近日，四葉草安全獲得超 3000 萬元的 Pre-A 輪融資。四葉草安全是一家安全服務(wù)提供商，2012年 創(chuàng)辦于西安，旗下主打產(chǎn)品有社區(qū)化的 BugScan 分布式掃描平臺(tái)、BugFeel 漏洞感知平臺(tái)、CloverSec 實(shí)驗(yàn)室。

創(chuàng)始人馬坤，是前 HUC、FST 核心成員，2002-2008年 期間參加國(guó)內(nèi)多家 Hack 愛好者組織，曾獨(dú)立完成多個(gè)滲透測(cè)試項(xiàng)目。他表示，信息安全防總是慢于攻，漏洞被發(fā)現(xiàn)與被解決之間的時(shí)間差造成了各種各樣安全事件的爆發(fā)和延續(xù)，傳統(tǒng)廠家的安全設(shè)備雖然能解決一些常規(guī)的舊問題，但在面對(duì)新危機(jī)時(shí)候，發(fā)力有限。新型的互聯(lián)網(wǎng)眾測(cè)機(jī)構(gòu)的出現(xiàn)，以白帽子集中檢測(cè)的方式發(fā)現(xiàn)用戶的安全問題，在一定程度上彌補(bǔ)了傳統(tǒng)安全廠家的防御不足，但用戶對(duì)眾測(cè)不夠信任以及眾測(cè)人員自身的素質(zhì)不統(tǒng)一，并不能讓更多用戶對(duì)眾測(cè)買單。

也就是說，從早期的設(shè)備防御、到安全服務(wù)、再到眾測(cè)，安全防御的腳步一直在前進(jìn)，卻沒有追趕上黑客的步伐，防御依舊被動(dòng)。這也四葉草創(chuàng)立 BugFeel.Com（漏洞感知平臺(tái)）的原因。BugFeel 的目標(biāo)是自動(dòng)感知用戶痛點(diǎn)，讓用戶先于黑客發(fā)現(xiàn)自身弱點(diǎn)。架構(gòu)利用 python 雙引擎，可以實(shí)現(xiàn)無需值守自動(dòng)檢測(cè)、定制化應(yīng)用追蹤、以及應(yīng)用級(jí) 0day 預(yù)警。

其次，就是分布式掃描平臺(tái) BugScan。掃描器核心與插件使用 python 編寫，不依賴第三方庫，在任何可以安裝 python 的設(shè)備上，如 mac，windows，linux 等等都可以一條命令建立掃描節(jié)點(diǎn)；掃描插件相對(duì)完備，從弱口令到注入到 xss，主流 cms 識(shí)別，cms 漏洞，常用軟件漏洞，系統(tǒng)漏洞等都有。

這里利用了眾籌思維建立了一款產(chǎn)品 Q.bugscan.net（圈子），吸引的有一定編程基礎(chǔ)，且有能力分析漏洞的人安全愛好者，圈子里的人可以編寫掃描器插件，上線一個(gè)月內(nèi)插件從 90 個(gè)增加到 340 個(gè)。

在聊的過程中馬坤強(qiáng)調(diào)，國(guó)內(nèi)既可以編程又懂技術(shù)的黑客在 2 萬人左右，而圈子社區(qū)就聚集了 7 千多人，這是很強(qiáng)勁的優(yōu)勢(shì)。BugScan 平臺(tái)是針對(duì)發(fā)燒友的，產(chǎn)品本身也在利用平臺(tái)制造新鮮血液，所以不打算盈利。而感洞 BugFeel 是準(zhǔn)備商業(yè)化的，產(chǎn)品基于雙引擎，背后有圈子社區(qū)的支撐，基于 5年 的開發(fā)和多次重構(gòu)，已經(jīng)相對(duì)完善，可以做到在數(shù)分鐘內(nèi)對(duì)數(shù)萬臺(tái)主機(jī)進(jìn)行完整檢測(cè)。

馬坤還透露，四葉草服務(wù)過的客戶有全國(guó)二十多個(gè)省份的運(yùn)營(yíng)商，100 多家銀行網(wǎng)銀系統(tǒng)，某某石油，某某打車，某某寶等數(shù)百家知名企業(yè)。新一輪融資將被用于現(xiàn)有產(chǎn)品的深度研發(fā)、優(yōu)秀人才引進(jìn)、和智能化領(lǐng)域的投入。