10月，CertiK正式发布第三季度Web3行业安全报告。报告数据显示，本季度内，Web3因安全攻击造成的损失规模达到7亿美元，超过了整个2023年上半年损失之和。

公开性、透明性被视为区块链合约的关键优势，但高风险性也与之并行。同时，在熊市的大环境下，牛市“泡沫”套利的窗口关闭，也促使大量黑客将目标集中到了攻击区块链合约带来的“高回报”上。行业冷静了，黑客更猖獗了。

而诞生于上一个熊市周期中，几乎「创立了一个赛道」的CertiK，是Web3安全领域当之无愧的独角兽。CertiK自2021年起陆续获得Insight Partners，红杉资本，Tiger，Coatue，高盛等机构的投资，估值达20亿美元。

近日，CertiK首席安全官李康教授接受了蓝鲸财经的专访。来到CertiK之前，李康曾是Web2和AI领域的知名白帽黑客，替特斯拉、苹果、微软等公司都「抓虫」过。而踏足Web3的原因，李康告诉蓝鲸财经记者，是因为「这是一个非常需要安全的行业」。

李康表示，现在行业内，黑客攻击次数在不断增多。在这场攻防对抗的赛场上，如果无法有效管控风险，那么Web3的发展也就无从谈起。

李康指出，Web3安全需求始终在增长，但很多年轻的创业者没有意识到，「安全不是一锤子买卖」，项目绝不会因为完成了安全审计，就能把风险降至零。

而在熊市之中，项目方对安全的考量，可能需要权衡更多因素。“到底是担心被黑客攻击资产损失，还是担心别人比我更安全，从而失去竞争优势？”李康建议，项目方应寻找一个投入产出比最高的点。

针对AI在审计领域的适用性，李康表示，目前内部系统中AI辅助操作比例从3%涨到10%左右，但短期内不会超过50%。因为安全审计是一个对抗行业，审计要关注的点一直在变，当AI可以自动把安全提升的时候，这部分安全了，黑客也走了。所以AI短期内不会引起行业质变。

蓝鲸财经：在您看来，在当下的熊市环境下，CertiK在安全领域的工作重点，和上一个周期相比有没有什么不同？

李康：从一个安全公司的角度来讲，提供安全服务其实不区分牛和熊。我们更关注的是怎么确保项目方代码和资金的安全，确保用户有良好的安全体验。无论是牛还是熊，技术提供的内容服务最终都是同样的。唯一可能会受到的影响，就是你的受众以及开发者的数量会发生波动。

当然具体来说，比如去年DeFi项目更多，CeFi少，市场中可能会有不同类型的项目，它们的逻辑可能存在特定问题，但问题类型本质上是相似的。因此，安全公司的变化主要体现在数量上，而技术方面的本质并没有太大的变化。

而且整体来讲，在我看来，虽然市场有波动，但是大家的安全意识其实在不断增强。整个安全需求的大盘在增长。你也可以看到，有更多安全公司冒了出来。

蓝鲸财经：现在有一种情况是，很多项目方虽然安全意识提高了，但是缺乏充足的资金进行审计。这样的情况有是否有解法？从业者如何在资金有限的情况下降低安全风险，避免在安全领域进入一种负向的循环呢？

李康：具体是不是出现了负向循环尚未可知。不过在熊市背景下，大家一定有压力。这也不是Web3独有的情况，Web2的传统安全行业也会受周期影响。经济非常热的时候，安全上可以投入更多；经济不好的时候，安全就可能受影响，因为它毕竟不是能带来直接收益的。

Web3这边我的建议是，首先大家的观念上要有一个改变，如果你希望通过某种安全产品，把风险降为零，那安全的投入永远是不够的。安全攻防之间是有不对称的。你或许投入了很多，但是黑客只需要找到一个缺口，他就会攻进来。

那么，在这样的情况下，你在投入的时候，要考虑到不是把风险降为零，而是要看到头部风险是什么，是担心受到黑客攻击导致资产损失？还是担心别人比我更安全，用户会跑掉，失去竞争优势？

作为项目方，需要把这些东西综合起来，达到一个平衡，找到一个在你看来投入产出比最高的点。投入为零肯定是很糟糕的情况，但所有的财力都投进去，也不是最优解，关键是要找到适合自己的点。

在寻找这个点时，除了关注自身需求之外，还可以看竞争对手。我要比竞争对手做得好。

大家都在砍安全投入，砍为零肯定是一种办法，当项目活都活不下去了，安全投入肯定就砍没了。但是如果你还有业务，你要保住业务，就需要去平衡风险，是要彻底放弃防护工作，还是应该做适当的防护，把风险降下来。而且，不要觉得买了一个安全服务，就万事大吉了。它只是把你最重要的、最关注的风险去降下来。

很多企业说不知道该怎么办，这种时候，我觉得很重要的是，你要找一个信任的安全服务商帮你做一些风险规划。所以从我的角度出发，更多地是希望CertiK在提供审计、实时监测的这些服务之外，还能够成为客户的合作伙伴。一开始达成合作关系很好，但如果没有的话，起码先我们能够作为一个咨询方提供这些建议，帮助用户做出判断。我们也希望和客户进行长期合作。

总结来说，核心的点，我觉得是要转变安全观念。安全不是“一锤子买卖”，更多是一种风险管理。风险怎么管？找专业的咨询人帮你做。然后，再根据风险的情况，根据当前公司的情况，竞争对手情况，来选择一个合适的投入点。

蓝鲸财经：有部分项目在审计过之后，项目依然在比较基础的层面出现安全漏洞。您是怎么看待这些问题的？

李康：首先，就像我在上一部分提到的那样，没有任何一家审计公司能够和客户保证，审计可以消除100%的风险。如果真的有这么一家审计公司，客户听到这种说辞应该赶紧跑，因为对方肯定是个骗子。审计能做的，是在你的产品上线之前帮你降低风险。

此外，审计公司不仅具备代码审查的能力，还可为产品的优化提供有益建议。以CertiK为例，最近我们为一些客户提供了iOS应用程序的审计服务。当客户推出移动端应用程序时，我们会为其提供建议，指出当前的实施方式可能存在一些潜在问题。我们还可能指出客户未充分利用苹果的一些安全服务，因此建议客户采用这些服务以进一步提高产品的安全性。CertiK希望和客户建立长期的合作关系，从这种意义上，我们在面对客户时，肩负的责任也就更重。

因为安全服务需要保护的范围越大、周期越长，面临的风险也就越多。

所以在审计结束之后，我们也会继续提供自己的服务，持续监测。举例来说，我们看审计到a项目有问题，发现这个问题可能会影响到客户b，那么尽管我们和b的合同结束了，但为了培养长期的合作关系，为了品牌信誉，我们会主动联系b去查。

对于项目方来说，可以将审计视作某种安全“投保”，能够长期提供持续检测的合作方，应该是更可靠的。何况CertiK还有额外的品牌价值和信誉价值。

如果你没做好审计，项目出了问题，用户都会把压力给到项目方，但如果是审计公司参与了，而且问题确实出在审计的工作范围内，用户的部分不满就会放到安全机构这里。这个道理，在监管部门也是适用的。假设现在有一个香港的持牌交易所，如果它没有做审计，那么监管部门可能会直接吊销它的牌照，但是如果做了审计，还是找到一家知名公司做的审计，某种意义上讲，审计公司即承担了交易所的部分安全责任。

就像你说的，审计项目出问题对安全机构来说肯定是损失，但是我觉得这也是一种责任。安全机构尽一切努力避免这类事件发生，但审计无法保障100%的安全，这个的原因之前也向大家讲述过。这个问题，在Web2里也一样存在。比如不久前的新闻，微软的AI的数据泄露，对它的名誉是一个巨大损失，但因为他自己有很大的安全团队，有长期的安全投入，所以至少在安全领域，或者在Web2社区里，这件事发生之后，微软在安全方面的形象还是很好的。只是我们必须要考虑到安全措施无法全方位拦截攻击的可能性。

经过CertiK审计的项目出现安全问题绝大部分的原因是，发生安全问题的部分，并不在CertiK的审计范围之内。那么在这种情况下，我们会尽量给用户提供更多的建议，不断迭代产品和流程。

在当下Web3的所有审计公司里，我们的客户量应该是最多的，承担的舆论风险相应也就越大。但我自己觉得，这也是CertiK作为一个品牌，能逐渐成长、能长期做下去必须面临的挑战。

蓝鲸财经：您觉得目前CertiK在业务发展上遇到的比较大的困难或者瓶颈是什么？

李康：我觉得最大的困难，是在Web3这个领域，大家的安全意识还是不足。现在的开发群体非常年轻，很多还是刚刚转行不久，这些开发人员的安全意识，拿到很多互联网大厂，一般活不过前三个月就被淘汰了，因为写出来代码质量可能过不了关、我们看到的很多项目，安全风险真的很多，太多地方都不注意了。

同时，就像我刚才提到的，很多人的安全意识还停留在“一锤子买卖”的状态，认为我买了一次安全服务，从此就可以高枕无忧，没有把安全当成一个长期关注和投入的方向。

这两点是我们比较头疼的事情。举例来说，你经手了一个项目，可项目方后续会不断改代码，不断改配置，我们不知情，这样的话就很容易出事。

再有一种特殊情况，就是这个行业仍然存在一些目的不纯的企业，它做项目的初衷就是割韭菜。怎么把它们识别出来，降低整个行业的用户的风险，也是个挑战。不过这种情况我觉得现在已经改善很多了。

蓝鲸财经：在您的预计里面，安全审计这个行业会有一个怎样的发展格局？

李康：首先，需要明确审计的目标是什么。许多人通常将审计视为寻找漏洞，但实际上，这与财务审计有所不同。财务审计主要是查看是否存在欺诈行为，核实运营规范，以及确认资产情况等。在安全审计中，查找漏洞只是其中的一个环节。

安全审计的目标可以更广泛，包括确保代码安全性和遵循安全开发流程和规范。即使代码看起来没有问题，如果没有按照正规方法进行开发，也可能不合规。此外，推荐采用最佳实践也是审计的一部分。举例来说，苹果提供了许多开发和安全建议，审计公司会建议客户按照这些建议来提高安全性。

因此，审计不仅仅是发现明显问题，还包括制定行业标准等，未来审计会更多往规范化和流程化的方向发展。

同时，审计需要考虑谁是受众。目前，审计的结果通常提供给项目方和开发人员，但未来审计可能需要面向更广泛的受众。

举例来说，未来受众至少明白，一个经过正规的审计的公司，他一定会查了ABCDE这5项，也许没发现问题，但一定已经对重要部分进行了审查。但非正规审计，其特点可能是只查找特定的问题，甚至可能忽略了ABC，或者检查了不在关注范围内的F。

因此，审计的未来发展方向更加倾向于规范化，以确保承担更多责任，提供更可信的审计结果。这是我个人的观点。

但是很多时候，规范标准也是靠行业自己推，有需求才行。项目方之所以考虑进行审计，通常是因为程序员自己意识到需要外部审查。但现在很多因为写代码的人自己流程化不强，那么怎么帮他把流程建起来，这是很重要的。

蓝鲸财经：公司内部是怎样去培养安全审计的人才的？

李康：我们有一部分人员当然是从外部吸引过来的，他们已经具备相关经验，包括代码审计、流程审计以及传统安全领域的知识。

另一部分人则在公司内部培养成长。我自己个人认为，CertiK的最大的优势就是，我们审计的流程化标准化做得比较强。你从CertiK拿到了审计报告，无论是哪一个审计师哪个团队做的，最后出来一定ABCDE这些都会做，因为我们自己内部是有流程控制的。你如果找其他规模比较小的审计机构，不同审计师给出的报告质量可能水平波动会比较大。

我们其实投入大量的人力在做流程化的平台，新来的审计工程师就会先在平台上，跟老师傅一起做团队去审计，每一部分都有自动工具会来辅助他。如果没有跟有经验的人做的审计，我们还会有第二次再审，让员工能够逐渐成长起来。

蓝鲸财经：您觉得AI之后有没有可能进行主要的审计工作？

李康：AI一直在做，我说的更广义一点，我们一直在做机器学习。内部系统中，工具、辅助的比例也在增长，但是现在还大部分处理还是人工。现在AI处理可能从3%涨至不到10%的样子，但是你可以看到它是在涨，我认为短期应该看不到它能够超越50%，我觉得很难。

因为现在很多时候，首先我们使用的AI，虽然我们有自己的培训，但像ChatGPT这种大型语言模型，它是没有办法直接拿过来用的。它更多地起到辅助的作用，帮助我们去理解程序的某些部分，对我们的分析人员很有帮助，但是让它独立执行任务还是很难。逐渐地，它可能在某些特定领域提供一些功能，但是安全是很特殊一个行业，它实际上是一个对抗行业。当某些领域变得更加安全，比如说是自动生成代码，然后我们自动发现并提高安全性，这意味着我们在这方面更安全了，黑客可能会寻找其他弱点。我们需要不断调整关注的重点，至少在未来5年内，安全领域发生质变的可能性不大。

一方面AI确实能帮我们识别更多的事情，但是现在有越来越多的代码是用AI来生成的。这本身没有问题，关键在于AI赋能了更多的没有安全经验意识的人去写程序。这个时候安全性就成了最大的问题。很多情况下，这就可能会忽视一些潜在的问题，因为开发者没有考虑到它们。缺乏安全意识的人容易犯这些错误，而如果让AI来编写代码，它会按照我们的预设方式来操作。例如，我们可能从不考虑某个输入是负数的情况，但如果让AI来写代码，它可能会根据我们的意图编写，最终导致潜在风险。我认为，AI生成的代码可能会引入更多风险，这是我的观点。

一个是AI的本质还需人去训练，第二个AI会让更多的人进去写代码，降低了门槛。而根据过去的经验，每当门槛降低时，我们都会看到更多的安全问题浮出水面。比如有一些低级错误，经过专业训练的人是不会犯的，但现在却屡见不鲜了。

蓝鲸财经：是否有一种情况，一个极端的漏洞出现，导致CertiK在名誉上面有非常大的损失？

李康：可以说一旦出现任何一个漏洞，对CertiK而言都会造成名誉损失。其实每家审计公司都是在面临这个问题，我们也一样要降低风险，但我们要做得更好。

因为CoinMarketCap所有披露了使用第三方审计的项目中，CertiK的市场份额超过70%。这意味着，虽然CertiK的项目风险百分比低于行业平均水平，但项目的绝对数量还是会比别人多。

所以我个人认为，这些都是头部安全机构不可避免的要承担的责任，我们必须努力降低风险。