当人工智能成为市场焦点、大模型与智能体深入千行百业，“安全”这一隐形底座的重要性愈发凸显。

　　在今年的世界人工智能大会（WAIC）上，斗象科技创始人、董事长兼CEO谢忱用两个“失控”概括企业在AI时代面临的安全挑战：一是对物理世界的失控；二是推理过程不透明带来的失控。

　　2014年，谢忱创办了国内最早的白帽技术社区。此后十年，从搭建服务数千家企业的漏洞众测与在线安全服务平台，到打造安全垂类大模型与智能安全云平台——在一些企业还未意识到“AI安全”意味着什么时，斗象已走出了一条独特的网络安全进化路径。

　　站在AI浪潮与安全技术升级交汇的当前，上海证券报记者与这位年轻的创始人聊了聊：大模型时代，什么是网络安全厂商真正的竞争力？从社区平台起家的斗象，又为何能在AI浪潮中率先转向？

　　从技术社区到企业服务：

　　白帽平台的路怎么走？

　　斗象的创业起点很“地下”。

　　“2010年前后，中文互联网几乎查不到前沿的网络安全资料，我和几个乐于分享的网友就自发将海外文献翻译成中文贴到共享博客上。”谢忱所说的博客也就是最早的“FreeBuf”，亦即斗象科技的前身。

　　彼时，谢忱白天在互联网大厂工作，晚上翻译资料“搬文献”，他所创办运营的网络安全门户FreeBuf逐步吸引了中国第一批白帽用户，也为斗象后来以漏洞众测平台为主的初期业务打下基础。

　　所谓“白帽”，即“白帽黑客”，也就是通过黑客技术为系统进行安全漏洞排查的网络安全从业者。2014年，谢忱创立斗象科技，正式建立平台“漏洞盒子”，成为国内最早倡导安全众包服务商业化的企业之一。

　　与依赖内部人力团队的传统安全厂商不同，“漏洞盒子”平台服务模式的核心逻辑在于，通过平台调动分布在全国的白帽资源，为企业进行安全检测、安全运营和攻防演练，类似于“企业发布任务，白帽来解决问题”。

　　这一模式诞生后一度面临挑战。众包服务看似“轻松取巧”，但想要实现可持续的商业化，就必须保证社群活力、留住优质的白帽用户——不少同类企业就倒在了这一步。

　　作为一名前大厂人，谢忱建立了一套“白帽子的游戏化成长体系”，通过任务制、赏金制、积分制、赛季制等方式激励参与者高效发现漏洞，既保留了白帽的接单自由度，也形成了平台黏性。

　　目前，漏洞盒子平台中的积分系统、等级晋升、技能标签、AI撮合匹配、自动派单等系统已高度智能化。谢忱举例称，斗象设计了基于画像的派单机制，根据白帽提交漏洞的成果、质量以及工作过程数据，匹配难度与之适配的项目。对于新手白帽，平台也提供训练任务与公开课，并能通过审计隧道跟踪其行为，避免违规。

　　如今，漏洞盒子平台已拥有超15万名白帽用户，吸引数千家企业入驻，成为国内最大的白帽平台与网络安全实战人才“灵活就业”平台。斗象科技上榜国家信息安全漏洞库（CNNVD）“优秀技术支持单位”、上海市委网信办网络安全单位重点名单。

　　谢忱感慨道：“做平台不是一件容易的事情，不仅要把技术和服务做好，还涉及市场培育、政策合规、客户信任、供需运营和品牌力培育。我们也经历过种种挑战，但好在十年的坚持是有意义的。”

　　垂类数据：AI时代的“关键一跳”

　　随着网络安全市场竞争日益激烈，斗象开始思考新的成长路径——AI时代，什么才是一家企业的核心壁垒？

　　谢忱的答案是：垂类数据。在他看来，平台多年所沉淀的技术知识和人才资源，构成了斗象的差异化竞争力。

　　网络安全是一场“攻击”与“防守”的博弈。建设安全垂类大模型的难点，在于获取丰富的安全语料数据库，包括漏洞知识语料、黑客攻击语料、白帽防守语料等。其难点在于，这些数据始终在动态迭代更新，不易被系统化标注。

　　谢忱以医学和法律大模型为例：“不同学科的知识完善体系不同。医学和法律有完整的知识体系架构与标准的行为准则，很容易被大模型‘学以致用’；但网络安全不一样，它太‘散’了，漏洞可能出现在任何地方，网络攻防的变化也非常快，普通大模型‘学不到，更学不过来’。”

　　这恰恰成为斗象这类软信平台科技公司的优势。谢忱带领团队将平台与社区所运营的公开数据资源“AI化”：一方面自研安全垂类模型，构建具备原生安全推理能力的智能体，支持平台上的白帽子作为工具充分运用，以“人机结合”方式提升服务与交付效率，帮助企业降低成本；另一方面，将安全运营、漏洞管理、攻击面检测等服务整合为云平台AI原生的产品能力，形成“AI+平台”双循环的新模式。

　　在AI浪潮与战略升级的双重驱动下，斗象迎来业务量的爆发式增长。2024年，其智能制造和企业级业务同步增长55.2%，人均创收增长36.6%，百万级以上大单增速超50%。

　　做AI安全领域的标准建设排头兵

　　“在上一个十年，我们沉淀了三个平台能力：白帽社区、平台服务和平台产品。”谢忱说，这些差异化优势让斗象走出了一条不同于传统网络安全行业的“云上智能”路线。他认为，以AI提升边际效能，实现标准化交付，才是决定一家企业能否穿越周期的核心因素。

　　正因如此，“AI安全”是谢忱提到的高频词。在他看来，尽管AI行业发展仍处于早期，但安全不是一个被动“补漏”的后置环节，随着AI应用渗透进日常生活与千行百业，小到个人出行安排，大到城市运转，都可能面临AI数据安全问题。

　　在这一领域，斗象正逐步将技术能力转化为行业话语权，率先“坐上牌桌”。今年以来，斗象旗下四款核心AI安全产品入选中国信通院“AI+网络安全产品能力图谱”；7月，与中国信通院人工智能所联合成立“可信+AI”安全实验室，并在WAIC大会上发起大模型安全能力基准测试及首批测试单位征集；8月，在上海人工智能安全工作委员会启动仪式上，斗象作为委员会代表参与揭牌。

　　与此同时，斗象的资本化步伐也在加快。在累计获得超10亿元政府国资领衔的战略投资后，今年9月，斗象宣布完成新一轮2亿元桥梁战略轮融资。谢忱坦言，该轮融资不仅将进一步用于公司在AI安全技术与平台智能安全方向的研发，还有望为后续更大规模的资本计划和IPO进程奠定基础。

　　“未来三年，我们将完成全栈平台产品和服务的AI化，并为公司利润创造AI时代的新增长点。”谢忱的目标很明确，“当我们在资本市场亮相的那一天，必将是一家标签鲜明的AI安全公司。”

（文章来源：上海证券报）