点击蓝字 关注我们
U30 Report
拥抱AI新技术
寻觅“弯道超车”时机
苏州蜚语信息科技有限公司CEO 束骏亮
Part.1
创业家简介
束骏亮
苏州蜚语信息科技有限公司CEO
博士,上海蜚语信息科技有限公司创始人兼 CEO。博士毕业于上海交通大学计算机系,长期从事软件安全领域前沿技术研究工作,曾发表多篇国际顶级学术会议论文,授权发明专利多项,多次受邀在 ISC、ISS等网络安全行业会议上发表演讲,知名 CTF 战队 0ops前成员。2018 年获得上海市科技进步一等奖,2020年获得“谷歌杯”创业大赛金奖,2023 年获安全创客汇年度10强。
Part.2
创业故事
01.
从竞技场到市场:安全专家的探索轨迹
代码分析是现代软件研发体系重要底层技术。软件在开发过程是否使用自动化分析技术以及使用的自动化分析技术之优劣,直接决定了软件的研发效率与最终产品的质量与安全性。从全球软件行业发展角度来看,在软件研发中,引入自动化代码分析工具已经被广泛认可。
在我国,包括军工、航空、航天、汽车电子、半导体、人工智能、能源电力、金融在内的众多关键核心技术领域也已使用自动化代码分析工具以提升软件研发效率。由于代码分析类产品具备很高的技术门槛,目前国内所使用的自动化代码分析产品基本来自国外,在国内相关市场的总占有率合计超过 85%,在该领域面临关键技术受制于人的局面。
作为一名受过系统训练的安全专家,束骏亮在研究生阶段便开始深入探索网络安全,并投身于相关技术研究工作。同时,他 也 积 极 参 与 CTF(Capture The Flag)竞赛活动,彼时国内 CTF 竞赛正处于蓬勃发展之中。功夫不负有心人,全身心投入赛事的他与上海交通大学 0ops 战队在国内外多个赛事中屡获佳绩,展现了卓越的个人实力和团队协作能力。
随着 CTF 竞赛生涯的圆满结束,他将主要精力转向了博士阶段的学术研究。无论是参与 CTF 竞赛还是进行学术研究,扎实的技术基础都是不可或缺的。CTF 实战更侧重于掌握和运用新颖的技巧,而学术研究则要求深入问题本质,展现出更为透彻的理解能力。尽管网络攻防实战与学术研究各有侧重点,但两者在网络安全技术和核心理念上是相通的。经由如此历练,他在网络安全领域积累了丰富的实践经验和理论知识,为未来的职业生涯奠定了坚实的基础。
2019 年,蜚语信息成立。公司孵化自上海交通大学计算机系。在创业之初,蜚语信息便对网络安全进行了深入的思考与研究。正是这个时期,国内众多企业正在进行数字化转型,软件技术正在逐步改变我们的生活。然而,在转型过程中,研发和应用过程中的安全问题层出不穷,这使得软件安全领域成为了备受关注的焦点。危机总与机遇相伴,团队对软件安全领域的市场未来充满信心。现有需求与团队过往的研究和技术沉淀高度吻合,这些优势显著地巩固了他们在技术领域的领先地位。
成功的企业不仅需要掌握前沿技术,还必须要有核心竞争力的产品。在工业界,市场的需求是衡量一切的标准,因此,企业必须深刻理解市场动态,并确保其产品能够满足市场的需求。
目前,该团队开发的产品―― 代码安全治理平台 Corax―― 已经成为一款在国内处于领先地位的代码分析工具。Corax 沉淀了团队多年以来在代码分析、软件安全领域的前沿技术积累,在分析效率、分析准确性、底层代码适配、应用现代化集成等方向上均可对标国际一线产品。已在金融、能源、军工、航空、半导体、汽车电子、物联网、互联网等多个领域的数十个头部客户处实现了商业化落地。2023 年实现全年订单量 2500 万,增长 400%。此外,公司依赖其在人工智能结合软件安全领域的研究经验,率先在代码分析领域引入大语言模型等自然语言处理技术,不但提升了分析能力,还拓展了产品的功能边界。公司连续获得包括知名美元基金、国资基金、产业基金在内的投资者多轮融资。曾获得上海市科技进步一等奖。
束骏亮说,公司的产品不仅在努力缩小与国际一流产品之间的差距,在某些细分市场中,已经实现了对竞品的替代甚至超越。
02.
实践安全左移 守护软件开发
安全左移,该理念强调在软件开发生命周期的早期阶段即引入安全措施,以期在软件发布前发现并修复潜在的安全漏洞,从而降低后期修复的成本和风险。该策略的核心在于预防优于补救,通过提前介入,减少安全问题对最终产品的影响。尽管安全左移的概念在国际上已得到广泛认同,且众多国外安全公司早在软件开发的早期阶段,着手实施相关的安全审计和产品安全开发等业务,但长期以来安全左移相关的产品依旧比较单一。
束骏亮和团队在实际推广过程中也发现,安全左移相关的产品和服务在我国市场上同样面临着诸多挑战。技术发展的局限性导致了安全产品的自动化和易用性未能达到理想的状态,使得所开发的工具难以被目标用户的研发团队广泛接受和使用。同时,在整个研发体系中,参与者对安全问题的重视程度不足,在专业安全人员的配备上存在明显欠缺。
事实上,安全左移与研发团队的关系极为密切,该领域所有产品与服务均与研发流程紧密相连,且在不同程度上对原有研发流程造成影响。研发人员对于安全产品与服务的接纳程度,直接关系到安全左移技术的发展与进步。随着安全人才培养体系日益完善,研发人员对安全左移理念的认同感逐渐增强,这种积极的变化不仅为安全左移的推广奠定了坚实的基础,也为整个软件安全行业的发展带来了新的增长点和创新动力。
在推进安全左移的实践中,客户的研发团队多样性也构成了一种意外的挑战。不同行业的企业研发体系、团队规模、采用的编程语言以及安全预算等方面存在显著差异。特别是在中国,众多企业倾向于利用外包研发团队来加速产品开发。这些因素均可能对安全左移产品设计和实际应用产生深远影响。
在软件安全领域,如何平衡安全需求与研发效率始终是一个核心议题。安全左移的实施可能会对研发效率造成一定程度的冲击,而客户研发团队通常对效率和成本极为敏感。尽管安全左移是提升软件产品安全性的关键措施,但如何在确保研发安全性前提下,最大限度地降低其对效率负面影响,成为客户研发团队和安全厂商面临的共同挑战。因此,需要客户研发团队和安全厂商一起努力,寻求在保障安全的前提下,优化研发流程,实现安全与效率的最佳结合。
综合以上因素,团队逐渐发现,尽管拥有技术实力,但业务增长并不如预期那般迅速。他们也认识到,除了技术,还有许多其他方面的知识和技能亟待学习。毕竟,过去多年学术研究中积累的经验,在实际的商业运营中并未能完全发挥作用。
为了迅速补齐短板,他们投入大量时间与同行业专业人士进行交流,向不同领域专家学习,并深入了解行业现状。“磨刀不误砍柴工”,经过一个阶段的磨合,蜚语信息成功开发出第一条业务线―― 为企业提供安全服务。该业务模式相对轻量级,得益于他们在软件安全领域的丰富比赛经验,使得公司能够快速转型并提供专业的安全服务解决方案。
凭借卓越的技术实力和优质服务,蜚语信息在创业第二年便与米哈游、星巴克、商汤等上海本地知名企业建立了业务合作关系。这些合作不仅持续至今,而且安全服务业务已逐渐发展成为公司主要业务线之一。
03.
代码分析:冷门领域的热血开拓
随着蜚语信息首个业务线的逐步成熟,束骏亮和团队的愿景也变得更加宏伟。由于服务业务主要以人力为核心,难以实现快速规模扩张,他们决定着手研发自有产品。在经过深入的市场调研和慎重的选型过程后,该公司选择了代码分析这一在国内尚属冷门的产品领域进行开发。
代码分析之所以被视为冷门,是因为其研发不仅要求团队具备深厚的安全知识,还要求有扎实的计算机底层技术基础,被公认为是研发难度最高的安全产品之一。在过去,中国市场上的代码分析产品几乎被 Coverity、Fortify、Checkmarx等国际知名品牌所垄断。
凭借多年科研经历培养出的技术热忱,他们组建了一支专业的研发团队,决心攻关克难。产品的研发自然意味着巨额前期投资,产品的复杂性越高,相应的研发周期和成本也就越大。正是在此进程中,该公司开始考虑通过融资来补充研发资金。
幸运的是,在此期间,公司的安全服务业务为新产品研发提供了持续稳定的资金支持,还吸引了真格基金、相城金控等优质投资方的关注,确保了后续研发的资金支持。最终,在 2022 年完成了新产品攻关,并在推向市场后获得了广泛好评。
目前,产品已成功在国防军工、汽车电子、半导体、物联网及互联网等多个关键领域实现了对国际顶尖同类产品的替代。在 2023 年,他们大幅度增加了研发投入,并在产品开发中融入了当时最前沿的 AI大模型技术。该战略举措使得公司与全球同行站在了同一起跑线上,实现了从追随者到竞争者的华丽转身。
04.
完成“弯道超车”
蜚语信息所提供的服务不仅仅局限于帮助用户识别潜在的问题,更通过智能化、自动化技术,辅助用户完成问题分析与修复工作,从而显著降低了用户操作成本。相应系列创新举措有效突破了传统产品在实际应用中的最后障碍,实现了从代码安全分析到代码安全治理质的飞跃。
在相关安全领域,他们达到了国际领先水平,产品研发成果有望在全球范围内实现技术超越,真正完成“弯道超车”。前瞻性技术创新,在提升了自身竞争力的同时,也为整个行业的发展树立了新的标杆。
进入 2024 年,公司积极推进产品的国际化战略,已在港澳及东南亚地区与多个客户达成合作意向。他们坚信,凭借中国团队的创新能力和技术实力,完全有能力打造出在全球范围内领先的产品,并在全球市场中赢得一席之地。
Part.3
创业家面对面
01.
AI对于软件工程企业有什么冲击吗?
束骏亮:我们是做代码分析类技术软件公司,主要帮助软件开发者分析代码中BUG和安全问题。我们所在赛道与AI有关。我记得2022年底,有不少投资人和客户来问我,你们这个行业是不是要被颠覆了,你们是不是要失业了。事实上,每当一个相关新技术出现后,创业者都需要选择是对抗,还是拥抱。我们的选择是快速拥抱新技术,不仅提升了原有产品的性能,还破击了原先难以解决的问题,开发了新的功能和应用。
02.
蜚语信息是如何应对AI冲击的?
束骏亮:创业5年来,公司定位发生了一定的变化。最初,我们对外宣称自己的网络安全、软件安全公司,这是因为过去的技术是没有办法泛化的。我们要解决软件工程中的某一个问题,就需要使用专门的工具。一旦要切换到相邻的赛道,就需要重新走一遍软件开发的道路。
我们把自己定义为软件工程自动化领域,从一个小点扩展到整个领域。这一变化的契机是生成式人工智能的出现。ChatGPT对我们来说是一种危机,当它在发布会上展现出令人惊讶的代码生成能力时,大家觉得我们这个行业是不是要被取代了。
如今,我们已经能平和地看待AIGC,这仅仅是一种新技术,而非解决能力。我们积极拥抱新技术,在产品中大规模论证AICG的作用,看它的边界在哪里,究竟能做哪些事情。最终,我们交付给客户的是一个成熟的产品,能解决更多问题,降低更多成本。
有趣的是,我们之前是在追赶国外已经发展几十年的技术,但在新技术来临时,我们都站在了同一起跑线上。也有了弯道超车的机会。我们的业务也从国内转向了国外。
03.
对于未来的青年创业者,您有什么建议?
束骏亮:创业是一个很长期的过程,要耐得住寂寞,学会坚持。
Part.4
结语
网络安全是一个与国家及社会安全息息相关的领域,在国家经济持续增长的背景下,我国安全行业市场需求激增。凭借长年累月的深厚技术积累,怀揣对网络安全行业的一腔热血与无限憧憬,束骏亮和学生时代的伙伴一拍即合成立了上海蜚语信息科技有限公司(以下简称“蜚语信息”),正式开始了创业生涯。致力于在网络安全领域发挥其专业优势,在行业中取得成就,为科技进步贡献力量。
上海市科技经济融合发展学会(简称“上海市科经会”)是在上海市民政局登记,上海市科学技术协会主管的市级非营利社团法人。上海市科经会致力于构建科技经济融通生态,精准高效对接创新资源,探索科技经济融合创新机制,推动科技经济深度融合,为上海市乃至全国的科技经济发展提供智力支持和决策参考。