万径安全司红星：智能化攻防初心不变 做Yak是带领大家一起爬坑

各行各业的发展都离不开创新二字，在网络安全行业同样如此，只有不断创新才能保持网络安全的持续性和有效性。实际上在安全行业，并不缺乏技术创新，缺的是底层创新，思维模式的创新、商业逻辑的创新。在国内，有这样一家网络安全公司，他们最近几年一直在专心打造一门为网络安全而生的领域编程语言Yak，其底层创新能力，以及显现的格局让人眼前一亮。

2023CCS大会期间，安全419采访到了万径安全（四维创智）CEO司红星，就万径安全近年来的发展等问题进行了交流，采访期间司红星也分享Yak语言的研发经历。

访谈主持（右）：安全419创始人 张毅 访谈嘉宾（左）：万径安全（四维创智）CEO司红星

安全419：万径安全去年荣获了ISC 2022创新独角兽沙盒大赛冠军，能够拿到冠军的深层原因是什么？

司红星：网络安全近十年发展困境主要是创新不足，另外国内的网络安全商业模式上也与欧美发达国家有较大差异，其中最重要的问题就是我们缺少底层创新。万径安全能拿到ISC 2022创新独角兽沙盒大赛冠军，到不是因为我们在做某一个产品，我们希望是用自己的Yak语言来去做中国的网络安全基础设施，为底层创新提供可能。重要的是我们不是抄概念，是真正的在落地，所以能够获得外界青睐也是算得上是水到渠成的事。

我先分享一下我们Yak语言的研发经历，Yak实际上是机缘巧合之下诞生的，也是源于我们自己的现实需求。

大家都知道，过去四维创智的主要方向是智能化攻防。在这一过程中，除了有AI的决策引擎趋动以外，需要对底层的能力进行调度和分配。但是我们发现这些底层能力大多都是国外的，或者都需要我们在GitHub开源项目的基础上去做适配和更改。

我们发展了两年以后，最大的感悟就是这个事情必须解决，不然大家都会一遍一遍的重复这种爬坑过程。因为有些底层能力，它不止是国外的这么简单，以Nmap为例，我们想要释放一些点状能力，或是提出一些新的特征，我们又不能去改它的源码。

类似的这种点状能力，其实在网络安全里面大家需要用到的有很多很多，现在来讲也叫原子能力。所以针对这样一种现状痛点，我们也是基于自身需求的角度，想要把这个问题给解决掉，所以从最初内部推行的解释型语言，到自己去做编译器、解释器，让这门语言有更好的表现力，慢慢的，Yak自然而然的就发展起来了。

甚至我们从开始在做Yak或者是Yakit时，我们仅仅想着是先做出来，反正我们自己也有这方面的需要，别人也有需要，我们能够做出来，实际就是想让大家少走一点弯路，试着带着大家一起爬坑。后来我们发现，大家对Yak都很感兴趣，越来越多的人加入到我们社区，用户的增多也给了我们很强的信心。

给大家分享一个数据，我们在七月份有做统计，整个Yak的接口访问次数，也就是我们云上的OSS的调用次数，七月份这一数字达到了2600万，五月份的数字是1600万，这两组数据可以看到我们的Yak在开源之后一个是用户越来越多，另外就是粘性很高。侧面来看更是用户对Yak认知正在快速提升。

在此也要感谢社区用户还有网友们，能够提出一些有价值的建议，帮助我们成长，未来我们一定会负责到底，将Yak做的越来越好。

安全419：从四维创智到万径安全，我们基于什么样的思考做出品牌更名这一决定的？

司红星：关于换品牌我们也是深思熟虑的，逻辑很简单，公司要做一个底层的基础设施，要做AI赋能的智能化转型，想要让整个中国的网络安全能自底而上发生一些改变。所以我们觉得四维创智这个名字并不能体现我们的理想和目标，所以最后我们做出了品牌更名这一决定。

我们在去年内部做了一个公投，当时得票最高的就是“万径安全”，新品牌也对应着我们当前做的事情。

在此我想解释一下“万径”的意思，我们想要把上层的安全能力，应用层的安全能力抽象或者融合成一个门语言，就是现在的Yak，然后再由Yak来爆发出不同的路径，每一条路都可以产生很多的安全产品，实现更多的安全能力赋能，或者为我们的安全企业去赋能。所以，我们希望创造是网络安全有各种各样的路，这是万径的由来。

安全419：未来能不能发挥更大的价值，要取决于底层的用户数量，所以在推广上我们采取了哪些措施？比如是否跟高校开展合作，让我们未来的网络安全人才从一开始就用上咱们的东西？

司红星：是的，因为我们发现要改变别人的使用习惯是非常困难的，特别是入门比较早的一些人，大家都有自己喜欢的一些小工具或者能力集，这个我们能理解。所以从学生抓起，从网络安全教育阶段介入也是我们当前最重要的事情。

所以我们在今年年中的时候写了一本书，就是Yak的第一本开发语言教程。最近我们在跟某个大学的出版社合作，现在版号已经下来了，年内大该就可以跟大家见面，我们也是希望帮助学生能够更省力气的接触Yak。

安全419：从公司层面来说，万径安全当前的经营状况如何？

司红星：万径安全渡过了四维创智早期以服务为主的阶段，现在我们已经完成了技术到标准化产品的转变，目前公司在业务层面自给自足完全没有问题。所以当前我们也是双线发展，做技术的专心做技术，Yak团队则是专心做各种底层的创新和应用。

我们所有的安全产品，第一是基于Yak研发，第二是叠加了AI，主要目的是实现智能化的攻击和智能化的防护。就是我们的商业化的主线是没有变的，即智能化攻防初心不变。

在智能攻击方面，除了Yak以外，我们还在5月30号发布了ChatCS，由知识图谱和大语言模型融合实现的决策引擎。目前，ChatCS已经上线，现在大家在使用Yak时都可以调用该模型。国内目前处于大语言模型热，但安全圈当中，能把产品拿出来给大家用的可能只有我们。Yak在ChatCS的加持下，极大地降低了用户的使用成本。

在智能化防御方面，我们则是通智能化决策引擎实现用户层面产品化智能调度，当前，大型企业可能拥有三五十款安全产品，但实际使用反馈都不是很理想，主要是管理麻烦、效果差。而通过我们的智能决策引擎，则可以智能化的理解客户的意图，去智能的调度各种安全产品并展现价值，让防御智能化，让客户安全不加班。