源于光谷的驗證革命

蔣李 楊佑安

近年來，不少網(wǎng)站與APP的登錄驗證越來越復雜。而且隨著OCR（光學字符識別）技術發(fā)展，這些驗證碼也無法完全避免“網(wǎng)絡黑產(chǎn)”（如數(shù)字金融欺詐、惡意廣告推送、網(wǎng)絡刷票等等）的惡意攻破。

這一背景下，總部位于武漢光谷的交互安全服務商極意網(wǎng)絡科技有限公司（以下簡稱“極驗”）創(chuàng)造了一次技術革新：無需輸入任何字符，像解鎖手機時一樣，輕輕拖動按鈕到適當位置完成拼圖就完成了驗證，整個過程平均僅需1.8秒。

經(jīng)過6年多的探索，該公司已服務了華為、小米、NIKE、Airbnb等全球26萬家企業(yè)網(wǎng)站與APP，并獲得了紅杉資本和IDG資本的兩輪融資。

從字符驗證到“行為式驗證”

極驗創(chuàng)始人吳淵是個地道的武漢人，他的團隊和創(chuàng)意也在本地孵化。

2009年，吳淵從武漢大學遙感科學與技術專業(yè)畢業(yè)后，在武漢大學測繪遙感信息國家重點實驗室從事科研工作，研究方向為計算機視覺和機器學習。

學習之余，吳淵在大量接觸網(wǎng)絡世界的過程中，認為“驗證碼是互聯(lián)網(wǎng)上最令人討厭的事物之一”。

為什么？這要從驗證技術的發(fā)展聊起。

在極驗成立前，不管國內(nèi)還是國外，字符驗證碼已有十多年歷史。

該模式原理是向請求發(fā)起方提出包括字符的相關問題，能正確回答的是人類，反之則為機器程序，因為“人能識別字符，而計算機不能”，從而防范垃圾郵件、欺詐軟件、機器人程序批量操作等現(xiàn)象。

但隨著OCR技術的發(fā)展，計算機能輕松繞過字符驗證這個關卡。于是乎，各平臺為增加安全性，開始在字符形式上大做文章，導致人類也不易于辨別，甚至經(jīng)常輸錯。

吳淵找過機構做過測試，字符驗證碼平均耗時15秒之久，甚至一些用戶看到有驗證碼，就放棄了原有使用該功能的意愿。

隨著技術演變，人們創(chuàng)造出比字符驗證碼更安全卻還要復雜的圖形驗證碼。

以12306鐵路售票平臺為例，經(jīng)歷了簡單數(shù)字—數(shù)字加字母加減法算式動態(tài)碼添加干擾線的變形字母

圖形驗證碼的轉變。

這類模式降低了“網(wǎng)絡黑產(chǎn)”的惡意購票占座和賬號問題，但對用戶也干擾更大。尤其對有視覺障礙、認知障礙的人而言，輸對一次比登天還難。

如何讓驗證變得既簡單又安全？吳淵與師弟張振宇交流后，得出的結論是字符、圖像已是條“末路”，必須另辟蹊徑，探索一些顛覆性的方法。

基于在計算機視覺、機器學習等知識的積累，吳淵、張振宇思考的結果是“行為式驗證”解決方案。

1月18日，記者打開了極驗合作方嗶哩嗶哩彈幕視頻網(wǎng)進行登錄。輸入賬號、密碼后，會彈出一張卡通圖片，下面是一條虛擬拉桿，只需將小碎片拖到合適位置拼成一張完整圖片即可通過驗證。

此過程像游戲一樣有趣，平均1.82秒即可完成驗證，背后邏輯是通過采集用戶拖動過程中的行為數(shù)據(jù)，判斷操作者“是人還是機器”。

“機器無法完全模擬人類的拖動過程，從字符、圖片的‘10時代到行為式驗證的‘2.0時代，安全性至少高出40倍?！睆堈裼顚χc財經(jīng)記者說。

“解決自己實際遇到的問題才是最好的創(chuàng)業(yè)?！?012年6月，吳淵、張振宇創(chuàng)立極驗，分別出任CEO和CTO（首席技術官）。他們的初期目標非常簡單，就是在年底做出最初的產(chǎn)品形態(tài)。

“黑產(chǎn)”的敵人

公司啟動資金是3.2萬元，艱辛程度可想而知，熬夜甚至通宵工作是兩位創(chuàng)始人工作常態(tài)。經(jīng)過幾個月努力，第一版本在2012年底上線。

產(chǎn)品雖然設計得有些簡陋，但其背后技術原理與后來產(chǎn)品一樣，都是通過行為識別來區(qū)分是人還是機器程序。

他們的首個用戶，則是武漢大學珞珈山水BBS。設計滑動條時，極驗采用了武大風景圖作為驗證圖片，得到了不錯的反饋。

不過，校園BBS畢竟是一個相對單純的空間，要真正意義實現(xiàn)市場化，就得進入“網(wǎng)絡黑產(chǎn)”更為肆虐的領域。

以游戲網(wǎng)站為例，黑產(chǎn)從業(yè)者往往用機器人程序進行暴力登錄、批量重復操作，最廣為人知的獲利方式就是“薅羊毛”。而驗證技術，就是“第一扇關卡”。

彼時，武漢265G是全國頗為知名的游戲門戶網(wǎng)站，日均瀏覽量超過1000萬次，注冊用戶超過5900萬。但每次舉辦福利活動時，265G都會被“羊毛黨”所困擾。

“極驗成立不久后，265G舉行了一次投票活動。為防止被惡意程序大量刷票，他們需要一種既對用戶友好，又相對安全的解決方案。”張振宇說。

做游戲行業(yè)的公司一般思想較為開放，敢于實驗市面上很少見的產(chǎn)品。265G與極驗多次接觸后，率先使用了“點一下、拖一下就能完成驗證”的方式。

合作進展得十分順利，此后一些同類企業(yè)也主動聯(lián)系極驗，希望應用這一技術。

“17173、電玩巴士等游戲門戶網(wǎng)站也陸續(xù)使用這一產(chǎn)品，到后來斗魚、戰(zhàn)旗等游戲直播平臺也都成為了我們的客戶?！睆堈裼钫f。

技術型創(chuàng)業(yè)團隊往往短于營銷，但由于極驗產(chǎn)品能被外界清晰可見，且有些企業(yè)拖動頁面中會帶上極驗LOGO，這類無形的宣傳彌補了這一短板。

2013年10月，在未進行任何推廣的情況下，極驗獲得超過1300家網(wǎng)站用戶，游戲類屬大類；2014年，公司開始針對銀行、證券等對安全有更高需求的客戶提供定制方案。

如今，極驗客戶已涵蓋包括華為、小米、NIKE、Airbnb在內(nèi)的全球26萬個企業(yè)網(wǎng)站與APP，每天為客戶提供服務超過10億次。相比圖片驗證碼，累計為終端用戶節(jié)省了280萬天以上的時間。

在“薅羊毛”盛行的情況下，這些合作也降低了相關黑產(chǎn)的活躍程度。

而在業(yè)務拓展過程中，吳淵和張振宇依舊都不停地追問自己：用戶體驗還能不能再提高，再提高會是什么樣子？

2017年3月，極驗推出行為驗證30解決方案，在保障安全前提下更能讓驗證如按鈕般“一點即過”，整個驗證過程只需0.4秒。

“下一階段可能是驗證形式都沒有了，直接通過其他行為判斷是不是人在操作，將行為驗證的潛力更深入地發(fā)掘出來。”張振宇說。

“安全但不僅限于安全”

創(chuàng)業(yè)最初幾年，吳淵經(jīng)常與不同投資人接觸。不過行為驗證技術太過細分，且在全球范圍內(nèi)都具備一定的顛覆性。因此，能看懂其價值的投資人并不多。

2012年10月，杭州天使灣的一名投資經(jīng)理到武漢開會，聽到公司介紹后非常感興趣，很快就敲定了幾十萬元的天使投資。

極驗已試圖將業(yè)務范疇從驗證擴充到生物特征、人工智能技術可涉及的其他場景，實現(xiàn)多元化布局。

但到了2013年，公司賬上的錢一度不足以支撐研發(fā)團隊。

彼時，團隊遭遇了最大的挑戰(zhàn)，但沒有一個人離開。好在2014年，最早進入中國的外資投資基金IDG資本拋來了橄欖枝。

據(jù)了解，IDG資本一直都很關注為企業(yè)提供服務的創(chuàng)業(yè)項目，而極驗針對安全領域的創(chuàng)業(yè)剛好符合其投資方向。

2014年10月，極驗獲得IDG資本數(shù)百萬美元A輪融資，2016年3月，公司又獲得紅杉資本領投、IDG資本跟投的2400萬美元B輪融資。

“除資金外，投資人還在公司治理、市場開拓、戰(zhàn)略合作方面予以支持，譬如介紹一些客戶，包括業(yè)務有所交叉的兄弟企業(yè)?！睆堈裼钫f。

值得注意的是，這些國際一線投資機構看好的并不單純是公司在全球驗證市場方面的領先優(yōu)勢，更看好其未來發(fā)展空間。

譬如，極驗已試圖將業(yè)務范疇從驗證擴充到生物特征、人工智能技術可涉及的其他場景，實現(xiàn)多元化布局。

“公司以前簡稱為極驗驗證，現(xiàn)在叫極驗，就是希望在驗證外的領域大展拳腳。”張振宇表示，“安全但不僅限于安全”是公司的希冀。

目前極驗產(chǎn)品主要應用登錄注冊環(huán)節(jié)，但如果對賬號登錄后的操作也進行監(jiān)控，便能進一步防范自動程序及惡意操作，提升客戶安全性。目前，公司正在與華南、華東地區(qū)的銀行客戶洽談這方面的深度合作。

“除此之外，我們還推出了一些基于身份驗證、行為分析的數(shù)據(jù)類產(chǎn)品。與傳統(tǒng)平臺不同，我們可以對虛假流量進行有效攔截，輸出將更加精準與真實。讓網(wǎng)站、APP更了解他的用戶，從而提升企業(yè)運營能力?！睆堈裼畋硎?，做數(shù)據(jù)分析看起來挺“跨界”，但恰恰能發(fā)揮極驗處理海量數(shù)據(jù)的算法優(yōu)勢。

而且如今海外市場仍是圖片驗證碼為主，這意味著極驗走向世界后有極大市場空間。

值得注意的是，相比國內(nèi)單個客戶的年服務費，歐美市場同類服務可獲得雙倍乃至更高報價，客單價非?？捎^。目前，極驗也將客戶、用戶群體拓展至日本、韓國、北美、歐洲等部分國家和地區(qū)。

“我們和NIKE在內(nèi)的不少全球化企業(yè)的中國分部建立了合作，2019年計劃將這類合作擴大化，將產(chǎn)品應用到他們的全球體系之中。”張振宇說。

直面挑戰(zhàn)

極驗公司面積不大，但生機勃勃，吃的、玩的、運動器材一應俱全。張振宇表示，目前公司已有近百人，不乏從BAT回來的技術人才。

充滿朝氣的背后，公司也一直面臨著復雜的競爭環(huán)境。

“不少友商借鑒我們產(chǎn)品并有所創(chuàng)新，老實說這是好事。但也出現(xiàn)過部分企業(yè)惡意侵權的現(xiàn)象，對客戶、行業(yè)都帶來了負面影響?！睆堈裼钫f。

另一方面，如果大量競爭對手、甚至是BAT等級的巨頭攜巨資、流量進入行為驗證領域，極驗是否會被迅速超越？

張振宇表示，很多產(chǎn)品形態(tài)看起來類似，都是同樣的“滑動驗證”，但在后端數(shù)據(jù)積累和算法優(yōu)化方面，是有本質差異的。

“相對于c端，B端產(chǎn)品更需要時間積累。我們在這個領域做了六年多，這兩方面都有先發(fā)性，而且在頭部客戶占比方面也有絕對優(yōu)勢。”張振宇說。

據(jù)了解，極驗積累的行為樣本數(shù)據(jù)已超過100億份，有效區(qū)分人機的行為特征已超過200個，這都是其核心門檻。

除直接參與競爭外，也有些公司希望直接收購極驗，不過張振宇表示，公司當前還沒有被并購的打算。

放眼全球，Google將是極驗強有力的競爭對手。

2014年底，Google推出“No CAPTCHA比CAPTCHA”的服務，翻譯過來就是“沒有驗證碼的驗證碼”，只點“我不是機器人”的方框就能完成驗證。

這是怎么做到的呢？簡單來說，用戶進入了該頁面時，軟件就開始收集各種信息，包括IP、cookies、時間、分辨率、鼠標鍵盤的操作和其他數(shù)據(jù)。當點擊完成后，這些信息將被服務器判斷是否是真人操作。

這種方式體驗感也很好，但一定程度上會引發(fā)用戶對隱私泄露的擔憂。

吳淵表示，用戶都會擔心數(shù)據(jù)泄露的問題，極驗也會一直保持拿用戶最少的數(shù)據(jù)、最有效的解決問題，“當然這也需要在技術上下足功夫?！?/p>

面對未來挑戰(zhàn)，技術創(chuàng)新、市場拓展都需要資金。如今極驗已成立6年，營收近億元，收支已基本平衡，擁抱資本市場也將提上日程。

據(jù)了解，極驗已是武漢光谷“科創(chuàng)板”后備企業(yè)之一，該板將在盈利狀況、股權結構等方面做出差異化安排，增強對創(chuàng)新企業(yè)的包容性和適應性。

“我們是互聯(lián)網(wǎng)企業(yè)，投資方也大都是美元基金，因此過去主要考慮在海外上市。但如果國家有好的政策，我們肯定也會好好考慮的。”張振宇說。