【文/观察者网专栏作者 潘攻愚】,“不要去盯着恶意软件，而是要去识别恶的思维。坏人们正在利用他们的狡猾技巧渗透和攻击地球上的每一家大公司，我们必须知彼之长，进而实施打击，最终战胜他们。”,这是八年前Crowdstrike CEO和CTO共同接受某家西方主流媒体采访时的名言。,上周五以来，这家全球知名的云计算端点网络安全公司以一种奇异的方式，让名字本身的字面涵义成为了现实：群体+罢工（Crowd+Strike）。霎时间，全球微软Windows系统大面积蓝屏死机（BSOD），致使航班停飞、火车晚点、银行异常等，间接经济损失难以估量。,几天来，社交媒体上围绕此事的声音主要分为三种，一种来自Crowdstrike、微软和美国官方安全部门的道歉性解释；一种来自欧美科商界名流如马斯克的斥责和嘲讽；一种则是阴谋论的“小作文”，内容无怪乎这是否是一场有关网络安全战争的应力测试？抑或是Crowdstrike家贼难防，是内鬼的黑客式攻击？,对其中任何一种声音的认同或驳斥，以及从技术层面对事件本身的解读（比如终端安全软件Falcon Sensor推送的错误配置更新与Windows兼容性问题），都离不开对本文开头这一段话做一种溯源性的分析。Crowdstrike的“网络安全神学”，就隐藏于此。,该“神学”产生了连他们都无法自视的三大悖论。,悖论一：“没有坏程序，只有坏人”——谁是坏人？,一部短小精悍的人类互联网软件发展史，充满了原始软件开发者与分销商的利益纠葛。微软Windows过去几十年来不断开疆辟土，这一过程伴随着的是将其广袤领地的安全保卫权分封给“诸侯”，即诸多端点和云工作负载承包商。,CrowdStrike背靠Windows生态大树，接住了多租户、云原生时代泼天的富贵，在网络安防端点保护市场目前拿到了全球近乎四分之一的市场份额，依靠过去十多年处理大型国际网络攻击和惩治黑客的优异记录，成为一众全球500强跨国大公司的内网安保的不二人选，公司高管也在美国“旋转门”体系下，不断游走在政府情报系统和头部网安商界之间。,不过，我们还是需要承认CrowdStrike在杀毒软件、威胁情报、端点检测和响应（EDR）等方面所作的颠覆性创新，这种创新性其实根植于深层访问计算机的操作系统。这种主动的“端点检测和响应”机制相比传统杀毒软件被动识别防御体系要高明的多。,CrowdStrike首席执行官George Kurtz从不讳言并且在公开场合大肆宣扬自己的打法是多么的“高明”：我们的竞争对手只能识别坏程序，我们能识别“坏人”。换言之，最高级的杀毒软件要从作恶者的“念头”就要开始将其掐灭，如果作恶者已经出现了作恶行为，你再去防御就已经晚了，这无异于一种高级的安全机制左移（shift left）。,云原生技术的不断成熟，让CrowdStrike在云端部署的主动防卫机制可以大显身手。该技术架构能够让大型公司的软件系统尽可能地剥离云应用中的非业务代码，聚焦功能性业务，高效打造敏捷、智能云计算服务。,,云原生网保市场，未来将有超过20%的年均复合增长率，前景看好 ,企业数据迁移上云，突破了本地化的规模问题，无服务器架构可以做到化繁为简，将能够让企业免去管理与维护服务器的过程，因此，系统安全能力随之在在云主机、虚拟化、容器中延展。,Falcon平台是CrowdStrike的核心拳头产品，完全基于云端部署的SaaS模型，公司公开对外标榜该产品能够提供实时的攻击指标、威胁情报，在“矛”和“盾”的比拼中不断加厚盾的防御力。,如果把一家企业的数据中心和网络后台比作一个庄园，CrowdStrike的Falcon平台保护机制软件在云端就可以扫描这个庄园的每一片墙皮、砖缝和下水道的暗沟，力求杀死可能让蟑螂、臭虫存在的土壤，并同时抵御潜在外部入侵者。,它的逻辑是，通过理解所服务的主人的一切，包括肌体内一切毛细血管，来试图猜测、判断来自外部入侵者可能会选择的突破点，从而监测到坏人的“非法念头”，做好提前预警。,越是更好地理解你服务的主人，你就越能判断主人潜在的敌人是谁，如果你不能识别潜在的敌人，那只能说明你对服务的主人不了解。,这就是Crowdstrike在云计算时代的生存逻辑。问题是，他们太了解其服务的主人——微软Windows了，以至于把自己变成了主人的敌人。,国内头部网络安全技术服务公司安天集团在分析此次BSOD事件时，一阵见血地指出，该公司的终端安全软件Falcon Sensor推送的错误的配置更新与Windows系统发生了兼容性问题，证明了安全产品的安全功能和安全产品本身的安全的并不等价。,因此Crowdstrike这次无法实在无法甩锅到外部，辩解这是一场无意之失的bug引发了灾难性后果，而不是黑客攻击。这个结论无异于承认了自己就是那个“坏人”。,悖论二：用AI加持算法，却无法用AI解决问题,如前所述，Crowdstrike近几年乘上了发展的快车，时代的进程除了云原生之外，还有AI大潮。Crowdstrike可是去年纳斯达克十大“AI牛股”之一。,在“AI+网络安全”成为资本市场青睐的宠儿之大背景下，Crowdstrike敏锐嗅到了商机，他们搞了一个虚拟AI分析师，帮助平台用户快速创建工作流程。用户可以向该虚拟分析师提问，可以了解实时网络安全漏洞或其他安全问题。,而且该公司还优化了算法，通过使用ChatGPT等AI工具来帮助重用和调整源代码，其Falcon平台利用大规模的相似性搜索来提高效率，利用基于AI深度学习的特征描述符来促进对数十万恶意脚本的近乎即时搜索。,,Crowdstrike研发的AI防病毒分析师Charlotte小姐，很遗憾，她在出事之后啥也干不了 ,通过比较传入文件与已知恶意软件的相似性来进行检测的理念并不新鲜、不过，这一次我们需要恭喜CrowdStrike，他们多了一个研究样本，就是他们自己开发的“恶意软件”。,其产生的悖论在于，通过AI加速用户快速创建工作流程，提高检测效率，但出了问题时，AI算法却失灵了，CrowdStrike的修复程序需要一台电脑接一台电脑手动修复。不少网络安全专家说，受影响组织的恢复可能需要数周或更长时间，耗时耗力。,悖论三：反华与自主可控的回旋镖,即便是最推崇CrowdStrike安防水平的拥趸，也无法否认CrowdStrike并不是一家完全做到“在商言商”的科技公司。不用过多起底这家公司的成长史，仅举一例即可知全貌。公司最高领导人之一曾是FBI官员Shawn Henry，他带领公司有过多次解决对俄罗斯、朝鲜、伊朗等国黑客攻击的经历。,如果我们再次追溯人类软件发展史，就会发现二战后的美国，工业、商用操作系统的最大买家长期是美国国防部和国家航空航天局等官家，ToG而非ToB曾是网络安防的重点布局对象。,基于此，我们才能理解美国“网络安全和基础设施安全局”（CISA）主管Jen Easterly在Linkedin上评论此次灾难性事件时，不断强调公众要克制情绪，不要对CrowdStrike“扔屎球”，更要看在之前CrowdStrike搞过对华出色的情报战和信息战的份上，尽可能原谅这种“小失误”。,,美国“网安局”主管居然在Linkedin上发长文，认为此事不能排除是中国黑客所为,更加奇异的是，此次BSOD大灾难出现之后，欧美主流媒体纷纷追问为何中国反而成为了此次事件的免灾高地，得出的结论是CrowdStrike在华市场份额可以小到忽略不计，“保护”了中国的网络安全。在强调网络安全，技术主权自主可控的叙事模式下，CrowdStrike对华技术隔离反而助华免疫，这是对CrowdStrike多年来所秉承的政商一体发展逻辑的巨大讽刺。