张亮和他的 Trustlook:一个华人网络安全工程师的12年海外奋斗史
一个华人,两年前在硅谷创立了一家名为 Trustlook 的移动安全公司,并且凭借技术优势,在海外市场讯速发展。
张亮是个很特殊的创业者。
一个华人,两年前在硅谷创立了一家名为 Trustlook 的移动安全公司,并且凭借技术优势,在海外市场讯速发展。
如今,Trustlook 已经完成由挚信资本领投的 1700 万美元 A 轮融资。
一向以眼光毒辣闻名的挚信资本选择 Trustlook——这家由一个华人创立的纯硅谷移动安全公司——有其充分的理由:
1、移动安全市场即将迎来「爆发」。Android 手机的用户数量庞大,且 Android 系统开源,极易被攻击;攻击手机能获得的利益越来越大:支付环节越来越简单、支付场景越来越多,个人信息、公司信息,方方面面都有价值。而目前市场上仍然非常缺乏移动安全解决方案。
2、Trustlook 团队强。安全行业本就壁垒很高,国内做研发的团队又极少。创始人张亮除了技术领域,在商业上能力(融资、市场等)也超出了挚信资本的预期。
3、投资过 360,对安全领域理解深,且有相应资源。
4、网络安全领域,是为数不多的华人工程师占主导地位的行业,硅谷集中了这个行业最优秀的华人工程师。张亮是其中第一个出来做移动安全的创业者。
Trustlook 如今在海外市场已有 1600 万装机量,是一个应用下一代移动安全技术对手机进行病毒检测清理的软件。
所谓的下一代技术,称为云端沙盒技术。它的原理很简单,将待检测的 App 先放到一个真机环境(也就是云端沙盒)中去运行,在操作系统层面观察,一旦发现恶意行为便将其捕获。
用一个 Trustlook 研究员的形象比喻来说明:这就像慈禧太后每天要吃数百道菜,如何才能从根本上防止人投毒谋害老佛爷?最简单的方法,让身边的小太监把每道菜都先尝尝。
传统的杀毒软件是基于病毒特征码来检验,比如有的毒药需要用银针试试看看是否变色。每出现一个新的病毒,都需要为其专门设计一个特征码——也就是签名——并更新到所有病毒库中。这种方法费时费力,业界平均反应时间在 200 天左右——等到那个时候,手机里什么东西都没了。
而 Trustlook 的反应时间一般在几分钟以内。
Trustlook 两年来做了数十个病毒专杀 App 和工具,每次对病毒的检测速度几乎都是业界最快。
用一个例子来说明 Trustlook 的安全能力。2014 年 4 月,Trustlook 团队发现能够开启亚马逊电子书库整个后端的秘钥有着非常大的漏洞:亚马逊有一扇坚固的门,上面有把撬不开的锁,但是钥匙就压在门外的一个砖头下面。
Trustlook 发现这个漏洞后第一时间报告了亚马逊,历经一个月,两次修复,最终问题得到解决。
贝尔实验室半年
1976 出生在山东潍坊的张亮本科就读于东南大学工商管理专业,但入学没多久,这个小镇青年和美国 70 年代那批 IT 精英一样,被一个叫作电脑的白色盒子带来的新世界震撼到,随之便是疯狂地迷恋。
张亮看遍了当时在学校及其附近书摊能找到的所有关于编程的书,成了管理学院里唯一会写复杂程序的人。
接下来的故事你可能似曾相识:一个会写程序的大学生,帮助学校、机构、政府做了很多上网项目。在 90 年代中期的中国,不知有多少软件和网站出自这些自学程序的毛头小子,零散地构建了中国互联网最早的生态。
但张亮的故事和其他人又有所不同。一次他刚刚做完南京市玄武区政府的一个网上项目,上线第二天,就被黑了。张亮第一次认识到:原来我们在网上手无寸铁,人们还有安全需求。
当时朗讯正在中国招聘,被录取者还可以得到去美国贝尔实验室培训的机会。张亮知道这个消息时,招聘几乎已经结束了,他又非计算机专业,被朗讯拒之门外。张亮再三央求未果后,撂下一句狠话,「任何你们要的东西我都有,不信你随便选一门语言,一种数据库,问倒我我就走。」其实张亮所掌握的语言和数据库也就 2、3 种,但他赌了一把:「我的直觉告诉我,他问的问题出不了这 2、3 种主要的编程语言和数据库。」
张亮赢了。他来到了美国贝尔实验室。
在芝加哥六个月,张亮跟随编程教父们重学了一遍编程,见识了什么是真正的网络安全。C++ 的创始人教他 C++ 语言,UNIX 的创建者给他讲什么是 UNIX。那个实验室里珍藏了当时世界上最好的教材,但没人用。
「大概人们都浮躁吧,2000 年的时候,到处都是金子,随便做个项目都几百万地赚,大家都忙着赚钱去了。」
Ncircle 的三年半
2000 年底,在贝尔实验室的培训结束,张亮回国,成为朗讯的一名通讯工程师。见识到了外面的世界和互联网的强大,张亮决定自己要出去。
来年,互联网泡沫迅速破灭,作为当时互联网企业的电讯设备提供商,朗讯面临着前所未有的危机。
2003 年,朗讯大面积裁员,员工数从 14 万骤减至 4 万(三年后被阿尔卡特收购)。
这一年,张亮移民申请成功,退出朗讯,来到了加拿大。
此时加拿大通讯业乃至整个互联网行业经历股灾后一片萧条,大公司都在裁员,专业工作(professional job)的录取比例为 400:1,华人得到工作几无可能。
张亮联系了两个以前朗讯的同事,发起了一个俱乐部,名叫「找工三剑客」,专门研究如何在加拿大找到一份专业工作。
3 个月后,这 3 个人都拿到了 offer。「当找工作是一个全职工作的时候,就不一样了。」张亮说。
这个「找工三剑客」俱乐部,后来发展成了加拿大一所名叫 Kennedy College 里的一个培训班,专门教华人工程师怎么找工作。例如,华人英语差是劣势,那么就用中国人擅长的笨办法,把所有面试中的问题都系统总结下来,寻找答案和问题之间的逻辑,构建一套效率最高的面试应对解决方案,并一遍遍模拟。
这个 Q&A 培训班一直延续多年,张亮后来去美国后,它仍由当年「三剑客」中的一个同事运营。
张亮拿到的 offer 来自一家硅谷安全公司,名叫 Ncircle Network Security,当时正准备在加拿大建立分公司。分公司主管 Michael Murray 在一个咖啡馆里告诉张亮,你被录取了,而且你是所有面试者中分数最高的。
互联网泡沫破灭导致的经济萧条造就了一个乱世,很多人没有工作,网络盗贼猖獗。而相应的是,网络安全火了。
在 Ncircle 不到一年的时间,张亮已经变成了团队的中骨干工程师,拿到了公司顶薪。这一年他 28 岁,感到自己原来可以做很多事,也可以带队伍,「做别人做不了的事情」。
2004 年的一个事件让 Michael 对张亮倚重有加。Ncircle 美国总部接到了美国国土安全部的一个几百万美元的大单:构建某些特殊领域的漏洞检测系统。Ncircle Network Security 是当时美国在网络安全漏洞检测领域技术最强的公司之一。
对于一个建立仅几年的公司,这个单子的数额非常庞大,可以左右公司发展。但 Ncircle 犯了很多创业公司共同犯过的错误:整个公司没有成熟的管理体系,商务部门和技术部门沟通存在障碍,商务部门重视这个单子,但技术部门并没有感觉到。于是,公司管理层在还剩一个月截止时发现,这个项目几乎没有推进。
总公司把它推到了主要以研发为主的加拿大团队身上。
张亮所主管的科研团队随之受命。通过加班,张亮按期完成了这个项目。
Michael 很担心这个仓促上马、赶工完成的项目质量有问题,张亮说你不用担心,咱们一直就是做漏洞检测科研的,每个细节我都是自己盯着过的,不会有问题。
结局完美。Michael 对张亮说:「You save my ass again.(英语俚语:你又救了我)」。
硅谷六年
Ncircle 的管理一直存在问题。Michael 受到排挤,被踢出了公司。
在一个办公室共事了几年,Michael 收拾东西走人的时候全公司没有一个人敢送他——新的主管已经坐在这个办公室里了。张亮送他下楼,订了个饭馆,请他喝了顿酒。
2007 年,Ncircle 发展遇到瓶颈,员工开始混日子,张亮决意离开。
他去了一家当时专做漏洞分析报告的公司 Assurent Secure Technologies,目的很明确,要补上自己最薄弱的一个技术环节:逆向工程技术。
张亮在 Assurent Secure Technologies 写了半年漏洞分析报告,这些报告买家是几家美国安全大公司:McAfee、赛门铁克、以及接下来要重点提到的 Palo Alto Networks。
2007 年,网络安全问题在美国井喷。Michael 带来了一个让张亮激动的信息:硅谷现在聚集了一帮做安全很猛的人,他在一个叫作 Palo Alto Networks 的公司里,准备重塑美国的防火墙,「我觉得你应该去。」
面试极为顺利,Palo Alto Networks 仅有的几个员工几乎都读过张亮写的漏洞分析报告,他成为了这个公司最早的两个安全人员之一,头衔为创始工程师。
从 2007 年发布第一个防火墙产品开始,用了不到 5 年时间,这家公司升级了整个美国的防火墙技术。相较以前基于端口和 IP 的过滤规则,Palo Alto Networks 的智能防火墙技术能更细粒度地分析流过的数据包究竟属于什么应用,更加聪明,性能更好。简而言之,以往防火墙相当于一只猴子看门,Palo Alto Networks 做的智能防火墙等于有了传达室大爷。
直到 2012 年 Palo Alto Networks 上市,张亮所在的安全组也只有不到 10 个人。他们的自动化程度很高,利用新一代技术,基本依赖机器和算法。组里只有两个工程师不是华人,开会的时候经常可以讲中文。
2008 年刚到旧金山湾区的张亮形容硅谷对于他来说是天堂,「全世界最聪明的一批人高密度集中在一个地方,各种五花八门的新技术都能碰撞出来。」
张亮发起了 Bay Area Technical Geek Club(湾区技术极客俱乐部),参加者全部都是工程师,有他这样做安全的,有做大数据的;有做软件的,有做硬件的;有 Yahoo 的,有 Google 的。他们每周二有一个聚会,把自己遇到的技术问题拿出来讨论。
这个俱乐部里有个叫李志飞的人,2012 年回国创立了「出门问问」。在 2010 年,张亮、李志飞和另一个中国工程师 Daniel 一起做了一个公益项目 cloudacl.com,它提供免费 API(应用程序编程接口)来过滤掉一些黄色、暴力网站,受到很多美国家长欢迎。至今他们仍有 6 个服务器来维持这个项目。
张亮是防火墙领域的专家;李志飞当时在 Google,擅长人工智能的自然语言处理和算法;Daniel 解决大数据和分布式算法问题。
他很享受这种几个领域的技术牛人聚在一起做事的感觉。
张亮认识 Daniel 的过程很有意思。2009 年,Twitter 在美国已经普及,张亮觉得这是一个很适合做广告的平台,140 个字符能传达的信息极为有限,在 140 字符之后加一个网页链接顺理成章。于是张亮不断地爬 Twitter 用户的关注及粉丝列表,通过算法找出其中的关注规律,然后再通过算法做了一批符合这些用户关注规律的 Twitter 账号;等到这些账号的粉丝数达到几千时,去跟广告公司合作,用户每点一次广告公司发的链接,张亮就能得到广告分成。
这些账号不能光发广告,还需要用户喜欢的内容。张亮就去爬一些聚合内容阅读器里的文章,自动匹配到相应的账号上。
这有点像后来在中国迅速发展的内容阅读平台,如今日头条。
很快,数据量变得极大,张亮需要在数据挖掘上找到更好的方法。那段时间,张亮天天跑去 Yahoo(当时 Yahoo 拥有一批数据挖掘技术强人),寻求解决方法。
在 Yahoo 有一个叫作 Pig 的项目,项目负责人是大数据方面的大牛,叫作 Daniel。
张亮认识 Daniel 不久后,他的问题就得到解决。
Twitter 发现了有人利用 Twitter 规则漏洞谋利,张亮的几十个广告号被一夜封掉。
张亮的这种做法在硅谷有一个专有名词,叫 Growth Hack(增长黑客)。Airbnb 用户量暴涨的原因之一便是利用 Craigslist(美国最大分类信息网站)漏洞,免费为 Airbnb 做推广,同时将大量 Craigslist 用户变成 Airbnb的 用户;乔布斯早年利用美国通讯巨头 AT&T 的漏洞卖自己的「蓝盒子」,赚得第一桶金。
在硅谷,为无视规则并取得成功的人喝彩,已经成为了一种文化。
Trustlook 两年
2012 年底,张亮已经 36 岁了。他想,这些年积累的技术、人脉都还不错,移动安全市场将来一定大有可为,最近绿卡也拿到了,手里 Palo Alto Networks 的股票还挺值钱的。
应该试试创业。
Palo Alto Networks 的前 CEO 在张亮离职之前给了他一张 10 万美元的支票,算是第一个天使投资人。
在中国,周鸿祎和傅盛都希望投 Trustlook。
无论估值多少,周鸿祎都愿意占 Trustlook 25% 的股份,但张亮并不希望成为 360 的北美研发中心。最终,Trustlook 拿了金山网络(后改名猎豹移动)100 万美元的天使投资。
另外两家中国资本,Zpark 和丹华资本跟投了 Trustlook,这也是这两家中国资本在美国的第一笔投资。
张亮用一周时间完成了 146 万美元的天使轮融资。
从 2013 年 7 月 26 号正式成立,到 2014 年 1 月 18 号主 App 上线,Trustlook 用了半年时间完成了第一个产品。
2014 年 6 月,Trustlook 开始做一些渠道推广。团队跟张亮说,我们需要 200万 美元费用。张亮不想这么早期就去找 VC 拿钱,过程漫长手续繁杂。他用了一个简单的方法——发了条朋友圈说我们要融 300 万美元,有没有朋友想投?
第二天,265 万融资完成。第三天,这个数字变成了 400万。最终,张亮砍掉其中 100万,用了两天时间完成了 pre-A 轮融资。
在 Trustlook 主 App 推广早期,除了傅盛的猎豹以外,91 助手创始人熊俊,给 Trustlook 带来不少用户。
熊俊跟张亮一直是比较好的朋友。一次,熊俊和妻子去旧金山玩,在九曲花街,车窗被人砸坏,里边的一个限量版包丢了,这是他太太送给他的结婚四周年礼物。由于第二天就要回国,他就发了一条朋友圈,说哪位湾区的朋友能帮我再买一个这样的包吗?下边附了一张他们夫妇二人站在金门大桥前的合影,熊俊背着那个包。照片里,只能看见那个包的背带。
张亮给熊俊发了条微信,说我来给你找吧,你发我个图。熊俊说,就那一张只有背带的照片……
张亮后来回忆说:
「这怎么买,自己给自己找了个麻烦。没办法,只能拿着那个背带照片,一下午跑了几家店,挨个地对,最后售货员小姐都疯了。好在最终找到了。」
后来熊俊提出用他当时有 2000 多万用户的 AirDroid 帮 Trustlook 带量。张亮说,多少钱?熊俊说,我不收你钱。
Trustlook 刚刚有了 100 多万用户,2014 年 10 月,主 App 被 Google 商店下架,理由是涉黄。
张亮知道 Google 下错了。一般情况下,即便由于 Google 的失误下错了,也基本不可逆。张亮肯定不想十个月积累的用户就这么没了。Google AdMob(移动电话广告市场)的经理是个华人,是张亮的朋友。张亮请求他的帮助。这位朋友最后以个人名义给 Google 商店的经理写了封担保信,说这个 App 是我们 Google 自己下错了,Trustlook 十几个人为这个 App 辛苦了一年,不能因为我们的失误导致他们倒闭。三个小时后,App 重新上架。
2015 年,在加州半月湾一个高尔夫球场里,挚信资本创始人李曙君说服张亮接受挚信的投资。
现在,带着他的 Trustlook 回到了中国。
本文部分配图来源于海洛创意
NOTICE:张亮将在 GIF2016 作为演讲嘉宾出席,点击阅读原文即可购票。
更多GIF嘉宾报道
GIF 年度极客狂欢,如何以最酷炫的姿势加入?我们准备了最热力的礼物—— 100 台 Ticwatch 扮酷你的手腕。
购买¥512 极客狂欢票或¥1024 极客超级票,都有机会获得由「出门问问」提供的价值 1199 元 Ticwatch(黑曜金 )中文语音交互智能手表,开启手腕上的智能生活,1 月 14 日视频直播开奖。有了它,你不但热得穿短袖,还想全程 high five!