windows7正式退休文章列表:

• 1、免费的Win10升级已结束，win7份额有所好转
• 2、新年新气象 赶紧把你的Windows 7扔了吧
• 3、XP停服一周年 市场份额降至49.4%
• 4、如何理解用户与价值？内含产品新人困惑答疑
• 5、我最牛X的黑客朋友创业了

免费的Win10升级已结束，win7份额有所好转

不知不觉已经到了9月份了，距离win10免费升级已经过了1个月了。根据Net Applications的统计数据，win10付费升级的成绩也已经出来了，虽然免费的已经结束了，但收费的系统份额还处于上涨阶段，尽管如此，但win7也不甘落后，也有一半份额的上升趋势。

目前Windows7依然是操作系统份额的扛把子，全球有47.25%的用户，比上个月增长了0.24%，此前受Windows10免费升级的影响，这款系统的份额基本都是下跌状态。不过Win7份额的增长似乎并不是Win10用户“降级”所致，或者就算有用户降级，也并没有影响Win10的增长。Win10从7月的21.13%上涨至最新的22.99%，涨幅高达1.86%。

由此可见，虽然Win7这次回升并不明显，但也体现了这款系统依然广受欢迎的现实。微软想要靠Win10干掉Win7，前路依然艰险，除了靠Win10自身不断完善之外，微软还应该继续加大宣传力度，让更多用户愿意尝试新系统，尽量避免Win7在2020年退休后还像XP那样继续没完没了地发挥余热。

pcgogo小编还是有些后悔在win10免费升级期间升级，之后想要升级只能选择收费的了。

新年新气象 赶紧把你的Windows 7扔了吧

明天大部分人就又要回到工作岗位上了，今年总要有个新气象，为了让新一年的工作顺利开展，首先建议大家来做一件事，那就是把Windows 7扔了吧，它已经“不干净”了。

今年1月14日，微软正式宣布Windows 7生命周期结束，之后将不会再对该系统进行更新，包括功能性更新以及安全性更新。这意味着Windows 7将彻底失去微软的支持。

事实上每一代操作系统的生命周期自一开始就是已经确定的事，Windows 7到今年停止更新也是很多年前确定下来的，这款服役了10年的系统终于可以退休了。

退休后的Windows 7面临最大的问题就是安全，因为微软停止更新后，今后出现的任何漏洞和黑客技术都会直接威胁到Win7，Win7已经彻底暴露在安全危机中。

其实就在本月的“星期二补丁”中，就包含一个针对严重加密漏洞的补丁，该补丁安全等级非常高，属于非常严重的安全漏洞，可能会被用来欺骗数字签名软件的来源。微软甚至提前为美国国防部和军队修复了该补丁。

但可惜的是，Win7已经无法收到该补丁，也就是说这个非常严重的安全漏洞在Win7中不会被修复，存在巨大的安全隐患。

这不论是对于个人用户，还是企业用户来说都是极其危险的，现在的Win7已经无法保证其中任何资料的安全，而今后还将会有越来越多针对毫无防护的Win7更多的攻击。

除了安全性的问题，Win7还面临着兼容性的问题，因为现在越来越多的软件和服务不再支持Win7系统，比如DX12。如果你是一个游戏玩家可能也会发现，已经开始有游戏不支持Win7系统了。

总之，这些问题都在让Windows 7无法继续胜任工作，何不趁着新年伊始。彻底抛弃掉它，升级到更新更安全的平台上呢？（7370355）

【ZOL科技快讯出品】关注“ZOL科技快讯”头条号，看最新、最有趣科技新闻。另外，快哥偷偷告诉你，我们每期活动奖品都很硬核。

XP停服一周年 市场份额降至49.4%

日前，360互联网安全中心发布的“XP停服一周年”报告显示，自2014年4月8日微软宣布不再为Windows XP系统提供更新服务后，我国XP系统用户人数一年内下降了14.3%，目前市场份额已降低到49.4%，仅以微弱优势领先于Win7系统，后者市场份额由33.2%大幅增长到44.9%。

图1：国内仍有近半数用户使用XP系统

XP份额一年内下降14.3% 占有率仍过半

从2001年至2014年，XP操作系统连续工作13个年头，被誉为“最长寿的操作系统”。XP系统的成功，得益于全新的设计和方便的人机交互界面，不少用户对其都有一份特殊感情。但是2014年4月，微软结束Windows XP的支持后，中国市场份额开始出现一定程度的滑落。

根据360安全中心数据显示，2014年4月XP退休，国内电脑用户使用Windows XP系统的占比为63.7%，而在经历近一年的时间之后，截至2015年3月，Windows XP系统占比下降至49.4%，从公布的数据中可以看出，一年的时间XP系统的用户人数下降了14.3%。

同时我们可以看到XP操作系统市场份额每月下降大约1%，但全国仍有近一半的用户在使用XP操作系统。另据第三方数据显示，目前中国PC用户约5亿，按50%的市场份额计算，仍有接近2.5亿用户在继续使用XP。

XP用户集中在东三省 升级者多选择Win7

从XP操作系统地域分布情况来看，东三省超过55%的人仍然在使用XP操作系统，为XP操作系统用户占比最大的省份；而相对网民密集度较高的广东、北京、上海三地XP操作系统用户占比相对较低，港澳台地区XP操作系统用户占比低于30%。

《XP报告》还指出，从2014年4月XP退休到2015年3月以来，中国电脑用户使用Windows7系统占比从33.2%上涨到44.9%，增长约11.7%，同期Win8的市场份额仅增长了2.9%，可见XP用户升级大多都选择了Win7操作系统。

图2：XP用户升级大多都选择了Win7操作系统

分析人士认为，尽管目前XP系统仍然占据着国内半壁江山，但随着微软“抛弃”XP主推升级版Windows，以及近期微软又与360公司联合推出免费升级win10策略，win10操作系统或开始抢占山头，XP的市场份额将会进一步下降。

XP用户或可免费安装Win10

据微软方面介绍，Win10主打跨平台战略，能统一PC、手机、平板、Xbox等平台。为鼓励用户从Win7、Win8、Win8.1升级到Win10，微软与360合作在中国推出免费升级计划，帮助中国用户免费升级win10。

微软官方信息显示，Win10将在今年夏天正式发布。届时不仅win7/8用户通过360安全卫士一键免费升级，XP用户也有直升Win10的可能，拥有“三级跳”一般的体验。

日前微软操作系统事业部执行副总裁TerryMyerson表示，正在与合作伙伴360一起研究XP系统的升级方案。或许在未来，电脑只需通过360安全卫士内置Win10升级助手的硬件检测，就能将XP系统一键升级至Win10。

据悉，360自诞生以来一直是微软在中国最重要的安全合作伙伴。截至目前，360因发现并协助修复微软漏洞已获得了68次微软官方致谢，在全球安全软件厂商中排名第一。

如何理解用户与价值？内含产品新人困惑答疑

作者：刘飞 来源：鸟哥笔记

本文由鸟哥笔记在上海主办的刘飞《产品思维》新书分享会分享整理而成，演讲者刘飞，资深产品人，滴滴出行司机方向前产品负责人。

大家好！我是刘飞，非常感谢大家能够在这么炎热的天气，不辞辛苦来参与我的“产品思维”专题分享会，谢谢各位的支持！

今天的分享，我准备主要讲两个方面，第一个是如何去认知用户，第二个是如何理解和创造用户价值。

那么，就让我们开始吧。

一年多之前，我面试过一个来自百度的产品经理。当时我问他，给他付费的用户是谁，他说不出来。我再问，这些人年龄怎么样，又是一个什么样的生活状态、文化程度，等等，这些他都完全都没有概念。

他只知道：我的用户就是百度的用户，而把他们导到我的功能模块里，这就是我的任务。

而有的人可能知道自己的用户是谁，但是他也讲不太清楚，真的完全能讲清楚自己的用户是谁，用户在哪，这些用户有什么诉求，我给用户创造什么价值的，真的是寥寥无几，这是一个非常严峻的现象。

如果作为一个产品设计者，不管你是产品、运营，或者说你是一个创业者，还是老板，等等。不管你是什么角色，只要你是面向用户的，你一定要知道你的用户是谁。

你不知道用户是谁，就好像你是一个篮球运动员，你不知道篮筐在哪，你不知道要面向谁去做你的产品。

像这种，大家其实应该会经常能见到，这个是快餐漫画的一个用户方向，这是一个简单的描述：他们的年龄层、性别、日常的这些兴趣爱好等等，大概分布是什么样的。

比如，像我们在滴滴的时候做的司机的分层。司机全职多少比例，兼职是多少比例，有多少流失的等这种分层。

大家其实能经常见到的，就是基于生命周期也好，基于某些属性也好，去做分层。

这个是比较常见的。

但是，就刚才提到的都是宏观的去做认识的。除了这种宏观的表征和认知，你还是要有微观的故事，你要知道用户它到底是一个什么样的真实的生活状态。只有了解了真实的情况、场景，你才能探索他真实的这种价值。

比如说，我说一个简单的描述。

刘飞，男，30岁，产品经理。

大家看到这个，是完全没感觉的，你不知道这个人是干嘛的，也不知道这个人，他能给你提供什么，或者他需要什么，你是完全没有什么感知的，这是一个简单的，单纯按照属性去划分来描述的方式。

另外一种方式呢，就是你去了解的更周全一些。

比如说像这三个人，他们分别是什么样的人？我们来分析一下。

第一个，她有自己的名字，她叫小红，21岁，她是河北人，还是中专文凭。然后，她有一个在打工的男朋友，现在正在一个小店里学手艺，准备明年就出去自己开店，让他辛苦攒钱。她平时喜欢的，是化妆拍照。

中间的这个，是强哥，28岁，是一个河南人，然后他是高中文凭。他住在郊区，他已经结婚了，现在还没有孩子，但是正在攒钱，准备养一个孩子。平时的爱好就是玩网络游戏，玩手游或者跟朋友去唱KTV！

下面这个叫明叔，40岁，北京人。他是中专文凭，孩子已经上初中了，之前的工厂关闭，所以他现在已经提前退休，找一份比较自由的工作，他比之前赚的还稍微多一点。他自己有车，平时的爱好就是周末跟家人一起出去郊游。

这么说完，是不是大家对这三人，就会有一个相对更具体的一个感知呢？

而这三个人，其实就是我之前做的三个产品的目标用户：美甲师、外卖员和司机。

你了解到美甲师、外卖员和司机，这几类人群平时自己的这种，从文化程度到他们的生活状态，以及他们平时喜欢玩的东西。

当你了解了这些东西之后，你可能才能更好地去把他们面临的问题，把我们能够为他们创造什么价值，这些想得更清楚。

比如说，举个简单例子，对于这些司机来说，你可能觉得，我是不是周末让发一些补贴，他们就能出来接单，但是如果你了解到实际情况是，很多都是这样的，我已经有家室了，我周末需要陪家庭、需要陪孩子的时候，这个时候你就知道周末通过你一些小的补贴，拉动他们出来的这种心理成本，其实是非常高的。

所以，这个是我想说的一点，了解用户，至少要了解到这么具体的一个层面。

那怎么了解用户呢？除了我们常用的一些问卷调查或者访谈等，最重要的也是最有效的其实就是四个字：到现场去！

这个几乎是我见过的，绝大多数产品经理去了解用户最好的一种方式。

比如说，我在滴滴的时候，也做过我们的司机访谈，或者说我们会找一些专业的咨询公司，大家一起去做这种访谈。

他们的访谈流程很专业，会有主持人，会有一个单面镜的那种，就是不知道大家见过没有，比如观察室等等。但是在那种场景下，你访谈到的一些结论可能，有的是不准确的，有的是不那么完整的。

比如说，有的时候，你问司机说：你平时在工作当中用APP的时候会遇到什么问题？可能司机这个时候想不出来，但是在座的各位打滴滴的时候肯定会碰到司机在吐槽或者骂街。

这很有意思，他在吐槽和骂街的这种真实的反应，是他对这个产品使用上真实的这种反馈。但这种反馈，他可能就这个事过了之后，他就忘了，或者说他也不觉得这是个严重的问题，就过去了。

所以，你如果真的作为乘客坐在他旁边听反馈，听他去吐槽，那这个时候你了解的可能会更加真实和更加完整。

下面说的是用户场景。用户场景，一个是物理环境，一个是心流。

物理环境比较容易解释，大家可能也都比较熟悉了，就是使用手机的外部环境。

比如说，像锤子之前做的数据线的插头，它的插头会有一个微光，他解决的就是一个很具体的场景，是我们大家晚上关灯睡觉之后，突然想起来我手机要充电，这个时候你找不到插头插座的口，戳来戳去，可能要开灯或者怎么样。这个时候你提供一个微光，你可能更容易的找到插头。这是一个比较小的一个功能。

再比如说像滴滴之前的一键报警功能是什么样的？是在卡片面板右下角，有个“更多操作”。你点开“更多操作”之后，中间能找到一个紧急求助。

这个，就大家想象一下，你真的遇到危险的时候，首先第一，你不知道这个更多操作里面有什么对吧？你不知道紧急求助是在更多操作里的，这个时候你就很慌，你也不知道去哪找这种紧急求助。

第二就是你要找那么小的字，然后识别出来每个按钮是什么，这个时候可能最好的呼救时机都已经延误了。

所以后来做的一个新的改版，会在左边有一个很明显的很容易辨识的一个安全中心。你点击安全中心之后，会有一个特别大的非常明显的一个“一键报警”。

这个时候，首先用户能把安全跟报警联系在一起。另外就是，用户可以快速地，在哪怕没法看的特别清楚的这种情况下，也能找到报警的按钮。

这是之前的滴滴做的一个改版，这也是考虑到真实的这种物理环境。

更重要的是你要去在意用户的心流。心流是什么？是用户的连贯的一个心理状态。

举个例子，比如说之前我们做美甲的时候，我们做的是手机预约上门美甲那种形式，我们发现有很多美甲用户我们是无论如何，想尽办法都很难把它转移到我们产品里来的。

然后我们就去看这些用户平时的场景和她们的心理，发现这些用户会把美甲当成逛街的一部分，她们不会单独把美甲抽出来说，我的手指甲现在不好看了，我想要做个什么效果之类。

她们觉得，美甲就是逛街的一部分，就跟买衣服、喝东西和吃饭一样，是逛街的的一个环节。到了累的时候，她们跟闺蜜一起坐在美甲店里边聊天，我顺便把这个东西做了。

你会发现，它是一个有趣的、一个逛的一个过程，它不是一个追求效果和美甲结果的一个过程。在这种心流里，你想把这些用户，转移到你的上门美甲，希望她在家里也能去约一个美甲，这个难度就非常非常大，心理成本是非常高的！

再比如说，之前旅游的时候，我在东京开的一个手办店里面，买了很多手办，花了差不多一千多块钱。然后买完之后，回来我就想，诶，我平时好像都不怎么舍得花钱。

那为什么？旅游的时候就这么舍得花钱？而且这些手办呢，对比了一下，很明显比淘宝要贵得多，而且比淘宝的质量还要差，所以我就觉得很神奇，这个心理状态，其实也很容易解释。

比如说，当你在旅游的时候，行为经济学上有一个心理账户的概念，就这个时候你花钱，你是从哪个心理账户上去提款？你说是从旅游的心理账户上，你去日本去一趟要花两三万的是吧？在两三万块钱中间，一千块钱算什么呢？小意思是吧？你都花这么多钱出去玩了。但是你回到家之后，我坐在这我叫外卖30块钱，我花一千块钱买个手办，我疯了。

就是说，你平时日常当中，你的娱乐活动，你平时出去玩，你唱个迷你KTV可能才50块钱，你这个时候花一千块钱你会特别心疼的。

所以这也是一个很重要的概念，就是，你要观察用户在什么场景下，它在什么心流下，就不光是物理环境，还有他会认为现在他是在一个什么状态下，去用你的产品，这个也非常关键，这个会影响他的心理的认知。

接下来要说的一个点，是用户是需求的集合。举个例子，比如说像我们假设这四个产品，微信、抖音、手机百度和墨迹天气，我们假设他们是有一样多的用户，比如说都有7亿用户，这些用户对于产品来说它们的价值是一样的。

但其实，显然是不一样的。

你掌握的用户量可能是一样的，但是你掌握的用户的具体的需求是不一样的。你掌握了这些用户，不等于你掌握了他们的需求。

你如果是微信，那你掌握的是这些用户在日常生活和社会交往过程中，甚至很多需要本地生活服务的时候，用户的诉求。

在抖音来说，这方面就会稍微弱一些，因为用户使用抖音的时候，是碎片化娱乐的需求，用户可能是没什么事干才去刷这个东西的。对墨迹天气就更窄，可能是很特殊的场景下，我想了解一下天气，我才会打开。

所以，对于这些不同产品同样数量级的用户来说，它的价值是不一样的。或者，我们反过来说：产品真正的用户基数是什么？实际上是需求的总和，不是用户量的总和。

比如说我们说，微信它有10亿的用户。但是我们把它的功能或者满足的需求拆开看，它的通讯录和聊天是一类用户，它的朋友圈，可能有5亿用户在用；它的公众号，可能有8亿的用户在用。那么实际上对于微信来说，它掌握的是23亿用户的需求。虽然，它的用户量还是10亿。

但是另一个产品，他也讲自己的注册用户是10亿，但是他的活跃用户可能就非常低，可能只有5000万。这个时候你从需求的视角看，他的真实用户可能就是这5000万，可能超过一亿。

那么它们之间，对于从需求角度来说，用户的价值就是完全不一样的。

接下来这个点，用户说的我想要什么不等于用户需求，说的是用户的诉求不等于需求。这个可能很多同学都知道，乔布斯之前说过这句话嘛。消费者不知道自己需要什么，直到你拿出自己的产品。

之前网上就说，假如苹果的产品设计民主化，它会变成一个什么样？就所有用户的反馈，它可能都堆到一个产品上，最后这个产品可能就变成这样，他所有可能会遇到的插口，各种各样的插口，他的所有可能会用到的功能，甚至包括一个手机店的挂靠。

当这所有这些东西都堆在一块的时候，其实对于每一类的用户来说，都是没有价值的。因为它是一个杂糅。

所以，为什么说用户的诉求不等于需求？因为用户通常来说，他反馈的有的时候是他自己想象的一个解决方案，有的时候他反馈的还是他很表面的一些很基础的诉求。

而在他表面的反馈背后，可能是有更深层次的需求。

举一个特别经典的例子。在还没有汽车的时代，用户只会表达说：我想要一个好的马，我想一个更快的马。

但实际上他想要的是什么，他想要的是更快的交通工具。

从更快的马，到更快的交通工具，这一步的翻译，是一定要产品经理来做的。你要认识到这个，你不能说它需要更快的马，我就永远努力给他提供更快的马。这个时候，没有用户会讲到汽车，那你的汽车永远做不出来！

还有比如说，像一些减肥的用户。其实他们的诉求也是不太一样，有的人减肥是为了健康，有的人减肥是为了社交，增加自己的社交资本，是为了更好地跟人相处，等等。

其实，这背后代表的本质的需求也都是不太一样的。你对于不同的减肥的人，要提供不同的解决方案。这可能才能更符合他们的需求。

这句话有一个问题是，它也经常会被误读。很多人说：我从来不做用户调研，我就是凭自己的猜想，因为乔布斯说过了，消费者不知道自己需要什么，所以我压根不需要了解用户需要什么。

但是，这句话其实意思并不代表，你可以不做任何用户调研。因为就像刚才说的，你还是要先知道用户表达的是什么，他表达的可能是更快的马，还可能是更好吃的面包。

你要先知道用户需要的是马还是面包，你才能给他提供一个好的解决方案，而这个解决方案背后，依然是需要你去做各种用户调研分析的。

刚才说的是怎么认知用户的几个建议，下面我们来说：怎么创造价值？

这个公式是俞军老师之前提出来的，在产品经理圈里已经非常耳熟能详了：

用户价值= （新体验 - 旧体验） - 迁移成本。

举几个比较简单的例子，这个图是前几年windows在全球市场的各个版本的份额。

windows10其实已经发布很多年了，对吧？但是你看现在的市场分布占比，windows7还是占绝对优势的，占了接近一半，有45%，然后windows10的市场占比只有27%。

那么，为什么大家都不升级windows10呢？

你套到公式里，你就很容易理解。首先它的体验差没有那么大，对吧？对于大家来说，用windows其实不是用windows提供的那些各种各样新花样的功能。

你只要能让我兼容性比较好，让我能装上那些其他的软件，这样就OK了对吧？

而windows10呢，它提供的最主要最核心的几个特性。比如说，第一个他是提供了一个平板的支持。但是对于大家来说，我们用的都是PC或者笔记本，不需要这种支持。

再一个就是，他提供了各种安全类产品。但大家都知道，windows本来安全就做的不太好，尤其是新版本，安全反而更差。这样一来，大家就不愿意升级，包括兼容性肯定也是新版本与版本要差不多。

所以对于很多人来说，他搞不清楚，为什么要去升级。因为它的新体验，并没有做得那么好，甚至有的时候体验差是负的。

另外，对于迁移成本来说，大家也知道装一个系统，一个windows的电脑系统，它的出错率是非常高的。你可能要先备份好所有的资料，再去重装系统。这对于普通的用户来说，成本是非常非常高的。

那最后算出来，它的用户价值，就可能是一个负值，这对于很多用户来说，这个可能就接受不了。

但是反过来说，为什么大部分人都会第一时间更新微信呢？你也可以去套用这个公式，就会很容易理解。

微信的大部分更新是比较节制，它的更新一般都是大功能的改变。

当别人都在发红包的时候，你的微信还不能发红包，那这个时候，你的体验就太差了，对吧？

然后它的迁移成本是非常非常低的。关于微信的升级，有的同学可能都开了系统里的自动更新。这对于你来说，完全没有任何成本，时间成本也好，你花的其他各方面的成本也好，都非常非常低。

所以，从用户价值来说。你去更新一个微信，它的价值会大得多。

之前我刚工作的时候，我记得很多人都在说：我用一个什么产品替代微信，我的产品体验比微信好多少，我的交互比微信好多少，或者说我的安全性稳定性比微信好多少...

之前有个学员是传统行业，他做了一个很完整的交互介绍，差不多有三四十页的一个PPT，啪拍到桌子上，跟我说，刘老师，你看我要打败微信，你看看这个行不行？然后我看了他那个交互，就不太行。

有的产品，你会发现他做的体验和稳定性可能确实有可能比微信好，对吧？

但是在现在这个时期，你去做一个体验和稳定性比微信好的产品，是完全没有意义的。为什么？因为，同样的，我们回到前面的公式里，就会发现：有一个因素影响最大，就是迁移成本。

你要抓一个用户来没什么问题，但是你把这个用户抓来，他没法用这个产品，因为他有他的社交圈。

我们假设这个人，已经是一个自闭患者，它只有十个人社交，你还要把这十个人找来，你把这十个人他们自己的社交圈又要拿过来，最后你会发现，你迟早还是要把这十几亿人的社交圈全都挪到这个产品上来。

那就需要有一个产品，它相对所有人都比较可用，这个成本是无限高的。所以做这么一个产品，其实是没什么太大意义。

在这个公式里，最容易被忽视的其实是旧体验。很多人会说：我对这个公式理解很深，但是我做的产品方向是没有旧体验的，就我是创造了一个全新的市场，我创造了一个全新的需求。

但是实际上，所有的产品都有旧体验。

比如说之前，有一个做音乐行业的一个朋友，让我帮他参考一下，他说他做一个综合平台，他问我会不会有市场。他甚至把原型图都放出来，里面有四个TAB：第一个是附近的音乐工作室和培训学校的信息，第二个是上课打卡和电子教材的工具，第三个是二手交易平台，第四个是同城音乐活动交流平台。

然后，他认为这四个功能合到一块，这就是创造了一个全新的产品，而面向了一个全新的市场，满足了用户全新的需求。

大家觉得这个靠谱吗？最核心的问题，其实就是它杂糅了这四个产品到了一个产品上，而且这四个产品其实都是有自己之前旧体验的。

对于第一个，就是大众点评，第二个特殊一点，是之前传统的这种教学都是用手动的打卡和纸质教材，但是这个体验差不会差的特别多，因为对于很多学生和老师来说，他们要重新安装和学习一个新的电子产品。

然后像二手交易，咸鱼转转都已经有了。像同城音乐交流活动，豆瓣已经有了...

你做了一个产品，你可能每一个功能，做得都不如原来的这种产品好。你把它们杂糅到一块，并不能创造任何新的价值。所以这是一个不太靠谱的一个点。

再一个case是，之前滴滴在乘客端考虑说要不要做小游戏，因为之前想到的是很多乘客打上车之后看到APP界面就没什么信息了，或者说对我来说APP没什么帮助，是不是能做这个东西来提升用户的留存呢？

但最后考虑了一下，还是没有做。

因为大家想象一下，实际的场景对于用户来说，我打到一辆滴滴，我上车之后第一件事是什么，是关了滴滴，对吧？然后打开什么呢？打开王者荣耀、打开微信、打开抖音、打开快手...

你要做一个多牛逼的小游戏，才能比抖音、王者荣耀好呀！那是不可能的！

这个时候你要面临的旧体验，你要找准：你的旧体验，不是一个干巴巴的滴滴的页面，你的旧体验，是用户在车上真实会用的这个产品。

那么，你的旧体验这个体验，你跟它打体验差，他完全打不出来。那这个功能，就完全没有意义。

再讲下一个点，就是为什么产品经理都要懂行为经济学？这个是之前去俞军老师的办公室拍下来的，这里面的书全部都是关于心理学、经济学和社会学的。

为什么产品经理要懂行为经济学呢？因为，刚才提到的都是我们要怎么去认知用户，我们要判断用户的场景，判断用户的价值，判断用户的需求。

但是同时，你有没有想过一个问题，因为我们也需要用户认知。我们做一个产品，用户到底会怎么想它？

这个是一个非常非常重要的问题。

首先，这种价值是非常主观的，我们做的任何的产品价值最终都是要为用户认可。只有用户认可的价值，就是产品价值。

但是，用户都是感性加理性，混杂在一块的，一个复杂的一种心理认知方式。所以用户的认知，总是存在偏误。

像这个例子，就是一个很典型的价格锚定的例子。当你搜苏泊尔电饭煲的时候，你会发现它卖得最好的是第三款。

最左边那一款119，然后它的功能非常简陋，中间这款是最贵的409，它的功能比较完整比较全，然后最右边稍微便宜一些，但是它功能跟中间这个差不多，就稍微少了一些功能。

然后我们看它们的销量，会发现左边两个的销量非常非常差，最后的是20万台，前两个销量都没有超过1万，这个时候你作为产品设计者，或者说你是运营这个店铺的，你会怎么考虑？

你会把前两个下架吗？这前两个其实是用来吸引用户购买第三个的。

你想象一下真实的用户场景。用户搜一个电饭煲，这个时候，他对电饭煲可能没什么认知。然后看到第一个，我靠这个太简陋了，一百块钱，然后其他电饭煲都三四百，这个电饭煲配不上我。

然后，再看后面这两个。

诶，这两个好像差不多价格，我仔细看看，我对比了一下，发现，诶，好像最右边这个，你看比中间便宜了30块钱，但是它的功能并没有少多少，中间那个只是多了一点，看起来没什么用的功能，比如说容量稍微大一点，或者说有什么其他的一些智能，就很没什么用的功能。这个时候，用户肯定就会选第三款。

而且，当用户选第三款的时候，他会特别高兴。

因为首先，用户会觉得，买到了一个比第一款的那个垃圾，好很多一个很高级的电饭煲。第二就是，我占便宜了，因为我通过我的聪明才智，我判断出来了第三个比第二个好很多，性价比特别高。

这个时候，用户是压根不会去想：电饭煲到底该值多少钱？因为这个时候，前面两个电饭煲，已经给了他这种心理认知了，它的价格锚定已经非常清晰了，用户就开开心心地买了这个电饭煲。

这是一个很经典的价格锚定的一个方式。

大家去搜索下，很多商品其实都是这样的。你去搜出来后，你就很奇怪，店铺为什么还要挂那么，几乎就没人买的这些商品。其实，都是为了做价格锚定。

还有一个比较小的case，之前我在网上看到一个做P2P的产品经理。他通过简单改了一个文案，就提升了很高的一个转化率，就做定期投资的弹窗上，写的是“你愿意开通每周五美元的定期投资吗”，这个其实吸引力就弱很多。

但是，当你改成说：如果你怎么样，五年后，仅本金就可以积累多少钱，那你有了一个很实际的感知之后，你的转化率就会提升很多，这个在行为经济学上叫框架效应，大家可以去搜一下，就是说，同样的一件事儿，你用不同的描述方法，用户的感知是完全不一样的。

再比如说，之前我看到美团外卖，在选择餐具这个步骤是没有做什么处理的。但是，它后来加了一句，它的转化率就有所提升。

它加的是什么呢？美团外卖倡导减少使用一次性餐具，为环境保护出一份力，是吧？当你选餐具的时候，可能这个时候你心里想的是我在为社会做贡献，你就会更容易去做选择了，这也是一个很讨巧的一种转化方法。

之前我在滴滴做司机方向的时候，这是一个用户认知和你的平台的预期差异非常大的一个群体，也非常非常难做。这是因为他们经常有一些非常主观的一些判断。

比如说，他们最常见的投诉问题，可能很多同学也听过，他们有奖励，这些奖励是按限定时间的订单量算，但是，当他接到倒数第二单的时候，他突然发现这一单是一个特别长的单，它最后一单就接不到了。他就会觉得，这是你平台故意的。奖励就差一单了，突然给我派一个长单。

或者说，附近明明有订单，为什么不派给我？其实，很多司机都会打开乘客端，再看一看，是吧？这有一些乘客在发单，或者说这附近明明没有车，然后我看到有乘客发单为什么不发给我等等。

他们会用各种各样的方法去猜测，或者说，大家也经常能听到，他们认为抽成又变高了，或者说最近推动的各种政策优势在骗他们。就是，他们永远都会往负面的方向去想。

有些更夸张的，就有的司机会觉得：老给我派女人的单，就特别讨厌。然后因为女乘客通常来说投诉率会高一些。

再比如说，他们就觉得，没有订单怎么办？我就重启！很多司机，很多老司机其实说得斩钉截铁，你一定要重启，反复重启，反复开关蓝牙，反复开关wifi，就很容易有订单。

还有最神奇的，有一个司机就跟我讲，就是语重心长的教育我说：你接不到单的时候，你就打电话骂客服，就疯狂地骂他，骂完立马就有单了。

但是实际上，我们做产品的都知道，客服肯定是没有权限直接派单的。

这个非常有意思，这个在心理学上叫逆火效应或者认知偏见。当你已经心里认定了一个观点之后，你会主动地搜集各种支持你的观点的论据，是吧？

你在各种司机群，你可能看到有人说滴滴好了，然后踢出去。然后，就只去看那些骂滴滴的，和这种去做阴谋论猜测的司机。

当你把这些信息收集过来，会巩固你的观点，然后到比较夸张的程度，就是逆火效应，逆火效应讲的是，当你看到相反的论据的时候，会佐证你的观点，也就是一个很神奇的心理效应，大家可以回去搜集一下，也非常的有意思。

所以说，对于这些群体，你还是要有一个很好的认知的基础上，你还是要知道他们心里为什么会变成这样，到底面临着什么样的心理问题，你去怎么改变他的预期，怎么改变他的认知，这是一个非常需要解决的问题。

这就诠释了：产品是我们定义的，但是产品价值永远都是用户定义的。

再举个例子，前段时间非常火的一个新闻，左边这个是日本的共享租车。他们做共享租车这个平台，在做调研的时候，发现大约有12.5%的人，其实是零行程的老用户，就是他们用车的时候从来那个车都是不动，但他们做了这些调研分析，右边这个是在推特上有个人做了一个整理，他们会在车里干嘛？

他们会在车里工作，睡觉。然后在车里可能充电，在车里唱歌，在车里直播，在车里换衣服，他们会把这个当成一个私密空间去用。这个私密空间能干啥？完全是看用户的想象。

用户永远不会看你产品设计是什么，然后去按照你的引导去用的，他们觉得：这个能给我提供什么价值，他们就会去认为这个产品就是提供了这个价值。

我们下面讲的一个点是，什么是用户体验？

因为我之前一直是做O2O行业，一直做相当于服务行业的。在服务行业，我体验最深的就是：用户体验，实际上最重要的是要保持连贯的去尾体验。

什么意思呢？比如说对于外卖和打车来说，它的核心用户价值是什么？它的核心用户价值肯定不是APP的快捷程度，对吧？也肯定不是APP里面的功能丰富程度。

对于用户来说，看重的是最核心的用户价值。

比如说我叫外卖，最核心的用户价值就是产品要丰富，价格合理，配送准时，而且配送不会出问题，汤不会洒了，热的饭不会凉了。

对于出行的用户，核心价值就是价格合理，叫车正常，车上没有意外，对吧？你做小游戏完全没有意义。

这些是最根本的，其实反而是更难做的一些细节。那，能不能保持这种连贯的，一以贯之的体验，才是对用户来说最重要的。

在这个基础上，其实逻辑的统一和功能的完善要比你做一堆的亮点合集，要重要得多。

比如说这是一个小的case，之前我用摩拜单车的时候发现，“取消预约”这个弹窗是怎么写的呢？标题是取消预约，内容是你确定要取消吗？下面就两个按钮，确定、取消。

一个弹窗文案里，居然出现了三个取消和两个确定，这个时候对用户来说，他的认知成本就会非常高，可能就在这个页面耽误很长时间，这是一个非常糟糕的，一个在水平线以下的一个弹窗案例。

再比如说，这个更夸张了，是一个某个银行的智能助手，你问它为什么不能登录，它给了五个选序号，就是你可以输87到91，你不能登陆的原因，你输入一个88，然后他说：拜拜，再见！

这明显就是，在产品经理设计的时候，压根没有考虑到两条线，一个是88表示拜拜的这条线和你表示我不能登陆的原因的这条线，这两个逻辑没有合在一块考虑。这就是一个很荒谬的一种产品的逻辑。这就会造成很多的矛盾，在很多产品上其实你都能见到。

我们之前是怎么做用户体验的呢？

我们会做一张很全的司机的体验全图。

然后这个全图，我们会把所有的触点，就是司机跟平台跟产品可能会有哪些各种各样的触点，那么对于每个触点来说可能会遭遇哪些问题。

然后我们当然要先做定性的分析，就是他可能会遭遇哪些问题，然后基于这些问题再做一些定量的一些调研，去看出哪些问题更严重，我们怎么把这个问题解决到水平线以下，就我们认为体验能够接受的水平线以下。

所以，我们回顾一下，第一个就是怎么去认知用户，我的认识用户的法则，就是这五条。

第一，要认知到自己的用户是什么？

第二，要考虑用户的场景。

第三，用户是需求的集合。

第四，需求不等于诉求。

第五，需求有不同的层次。

用户价值方面呢，有这么几点：

第一，要遵循用户价值的公式。

第二，所有产品都有旧体验。

第三，用户价值是主观的。

第四，用户存在认知偏差。

第五，发掘用户的核心价值，并且保持连贯。

除了老师的干货分享，还为大家选出了现场问答节的6个干货回答喔！

问题一：

我算是一个初级产品经理，刚到公司的时候，我的leader跟我说，你做产品的话不应该只是局限于自己要做的那些具体的事情，可能比较偏理性。

譬如说我要做哪些验证，我要关注某些问题。他说你应该把自己想象成是这个业务的主要负责人，你要掌握这个业务往前走。然后我觉得这个东西可能比我之前理解的那些会更加宽一点，我可能之间理解比较狭隘。

我觉得一个产品要做得好，应该是要对业务有足够的熟悉，但是这两者之间应该是有一些区分和不兼容的地方，我搞不太清楚，所以来问一下刘老师。

答：

我觉得有几点，第一点就是很简单的一个建议，听老板就这个永远是不会错的。

这个不是说你要媚上，因为本身产品经理这个行业它没有标准的定义。

比如说像你说的这种状况，你可能在大公司是不会看到老板，就不会指挥你去当一个业务负责人去带动大家或者怎么样，因为大家的分工已经够具体了，够细了。这个时候你去抢别人的工作，抢别人的地盘，其实反而是一个不好的一个状态。

但是对于很多创业公司来说或者小公司来说，确实更需要产品经理去牵头做一些业务上的一个利润。

所以不同的岗位，不同的行业，甚至不同的公司差异是非常大的，这个时候最能定义清楚你要干什么工作，还是你的老板。所以我觉得这个比较容易解释。

第二个点就是建议不要太设边界，因为有的时候大家去理解这个岗位，如果把它理解成一些传统的岗位，或者说甚至把它理解成一个专业，就会有很多认知上的一些偏差。

因为对于产品经理来说，刚才也提到没有任何的标准，就没有说产品经理一定要做什么东西的。

现在的我认为很多产品经理其实就是在做业务的事，比如说我举个简单例子，比如风控产品，安全产品。

其实他们要学习和了解的很多东西其实是非常偏业务的，要理解什么是风控，怎么做风控算法，安全等等这些东西。完全跟传统的产品经理不一样，他们做的东西也没有界面也不需要画原型，甚至有的也不用写文档。但你说他不是产品经理，他们可能也是产品经理。

所以也不要太设一些边界，还是看你自己在这个工作当中起到的核心价值有多少，然后公司对这个岗位的定义是什么样的，你能把它做好，我觉得这个最重要。

问题二：

你好，我是一位研发人员，然后现在有想转产品的一个想法，就是想请问一下刘飞老师，推荐一条研发转产品的一条可行的路径。

因为在工作过程当中，我明显能感觉到产品它更是一个驱动者，他会去驱动产品的一个发展，然后包括交互设计师，研发人员更像是产品经理可调动的资源。

所以我希望是可以更主动的去带动业务的一个发展，而不是只是说你告诉我应该做什么，而我去就简单的做一个执行者。

答：

明白，我很理解你的想法，因为我之前也是写代码。

我知道的最好的路径其实是这样，就是你还是从技术这条线一直做到你能负责一块业务之后。你从那个视角再去管产品，再去做一些产品的工作，做一些业务的工作，这个可能是反而会更顺畅。

如果你这个时候，在你还没有成为一个leader管整个项目或者整个业务的时候，你转产品相当于是从头再来的。你要重新从一个初入行的产品经理开始，其实成本是非常高的。而且你不见得有好的这种实践的环境和机会。

我觉得最好的路径就像我刚才说的，其实你在技术岗位上不见得完全是做一个被动的接收方。我之前也是这么认为，但是后来我见过很多技术，他们其实还是很积极的参与到业务当中去的。这个事情也是刚才那个问题一样的，不要设边界。

你能不能现在尽量多的先去接触和学习那些东西，然后在工作当中向别人证明这些东西，最后你的老板也好，或者身边同事也好认可你。在产品方面有了一些经验，或者有了一些信任之后，这个时候你再同时负责起一些产品东西，这样会更好。

问题三：

我目前的话是工作刚刚工作一年，是在某一个业务当中去做一个产品。

但是我经常会困惑，目前在做这个业务的产品，是不是以后就只能一直在这样一个业务的方向上走下去？

如果作为一个产品职能或者说角色，有没有一些可以跨业务的核心竞争力，可以在未来去面临更多职业选择的时候有更多的选择？谢谢。

答：

这个问题很好，因为现在面临的一个现状是产品经理越来越职业化专业化，大家明显感知，如果你是一个做电商的产品经理，可能去做一个短视频做娱乐，你可能会非常吃力，或者人家也不要你。

不同的行业之间跨行业的情况越来越少，因为大家做事情越来越专精。

这背后原因也是我前面提到的产品经理对业务的认知和在这个业务上的经验变得越来越重要，而不是基础技能。为什么十年前可以通用，那十年前连产品经理都在画图，那个时候，去哪画图都差不多。

但是现在不一样，要做群体特别深入的，尤其是有一些行业还是很重的，像教育医疗的这些行业。这些行业水又比较深，可能了解更久才能有一些积累，所以我觉得这是一个现状。

然后你说的问题，担心自己做的方向比较窄，这个也确实也很常见，我觉得最好的就你刚才说的，那个问题是不是存在一些复用性，我觉得肯定是存在的，你要去拆解你做的这件事儿，到底它的核心价值、核心竞争力在哪？或者说你在做的这个事到底是一个什么样的事？

我举个例子，比如说你像我之前是做美甲的，后来又做过外卖，又做过出行，那看起来是三个行业。但是实际上做很多方向的一些经验是都可以复用的。比如说我们之前在做美甲师运营的时候，美甲师的运营和骑手的运营、司机的运营就会非常像。

你怎么做这些供给的服务管控，怎么做这些供给的运营生命周期管理等等，就会有很多可复用的地方，所以我当时选择工作机会我也是会看重，它在我的经验上是相对连贯的。

如果你做的方向也有这种可以抽象出来的，比如说你做的虽然是美甲，但是它背后代表的是to B的供给侧的这种管理也好，这种产品设计也好，可能抽象到这个层面，它的作用性就会更强一些。但是这个的前提也是你对这个市场足够的了解，你得保证你现在做的事。

因为确实有些产品经理他们做了几年，他找工作的时候发现自己做的不是产品经理，这就很尴尬，自己其实在做一个项目经理，或者说在做一个技术的产品经理，每天都在为技术服务等等。

这些可能需要你去多找行业内其他领域的一些朋友去接触，聊一聊沟通，保证自己在市场当中，还是别人会有需求，自己的人际能力，这个是可以做的。

问题四：

刘老师你好，我现在是在产品经理岗位即将本科毕业，是车载领域。

我们是小米生态链企业，我只有一个问题想问一下刘老师，就是刘老师从锤子科技到嘟嘟美甲到滴滴，然后现在又辞职了，您是怎么考虑自己六年时间跳槽这么频繁，以及您自己能不能分享一下您自己在产品职业生涯上面一个大致的一个规划。

答：

产品经理要不要有规划？

其实我每次跳槽的原因都还是很明确的，就是成长遇到限制了，而且我现在回想起来，除了第一份工作选择做的不好之外，后面每一次跳槽都还是跳的是对的，因为在回头看我如果留在那儿的话，那大概率是没什么成长的，甚至都不会写书，不会坐这跟你们分享。

所以我觉得更重要的还是产品经理本身的成长没有一个标准的路径，比如说有的同学也会说，我毕业之后我是不是先花三年在什么地方待一待，再花两年在什么地方待一待，我去学什么东西，再花几年待一待，然后我就成产品总监了或者怎么样，其实这个是不太存在的。

因为你面临的环境不确定性太强了，所以我是一直跟产品经理说的是，你要做规划可以做两种规划，一种是短期规划，这个短期是半年到一年的；一个是长期规划，长期可能是以十年为计，你未来到底要做什么事？

短期规划，首先你可以把控的是现在你的岗位在做的事情，你希望它做的多么好，或者说你希望在你的岗位上学到什么东西，再或者说你现在已经遇到瓶颈了，你要怎么解决，解决不了是不是要跳槽或者怎么样，这是你短期能做判断的，因为这个环境很具体，你可以做一个更准确的判断。

然后长期的那种，比如说你到底是要做职业经理人，你是要在一个公司慢慢积累大家对你的信任变成一个leader，然后再往上变成一个业务负责人，再变成一个老板？还是说你想要尽快学到一些东西，然后去创业，我觉得这种不同的路子对你短期的选择也会产生很大的影响。

我身边有些朋友他们比如说特别在意创业的，他会在意我对这个行业的理解和我在公司学到东西，我去阿里待几年，不是去阿里换一个资历，或者说换一个职级，我觉得我不看这些，我也不看他工资，我是想去大公司看看他们是怎么做这块业务，我学完之后过几年我就出去创业了。

但是如果你特别想要在一个大公司成长往上成长的话，你可能确实要特别看你的职级也好，你做的业务也好等等这些东西。

所以你在面临选择的时候，远期规划对你也是有帮助，但是产品经理很难做中期规划，就是说我三年之后在哪我四年之后在哪，这个谁都说不准的。

因为外部因素影响太大了，这个你是完全没法评判的。我在做每次选择的时候，比如说我到点我达的时候，它刚刚融了资，然后整个公司业务都欣欣向荣，但是到后面它也会遇到自己的瓶颈，但是它遇到瓶颈这件事你是判断不出来，因为互联网的这些市场环境变化太大。

当最后外卖平台自己都开始做物流，做外卖配送物流的时候，那就把它的生存空间一下子挤压了。这个时候作为一个产品经理，你还想吃更多东西的话，你就只能再去别的平台。所以这种判断我觉得看起来是我特别想频繁跳槽，但是实际上每一次跳槽都还是比较被动。

所以我觉得这个本质上还是我们看选择机会的时候，就像我刚才一直强调的，不管是选择跳槽、内部转岗，还是说你要选择其他职业，你每次选择都还是要基于自己成长遇到问题去做选择，是不是能够更有利于你的成长？

问题五：

我想趁这个很好的机会问一下你关于行业的事情。刚才有讲到客户细分，他的目标群体有举两个例子，其中一个是美甲店，然后有一个是音乐培训学校，对吗？

我其实对美甲店很感兴趣，这个案例，因为刘老师只开了一个头，一直讲了我们在路边的美甲店的客户，不是我们网约美甲的客户群体。

其实我是想在这里趁这个机会，跟我们讨论一下，哪一些才是你的客户群体，是从哪些渠道找到他们，如何分辨，然后引流到你想要的平台上？

答：

也可以分享一下，但是那个时候我们做的还是比较简单粗糙，就简单说一下。

我们面向的目标群体，其实是那种首先他肯定要有一定消费能力了，因为对于学生来说能消费的客单价实在太低了，学生大部分都是做纯色的，而且他们对什么质量要求也不高，可能能接受的也就五六十块钱的这种程度。

我们要做的肯定是100到200之间，150以上至少。

面向的用户群体也是这种高频需要做美甲的，因为她不能接受自己手指甲是没有颜色的，没有涂东西的，一般来说你直接的生长速度差不多是两个星期多就开始不好看。对于这种美甲用户来说，基本上他的消费层次一定是一个月两次这种很规律的消费。

对于这些用户，我们最早的种子用户，那个是因为没什么办法，你本身是一个本地服务，所以我们只能找周围，我们当时在浦东一个地方。我们就在浦东找找附近的一些美甲用户。

我们当时用的办法也很简单，就是陌陌。因为陌陌上面有美甲群组，你能快速的定位到近距离的美甲爱好者。

它是一个很好的平台，我们当然只能假扮女生混入这些群体，跟他们建立一些联系，然后后面说我们有一些比较便宜的服务，我们刚开始做，支持一下我们创业等等之类的。

我们先获取了这些用户。这个时候其实是实验阶段，到后面，我们开始真正去获取第一批用户的时候，更多的还是找那些就像你刚才说的，我们去找这些人，更容易聚集在哪，大部分都是在我们最后找的都是互联网公司和传媒公司，广告公司这些公司。

其实在上海的各种互联网的分公司，大部分都是做传媒或者广告业务的，这些公司都是女生居多，绝大多数都是女生，再一个就是他们的特点是比较喜欢用社交媒体。

你跟他们做了一些活动之后，因为他们没见过这个新花样，所以也比较乐意分享，这个我们叫有价值。

所以我们刚开始大量的这种用户都是定向的去找这些公司，因为他们肯定会聚集在这些公司，那我们就跟这些公司搞福利活动，我们就上门在会议室里这么一做，那可能你给20个人做了美甲，最后全公司200个女生都知道了，这就很好的一个传播的平台了，我们前期可能更多的是靠这种方式去获取。

问题六：

您好，刘老师，我是一个毕业一年，做了一年的产品。现在我负责一个SaaS工具的一小块功能，我这一年的话主要的感觉就是刚才提到过一个产品的一个方向问题。

现在产品它有那么多种不同类型的社区的社交的视频等等，我现在做的SaaS的话，我对这个方向是没有兴趣的。

我该怎么去找到一个我感兴趣的方向，或者说我应该怎么去了解别的方向都是什么样子的，然后怎么去判断自己适合哪一个方向，喜欢哪一个方向，这是我第一个问题。

第二个问题是从大学时候去做一些产品的分析、想法的时候，之前跟同学做互联网创业大赛，一直困扰我的一个问题，就是说一个UGC社区如何在初期吸引用户去产生首批的那些内容。

答：

这两个问题看第一个问题我觉得要说两点，第一点就是产品经理的喜欢其实跟擅长是强相关的，就很多人会觉得我特别喜欢那个东西，但是那是因为你在做之前喜欢，你做了之后可能也没那么喜欢，因为所有的看起来很光鲜的一些产品背后其实不见得是你想象的那么做产品。

还有一个点就是之前我看过一个理论我觉得很有道理，当你特别擅长或者说把手头这件事做得特别好的时候，你肯定就能得到很多认可，肯定这个时候你就更愿意去接着把这个东西做好，那你就慢慢的对这个领域喜欢上了。

我看这个分析，他说的我觉得很有道理，为什么我们大家从小就爱玩那种电脑游戏或者电子游戏，因为那种成就感容易获得。

那种你变成一个擅长的超级玛丽的玩家和变成一个擅长的产品经理，这个难度是不一样。你想要通过这一关你想要吃到蘑菇很简单，但是你要想把手头这个东西做好，它本身就是有成本有难度的，所以我建议还是你先别考虑你是到底喜欢什么东西。

然后喜欢的这个东西往往都是基于你之前的经验去判断的，这个时候信息很可能是不对称的，你喜欢的东西不见得真的你做了之后会喜欢。这个是环境或者市场又不会说给所有人去尝试所有机会的这种可能性。

最后对你来说，我的建议就是你如果没有遇到一个跟你现在比更好的一个成长的环境，那你还不如先把手头的这些事儿做好。

尤其是对于产品经理来说，在前两三年的阶段的成长性远比其他的东西重要得多，就比你自己的个人兴趣或者说你自己的一些其它的喜好判断重要的多。

你先把三年时间花在你变成一个成熟的产品经理这件事上，当3到5年这个期间你再去选，你会发现空间一下大了很多，这个时候，其实你这些经验，很多的领域你都可以再去了，这个时候有选择权了，再去找喜欢的会更好一点。

然后第二个问题关于UGC我觉得不是产品模式解决的，这个就是一个非常典型的要通过运营手段解决的问题。所有的这些内容社区做起来，当然除了很早期，比如说压根就没有论坛这种形式，你做一个BBS出来，这个时候肯定因为产品模式怎么样。

现在大家所有人几乎都有这种能力，我攒一个团队做一个APP出来，但这个前提下你的优势只能是说你有没有好的资源，能先把第一批用户攒起来，这个攒起来，你靠产品模式是攒不起来，知乎早期因为支部的创始人全是媒体人，他们能请到那些大佬。

你如果是一个大学生，你做一个体验比他好的，但是你找不到这些大佬，没有意义。然后很多做各种内容社区，他们其实前期的用户全是靠自己身边的资源和人脉去拿到，而不是靠一个好的产品模式，贴广告进来了。

产品思维，是每一个互联网人的底层能力，也是帮助他们从新手进阶到资深产品人的核心能力。

资深产品人刘飞新书《产品思维》限量签名版正在热销中，现在下单马上送出鸟哥笔记定制精美周边～

我最牛X的黑客朋友创业了

文 | 史中

好久没发微博了，今天我正式离开这家服役了十四年的公司。五千一百三十八天中，同中国第一安全品牌与产品共同成长、发展，没有太多遗憾；心情平淡；带上我的鼠标垫，迎接新的未来。

2021年1月4日晚上，微博上一个名为“@Vulcan_mj”的“普通用户”发布了这条简短的动态。

他的推特上，也同步了这个消息的英文版。（只不过没提鼠标垫。）

不知 MJ 在按下“发送”按钮的一瞬间，是否会回忆起一些轻飘飘的过往。会不会想起十四年前傅盛给他买的那张从海口到北京的机票；会不会想起七年前为了守卫千疮百孔的 WindowsXP 三天三夜不睡觉时身边的天才骚年们眼里倒映的光芒；会不会想起四年前在温哥华和世界顶尖黑客对刚时，擂台上弥漫的温热血腥。

北京的冬天寒冷，不宜久立。身后360大厦像一座棱角分明的魔方，精准复刻着过去千百天的样子，唯一不同的是，17层最角处的那间办公室熄掉了灯光，仿佛隐匿了一个秘密。

MJ 发动了自己心爱的跑车，踩下油门，猩红的尾灯汇入酒仙桥的夜色。

在他背后，留下了一个万千思索后的简短决定，留下了一段如浪涛奔涌细密编织的往事；而他面前，却是一双双灿若星辰却不甘温和地走入良夜的眼睛，是一场70亿人命运十字路口的空荡和慌张。

时光滚滚向前，永不能回到昨日。如果世界正变得不好，而你恰好可以阻止这一切发生，那么你的选择，也许会和他一样。

（一）面孔、黑市和“漏洞经济学”

Freedom is the freedom to say that two plus two make four. If that is granted, all else follows.

乔治·奥威尔的话言犹在耳。

下面这些名字，都正在或曾经鲜活地生活在不同国家的土地上。

派恩达，墨西哥独立记者，曾报导一个毒枭和当局官员的勾结，在2017年被不明身份的人枪杀。

伊斯马伊洛娃，阿塞拜疆记者，曾报导总统石油腐败。后被人盯上，用隐藏摄像头拍下了在家里所有的隐私画面，公布在网络上。2014年她因为逃税被判处7.5年监禁。

布阿赫林，摩洛哥记者，曾因批评当局而被封停刊物，2019年被判处15年监禁，罪名是贩卖人口、滥用职权和强奸。

瓦拉达拉詹，印度调查记者，在2020年曾因报道当局控制疫情不力被传唤。

名单很长，难以一一列举。

如果单独来看，这些人的命运并无勾连。

但是，就在2021年，独立调查机构“Forbidden Stories”公布了一份秘密文件，以上所提到的人都在同一个名单上。

和他们并列的，有其他5万个名字，其中不乏政要，包括法国总统马克龙，伊拉克总理萨利赫，南非总统马福萨，当然更多的还是新闻记者以及身份普通的人。

这些人有一个共同点：他们的手机都曾经、正在或将要被非法入侵。

这是央视转载的华盛顿邮报转载的 Forbidden Stories 的调查。

不就是有5w人的手机被搞嘛，其实没什么可奇怪的。“Forbidden Stories”作为记者机构，有些被害妄想症替记者群体鸣不平，也没什么大惊小怪。真正不可思议的是，这些入侵所利用的技术非常顶尖——很多都是“0Day 漏洞”！

如果你还没有理解我说的事情怪异在哪，不妨想象一个这样的场景：

这世界上发生了5w起凶杀案，但凶手使用的凶器不是棍棒，不是刀，甚至不是枪，而是核弹。

“0Day 漏洞”是指连厂商本身都不知道的漏洞，例如你知道一个软件漏洞可以用来控制别人的苹果手机，而这个事儿只有你知道，连库克都不知道，这个漏洞就叫做“0Day 漏洞”。

大多漏洞攻击，需要诱骗受害者点击一下链接才能中招；而在所有漏洞里，还有最厉害的“尖货”，叫做“Zero-Click 漏洞”。

Zero-Click 的意思是攻击者只要知道对方的电话号码或者 ID，发送一条指令过去，对方不用做任何点击，手机就会完全被控制——我入侵你，和你无关。（有关“Zero-Click 漏洞” ，可以看浅黑之前的文章《第二种核武器：你所不知道的漏洞战争》）

这是利用 iOS Wi-Fi 漏洞进行的“Zero-Click”攻击。虽然和标准的“远程命令执行”不太一样，但你可以感受一下这种视觉冲击。

攻击5w人名单所使用的漏洞，也不乏 Zero-Click 漏洞。

任何一个能达到这种效果的漏洞，在国际黑市里都轻松卖到上百万美元。而现在你知道了：每一个这样漏洞的交易背后，都有真实的人流血甚至付出生命。

根据“Forbidden Stories”的调查，这些漏洞的来源都指向同一个组织——以色列的漏洞武器商“NSO”。

NSO 会从全世界的黑客手中高价收购原始漏洞，然后包装成好用的武器，卖给“有需要的人”。根据 NSO 创始人胡里奥所说，他们这些武器可不是想买就能买，他们会确认买家完全出于反恐目的，是为了“建设一个更美好、更安全的世界”。

现实扑朔迷离：一边是越来越多怎么看都不像恐怖分子的人被 0Day 漏洞攻击，一边是胡里奥满口否认 NSO 曾经把武器卖给过什么邪恶的人用来攻击政要和记者。

沙莱夫·胡里奥，曾在色列军国防军任职

（漫画作者：Joe Cummings）

这场罗生门究竟谁在撒谎，作为地球另一端的吃瓜群众，我没证据，也没有发言权。

我心中升起的，是另一个更要紧的困惑。

“恕我直言，攻击总统我可以理解，可是记者神马的，好像也没那么重要，用百万美元的漏洞武器攻击他们，这划算吗？”我问坐在对面的 MJ。

MJ 想了一下，给我讲了两个“漏洞经济学”。

1、漏洞总会落到出价最高的人手中。

假设你是一个有节操的黑客，你发誓自己研究出来的漏洞只卖给好人，例如用于反恐或者打击犯罪。我也相信你从始至终都能坚持这个原则。可是，漏洞就像一本《九阴真经》，一旦你交给别人，你就无法控制它的流转，根本不知道最终学到它的是郭靖还是黄蓉，是洪七公还是欧阳锋。

事实上，在资本主义市场经济加持下，漏洞最终总会到达出价最高的那个人手上。不用怀疑，世界上最好用的东西叫美金（或者比特币）。

2、漏洞越用越便宜。

漏洞就像人一样，也有一个标准的生命剧本。从被发现到被厂商修复，就是它的“生命周期”。也就是说，漏洞是有“保质期”的（一般1-3年）。假如你是一个坏人，你买来一个苹果的顶级漏洞，可以入侵世界上任何一部 iPhone。你会做什么？你会只把它倒卖给想攻击总统的人吗？

因为漏洞可以多次使用。你最“理性”的选择，是先高价卖给想攻击总统政要的人，再用中等价格卖给想攻击对手公司的人，再用低一些的价格卖给想干掉仇家的人，甚至再用更便宜的价格卖给想追踪女友行踪的渣男们。

毕竟，卖一次回一次血，有钱不赚王八蛋。

MJ 的结论并非空穴来风，这种事情如今每天都在发生，只不过没通知你。

2021年1月，台湾安全公司 DevCore 发现了微软旗下很有名的私有邮件服务系统“Exchange”的漏洞。由于很多公司都在用 Exchange 收发内部邮件，一旦使用这个系统被漏洞攻击，所有邮件都可能被黑客窃取。

DevCore 马上把漏洞报告给了微软，但是微软看了看，这个漏洞并没有流出到野外，相当于没有坏人掌握它，所以优先安排工程师去做更紧急的开发任务，把修复漏洞的工作往后排了排。

接下来的故事，令人心有余悸。

从2021年2月开始，微软接到密集线报，全球很多公司的邮件已经泄露，黑客窃取信息，用的正是这个漏洞。由此可知这个漏洞已经被坏人掌握。可到底是如何泄露的，鬼才知道。

微软赶紧拉响警报，把修复工作提上最紧急的议程。

这是最初报告漏洞的研究员蔡政达发的推，在微软推出补丁的当天转推了自己当时那条推特。

就在微软紧锣密鼓开发补丁的那两个星期，一波波攻击如海啸一样冲向全世界的公司。

很明显，得知漏洞将被修复，坏人开始和微软“赛跑”。

到最后，这种攻击已经不是什么“秘密行动”，而是成了黑客的狂欢。高峰期每小时就有几千台服务器沦陷。短短半个月，累计有几十万台服务器被攻陷。

其实，早在1月，那些值钱的目标（叫得出名的大公司）早已被黑客用这个漏洞搞了个遍。黑客玩腻了，最后才有枣没枣打三杆子搞了其他几万家公司——先把邮件偷来再说，万一有人要买呢？有钱人的品味不好说的。。。

3月初，微软官方漏洞补丁终于姗姗来迟。可那时，留给全世界的已经是一个杯盘狼藉的战场。究竟有多少黑暗组织参与了这次“海天盛筵”，早已不得而知。

事情很大，你忍一下。。。

这么“贵族”的漏洞，到后来却被用来无底线无差别地攻击阿猫阿狗，我 0Day 漏洞不要面子的啊？

但在“漏洞经济学”的加持下，这就是现实。

不要以为我在讲另一个世界的故事。被搞的对象里面不乏中国的公司，只不过为了社会和谐我不方便说出来。一股黑色的力量正在暗处集结成军，我们能真切地感受到他们的影响，却无法清晰定位他们的所在。

不过别担心，这个世界还没堕落到胜者王侯败者寇笑贫不笑娼的地步。

有的人什么都不为，自古侠客只是不想看到坏人逍遥。

MJ：真的要用这张照片吗？怕太高调了。。。

我：就用它！

（二）侠客们

侠客需要一个武林。

而在武林中人悉数登场之前，他们还只是一群不安分的人。

如果 MJ 不是着了魔一样把写作业的时间用来研究电脑，他爸爸也不会把鼠标藏起来；如果不是爸爸把鼠标给藏起来，他也不会研究出用键盘操作鼠标的方法；如果不是他爸爸把键盘也藏起来，MJ 也不会把研究的对象转向文曲星；如果不是他把文曲星研究得比文曲星工程师还明白，他就不会开发出一套比官方还好用的民间文曲星系统；如果没有这套系统，他就不会退学被文曲星拉去深圳一起搞新产品；如果没在深圳这种只要你的设计图不违反量子力学就一定有人能给你做出实物的神奇城市，他后来也不会自己创业月入十万；如果不是吃喝不愁，他也没有功夫待在海口一天三顿小烧烤上网水贴发现360安全卫士论坛；如果不是在360论坛上帮忙干掉了几个360工程师都搞不定的病毒，另一位同样不安分的版主傅盛也不会和他惺惺相惜；如果不是傅盛吐血引荐，周鸿祎也不会说出那句“你在论坛上只能影响几千人，来360能影响千万用户”；如果不是成为 360 核心技术负责人，他也不会心心念念搞了那么多场比赛，网罗天下和他一样的“技术怪咖”；如果没有对这些天才们的悉心照料，也就没有后来江湖纷争乍起时360挺身而出的诸位侠客。

我们的武林故事，就从2014年讲起吧。

这一年，发生了一件不大不小的事情，XP 停服。

简单来说就是：微软累了，不再爱了——Windows XP 都已经成化石了，我真心不想再维护了，亲我求求你们换成 Win7 或 Win8 吧。。。

可是，国内诸多财税部门，以及很多大企业一直在用 XP。我习惯了，我很专一，我用得很好很稳定，凭啥要换？

然鹅，微软停止服务，意味着它将不会给 Windows XP 升级新补丁，接下来 XP 再出啥问题微软可就名正言顺撒手不管了。这会造成一个很大的风险敞口，一旦有黑客发现 XP 的漏洞，用来进攻社会主义基础设施，那还了得？？

于是，相关部门组织了一系列活动——XP安全挑战赛。

意思就是，共和国最强的安全研究员们，用攻防的形式来找到 XP 潜在的漏洞，然后自力更生继续为 XP 的安全续命。

当时应邀参赛的有腾讯、金山、360 等大公司。

虽然当时傅盛已经转投金山，刚刚出任猎豹移动董事长，但在今天的故事里，金山算是打酱油的——毕竟和周鸿祎、傅盛的私人恩怨比起来，腾讯和360才是更加赤裸裸的仇人。此时距离3Q大战刚过去4年，当年有关部门拼命拉架才把扭打在一起的3Q分开，这俩公司正愁找不到机会暴揍对方一顿呢。

当时，守护“Windows XP 安全防线”和“360 尊严防线”的双重责任就落在了 360 安全卫士的负责人 MJ 身上。MJ 深知老周这份托付不能辜负，他摩拳擦掌，带领一群技术宅开始研发“360XP盾甲”。

挑战赛先后进行了三次，“360XP盾甲”0次被攻破，腾讯电脑管家虽然第一次被攻破，但知耻后勇，依靠刚刚收购的科恩实验室诸多大牛强力助阵，后面两次也防守成功。

这是2014年第一次挑战赛后的新闻。你猜，攻破腾讯是谁干的？

这么一搞，仇上加仇。

“搞 Windows XP 算TM啥本事，要比就比搞最新版本的 Windows！你敢吗？！”

“怕你我TM是孙子！”

MJ 一看，既然事情拱到了这一步，正好这群技术怪咖们刚刚打完 XP 挑战赛。“行了，大家就留下吧，咱们成立一个安全实验室，专门研究全世界最顶尖的系统漏洞！让全世界人都知道咱们是最牛逼的，没有之一。”

这就是 Vulcan 团队成立的缘由。

Vulcan 是《星际迷航》里智慧种族的名字（源自希腊神话的火神）。科幻迷 MJ 也借用《星际迷航》里的台词，给 Vulcan 想出了一个凶猛的口号：Live long and Pwn。

现在回望，当年这波操作具有里程碑意义——它客观上确立了中国的一个新的细分职业类别，以寻找顶尖漏洞为全职工作和价值体现的“漏洞猎手”。

漏洞猎手是广义的安全研究员，但他们又不是典型的安全研究员。

这么说吧：漏洞猎手有点像奥运会运动员，不仅极其依靠先天禀赋，也极其依靠后天训练，淘汰率极高，总体人数极少，甚至给他们展现的机会舞台也很有限。但不可否认，他们体内涌动着巨大的能量。

哪怕在今天（2021年），中国14亿人中，能称为漏洞猎手的人满打满算也不超过三位数。如果他们站在你面前，每张面孔都足够被看清，每个人都是这个隐秘江湖里独一无二的侠客。

看过金庸的人都明白，人们对侠客的想象就是八个字——“劫富济贫，惩恶扬善”。

作为手握核武器可以干掉任何系统的人，这群漏洞猎手中的绝大多数却出奇地简单善良而有洁癖，他们单纯地喜欢研究喜欢破解，他们清醒地知道，自己的超能力如果用来帮助犯罪会让世界瞬间滑向万劫不复。

所以，他们不允许自己做坏事，他们只需要两样东西：

第一、和自己能力相匹配的收入；

第二、一个能让自己熠熠放光的闪耀舞台。

那到底有没有“收入”和“舞台”呢？有的。

有个比赛名叫 Pwn2Own，是一家名叫 ZDI 的研究团队搞的。比赛在加拿大温哥华举行，一年两次，一次搞“桌面系统”一次搞“移动系统”——专门攻击时下最流行的系统，什么叫 Windows10，哪个叫 iOS，MacOS、Safari 浏览器、Chrome 浏览器都不在话下。

具体规则有点复杂，这里不赘述，你可以简单理解为：每干掉一个系统，就能得到10w美元左右的奖金。

注意，非要比较的话，这个价格只有黑市上的十分之一。但是，ZDI 承诺不会把漏洞转卖到黑市，而是直接交给厂商来修复，所以全世界善良的侠客们都愿意参加这个比赛。

这是2017年 360 安全团队获得冠军的合影，冠军叫做“Master of Pwn”，正赶上Pwn2Own 十周年，还奖励了一个皮夹克。

钱固然重要，但彼时对360和腾讯来说，更重要的还是脸——中国最强的称号。

360和腾讯的两拨顶尖漏洞猎手不由分说在人家的地盘上掐了起来。讲真，漏洞的基础是逻辑能力和数学能力，只要中国的天才们聚集起来，碾压老外不是梦。

从2015年到2017年，漏洞水准被中国人迅速抬升，就像博尔特一参赛，旁边几位选手立刻就变成了“赛道上的热心观众”。。。当时，Pwn2Own的老外也是从“种子选手”直接变成了“重在参与”，一脸懵逼。

这是2017年 Pwn2Own 的记分牌，你可以放大原图感受一下。第一名是360，第二名是腾讯，第三名是长亭科技，第四名是一个华裔天才，第五名第六名是腾讯另外两支队伍。并列垫底还有两支腾讯的队伍。（腾讯来了好多人，就是为了围剿360。。。）

这场看似莫名其妙的“神仙打架”，客观上造就了中国漏洞研究的两座高峰——当时的360的“Vulcan 实验室”和腾讯的“科恩实验室”，像两支巨大的伞盖，成为了全中国漏洞猎手的庇护所。（有关科恩实验室，那是中国黑客史上另一段让人慨叹的注脚，此处篇幅有限，暂且不提。）

俯瞰全球，这期间，漏洞的价值也迅速被全世界看到。而阳光越猛，阴影越重，我们之前提到的黑色力量 NSO，也正是这段时间崛起的。

正因为敏锐地看到了世界局势的种种变化，我们国家提出了“没有网络安全就没有国家安全”的号召。那一刻，网络安全界热血沸腾，也许连最悲观的人都会相信，网络安全人的好日子要来了。

可是，如果深入历史的肌理，你会发现一个残酷的规律——最漫长的永远不是黑夜，而是黎明。纵然时代的车轮滚滚向前，但就是哪怕刹那犹疑间，对任何一个人渺小的一生来说，都可能太长了。

（三）“撬锁”VS“穿墙”

尼采说过，我的理论是为100年后的人们准备的。某种程度上说，漏洞猎手们的命运也演绎了相似的韵脚。

回到2016年的中国，重磅法律《网络安全法》刚刚落地，要求企业必须管理好自己的安全，否则将要承担法律责任。于是，无数政企大干快上，争先恐后建设自己的安全能力。

可是注意，细节来了：当时企业们需要建设的安全能力，和“漏洞猎手”们提供的安全能力，是两种能力。

企业们想要的是“老司机”，可漏洞猎手们是“赛车手”，虽然都是开车，但。。。。

为了说清楚那段历史，我还是讲一个小寓言吧：

为避秦时之乱，一群人祖辈生活在桃花源村里。由于勤勉工作，人人家里都有电灯电话金银财宝，而且治安良好，夜不闭户路不拾遗。

有一天，村长突然在大喇叭里广播：外面的世界已经发现了我们，他们的小偷已经放话，要把我们的好东西都偷走！咱们得赶紧管好自家的安全，不要被盗。

假设你是桃花源村村长，那你会干啥？

0、你肯定先把桃花源的出入口堵上。

1、你肯定会让大家先买一把锁，把自家门窗锁起来。

这就对应着网络安全里的“防火墙”。

2、可是过了一段时间，还是有村民家被小偷撬开失窃了。

于是你会赶紧招呼大家买一套监控系统，对准自家客厅，高级点的还可以加上人脸识别，一旦发现镜头里出现没见过的人就报警。

这就对应着网络安全里的“入侵检测系统”。

3、过了一段时间，还是有村民失窃，因为小偷学会了“化妆”，化妆成屋主人的样子，大摇大摆地把电视机给搬走，警报不响。

于是，村民们决定联合起来，凡是谁家被盗，就把他家安全设备的记录都汇总在村长家，村长通过大量数据综合分析这个小偷的走路姿势有啥特点或者使用的工具有啥特征，下次他再去偷别人，穿上马甲也能认识他。

这就对应着网络安全里的“大数据态势感知系统”和“威胁情报系统”。

你看，对抗迅速升级，魔高一尺道高一丈的策略也是层出不穷。事情到这一步，坏人是不是就没招了？

别急，接下来才到了故事的高潮。

有一天，监控拍到了离奇的画面：一户村民家的沙发电视突然自己飞了起来，然后穿墙出去。。。

小偷竟然会穿墙术和隐身术？？！！

没错，是漏洞，他们使用了漏洞！坏人利用系统漏洞盗窃企业资产时候，如果具象化一点儿描述出来，就是这样近乎魔法。

从本质上来说，之前的攻防对抗无论多么精彩，都还是在三维世界的框架里发生的。而一旦小偷利用了“漏洞”，就相当于直接进入了四维空间，瞬间实现“降维打击”，之前所有三维世界的防护系统都会失效。

就如同三体人可以用一颗水滴轻松串了人类2000艘舰艇糖葫芦，最终却敌不过万有引力号从四维空间进入内部摧毁它们。

这太不讲理了。

看到这，有浅友也许会问：搞了半天，小偷居然会穿墙。。。既然他们是如此 Bug 的存在，为啥不在一开始就用这种技术呢？

如果你看懂了前面我说的逻辑，估计已经知道答案了：漏洞很贵的。在之前的很长一段时间里，使用漏洞做降维打击，成本都会高于普通的技术攻击。对于小偷来说，既然撬锁就能解决问题，我为什么要费劲穿墙呢？

再重复一遍：小偷是全世界最讲经济学的动物。

然鹅，只有魔法能够对抗魔法，既然小偷不用魔法偷东西，那正义的力量也没必要启用“漏洞猎人”这样的高级魔法师来收拾他们。

所谓杀鸡焉用牛刀。

如今回望，2015-2017年，360和腾讯两拨漏洞猎人的恶斗，把漏洞这个“来自未来的武器”提前推向公众视野，其公关意义远远大于实战意义。

这造成了一种错觉和误判。漏洞猎人们以为自己的赏金时代已经提前来临，殊不知时代的天平只是被“3Q大战”的余波压偏了一点点，他们不过是在错误的时间被摆上前线充当了架上的花瓶。

事实也追认了这个判断。

2018年，相关部门叫停了出国打比赛的操作，中国猎人们彻底作别 Pwn2Own，老外猎人们长出一口气。与此同时，腾讯面临史上最艰难的那次“930转型”，无暇顾及细枝末节，于是在事实上退出了和360的漏洞军备竞赛，科恩实验室也变得不再稳定，人员开始流失。

人皆慨叹瑜亮生死对手，可公瑾一去，谁又能解孔明再无知音的痛彻心头？

虽然还有大黑客TK领衔的腾讯玄武实验室，老牌iOS越狱大神盘古团队，以及启明、绿盟这样的老牌安全公司和少数创业公司尚能为漏洞猎人提供容身之所，但如我之前所说，漏洞猎人的两个最根本的要求——“和能力相匹配的收入”、“展现自己的闪耀舞台”——他们却给不了。

某种意义上，这种收容对于漏洞猎人们算是施舍。

而真正能称得上漏洞猎人庇护所的，只剩下360 Vulcan 这一处——即便这一处也已风雨飘摇。

养一群顶尖的牛人很贵，特别是当他们不直接创造价值，甚至连“聚众打架”吸引眼球的公关价值也没有的时候。

最艰难的时刻就这么来了。

此时漏洞猎人唯一的收入，就是把漏洞报告给厂商获得的奖金。而按照大公司的“惯例”，任何外部奖金是要和公司分成的。这个规定无可厚非，毕竟公司给了你平台，负担了不小的人员成本，需要回血。

但那几年，MJ 还是死死支撑，厚着脸皮坚持把所有赏金都给到漏洞猎人。

而360虽然自身也处境艰难，爱才的周鸿祎还是尽力满足。可是，作为一家大公司，也许终究无法让一群“老司机”和一群桀骜不驯的“赛车手”相互兼容。

历史的湍流难免出现旋涡，纠结身处旋涡中的人谁对谁错，未免残忍。还好，旋涡永远是暂时的，大江毕竟东去。

MJ 告诉我，就在2021年，有两件事正在慢慢发生。

1、经过几年折腾，各大公司的“基线安全”已经基本完备。

经过五年拼搏，国家的《网络安全法》和“等保规定”要求所做的东西，各大公司都已经做好。这相当于“屋子上锁”，“装监控”等等合规性的东西已经干完。（这方面奇安信功不可没，可以参考《当年为揪住黑客，他做了天眼》）

这大大抬高了各大公司平均安全水位，一般的黑客进攻方法已经失效，或代价很大了。

接下来，如果黑客再想进攻某个公司盗取信息，漏洞攻击就会成为首选。于是，面对逐渐强大的“黑暗森林”，真正在乎自己被偷的公司，就要认真考虑“小偷会穿墙”这件事儿了。

2、各大公司最重要的东西变成了数据，而数据无法追回。

过去几年，更为主流的历史事件其实是“上云”。各大公司都把自己的业务系统搬到了云上，一来可以快速迭代自己的生产系统，二来可以用各种大数据产品运营自己的用户。

这两个改变有一个共同的效果，那就是：公司手里的数据越来越多，越来越有价值。

对于做坏事的黑客来说，这可是个天大的好消息——一旦偷到数据，转手就能卖个好价钱。

可对于公司来说，这是个天大的坏消息——数据不像你家的电视，丢了不怕，只要抓到贼就能追回来。数据是可以被复制的，只要“Ctrl C Ctrl V”就可以一个变俩。

这意味着一旦数据丢失，就是永远丢失。哪怕你很快就抓到坏人并且把他切个稀碎，泄露出去的数据仍然覆水难收。

结论是，安全产品的效果变成了二极管，非黑即白：如果在坏人利用漏洞进来的那一刻你能发现，就是100分。如果当时没有发现，数据泄露后再来追查，即便发现，那效果也是0。

属于漏洞猎人的时代来了。

终于来了。

（四）赛博昆仑和“大设计”

经过很多挣扎，MJ 做出判断，也许自己终究无法在360体系内部保护好这些漏洞猎人，他拜别周鸿祎，选择离开这家供职了14年的公司。

于是才有了文章最开头的那个微博。

MJ 喜欢摇滚，喜欢赛车，理论上他是为数不多能做到30岁退休喂马劈柴周游世界的人，而且在2021年春天，他也认真考虑过这个选项。

可历史把某个重担交给谁的时候，根本不会发一个委任状，它只是用人潮涌动把你推到那个位置，然后潮水退去，让你自己体会。

思考了一周，MJ 在心里干掉了那个想要喂马劈柴的自己。总有人要做这件事，既然是我，那就是我。若一去不回，便一去不回。他成为 CEO MJ，重新扛起大旗，试着集结中国最厉害的漏洞猎人，做出网络空间中独一无二的最强盾甲。

这家新生的公司，名叫“赛博昆仑”。

说了这么多，赛博昆仑想做的东西，究竟是个啥呢？

从 MJ 创业以来，很多人都在各种打听。可他也不说，咱也不敢问。。。

2021年8月，MJ 突然给我发信息说可以给我透露一些玄机，我老泪纵横受宠若惊。。。

上面这张图是 MJ 8月1日发的盆友圈，他他给我讲的，就是这个巨牛逼的 PPT 里面的“大设计”。

为了给你转述清楚，我们不妨先来做一个想象：

一家公司的“IT 系统”就像一个大楼，里面的每个办公室就对应着一台“主机”。无论它的业务是复杂还是简单，都可以抽象成一个个“办公室”之间的相互协作。

而坏人要想拿到数据，很可能不止穿一次墙。它会综合评估手上掌握的漏洞，以及总体攻击成功率，寻找一条最合适的穿墙路线，最终到达存放数据的那个屋，拿走数据。

当然，坏人穿墙的时候，不会提前告诉你什么时候穿，也不会告诉你用什么方法穿，更不会告诉你要走什么路径。

这时，最好的办法就是在每个办公室（主机）里都放一个“安全机器人”，它不干别的，专门负责感知有没有人穿墙。因为正常的人都是走门的，所以只要感知到有人穿墙，那一定100%是坏人。

这就是漏洞防护系统的基本工作原理，说起来并不复杂。问题的关键在于：这个机器人是不是见多识广，能不能识破所有的“穿墙术”？

这不是撞在枪口上了么？识破所有的“穿墙术”，正是漏洞猎人们的核心价值。

MJ 组建了昆仑实验室，网罗天下大牛，每天都在开足马力寻找最新的“0Day漏洞”，只要发现新的漏洞利用方式，就可以把相应的“疫苗”加入到防护系统里，从此对这种漏洞免疫。

“0Day 发现能力”，就是赛博昆仑的第一个独门绝技。

此时，聪明的浅友可能会想到一个技术问题：昆仑实验室的漏洞猎手们找到的 0Day 漏洞，和坏人们使用的 0Day 漏洞会一样吗？万一坏人用了 MJ 也不知道的 0Day 漏洞咋办？

MJ 从两个方面解释了这个问题。

首先，漏洞挖掘并不是完全没有规律，它有点像挖矿。

如果一个顶尖黑客发现了一个漏洞，那么在它周围，大概率会存在类似的漏洞，所以未来发现的漏洞，很可能和之前的漏洞属于同一个“矿脉”，也就是说，昆仑实验室研究出来的漏洞，很可能和坏人找到的漏洞“相撞”，这在漏洞挖掘领域有一个专用名词——撞洞。

即便没有完全撞洞，只要赛博昆仑所做的防护和黑客使用的 0Day 漏洞处在同一个攻击面上，也能使得坏人的漏洞攻击失效。

其次，现实世界中坏人使用的漏洞，绝大多数是已知的漏洞。

每隔几周，全球的大公司或开源组织都会发布公告，宣布一次升级，其中就包含对最近漏洞的修复。这会造成两个结果：

1）坏人们可以根据升级日志判断出修复的漏洞是什么；

2）各大公司反而有可能因为不重视或现实困难对系统的升级不那么及时。

于是，神奇的局面出现了：本来升级补丁是好事，却使得坏人掌握了漏洞信息，而好人没来得及修补漏洞，坏人就会用这种“1Day漏洞”来进攻好人。这种风骚局面有一个专有名词来形容：PatchGap（补丁裂隙）。

你还记得我们开始讲的微软 Exchange 漏洞吗？即便微软在3月已经紧急修复了漏洞，可是时至今日，仍然有一少半的 Exchange 用户没有升级这个补丁包。也就是说，此时此刻仍然有无数黑客在利用这个漏洞偷窃很多公司的机密。

你可能会问：这些公司怎么对自己这么不负责任呢？微软都推出了补丁他还不升级？

原因有些尴尬：很多漏洞的修复过程是需要系统停机的，停机意味着公司业务也要暂停运转——你如果不修漏洞，只是有“可能”被进攻；修漏洞，就意味着分分钟几百万上千万的确定损失。

那就没有一种办法，在不停机的情况下，把漏洞给补上吗？

其实是有的，这就是赛博昆仑的第二个独门绝技——热补丁。（MJ 内心 OS：没点儿绝活我敢创业？）

由于对漏洞利用原理有深刻的理解，MJ 他们可以在漏洞利用的关键点位上做一些特殊埋伏，就使得这个漏洞的利用完全失败。你可以理解为，不用把楼拆了重新盖，而是在墙面上装一个“符”，黑客的“穿墙术”就失灵了。

“如果黑客异常厉害，找到的0Day漏洞非常天才，没有野外泄露过，也没有被你们撞洞，就是完完全全的一块新矿，那是不是就防不住了？”我不死心，继续抬杠。

“并不是，因为我们还有另一层防护装置，人工智能。” 他冷淡地说。感觉我要不逼问他都没准备说。。。

这其实是赛博昆仑的第三个独门绝技——基于“程序行为”的人工智能。

简单来说就是，人工智能系统会分析大量的正常程序工作的行为，一旦有穿墙行为发生，就会出现特别的扰动。虽然这种扰动可能是漏洞防护系统所不知道的，但是却会引起人工智能系统的报警。

MJ 给我举了个例子。

1、假设坏人要用漏洞攻击你的 PDF Reader，黑客会把一个特制的 PDF 文件发给你，你不小心打开，这个文件就会通过一系列操作，把你的 PDF Reader 拿下。

2、一个 PDF 文件用漏洞攻击的时候，会在 A、B、C 这些行为上有异常，赛博昆仑的漏洞猎手们稔熟于心，于是他们就找来上亿个正常PDF文件，专门学习正常 PDF 文件在 A、B、C 这些点上的行为特点。

3、此时，黑客再给发送一个带漏洞的 PDF 文件，哪怕使用的漏洞是完全未知的，但漏洞攻击时表现出来的异常行为还是会被人工智能发现。

我们已经用很多 0Day 做了测试，人工智能的识别已经非常精准了。

MJ 语气平静地说。凡尔赛极了。。。

我截图了一张赛博昆仑的官网，你感受一下这种嚣张气焰。

说到这里，基础知识和进阶内容全部讲完，MJ 给我讲了他最近悟出的NB真理：

一次黑客攻击，从开始进攻到最终拿到数据，这个过程可以分为很多步骤，这些步骤环环相扣。越是在前面的步骤，它的变体越少，风险可能性越收敛，越好防护；越是靠后的步骤，它的变体越多，风险越不收敛，越难防护。

而在所有步骤中，漏洞利用，恰恰是最前面的一步。也就是说，只要防住漏洞利用，就很可能一劳永逸地掐掉后面所有的可能性。

就像下这种XO棋，你的第一步棋，直接影响后面的取胜概率。

听到这里，我的思绪突然起飞，想起来另一个事情。

我最敬仰的科幻鬼才菲利普·K·迪克有一部名作，叫做《高堡奇人》。这个故事的脑洞设定就是：二战的结局是德国胜利，盟军失败。

在这个基础之上，衍生出了无数故事：美国被一分为二，有人成为法西斯的走狗，有人成为反抗军试图殊死抵抗，想要恢复自由世界的荣光等等。。。

可是你有没有发现，这些艰难的反抗和人们付出的各种惨重代价，全都因为一个重要的前提：盟军输了二战。

“盟军输了二战”，就对应着 MJ 所说的“最前面的步骤”，也就是“漏洞利用”。

如果这一步不发生，那么后面正义力量的巨大牺牲和付出都根本不会，也根本不必出现。

赛博昆仑真正要做的，是赛博世界里如昆仑山一样的存在，横亘在平行宇宙之中，用自己的身躯切断一切覆水难收的可能性，一夫当关，太平万代。

正所谓，昆仑山上天风落，二十四桥吹洞箫。

（五）大庇天下寒士

赛博昆仑宣布成立第二天，无数资本就开始疯狂围堵 MJ。一瞬间，赛博昆仑成为了网络安全赛道的“头牌”——要不是明星投资机构，连见他一面都排不上号。

场面一度失控。

MJ 仔细思考，选择了两家顶级投资机构做为天使投资。

谈妥投资，MJ 很开心地从上海飞回北京。第二天早晨坐起来，阳光明媚，他突然感觉哪里不对劲。

一觉醒来，我欠了别人好几千万。。。

MJ 笑。

钱当然只是一个比喻，只不过投资人的每一分钱，都变成了他身上的沉重使命。接下来的日子，他不仅不能砍柴喂马，恐怕还得当牛做马。

出乎很多人意料，只用了三个月的时间，赛博昆仑就网罗了中国几十位顶尖的漏洞研究员，这其中既有曾与 MJ 共事的侠客，也有在江湖蛰伏多日等待使命的散仙。

在时光的河岸边，曾经走散的漏洞猎人们又重新聚义。

安得广厦千万间，大庇天下寒士俱欢颜。

顾不上搞个“聚义厅”大碗喝酒大口吃肉怀念旧时光，他们一秒都不敢耽搁，投入到新产品的研发中。办公室没装修好的时候，他们已经在附近的咖啡馆工作了一个月。

连咖啡馆的女招待都熟识了这位带头大哥“郑先生”，只不过，她恐怕永远都不知道，郑先生就是赛博世界的漏洞之神 MJ。

赛博昆仑马上要推出的第一款产品，将会是放在云主机中的漏洞防护系统。接下来，不同种类的漏洞防护系统将会被放入办公系统主机、网络设备、苹果或安卓手机等等等等。

那个守卫安全的机器人，将会把自己的无数分身派驻在每个企业大大小小的主机。而防护系统每前进一步，坏人的空间就会减少一些——赛博世界的昆仑山将由此连成一脉。

临近告别，MJ 给我讲了一个有关谷歌 Chorme 浏览器的小故事。

谷歌的重要收入是广告，而广告收入的前提是人们要用谷歌搜索引擎。微软眼馋，于是做了 Bing 搜索。微软利用 Windows 的高级权限，在系统里内置了 Edge 浏览器，并且默认 Bing 搜索，想要分走谷歌的广告份额。

为了对抗微软，谷歌才做了内置谷歌搜索的 Chrome 浏览器。

在随后和 Edge 的缠斗中，谷歌用了一个非常剑走偏锋的方法。

他们组建了漏洞挖掘团队“Project Zero”，专门挖微软 Edge 的漏洞。这倒谈不上构陷，只是用实力证明谷歌 Chrome 就是比微软 Edge 安全——因为我也并没有拦着你微软来挖我的漏洞。

微软也确实这么做了，他们赶紧网罗天下英豪，也来挖 Chrome 漏洞，但是，事实证明 Chrome 的漏洞真的很难找。这边费尽心机好不容易找到1个，对面已经找到了微软10个。微软赶紧回过头来修漏洞。这10个漏洞还没修完，对面又甩过来10个新漏洞。

微软研究员一看，那我们还找什么谷歌漏洞啊，修自己的都修不过来。。。。

微软研究员↓↓↓

谷歌研究员↓↓↓

这一切，普通用户当然都看在眼里。于是即便 Windows 深度捆绑了 Edge 浏览器，但所有人拿到电脑的第一件事还是下载 Chrome。

2018年，Egde 浏览器宣布，我们不干了，Edge 浏览器换成了 Chrome 内核。。。

这场隐秘的攻防，隐藏在诸多的商战故事中，并不为很多人所知。但某种程度上，它却昭示了未来世界的脉络。

“也许有一天，漏洞能够成为通用的标准，成为所有人评价产品好坏的重要指标。”他说。

事实上，MJ 他们也在这么做。

说不定未来会出现一个平台，能够从漏洞角度为所有产品评分，这个评分是动态的。比如，在今天A手机的评分高于B手机；也许到了明天，一个新的漏洞被爆出并且在野外传播，那么A手机的评分就会低于B手机。

如此，普通人也有权利看到自己手上的设备究竟是否安全。就像《黑客帝国》里那些走出母体的人们，终于看到真实而清晰的世界。

纵然真实的世界可能让人恶心、幻灭，甚至希望自己从来不知道真相。但看清并且接受它，从来都是让世界变得更好的前提。

代码来自人的双手。

只要人类继续书写代码，隐匿在其中的错误就是不可避免的。这意味着 0Day 漏洞永远不可能绝灭，但是，只要还有人愿意像西西弗斯一样推动巨石，就可以让 0Day 攻击更困难一点，再困难一点。

MJ 和漏洞猎人们每前进一步，隐匿在黑暗中的漏洞黑市就会后退一步，而那些在平行世界里被漏洞的冷枪射中倒下的人们，也可以在这个世界里重写自己的命运。

毕竟，有孩子在麦田奔跑，就要有人在此处守望。

再自我介绍一下吧。我叫史中，是一个倾心故事的科技记者。我的日常是和各路大神聊天。。