神刀安全网

中国的特斯拉们如何面对黑客攻击?我们跟周鸿祎的前VP和现VP聊了2小时

如火如荼的北京车展即将进入尾声,全球车企都忍不住在展馆里争奇斗艳,上个月刚刚亮相的乐视LeSee概念车也被挪到了展馆显著的位置,吸引了无数人的围观。新能源车尤其是所谓的智能驾驶、无人驾驶的电动车疯狂地向我们冲来,在这个需要重资囤积的领域,除了老牌汽车厂商摩拳擦掌,互联网巨头也高调入局,比如阿里、百度。还有一些则初出茅庐,比如李想的车和家,比如李想、李斌、刘强东等联合发起的蔚来汽车,又比如本文采访对象之一沈海寅的智车优行。

但是,今年3.15央视曝光去年Jeep某型号智能汽车被黑客攻击,让看似美好、拿融资轻而易举的智能汽车的网络完全问题暴露在大众视野之中。

3月份底的某个周六,虎嗅跟360公司前副总裁、现智车优行创始人兼CEO沈海寅,以及360公司CTO兼VP、CPO谭晓生聊了2个小时,从对汽车安全的思考,到创业,到破解特斯拉,到对国内汽车创业环境的看法。该聊的都聊了,不该聊的……没有不该聊的。

话题是从Jeep汽车被央视曝光安全漏洞开始的,后来就自然而言引申到360攻破特斯拉安全防护盾,当我问谭晓生,这是不是360安全团队的炫技是,他给予了否认,并表示,特斯拉只是给了个奖章以示感谢。

至于在日本曾经有过3次创业经历的沈海寅为何选择汽车这个领域再次创业的问题,相信此前采访过他的人一定听过不少故事。而接受虎嗅采访(其实严格来说,我更愿意称之为聊天,大家都非常放松)时,沈海寅给了我们一个不一样的版本,这首先跟周鸿祎有关。当我问谭晓生,周鸿祎有没有做互联网汽车的打算时,谭晓生明确表示没有。沈海寅则补充说,如果有的话,他可能也就不用出来创业了,“周鸿祎是不开车的,所以他其实对车这一块没有太大的感觉……如果你天天是坐在后面,你不开车的情况下,其实你对车是无感的,那没有感觉的话,你就不知道我做这个方向到底是对还是错。”

而涉及到汽车网络安全这个话题时,两位前360和现360的高管则滔滔不绝,对于安全起家的360,这是它的强项。鉴于聊得内容太多,本文以Q&A的形式将采访精华尽可能原生态地呈现给读者,希望对在互联网汽车创业和在智能硬件领域创业的朋友有所启发。

中国的特斯拉们如何面对黑客攻击?我们跟周鸿祎的前VP和现VP聊了2小时 沈海寅
中国的特斯拉们如何面对黑客攻击?我们跟周鸿祎的前VP和现VP聊了2小时 谭晓生

360破掉特斯拉,是炫技吗?

虎嗅:上次315当Jeep的一款智能汽车被曝出安全漏洞后,我看你当时就在朋友圈转了一个你们的声明。

沈海寅:也不叫声明吧,可能也跟我的出身背景相关,我觉得汽车智能化一定要跟网络安全结合起来。包括像老周(周鸿祎)当时在问伊隆马斯克的时候,他说你们如何去对待安全?但伊隆马斯克其实对安全方面并没有太多的概念,所以当时也没有做特别明确的一个回复,所以后来你看,360破解了特斯拉。

虎嗅:我想问谭总,你们对汽车安全防护进行破解,寻找漏洞,然后反馈给这些车企,你们会派技术人员帮它们解决吗?

谭晓生:情况不一样,比如像特斯拉,破了之后告诉它,说发现了什么漏洞。像长安的话,合作比较深,干脆它的平台,没有上线的几款车,我们就去给它做安全评估,它甚至前面就直接送了我们一辆CX75,直接开过来了,就作为实验平台,我们搞,发现什么问题告诉它。

虎嗅:这费用是怎么来算?比如说你们帮他们补一个漏洞。

谭晓生:服务嘛,比如长安汽车,我就给它做车联网系统的安全评估,双方签订合同,它是按照合同要先给钱的,按项目这些给钱的,其他的新有的漏洞破解,像特斯拉是没钱的。

沈海寅:它属于一种白帽,就是我帮你破解漏洞以后,我也不会对外公布,然后我是报给你原厂,这种就属于行业里面的一些行规了,有些是有奖励的是吧?

谭晓生: 对,像特斯拉就给了那么一个奖章。

虎嗅:因为特斯拉名声在外,破它可能有点炫技的意思吧?

谭晓生:也不是。这个还真不是。

虎嗅:那你们是怎么发现这个问题的?

谭晓生:就大家只是说,我们有安全研究人员对这个感兴趣,就觉得这个汽车都信息化了之后,这个车它肯定会有安全的风险,对于第一个就想说我找出它的安全风险到底在哪儿?找出它的漏洞,这对很多人是非常刺激的一个事,他还不是为了炫技。过去的车厂有一个问题,过去的车厂都号称自己车多安全,多安全。

但恰恰对这个安全人员来说,你越说安全,我越不信这个邪,越非要把你搞定,因为你说的,大家首先第一个从理论上来讲,就觉得你吹牛。没有绝对安全这回事,你非要说自己绝对安全,那就……打脸试试。就这样。

恰恰是搞安全的人是不敢吹牛的,你说谁搞安全的说我自己就一定不会被别人破解了,基本上说这个就违背客观规律的。但原来的车厂就非要这么高调。

沈海寅:原来你像我们360做东西,最早做像云盘等等,当然曾经我们也提过,有些市场的人就提过,我们要不要做一个最安全的云盘什么之类的,我说你这个事一说出去,你就会把整个行业激火了,然后别人就来挑战你了,这个事你千万不能做。

谭晓生:公司内部原来这么说的人,不止一次提,基本上都会被我们安全线的人给毙回去,说你根本不要这么说,吹牛是要上税的,这玩意。

你想,过去的一年多,特斯拉,我们是全球第一个攻破的,国内的某款电动车,现在就不说名字了,也是我们整个远控的。就说汽车安全方面,我们也是做到全球很领先的,比如说智能硬件的破解,我们攻防实验室去年破了多少,如果你去我们的实验室看,里面一堆那个东西,破掉了各种各样的东西。

虎嗅:但是被破解了之后,好象证明这些硬件都存在重大的安全隐患,然后消费者心里也会不安。

沈海寅:其实是这样,你不能说我不安全了我就舍弃这些便利的功能。我们不是说破了这些东西,然后证明我们能力就结束了。我们是希望去保护,或者说不是所有的企业都有这种能力,我们可以用我们的能力去为他们来服务,我认为这个其实是一个很好的。

谭晓生:你像特斯拉这个破解了,直接把漏洞报给特斯拉,特斯拉只好把这个洞给补上了,对吧。像去年破的那些智能硬件,像格力,它新出的的智能家电就邀请我们去给它做评估,那它是要掏钱的,我们给它做所有新的智能家电的安全评估,经过我们的安全漏洞测试,它再出来的东西就安全多了。今年年初还是去年年底,美的又开始让我们给它做评估。像长安汽车,从它车联网平台,到它的汽车电商安全评估都是我们做的。

破解的目的其实不是为了破解,不是为了炫技。你如果不把这个东西可破解给别人看,他们是不会有这个意识的。很多人比如这个厂商,不管汽车厂商还是……它没这个意识,不知道这个东西会出事,你只有秀给它看,这个真的会出问题。如果有了这么一个指标,说你看它们家的很容易就被破了,这家的就没问题,消费者选择的时候可能反过来驱动这些设备制造商,让它去改进。

沈海寅的奇点汽车如何思考汽车的网络安全?

虎嗅:上次你们的奇点汽车发布会,其实你讲到了如何保障你们汽车的网络安全,具体怎么做?

沈海寅:其实在网络安全里面,它分为非常非常多的部分,比如最简单的部分就是我们的网络协议,你底层的协议和我们云端的数据的交换,它通过什么方式来进行交换的,是否会被截取?还有你不同的车,因为我们是通过4G网络,其实跟运营商的网络是会有交集的,那么我们每个车主之间和我们网络数据之间的这种隔断,是什么样隔断的方式,还有我们车外网和车内网之间的数据的隔断又是一种什么样的方式?还包括像看总线上面,比如说通过一些物理上的破解,比如说我在开车的时候,过程当中突然说开门,这种命令其实本身是一个比较危险的命令,你如何去判断它?

因为我自己原来在360也负责投资,我们看了国际上很多专门做汽车安全的公司,当中有几种企业,一种它是通过在整个汽车上装一个硬件,这个硬件本身是对协议进行过滤,它能够去保证不同的部件之间的协议,它是遵守了一种正常的对话方式,在出现不正常行为的情况下,就会发生一些报警,这是一种。

比如黑客通过各种各样的方式侵入到你里面来了,但这种侵入我先不管你侵入的途径是什么样的途径,你是破门而入呢,还是堂堂正正的走进来的呢,其实无所谓,但是走进来以后发现你去了不该去的地方,或者在一种条件组合下发了不该发的指令,那么我就认为你这个来源是可疑的,我就先帮你屏蔽掉,这种也是一种方式。

还有一种是通过云端,比如我这辆车对于外面所有的门和窗,我都装上红外报警,我都帮你关起来,然后进来的所有地方,我都帮你去进行cheak,不管是正常的还是非正常的。有点像我们以前电脑上的防火墙,我对这种所有通讯都进行一个关注和提醒,这个又是另外一种模式了。

不能说哪种方式一定是最好的,它未来可能是组合型的,我们希望在我们的网络安全解决方案中,也是一种组合型的方式。另外还有一种,我在做完这个安全的方案以后,是否要去让用户,让那个黑客进行一些黑盒子的破解,这其实也是从另外一个角度来判断你综合性的的防护能力。

虎嗅:所以你们的代工厂就在深圳那边是吗?

沈海寅:我没说我在深圳。我的意思就是说在传统消费品这个领域里面,你就要学深圳这种做法,因为深圳这种做法是非常接地气的,你到那儿,比如哪里有好的东西,我就把它拿过来,然后自己改吧改吧,整合整合,就能够把这个事给做了。

虎嗅:你们的研发团队在哪儿?

沈海寅:我们是北京和上海。我们360也是,我们团队一开始是在北京,后来逐渐把深圳的硬件研发中心给建起来了,这个其实也是一个接地气的做法。

谭晓生:它和产业有关,你如果说你是电子类的,珠三角肯定是最好的。我们智能系统代工的确是在深圳。

虎嗅:有人说汽车是跑在公路上的计算机,在安全防盗方便你们有什么保护机制?

沈海寅:你普通车被偷就被偷了,但是我的车就像iPhone一样,它里面有一个找回手机(汽车)的这种功能,所以我是可以通过远程来找回的。通过各种各样的技术手段来实现,这个汽车是往云端发送它的信息的。

虎嗅:你们会实时定位它的位置?

沈海寅:我不一定会实时定位,这个是会根据用户的需求,可以开和关。但是丢了以后,我们也会有一些信息会上传上来,这个和定位不一定有关系。

虎嗅:那比如关了,汽车要丢了呢?

沈海寅:这个你就把这个问题往上上升了,所以又是一个哲学问题,是个人权问题。你如果按照隐私权来说,我买了一辆汽车,这辆车就属于我的,我可能不希望联网,可能不希望有人追踪我,这都是他的自由。所以说在车的安全上,你作为一个设计车、造车的企业,你要提供这种能力,但是你同样要给使用者一个关闭的权利,因为这里面有隐私权。

沈海寅打算用小米模式做汽车

虎嗅:你们两家有没有做这方面的合作?

沈海寅:我们一直在跟360团队合作,包括我们在一些初期的设计,360团队一块参与进来,给我们提了很多的建议,包括我们的软件团队,其实原来有一部分是360出来的。因为你也知道,360做任何一个App总是要进行安全测试的,这种基础常识是有的。比如说拖库的问题,如果说完全没有安全意识的程序开发员,他可能就把密码和ID放在同一个、而且是明文放到同一个库里面,被拖了之后就全部裸掉了。但是你有意识的话,它就会做各种各样的处理,这些最基本的一些常识,我觉得我们团队还是有的。

人命也好,或者重大的偷窃事故也好,其实对整个行业都是打击,所以我们也希望能够在维护整个行业的健康发展当中,能够比如跟360一块做一些事,因为我原来也是从360出来的,天生还是比较重视的。

谭晓生:360内部对(安全)这个东西是非常强调的,基本上在过去你做任何产品,比如原来海寅那边负责摄像头,摄像头第一版拿出来之后,我们直接进行安全测试,拆开,拆完了说不行,硬件、电路板设计不行,直接给它的否定意见,还没说你别的东西,硬件、电路板的设计就不合内容规范,拿回去重新做。

虎嗅:周鸿祎是个很强势的人,周鸿祎当时不是说他要投你们,投了吗?

沈海寅:没有,我们现在没有360的资本,也没有小米的资本。

虎嗅 :你一下回答我好几个问题。你上次好象接受采访的时候,多次提到雷军,你说你们那个价格应该会在20万以内?

沈海寅:我们希望是这个价格。

虎嗅:你们是在汽车领域用小米模式做。

沈海寅:对。其实你看是这样的,我从来没有否认过这点,我觉得其实在我的职业生涯当中,不管老周也好,因为我跟老周1999年就认识的,所以17年了,跟雷军是2004年认识的,到现在有12年了,所以这两个人其实对我影响还蛮大的,而且这两个思路还是蛮接近的,你说老周一直讲免费,免费,其实360就是基于免费模式这样起来的,免费当然软件是免费了,但是你看我们做硬件,你看我们过去做儿童手环也好,摄象头也好,一贯的东西,基本上都是成本价,甚至低于成本价的方式在做去做,像我们比如说做奇酷手机,其实也是这种模式, 像雷军的小米的模式,也是说我在硬件上不赚钱,然后在软件上,服务上赚钱。其实这种思路,不管雷军也好,周鸿祎也好,其实是可以讲几乎是一样的。 所以在商业的竞争上,或者在产品的理念上,或者在个人的一些矛盾上,可能两个人是有一定的不一样的地方,但是从对产品的及时度用户的体验、重视,对于整个商业模式上的革新我认为这两个人相似点应该讲国内是最多的。

360不会进入智能汽车领域,周鸿祎对汽车无感

虎嗅:360有做车计划吗?

谭晓生:据我所知好象没有。

沈海寅: 如果360有做车计划的话,我就不一定出来了,其实我跟老周讲过360做车的事情。你也知道,周鸿祎是不开车的,所以他其实对车这一块没有太大的感觉。 老周他是一个特别产品经理的人,比如说我喜欢手机,我天天在那儿琢磨手机,可能我同时要摆弄好几个手机,那么他对手机里面不好的地方,哪些要改进的地方,他其实很有感触的,然后就觉得我应该去见一个团队,能够去做更好的手机。但如果你天天是坐在后面,你不开车的情况下,其实你对车是无感的,那没有感觉的话,你就不知道我做这个方向到底是对还是错。尤其做汽车是一个大投资,所以对一家公司来讲,还是一个比较难去判断的事情。

虎嗅:你们和360之间现在究竟是怎样一种关系?它也不投资你,是你们不接受它的投资吗?

沈海寅:这个里边是比较复杂,不是不接受投资,我跟360其实是有协议的,360不是有个竞业协议吗?等于我创业的公司,360是有优先投资权的。

虎嗅:那为什么它现在不投呢?

沈海寅:我觉得还是和360主业相关,这跟它的判断是有关系的。

谭晓生: 刚才你问我360到底要不要造汽车?乐视也去造汽车了,我们要不要造?至少我没有得到明确的信息说我们要打算造汽车。

沈海寅谈创业初衷,谈周鸿祎……

虎嗅:汽车的前期投入很大,这也是我的疑惑,你为什么上来就选择这么一个需要前期高额投入的领域创业?

沈海寅:互联网已经过了那种野蛮生长的阶段,现在已经到了一个过度竞争的时代,比如移动互联网上面的创业项目,你要想想现在一个互联网的创业项目,用户的获得成本是多高,比如像我们(360)内部有一个项目叫花椒,做直播,你想想看,现在也有很多做直播的一些App,即使在360有这么大的移动互联网流量、而且又是在老周很重视的这种情况下,它现在用户也就是在几百万的这个量级。

我认为移动互联网服务基本上要在千万级这个情况下你才能活下来。在任何一个垂直领域的互联网,基本上你不做老大,老二你是活不下来的,没有机会的。如果一千万这个量级,现在一个用户的获得成本是50-100块钱,你想想一千万什么概念?至少一个亿美金要投下去,所以现在已经不像最早说我几百万人民币投个天使,然后就可以做起来的那个年代了。

我们反过来再去看汽车这个行业,过去都说你没有20亿现金放在这儿,你做不起来。当然现金你是投在什么地方,投在你的厂房、土地、设备,这么多的设备要进来,然后这么多的工人要招,那你这个钱基本是投在这个上面的。但如果我们要做一个硬件,就像现在比如富士康代工一样的,它不需要在初期的投资上做这么多,其实你投入的钱主要在你的设计、研发、模具这些上面,这样的话就是节约你的成本,像我们现在认为做一辆车大概在4亿人民币左右。虽然也是不小的一个数字,但其实比你做互联网服务的那个投入总体来讲还要小得多得多。那么只要你不是在初期就要投入巨资的情况下,我们也是可以通过分步融资的方式来去做这个创业的。比如我们一开始的融资,也是在几千万人民币这个量级,现在到了几个亿的这个量级,一两个亿的量级,然后再到后面肯定到两三个亿这个量级。它是不断的分阶段融资去完成的过程,其实就变得跟互联网创业已经非常非常类似了。

虎嗅:那你们的团队应该会挖不少360的安全的人?

沈海寅:我们倒不一定要去挖360的人。

虎嗅:你从360挖人,老周不生气吗?

沈海寅:没有,我不能挖人的。我不能挖人。

虎嗅:国内像周鸿祎、雷军,他们有非常鲜明的个人特色,你觉得自己是个性格非常鲜明的人吗?

沈海寅:我觉得我肯定我不像雷军,也不像老周那么鲜明,有非常强烈的周氏色彩或者雷氏色彩。

虎嗅: 但是不能没有风格。

沈海寅:是,这个风格我已经是这样的风格的话,我就把我自己做好就可以了。

虎嗅:他们能够用自己的言行把一个品牌通过媒体来给放大出来。

沈海寅:对。我觉得至少我的影响力肯定也没有他们两个人那么强,而且个人上的,这种性格上的色彩也没有他们那么强。

谭晓生:这个东西其实都是利弊各半的,我跟老周认识多少年了,28年。

虎嗅:(问谭晓生)你们360这边出来创业的也特别多,从360做到一定程度之后,可能有那种创业的冲动,就出来创业了。

谭晓生:创业这块,大家都是互联网公司嘛,而且现在国家也是鼓励创业的,像以前有什么网易系、腾讯系这种出来创业的。它从来就像韭菜一样,割一茬长一茬。而且你看现在的大环境,国家鼓励创业,外面大量的资金要找人去做东西。BAT和我们这些,基本上都会有一些风投在你公司附近安营扎寨,找你、鼓励你创业,说你出来吧,出来我给你钱。基本上就是这个状态。而且你任何一个企业,它人员的增长,公司的业务的增长,都会有一个匹配的问题。人员成长到一定程度公司里面还有没有足够的空间给他,如果没有,外面又有资金,也有机会,就会有这伙人跳出来创业。我觉得互联网行业它之所以会这么繁荣,和这个有很大关系,人一直是被向上拉着在走。

虎嗅:沈总已经出来创业了,您会考虑出来创业吗?

谭晓生:我现在是公司高管,你让我怎么回答,这个问题没法回答。

虎嗅:应该会有一些这方面的想法,也在寻找这方面的机会?

谭晓生:这个不见得。每个人的特长不一样,我的特长其实(不在创业这块儿),我不是没创过业,我过去有三次的创业经历的。但是到现在这个年龄的话,可能会有更加理智一些的选择。对我来说,创业不见得是一个最好的选择,我现在有这个平台,有整个团队做事情,它其实是能够做更大一些的事情,而我的团队在过去这一年里面,我觉得安全上取得的成果还是挺牛逼的。如果你真的是一个创业团队,未必能取得这样的成果。

虎嗅:那你觉得周鸿祎现在做手机也好,做其它的硬件也好,会有哪些问题吗?你觉得他和雷军有相似之处?

谭晓生:其实不管是小米还是360,我觉得做硬件上都会遇到不少问题,一个业务的发展过程中你要看它发展各个段,比如小米从起步到中间这步做得都很好,但是你看现在,它就开始遇到成长的瓶颈了,品牌被低端化,这很麻烦,到最后你卖不上价钱。未来的品牌如果是一个高端的品牌的形象,它的价格要再往下压,那就会把小米打得很惨。而且硬件这个东西,你可能挣了好几年的钱,最后一招失误,前面的钱就全部亏进去了,你只要一批货出来后卖不出去,压了库存,就会把你前边利润全部吃掉。尤其是现在,好多硬件的模式都是硬件零利润,或者非常低利润的模式。

你在前边好的时候,大家对你的预期都很高,觉得你估值很高。而到最后一旦出一点事情的时候,对你的预期下降,你会变得一文不值。那个时候,一批货下来的钱可能就把你压得很难受了。

这和原来做软件不一样,不管周鸿祎还是雷军以前都是做软件的,做软件的特点是我可以快速地改,它的试错成本是很低的。硬件上可不是这样,它的试错成本很高的。

谈对国内互联网汽车创业,和对无人驾驶的看法

虎嗅:国内做互联网汽车的,你看阿里、百度、乐视,包括李想、李斌好像在也做、听说烧了很多钱进去。

沈海寅:钱少有钱少的做法,钱多有钱多的做法,不一样的,而且你说你花一千万,得到的效果一定比像深圳花一百万做出来东西就好吗?不一定的,在硬件的质量上真的不一定。那我觉得像李斌他们,自己砸了很多钱,建了很多团队,他的团队600多个人,已经到600多个人了,现在连样车都没做出来。但是我们现在团队几十个人,先把样车做出来, 我觉得我们打法是小米加步枪的深圳式的打法,然后李斌的打法是国民党的这种飞机大炮,他们什么事情都是我很正规,把人才先码齐了,这个人宝马来的,这个人是什么来的,先把企业内部标准先给定了,然后还要做建一个工厂什么之类的。 我不说这件事做不起来,但是你可能花的钱也好,花的时间成本也好,其实都非常大。

虎嗅:说到无人驾驶,你们这块打算怎么做呢?

沈海寅:我们也投入精力在这方面做研发,但是无人驾驶,因为毕竟我们不是一家大公司,我们很难去投入一个团队做长期性的研发。所以我们的做法也是跟谷歌不一样的,谷歌是一下子瞄准,说我未来就要做没有方向盘的无人驾驶车,它说有方向盘就不安全。但是我们是什么呢?我们是人和机器同时在操控。这个是两种哲学,我们可以通过记忆学习的方式,能够培养一个虚拟的老司机,就像老谭一样,他开车技术比我好,他坐在我边上可以指点我,然后在某些地方可以接管过来,比如在开高速,我们认为这个算法如果已经成熟了,我们就可以让那个机器接管过来,但随时随地,我们都可以把它再接管回去。

虎嗅:跟百度无人驾驶不一样?

沈海寅:百度在往纯无人驾驶方面去。

虎嗅:它那次演示是真的吗?

沈海寅:它现在没有达到(完全无人驾驶)这种高度,所以还需要人。另外,在中国的法律法规下,你必须有方向盘,必须有人。它不像美国,比如美国在加州已经推出了,说我这个算法可以近似的认为是一个司机,但中国还没有这个法律,你只要上了路,必须有司机在那儿。

对沈海寅和他的奇点汽车,从概念车到量产车上路,还有一条很长很长的路。

关注微信公众号虎嗅网(huxiu_com),定时推送,福利互动精彩多 中国的特斯拉们如何面对黑客攻击?我们跟周鸿祎的前VP和现VP聊了2小时

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 中国的特斯拉们如何面对黑客攻击?我们跟周鸿祎的前VP和现VP聊了2小时

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址