社区

Mike，Go Plus 创始人，曾是360安全浏览器主要负责人之一、桔子浏览器的创始人

2017年，36岁的Mike以一个创业者的身份进入到了WEB 3领域。在此之前他曾是360安全浏览器主要负责人之一、桔子浏览器的创始人，也做了两年多的投资，并担任过多家创业公司的技术顾问。

尽管当时并没有WEB 3这个概念，但Mike认为，去中心化的区块链跟他追求的价值观是相符合的，并且“WEB 2时期因为中心化而产生的问题”也在这里找到了可能性的解决方案。

5年时间过去，Mike的全新创业项目——Go Plus正进入快速成长期，并已发展为全球最大的面向C端用户的安全服务机构，成为近百万用户的“财富管家”，正逐步成长为WEB 3领域的基础设施。

“WEB 3是一件挺全球化的事情”，Mike在接受WEB 3笔记采访时建议中国的WEB 3创业者应该有点野心，从一开始就应该将自己定义为一家全球化的公司，即使公司当前还只是一家小公司，也需要有一个全球化的架构去覆盖全球用户，因为我们能吃苦的精神，让华人在WEB 3应用层的开发上具有先天的优势。

那么Mike为什么选择进入面向一般用户的安全服务赛道？普通用户在WEB 3时代面临哪些安全风险？他的Go Plus能给我们提供什么安全服务？为什么说Go Plus是当下全球最大的To C安全服务机构？以下是专访摘录：

WEB 3笔记：您是哪一年进入WEB 3的？

Mike：我个人是2017年年初进入区块链的，当时主要做一些Dapp项目。

在此之前的2010年～2013年，我在360做安全浏览器。离开之后，也做了一个主打安全、快速的浏览器——桔子浏览器，在做到大概一个亿的下载和四五百万的日活后，就把这个项目卖掉了。因为PC浏览器在2015年的时候，就已经是非常末端的时间点了。然后我又大概做了两年时间的个人投资者，也有去给不同的项目方做技术顾问。

到2017年，我开始思考一个很重要的问题：在未来的5～10年时间里，我的主要技术方向该往哪儿走，我希望能在一个中长期的范围内找到一个可以投入足够时间和精力去干的事情。

在此之前，尽管我个人也投了很多不同的项目，有移动端的社交平台，也有应用端的新闻客户端，做技术顾问的企业也有做物联网的、AR的，但是做下来感觉就是说有些技术（比如AR）距离真正落地其实还挺有距离的。

选择区块链领域，第一是我个人认可区块链去中心化的、相对自由的价值观；其次从技术的逻辑上， WEB 2时期因为中心化所造成问题，我在这里看到了可能的解决方案，所以就会觉得这可能是我未来5~10年的一个发展方向。

WEB 3笔记：WEB 3时期，为什么数据安全特别重要？

在当前阶段，整个web3其实是非常不安全的，跟web2相比，他给用户带来的更多是直接的财产损失。

不论是项目方，还是一般用户，所有WEB 3的参与者都会有一个数字钱包，它的数字资产都在这个钱包里面。

在WEB 2时期，用户被攻击后，丢失的可能就是一些数据（不论是用户数据还是企业数据），但这些数据只要不被泄露出来就，影响就相对有限。但到了WEB 3时期，就变得非常重要了，第一是因为代码普遍开源的，第二这些代码对应的都是钱。也就是说，WEB 3时期，黑客攻击的每一个用户都是银行账户。

WEB 3笔记：那你能否先给大家普及一下，当前WEB 3都存在哪些安全漏洞？具体的体现是什么？

跟传统的WEB 2一样，WEB 3时期的安全也分为To C和To B和To G三个方向。

To B方向，这里的B主要是项目方，它们的安全隐患主要是代码和逻辑是否有漏洞，现在WEB 3领域的开发者，很多都是刚从WEB 2转到WEB 3的人，能力参差不齐，所以他们在代码层就有很多的问题。除此之外，比如在链上，它在使用随机数时可能会受到攻击？在进行跨链或多链工作时也会受到攻击，这些都需要时间积累经验。

因为涉及到很多钱，所以项目方在真正部署合约之前做安全审计是一个必备条件，“审计公司”就是专门的为这类项目方服务的机构。

但在WEB 3领域，更多的是一般用户，他可能只是一个交易者或者NFT的持有者，但他们却会受到很多的风险攻击，比如假的NFT、假的token，还有一些钓鱼欺诈、授权合约攻击等。

很长一段时间内，整个行业内，其实是没有针对C端用户的安全服务的。所以，我们就想尝试通过技术手段让每个人都能拥有可靠的安全服务。

WEB 3笔记：Go Plus的业务跟审计公司是否会有一些冲突的？

其实是没有冲突的，因为它主要是对项目方，但是我们针对的是一般用户。

尽管，攻击者攻击C端用户和项目方的目的是一样的（都是获得别人的资产）；但他们的攻击方式是不一样的。

攻击B端项目方的方式是攻击他们的代码漏洞或者是逻辑漏洞；但攻击C端用户的方式可能是钓鱼、社工的方式，比如假的APP，假的项目，假的NFT等，包括通过代码层的合约层漏洞把你的钱转出来。

举一个很简单的例子，有人跟你说“我这边儿有个空投，你来领”，但这个空投是假的。当你的钱包地址去给他授权的时候，他可能通过这种授权把你钱包里的钱直接转出来的等，C端用户跟B端的项目面临不一样的攻击方式。

刚开始，业内根本没有关注到C端的这部分需求，大家都关注的大多是项目方，因为项目方一旦发生损失，数额一般比较大。

但实际普通用户其实是更容易被攻击的。因为如果他攻击项目方的话，面临很重要的一个问题就是，这部分钱怎么出来？而且由于数额巨大，这种行为很容易被定位。而且从技术角度上理解，被盗的项目方，他也更有可能付出成本去锁定到攻击者。

但是对于一般的用户来说，他的账户资金相对较少，所以如果他丢失的资产，他可能不会去报案，更不会付出成本去找一个专门的安全服务机构把资产给追回来。

现在针对C端用户的大批量的攻击行为就变成了一件风险很低却收益很高的事情。大量WEB 2的灰产从业者，开始进入WEB 3针对C端用户发起攻击。

尽管我们无法统计每个用户每年丢失资产的具体数额，但我们可以确定，一般用户在WEB 3里面每年丢失的资产总额在快速增长。

WEB 3笔记：应该有很多人都会看到这种痛点，此前为什么没有人做这种面向C端用户的安全服务？

安全本身其实不是说一个安全技术就能把所有的安全问题都解决，这其实是一个攻防的过程。比如说我能不能在第一时间把你的攻击合约能识别出来？同时我又能够全网同步到给我的用户？

而且向C端用户服务的技术难点在于。你需要对大量的用户提供服务，他们的要求既要快又要准确，还要你满足他多个维度的需求（覆盖面儿够大）。

因此，要满足C端用户的需求，就需要有一个自动化的检测平台，能够快速的处理他们所面临的风险甚至几秒钟之内就要给他一个反馈。而且攻击方式不停的在变，实现方式多种多样，这就需要我们的自动化检测的框架能够迅速把它定位，并且把这个新的风险样本充分的刻画出来。然后变成我们的安全模型，再把它插到我们的安全引擎里面进行全网同步。这就导致针对C端用户提供服务的这件事情儿，变的很有难度。

另一方面，国外做To C安全方面的经验更少，因为国外在WEB 2的时候就没有类似于360这样的安全服务平台，国外在安全服务这个板块的普遍商业模式还是“安全即服务，服务即付费”，但我们的思路其实是安全即数据，数据即流量。

WEB 3笔记：在WEB 2时期，360杀毒实际是一个基于系统做的的客户端。但在WEB 3里没有一个去中心化的操作系统，所以也就不可能去基于操作系统做一个端的解决方案了，那作为一个普通的WEB 3用户，如何才能获得你们的服务？

我们的方式是通过类似于协议方式，提供一个安全数据服务基础设施。就是说你所有的有风险数据或样本传给我，我检测之后给你反馈结果，告诉你安全不安全的。

所有的（比如钱包、交易所、行情软件，甚至是浏览器）都可以通过接入我们的这个安全数据服务来向它的用户提供安全服务。比如你现在最新版本的TP钱包里面就能看到：你的资产数据旁边就有一个安全标识，这个标识就是Go+提供的。也就是说接我们数据的是B端项目，但真正使用我们服务的是C端用户（可以理解为To B To C ）。

我们现在提供的这些安全服务完全是免费的，目的是为了我们迅速扩大用户规模。但是后面我们会有中长尾的付费服务。比如，它验证检测攻击这个服务是免费的，但我们可以再向他再卖一个收费的保险服务。

WEB 3笔记：那你现在有多少用户了？

因为，每次查询都是由用户触发的，当他在那边打开一个查询详情页（这个详情页里有我们的安全信息）时，就实现了以此对我们数据的调用，从调用次数能够推断出我们的覆盖用户基本能有大几十万了。

其实现在做面向C端的安全服务，还是一个蓝海。现在面向B端用户的数据审计公司已经变成红海了。所以现在回头再看，我们开始的时候做的并没有多么好，但起码有就比没有强。

但是经过一年多的快速发展之后，我们的技术越发成熟，现在在全球范围内，合作伙伴他要向C端用户提供安全服务Go+是主要的选择。

目前像我们这样成规模和成体系2C安全服务，确实还没有，要么是覆盖面不全，要么是从检出率和准确度上来看有差距。

WEB 3笔记：听说你最近在做融资，你的融资方向是什么？

是的，我们已经融完两轮了，今年4月份刚融完一轮，再前一轮（天使轮）是在去年8月份结束的。现在我们可能要开第三轮。

我们这个团队虽然从2019年就已经建立起来了，但在发展过程中，我们其实是一直在试错的，去年中，才开始融第一轮。

最开始我们是在做一个安全数据查询的服务，后来才一步一步做成现在的GO PLUS，就变成了一个数据服务。

我们对于融资的思考也比较多，第一次融资的时候，我们拿了7X、mask、dodo等一些对我们业务有直接帮助的机构的钱。主要考虑他们是我们的业务方，在我们的业务上，他们是我们非常核心的合作伙伴，因为我们做安全，我们需要来自于最终用户给我们的反馈。

中间我们还融了一笔，我们称为天使Pro，这笔融资的目的是加强我们的安全权威性。我们拿到了Quantstamp CEO Richard Ma的投资，Quantstamp是北美最大安全审计公司，当下绝大多数的公链都是由该公司做的安全审计，包括以太网2.0等。

4月份结束的这一轮，我们也没拿VC的钱，而是要了公链的钱。我们更希望从业务角度考虑，将我们To C的安全协议数据服务，变成公链的安全基础设施。

拿到融资其实不难，但拿谁的钱挺重要。因为，我们认为业务增长是当下最主要的目标。

WEB 3笔记：对于中国的WEB 3创业者，你有什么话要跟他们说？

我觉得区块链这个事情是一件挺全球化的一件事情，它是一个全球化市场，你在里面没有那么多限制，我觉得WEB 3的创业者，应该有点野心，上来就应该将自己定义为一家全球化公司，即使你还是一家小公司，也需要有一个全球化的视野和结构去服务更多用户，WEB3的世界里，华人开发者，应该更有自信的去展示实力，去主动竞争。