由于 Windows的“初始设定”就是允许用户开放式地下载、安装、使用各类应用，这既增加了被攻击的风险，也使其无法对软件生态进行收敛的品控。因此微软需要的是更强有力的安全生态，而不能抛弃其本身的开放式和硬件兼容的传统优势，来片面地学习苹果的运营经验。微软也有部分的闭合运营生态，但Surface平板并不是Windows用户的主品选择；微软推出了自己的应用商店Windows Store，但用户的主流习惯依然是从网络下载。本次事件也并不能根本改变微软的运行模式。

要站在这些大的背景下，看待Windows系统和Mac OS的稳定性差异。与此同时，这也给我们信创信息系统如何走好供应链和软件生态，提供了两种差异化参考样板。

心智观察所：CrowdStrike包括更早的Palantir等企业，惯于通过炒作中俄威胁博取流量，拉升估值，也深度融入美国情报界，根据您的观察，这些企业除了防御之外，是否也是美国赛博战各类APT的幕后供应商？

肖新光：目前没有证据可以作这样的判断。从美国网络安全产业机构来看，其有对应的分工模式。为美国情报机构供给攻击能力、甚至直接下场作业的厂商，多为情报承包商或军工承包商，而像CrowdStrike这样的资本宠儿，其能力输出主要还是在防御侧。虽然CrowdStrike在支撑美国网空霸权的过程中，频繁地交纳抹黑他国的网络安全问题的报告，作为“投名状”，但从利益立场来讲，其背后的资本还是需要强化其作为国际化产品企设，对资本利益来说，需要这些产品来构建面向全球用户的信任。从美国情报机构来看，其产品的广泛分布，本身就构成了广泛的感知价值，让这些企业参与攻击作业或能力供给，是得不偿失的。

库尔茨于宕机风波后首度接受采访NBC“今日秀”截图

但与此同时，我们必须警惕，由于美国情报机构与规模型IT厂商联动的运行模式由来已久，“棱镜”系统的曝光就是铁证，而CrowdStrike采用广泛的托管运行模式，可以说是基于深度采集用户信息、汇聚到自身服务器上，来达到运行效果，这些数据很有可能在美国情报机构窥视的范围之内。同时，在美军推动“向前防御”的战略过程中，相关的安全产品本身也具有了军事装备的属性，其所进行的安全托管，虽以“加强盟友防御并提高共享网络免受网络威胁的弹性”为说辞，但实际上采取云化、托管等运行模式，实际让美方掌握了“盟友信息系统”的操作及防御能力，获得了关键信息系统的掌控权。

同时，其感知能力对0day漏洞利用的发现，其研究能力对新的漏洞挖掘，有可能会进入到美国情报机构的NOBUS（nobody but us, 没有人能利用漏洞除了美国自己）的体系中，成为美国情报机构作业，或者赋能给其盟友的资源。

此外，部分美国安全企业为美国政府、军方客户提供专属性的能力输出或者运营加强，例如美国反病毒企业迈克菲就专门为美国政府提供Government Signature（政府客户专属检测规则），从而使美政府或军方拥有比民品更强的差异化防护能力。

心智观察所：CrowdStrike是美国主要的云、终端安全厂商之一，是云原生网络安全的主要推手之一。这个事情让我们认识到主机系统侧安全能力建设的重要性。在公有云虚拟机时代，我国目前的在网络安全的自主化可控程度如何？国内政企机构目前Windows主机用户的比重大概是多少？目前哪些安全产品在国内政企机构中占据主流？这次事件对中国网络安全自主可控的进程会产生怎样的影响？

肖新光：本事件充分说明了：网络安全产品和技术的自立自强具有重大意义，它的重要性不亚于（甚至在某些场景下超过了）基础信息产品和技术的自主性的重要性。基础信息产品的自立自强价值在于，不仅能在脱钩、断供、“卡脖子”的情况下，依然能继续支撑数字化转型发展，在我们产品具有特点和先进性的时候更可以进入国际市场竞争。而网络安全的自立自强价值在于无论我们运行着何种信息系统，我们都拥有自己的安全屏障。尽管我们在不同安全产品的技术能力上存在着参差不齐的情况，但我们整体的产品能力谱系是完整的，没有基础缺门，能够满足安全的基础要求，这是我们实现数字化转型发展的重要保障基础。我们更能以自主安全能力为第三世界国家和友好国家提供安全保障。

长期以来，国内在网络安全产品的采购过程中，相对更愿意去堆砌盒子，加上互联网免费安全模式带来的影响，使得以软件为形态的、主机终端侧的安全产品长期未受到应有的重视。但随着资产云化、泛在接入和加密流量的普遍使用，传统边界衰减失效已经成为必然，系统侧安全基石作用的回归效应越来越明显。本次事件更让我们意识到，主机系统安全能力的重要性，CrowdStrike所展示的恶意代码（病毒）检测防护、内核级主动防御、分布式主机防火墙和威胁阻断、外设和硬件管控等模块化能力，也成为了我们很好的能力对标物。我们需要打造与之比肩、甚至超越的系统安全能力。这次事件进一步地让我们看到安全产品的本质是软件，而非载体设备。安全软件的灵魂是能力迭代，而不是软件功能。安全产品的自身可控，本质上是安全基础能力、模块、算法的自主性，而不是简单的载体的自主性。聚焦于防御有效性、保持威胁对抗的敏捷迭代，与此同时，做好安全产品本身的安全性、稳定性及可靠性。

从国内需求场景来看，Windows系统虽然在国内政企机构中的使用占比在不断下降，但在一般的企业和个人用户中仍然是绝对主流。与此同时，国内终端信创主机占比不断提升。公有云已经成为较为成熟的产业，而私有云、混合云也处在新的建设热潮中。国内系统侧需求场景复杂，防御战线较长。供给侧则处在百花齐放的状态中，有多家厂商都有一定的自身特色，但还未产生领域的终局赢家。

心智观察所：在您看来数据驱动的AI大模型技术会对网络安全领域乃至云计算技术栈带来怎样影响，公司在这方面是否已有实践？

肖新光：以AI大模型为代表的智能技术，对网络安全带来了三个需要关注的问题：一是大模型技术本身的安全性问题，二是大模型基础设施成为新的攻击目标和场景，三是大模型对网络攻击的赋能和加速问题。根据这几年的观察，我感觉国内的一定程度上过度关注AI大模型本身的安全问题，但对于后两者的关注、研究和投入是不够的。

其实新技术带来的最突出风险，往往都是其对现有风险的快速赋能与加速。大模型对网络攻击的助力作用极为明显，可以在知情侦察、脚本增强、辅助开发、社工活动、漏洞研究、有效负载生成、异常检测规避、安全功能绕过、资源开发等阶段，提供全生命周期完整赋能，能够对攻击杀伤链的侦察追踪、武器构建、载荷投递、漏洞利用、安装植入、持续控制、目标达成的全过程起到助力作用，导致攻击自动化能力的快速提升、攻击成本的快速下降，这一趋势本身更值得重视。

同时，扼制新技术风险的关键，往往就在于技术本身。例如互联网技术带来了威胁的快速流动，但同时也带来了安全能力的快速部署和敏捷响应；云计算带来了针对其体系的攻击从而导致整体崩溃的重大风险，但这种体系特点强化安全后，也能够形成高度弹性的防御体系结构；大模型和AI能够为攻击赋能，当然也能为提升防御能力赋能。其不仅能改善检测、识别等防御能力的效果，更能有效辅助海量执行体（恶意代码）分析、流量缓存分析多源日志（事件）分析、暴露（攻击）面分析、用户与实体分析，提升多源情报汇聚整合的效果，对全局策略（基线）编排、全局决策、响应编排、综合风险分析收敛提供积极的价值。