級了技術(shù)體系。 ”

看上去是游戲世界的軼事，但這卻是所有互聯(lián)網(wǎng)產(chǎn)品風(fēng)控模式的基礎，那就是甄別這個(gè)用戶(hù)到底是“人”還是“鬼”，無(wú)論何種紛繁復雜的業(yè)務(wù)，其邏輯核心都跟甄別“偷菜”的是“人”還是外掛并無(wú)二致。

比慕華晚進(jìn)入騰訊安全的杜俊主要負責后臺策略安全。進(jìn)騰訊的前三年，他每天的工作就是潛伏于各種黑產(chǎn)團隊，和他們交流，獲取信息并研究對方用了什么手段，接著(zhù)針對情況做進(jìn)一步的后臺對抗策略。但這種對抗具有一定的滯后性。

早年QQ日活高企時(shí)，流行一種叫做“畫(huà)皮詐騙”的手法：實(shí)施詐騙的人盜取受害者QQ號后，會(huì )去研究受害人的QQ號，看哪些是受害人關(guān)系緊密的人，然后在QQ上刪除他們，之后通過(guò)注冊新號，謊稱(chēng)啟用新號，添加這些人，由于摸透了信息很快取得這些關(guān)聯(lián)人的信任。“今天上午把你的號搞到，研究后一天之內一定要完成詐騙。”杜俊說(shuō)。

這種事情每發(fā)生一件，就會(huì )形成輿論熱議，不但受害者損失錢(qián)財，公司的聲譽(yù)也極大受損。所以，杜俊對這些案例做了深入研究，并做了針對性對抗策略的升級。

幾個(gè)回合下來(lái)，杜俊找到了感覺(jué)?！秾O子兵法》有云，“上兵伐謀，其次伐交，其次伐兵，其下攻城”。杜俊認為早期和黑產(chǎn)分子的“對抗”也是一個(gè)“用兵謀略”的過(guò)程——“對抗并非一次性完成，隨著(zhù)黑產(chǎn)不斷變化，防御變成了我們主動(dòng)去尋找，還有多少招數可以去試”。

偽裝是詐騙最基礎的功夫，而如何發(fā)現異常，及時(shí)識破，是反詐騙的基礎，這也是所有涉及交易的風(fēng)控措施的基礎。表面上看風(fēng)馬牛不相及的領(lǐng)域，核心邏輯其實(shí)是一樣的，見(jiàn)多了也就熟能生巧。何況騰訊有數億用戶(hù)，每天有數不清的情況需要應對。在騰訊內部升級打怪，這些經(jīng)驗用在服務(wù)金融客戶(hù)上，雖然業(yè)務(wù)高大上了，但在“鏢師”眼里，無(wú)非是押的“鏢”變了。

江湖還是那個(gè)江湖，但對手確實(shí)更兇猛了些。

行走江湖

如果不是騰訊2018年的“930變革”，“鏢師”們會(huì )出來(lái)晚一些。當騰訊成立CSIG專(zhuān)攻產(chǎn)業(yè)互聯(lián)網(wǎng)業(yè)務(wù)時(shí)，外界多數聲音并不看好一家具有to C基因的公司去做to B的業(yè)務(wù)。

“不能簡(jiǎn)單以基因論去定義一家公司，如果以基因論，那么騰訊可能到現在也就只是一家只有一款QQ產(chǎn)品的小公司。騰訊早年很多業(yè)務(wù)都是從零開(kāi)始，天御團隊的業(yè)務(wù)也是一樣。”騰訊安全副總裁黎巍反駁道，他加入騰訊17年，幾乎當年騰訊熱門(mén)的產(chǎn)品研發(fā)都參與過(guò)。

而且，多場(chǎng)景服務(wù)海量用戶(hù)，有經(jīng)驗值加持，也就有了服務(wù)其他領(lǐng)域的本領(lǐng)。騰訊安全總裁丁珂說(shuō)，“在過(guò)去的安全實(shí)踐中，騰訊擁有超過(guò)500個(gè)業(yè)務(wù)場(chǎng)景，積累了大量的黑產(chǎn)大數據樣本，每天數百P的數據運營(yíng)能力，這些是我們對抗黑產(chǎn)的武器。”

有了后端的經(jīng)驗支持，但前線(xiàn)人員的培養卻長(cháng)期是個(gè)問(wèn)題。團隊最初組建時(shí)只有4人，包括騰訊安全天御總監林鋒、產(chǎn)品組長(cháng)慕華、另一位做業(yè)務(wù)安全的同事及一個(gè)實(shí)習生。林鋒2005年加入騰訊，2008年他在8000封簡(jiǎn)歷中僅挑選了兩個(gè)人，其一是慕華。二人合作超過(guò)十年，被稱(chēng)為“剛柔相濟”的CP，前者做事風(fēng)格“狠、準、快”，后者風(fēng)格更平穩、謹慎。

人不夠，怎么辦?“只能打前、后端的配合，‘刷臉’來(lái)湊。項目一開(kāi)始就像創(chuàng )業(yè)團隊，基本上很多資源都是靠刷我們兩個(gè)人的臉。”林鋒回憶道，他和慕華靠著(zhù)兩張老臉，從后端刷出很多現成的產(chǎn)品和資源。

早在2018年“930”之前的2016年，上面就希望天御團隊能夠探索和孵化出一種對客戶(hù)有價(jià)值的模式，所以并不太強調商業(yè)目標。但商業(yè)化總要有產(chǎn)品有模式，天御四人組在起步時(shí)，就遇到一個(gè)天大難題：用戶(hù)不接受天御的產(chǎn)品。“最開(kāi)始提出的接口很復雜，類(lèi)似于原來(lái)給QQ和QQ空間內容服務(wù)提供服務(wù)的一些接口的產(chǎn)品形態(tài)。”林鋒說(shuō)，當時(shí)也并未意識到要去做相應的轉型，“騰訊的痛點(diǎn)不一定是客戶(hù)的痛點(diǎn)”，四個(gè)人干脆暫停手上的工作，坐下來(lái)探討“如果想要客戶(hù)接受(天御的產(chǎn)品)，我們要做哪些改變?”

2016年底，圍繞“究竟什么樣的產(chǎn)品形態(tài)才是用戶(hù)最容易接受的?用戶(hù)最大的痛點(diǎn)是什么? ”林鋒帶領(lǐng)團隊又進(jìn)行了一次“頭腦風(fēng)暴”，結合當時(shí)騰訊安全積累的情報，他們發(fā)現金融類(lèi)企業(yè)風(fēng)險是最高的，包括消費金融、互金公司以及銀行保險的一些業(yè)務(wù)。

當時(shí)也正是互聯(lián)網(wǎng)金融方興未艾的時(shí)候，無(wú)數新平臺競爭激烈，無(wú)數傳統金融機構也躍躍欲試，試圖同去瓜分“新世界”的版圖。但有去開(kāi)墾的，也就有來(lái)打劫的、“薅羊毛”的、詐騙的，你看的是利息，人家看上的是你的本金。有干壞事的，就有“鏢師”的用武之地，天御開(kāi)始在金融領(lǐng)域發(fā)力，最初主要致力于解決互聯(lián)網(wǎng)防刷(薅羊毛)問(wèn)題。后來(lái)客戶(hù)逐漸擴展到金融科技公司、銀行等，彼時(shí)團隊也擴展至10人，到2018年，小伙伴越來(lái)越多。目前四十多人的團隊下設三個(gè)小組，分別負責流量風(fēng)控、內容風(fēng)控和金融風(fēng)控。

從to C到to B，蟄伏已久的“鏢師們”來(lái)到了更加廣闊的天地，戰場(chǎng)環(huán)境變了，服務(wù)的主顧也變了，天御從上到下都在思考和做出改變。黎巍認為，最大挑戰在于從to C到to B，做產(chǎn)品、做業(yè)務(wù)的模式的轉變。

對于“鏢師”們而言，本領(lǐng)是一回事，如何與客戶(hù)打交道也是要學(xué)習?！缎Π两犯ＭS局的林震南曾說(shuō)，“江湖上的事，名頭占了兩成，功夫占了兩成，余下的六成，卻要靠黑白兩道的朋友賞臉了”。對于一位鏢師而言，行走江湖，除了要有責任心、名氣實(shí)力，還要人脈(客戶(hù))廣。

天御團隊開(kāi)始學(xué)著(zhù)和市場(chǎng)、客戶(hù)打交道。

杜俊一直跟鍵盤(pán)鼠標打交道，穿著(zhù)很“工程師”，剛開(kāi)始行走江湖時(shí)，并不注意行頭，直到參加了一場(chǎng)“全場(chǎng)人都是西裝、唯獨自己穿T恤”的銀行系統發(fā)布會(huì )之后，幾乎從不穿正裝的杜俊開(kāi)始注意著(zhù)裝禮儀，頭像也從一只“小可愛(ài)”變成了“西裝襯衣、領(lǐng)帶”的證件照。要跟高大上的金融圈打交道，就得入鄉隨俗。一身行頭也是專(zhuān)業(yè)的表示。

慕華也開(kāi)始學(xué)習銀行的業(yè)務(wù)，買(mǎi)了不少書(shū)籍來(lái)啃，不然怎么設計產(chǎn)品，雖然邏輯核心是一樣的，但在具體業(yè)務(wù)交流上容不得半點(diǎn)馬虎。就連高層也開(kāi)始改變自己的社交方式，“我喜歡喝茶，其實(shí)不太喜歡喝酒，但是因為做to B業(yè)務(wù)后沒(méi)有辦法，必須要去見(jiàn)客戶(hù)。”黎巍說(shuō)，和客戶(hù)打成一片，才能更好開(kāi)展工作。

除了銀行打交道，要做好金融業(yè)務(wù)，也必須跟監管做好溝通。畢竟銀行業(yè)是個(gè)強監管的行業(yè)，銀行時(shí)刻擔心監管怎么看到機器學(xué)習引進(jìn)業(yè)務(wù)風(fēng)控里。過(guò)去銀行的業(yè)務(wù)服從監管制定的規則，現在把它改成機器學(xué)習做風(fēng)控就產(chǎn)生了新問(wèn)題，因為規則是可預測，而機器學(xué)習的結果不可預測，怎么去把一個(gè)看似不可預測的產(chǎn)品，放到主業(yè)務(wù)邏輯里面去，又符合監管制定的規則框架?銀行擔心這是不是符合監管的要求。

所以天御也要學(xué)會(huì )跟監管報備、溝通，一起理解和適應新變化。“這是個(gè)長(cháng)期、緩慢的過(guò)程。”

戰火永不熄

在天御團隊里，盧哲是一個(gè)特殊的存在。他早年創(chuàng )業(yè)被黑產(chǎn)盯上不斷套利，苦于沒(méi)有行之有效的方案與之對抗，眼睜睜看著(zhù)自己的公司活活被拖死。

2013年盧哲從騰訊離職創(chuàng )業(yè)，和兩個(gè)朋友合伙創(chuàng )建了一個(gè)游戲社區，很快找到了廣告變現模式。當年11月，已經(jīng)實(shí)現每日進(jìn)賬三四十萬(wàn)左右，人均到手十萬(wàn)塊左右。盧哲覺(jué)得公司也沒(méi)必要去上市了。

好景不長(cháng)，兩個(gè)月左右，公司就被黑產(chǎn)盯上。有人開(kāi)始在游戲社區攻擊內容安全，一是在社區發(fā)帖將用戶(hù)引流;一是當時(shí)社區有一些現金補貼比如持續活躍30天、每天在社區里打卡，就會(huì )送30元的月手機卡。

黑產(chǎn)團伙盯上后，開(kāi)始注冊多個(gè)虛擬賬號來(lái)模擬每天登錄，用一些假賬號來(lái)領(lǐng)金幣，進(jìn)而套錢(qián)。每次發(fā)錢(qián)，盧哲都會(huì )發(fā)到每個(gè)用戶(hù)的支付寶賬號上。“一般如果賬號發(fā)不進(jìn)去錢(qián)，我就會(huì )打電話(huà)確認這個(gè)賬號是否為正常用戶(hù)。”一次，有一個(gè)賬戶(hù)打不進(jìn)去錢(qián)，盧哲打電話(huà)確認，對方給了另一個(gè)賬戶(hù)，依然打不進(jìn)去。但幾天后，他發(fā)現其中一個(gè)賬號是處于連續被使用的狀態(tài)，“那個(gè)人可能模擬了30個(gè)賬號，來(lái)套我的錢(qián)。”

不能被他這樣套下去，盧哲心想。但他試了很多方法都不能阻止，直到公司活活被套死。公司黃了，盧哲在悲痛之余，燃起了打擊黑產(chǎn)的決心，他一直想著(zhù)，“有什么辦法可以解決這個(gè)問(wèn)題?”

后來(lái)盧哲還去朋友的創(chuàng )業(yè)公司學(xué)習他們怎么做防御。一次偶然的機會(huì )，他接觸并加入騰訊天御風(fēng)控團隊。盧哲常和歌林博士交流客戶(hù)的需求和產(chǎn)品模型?；谠缒杲?jīng)歷，盧哲認為產(chǎn)品是沒(méi)有自己視角的，更多基于對用戶(hù)場(chǎng)景需求的理解，“他們是怎么運轉的?哪些規則會(huì )有漏洞，被黑產(chǎn)盯上?”他把自己的角色做了一個(gè)比喻，“比如今天大家喜歡粵菜，我來(lái)設計一個(gè)菜式，但博士作為大廚，調料、火候都是核心理念。”

“他更熟悉對手的情況，天御這種業(yè)務(wù)要做成，團隊需要盧哲這種復合型的行業(yè)經(jīng)歷，會(huì )給到團隊不同維度的視野和思考。”黎巍說(shuō)，如果團隊只是一幫做技術(shù)或者做產(chǎn)品的，肯定做不成，要有一些不同能力的人，整個(gè)團隊才能形成很好的組合。

轉向市場(chǎng)“押鏢”后，天御團隊也面臨著(zhù)市場(chǎng)的競爭和考驗。“金融行業(yè)的風(fēng)控不同于其他行業(yè)，業(yè)務(wù)賺錢(qián)還是賠錢(qián)，直接取決于風(fēng)控做得好不好”，一位業(yè)內不具名人士稱(chēng)，安全的市場(chǎng)規模是很大，但隨著(zhù)互金行業(yè)的衰落，市場(chǎng)可能處于一個(gè)收縮狀態(tài)。但另一邊，傳統金融機構的風(fēng)控需求潛力也很大，需要“鏢師”不斷開(kāi)拓新的領(lǐng)域，在那里，戰火不熄。

天御曾跟某大行合作一個(gè)項目，解決一個(gè)交易場(chǎng)景的問(wèn)題，客戶(hù)在過(guò)去是用傳統的策略，天御重新用人工智能的方式來(lái)做，一開(kāi)始客戶(hù)心里沒(méi)有底，到底行不行，后來(lái)團隊就用算法開(kāi)發(fā)了一套系統，把人工智能復雜的模型轉化成客戶(hù)熟悉的輸出模式，表面上改動(dòng)不大，但提高了核心技術(shù)。金融是信任為基礎，而做金融機構的業(yè)務(wù)，首先得讓客戶(hù)信任你。對了，受訪(fǎng)者并未透露任何細節，這也是行規。

因為，江湖里也不僅僅只有一家“鏢局”，來(lái)自其他網(wǎng)絡(luò )安全公司、互聯(lián)網(wǎng)公司的同行都是強勁的競爭者。而就客戶(hù)本身而言，外界知道的越少越好。

“從攻的角度，如今這個(gè)領(lǐng)域越來(lái)越多朝著(zhù)社會(huì )工程學(xué)的方向發(fā)展，而不僅僅是一個(gè)純粹的技術(shù)手段。”杜俊告訴《中國企業(yè)家》，以前他們更側重以防為主，往往習慣在事后做分析、制定對抗策略，轉向B端之后，開(kāi)始變防御為主動(dòng)打擊，他們也會(huì )往整個(gè)生態(tài)、產(chǎn)業(yè)鏈的角度去考慮，和行業(yè)、公檢法機關(guān)合作，主動(dòng)打擊黑產(chǎn)。這意味著(zhù)，麥克要打的仗可能越來(lái)越多。

歌林說(shuō)，“做金融這個(gè)業(yè)務(wù)，我們在整個(gè)行業(yè)里算是走在比較前面的，很多時(shí)候沒(méi)有那么多可參考的，以至于有些業(yè)務(wù)我們做之前，可能考慮要不要投入這么多的人力去做，畢竟你讓幾個(gè)人去干這個(gè)事情，如果最后沒(méi)有那么的理想，甚至出不來(lái)成績(jì)，他們也會(huì )很郁悶。所以在我看來(lái)，最希望大家做的項目都是只要你解決技術(shù)問(wèn)題，它就可以‘咻’火箭式的增長(cháng)。”

可是，他們都深知，江湖的事情，哪有這么容易。

(應采訪(fǎng)對象要求，文中麥克、“黃蜂”、慕華、杜俊、歌林、林鋒、盧哲均為化名)

本文來(lái)源：中國企業(yè)家