源于光谷的验证革命

　　蒋李 杨佑安

　　近年来，不少网站与APP的登录验证越来越复杂。而且随着OCR（光学字符识别）技术发展，这些验证码也无法完全避免“网络黑产”（如数字金融欺诈、恶意广告推送、网络刷票等等）的恶意攻破。

　　这一背景下，总部位于武汉光谷的交互安全服务商极意网络科技有限公司（以下简称“极验”）创造了一次技术革新：无需输入任何字符，像解锁手机时一样，轻轻拖动按钮到适当位置完成拼图就完成了验证，整个过程平均仅需1.8秒。

　　经过6年多的探索，该公司已服务了华为、小米、NIKE、Airbnb等全球26万家企业网站与APP，并获得了红杉资本和IDG资本的两轮融资。

　　从字符验证到“行为式验证”

　　极验创始人吴渊是个地道的武汉人，他的团队和创意也在本地孵化。

　　2009年，吴渊从武汉大学遥感科学与技术专业毕业后，在武汉大学测绘遥感信息国家重点实验室从事科研工作，研究方向为计算机视觉和机器学习。

　　学习之余，吴渊在大量接触网络世界的过程中，认为“验证码是互联网上最令人讨厌的事物之一”。

　　为什么？这要从验证技术的发展聊起。

　　在极验成立前，不管国内还是国外，字符验证码已有十多年历史。

　　该模式原理是向请求发起方提出包括字符的相关问题，能正确回答的是人类，反之则为机器程序，因为“人能识别字符，而计算机不能”，从而防范垃圾邮件、欺诈软件、机器人程序批量操作等现象。

　　但随着OCR技术的发展，计算机能轻松绕过字符验证这个关卡。于是乎，各平台为增加安全性，开始在字符形式上大做文章，导致人类也不易于辨别，甚至经常输错。

　　吴渊找过机构做过测试，字符验证码平均耗时15秒之久，甚至一些用户看到有验证码，就放弃了原有使用该功能的意愿。

　　随着技术演变，人们创造出比字符验证码更安全却还要复杂的图形验证码。

　　以12306铁路售票平台为例，经历了简单数字—数字加字母加减法算式动态码添加干扰线的变形字母

　　图形验证码的转变。

　　这类模式降低了“网络黑产”的恶意购票占座和账号问题，但对用户也干扰更大。尤其對有视觉障碍、认知障碍的人而言，输对一次比登天还难。

　　如何让验证变得既简单又安全？吴渊与师弟张振宇交流后，得出的结论是字符、图像已是条“末路”，必须另辟蹊径，探索一些颠覆性的方法。

　　基于在计算机视觉、机器学习等知识的积累，吴渊、张振宇思考的结果是“行为式验证”解决方案。

　　1月18日，记者打开了极验合作方哔哩哔哩弹幕视频网进行登录。输入账号、密码后，会弹出一张卡通图片，下面是一条虚拟拉杆，只需将小碎片拖到合适位置拼成一张完整图片即可通过验证。

　　此过程像游戏一样有趣，平均1.82秒即可完成验证，背后逻辑是通过采集用户拖动过程中的行为数据，判断操作者“是人还是机器”。

　　“机器无法完全模拟人类的拖动过程，从字符、图片的‘10时代到行为式验证的‘2.0时代，安全性至少高出40倍。”张振宇对支点财经记者说。

　　“解决自己实际遇到的问题才是最好的创业。”2012年6月，吴渊、张振宇创立极验，分别出任CEO和CTO（首席技术官）。他们的初期目标非常简单，就是在年底做出最初的产品形态。

　　“黑产”的敌人

　　公司启动资金是3.2万元，艰辛程度可想而知，熬夜甚至通宵工作是两位创始人工作常态。经过几个月努力，第一版本在2012年底上线。

　　产品虽然设计得有些简陋，但其背后技术原理与后来产品一样，都是通过行为识别来区分是人还是机器程序。

　　他们的首个用户，则是武汉大学珞珈山水BBS。设计滑动条时，极验采用了武大风景图作为验证图片，得到了不错的反馈。

　　不过，校园BBS毕竟是一个相对单纯的空间，要真正意义实现市场化，就得进入“网络黑产”更为肆虐的领域。

　　以游戏网站为例，黑产从业者往往用机器人程序进行暴力登录、批量重复操作，最广为人知的获利方式就是“薅羊毛”。而验证技术，就是“第一扇关卡”。

　　彼时，武汉265G是全国颇为知名的游戏门户网站，日均浏览量超过1000万次，注册用户超过5900万。但每次举办福利活动时，265G都会被“羊毛党”所困扰。

　　“极验成立不久后，265G举行了一次投票活动。为防止被恶意程序大量刷票，他们需要一种既对用户友好，又相对安全的解决方案。”张振宇说。

　　做游戏行业的公司一般思想较为开放，敢于实验市面上很少见的产品。265G与极验多次接触后，率先使用了“点一下、拖一下就能完成验证”的方式。

　　合作进展得十分顺利，此后一些同类企业也主动联系极验，希望应用这一技术。

　　“17173、电玩巴士等游戏门户网站也陆续使用这一产品，到后来斗鱼、战旗等游戏直播平台也都成为了我们的客户。”张振宇说。

　　技术型创业团队往往短于营销，但由于极验产品能被外界清晰可见，且有些企业拖动页面中会带上极验LOGO，这类无形的宣传弥补了这一短板。

　　2013年10月，在未进行任何推广的情况下，极验获得超过1300家网站用户，游戏类属大类；2014年，公司开始针对银行、证券等对安全有更高需求的客户提供定制方案。

　　如今，极验客户已涵盖包括华为、小米、NIKE、Airbnb在内的全球26万个企业网站与APP，每天为客户提供服务超过10亿次。相比图片验证码，累计为终端用户节省了280万天以上的时间。

　　在“薅羊毛”盛行的情况下，这些合作也降低了相关黑产的活跃程度。

　　而在业务拓展过程中，吴渊和张振宇依旧都不停地追问自己：用户体验还能不能再提高，再提高会是什么样子？

　　2017年3月，极验推出行为验证30解决方案，在保障安全前提下更能让验证如按钮般“一点即过”，整个验证过程只需0.4秒。

　　“下一阶段可能是验证形式都没有了，直接通过其他行为判断是不是人在操作，将行为验证的潜力更深入地发掘出来。”张振宇说。

　　“安全但不仅限于安全”

　　创业最初几年，吴渊经常与不同投资人接触。不过行为验证技术太过细分，且在全球范围内都具备一定的颠覆性。因此，能看懂其价值的投资人并不多。

　　2012年10月，杭州天使湾的一名投资经理到武汉开会，听到公司介绍后非常感兴趣，很快就敲定了几十万元的天使投资。

　　极验已试图将业务范畴从验证扩充到生物特征、人工智能技术可涉及的其他场景，实现多元化布局。

　　但到了2013年，公司账上的钱一度不足以支撑研发团队。

　　彼时，团队遭遇了最大的挑战，但没有一个人离开。好在2014年，最早进入中国的外资投资基金IDG资本抛来了橄榄枝。

　　据了解，IDG资本一直都很关注为企业提供服务的创业项目，而极验针对安全领域的创业刚好符合其投资方向。

　　2014年10月，极验获得IDG资本数百万美元A轮融资，2016年3月，公司又获得红杉资本领投、IDG资本跟投的2400万美元B轮融资。

　　“除资金外，投资人还在公司治理、市场开拓、战略合作方面予以支持，譬如介绍一些客户，包括业务有所交叉的兄弟企业。”张振宇说。

　　值得注意的是，这些国际一线投资机构看好的并不单纯是公司在全球验证市场方面的领先优势，更看好其未来发展空间。

　　譬如，极验已试图将业务范畴从验证扩充到生物特征、人工智能技術可涉及的其他场景，实现多元化布局。

　　“公司以前简称为极验验证，现在叫极验，就是希望在验证外的领域大展拳脚。”张振宇表示，“安全但不仅限于安全”是公司的希冀。

　　目前极验产品主要应用登录注册环节，但如果对账号登录后的操作也进行监控，便能进一步防范自动程序及恶意操作，提升客户安全性。目前，公司正在与华南、华东地区的银行客户洽谈这方面的深度合作。

　　“除此之外，我们还推出了一些基于身份验证、行为分析的数据类产品。与传统平台不同，我们可以对虚假流量进行有效拦截，输出将更加精准与真实。让网站、APP更了解他的用户，从而提升企业运营能力。”张振宇表示，做数据分析看起来挺“跨界”，但恰恰能发挥极验处理海量数据的算法优势。

　　而且如今海外市场仍是图片验证码为主，这意味着极验走向世界后有极大市场空间。

　　值得注意的是，相比国内单个客户的年服务费，欧美市场同类服务可获得双倍乃至更高报价，客单价非常可观。目前，极验也将客户、用户群体拓展至日本、韩国、北美、欧洲等部分国家和地区。

　　“我们和NIKE在内的不少全球化企业的中国分部建立了合作，2019年计划将这类合作扩大化，将产品应用到他们的全球体系之中。”张振宇说。

　　直面挑战

　　极验公司面积不大，但生机勃勃，吃的、玩的、运动器材一应俱全。张振宇表示，目前公司已有近百人，不乏从BAT回来的技术人才。

　　充满朝气的背后，公司也一直面临着复杂的竞争环境。

　　“不少友商借鉴我们产品并有所创新，老实说这是好事。但也出现过部分企业恶意侵权的现象，对客户、行业都带来了负面影响。”张振宇说。

　　另一方面，如果大量竞争对手、甚至是BAT等级的巨头携巨资、流量进入行为验证领域，极验是否会被迅速超越？

　　张振宇表示，很多产品形态看起来类似，都是同样的“滑动验证”，但在后端数据积累和算法优化方面，是有本质差异的。

　　“相对于c端，B端产品更需要时间积累。我们在这个领域做了六年多，这两方面都有先发性，而且在头部客户占比方面也有绝对优势。”张振宇说。

　　据了解，极验积累的行为样本数据已超过100亿份，有效区分人机的行为特征已超过200个，这都是其核心门槛。

　　除直接参与竞争外，也有些公司希望直接收购极验，不过张振宇表示，公司当前还没有被并购的打算。

　　放眼全球，Google将是极验强有力的竞争对手。

　　2014年底，Google推出“No CAPTCHA比CAPTCHA”的服务，翻译过来就是“没有验证码的验证码”，只点“我不是机器人”的方框就能完成验证。

　　这是怎么做到的呢？简单来说，用户进入了该页面时，软件就开始收集各种信息，包括IP、cookies、时间、分辨率、鼠标键盘的操作和其他数据。当点击完成后，这些信息将被服务器判断是否是真人操作。

　　这种方式体验感也很好，但一定程度上会引发用户对隐私泄露的担忧。

　　吴渊表示，用户都会担心数据泄露的问题，极验也会一直保持拿用户最少的数据、最有效的解决问题，“当然这也需要在技术上下足功夫。”

　　面对未来挑战，技术创新、市场拓展都需要资金。如今极验已成立6年，营收近亿元，收支已基本平衡，拥抱资本市场也将提上日程。

　　据了解，极验已是武汉光谷“科创板”后备企业之一，该板将在盈利状况、股权结构等方面做出差异化安排，增强对创新企业的包容性和适应性。

　　“我们是互联网企业，投资方也大都是美元基金，因此过去主要考虑在海外上市。但如果国家有好的政策，我们肯定也会好好考虑的。”张振宇说。

　　蒋李 杨佑安