叫醒陶思南的，不是闹钟而是好奇。等了一个晚上，谜底即将揭晓。

一早6点钟醒来，陶思南简单收拾行装出门，从家一路跑到公司。稍作喘息，他打开电脑兴冲冲地想看昨晚加班布局的成果。果然有“鱼儿”上钩——刚开发的网址欺诈检测模型识别出几百个诈骗网站，并作了上万次拦截。

这是2009年刚到腾讯的陶思南，一个每天想通过编码“小步快跑”验证各种想法的“后台开发组”实习生，而今成长为他人口中“稳重、内敛”的高级技术总监，他说这种“急性子”依旧改不了。

过去十年，陶思南在腾讯几乎只专注一件事——反欺诈。这十年也是以腾讯等为代表的中国互联网企业发展最快的时期，随着互联网的扩张，相应的网络黑灰产迅速蔓延，市场规模已达到千亿级别。

长期处于业务一线，陶思南见证了网络欺诈的发展历程，各种诈骗像野草一样“春生吹又生”从未停止，而他也亲历了和黑产长达十年的“无限战争”。

出现在同事“噩梦”中的实习生

研一暑假找实习单位，22岁的陶思南面临两个选择：去北京的IBM还是深圳的腾讯？

2009年那会，成立仅十年左右的BAT才开始崭露头角，世界IT中心位置依然由美企霸占。按照金融时报公布的数据，2009年全球IT企业中，IBM以1719亿美元的市值，仅次于微软和苹果。腾讯则以395亿美元的市值，位居第17位。

单从公司规模看，IBM或许是更好的选择。但相比在研究院从事测试工作，陶思南更喜欢开发岗位。得知腾讯招实习生的消息时，陶思南还在从北京回重庆大学的火车上。中途没有回校，他直接赶赴面试地点，就这样拿到了心仪的实习offer。

刚到腾讯，接陶思南的程序员身着T恤，趿着拖鞋就下楼了，这让陶思南想起了同寝室的大学舍友。不过在讲求快速迭代的互联网公司，这种轻松随意之感，很快被工作的压力替代。

2009年6月，腾讯的安全软件“QQ医生”还未正式升级为“电脑管家”，陶思南所在的团队主要负责这款产品的木马查杀和网址检测工作。实习的第二周，他被指派了一项开发任务。为了尽快上手，陶思南开启了起早贪黑的工作模式。

初来深圳，陶思南和校友李乐乐一起租房，两人住的地方穿过一个公园步行即可到腾讯。“他是个很自律的人，我印象中他刚工作时，每天五六点起床，很早就去上班了。”李乐乐说。

一大早跑到公司，陶思南总是迫不及待想看编程效果。当有想法蹦出来，快速通过代码实现、验证预期效果，是一个有趣的创造过程。对陶思南而言，“比如我写了一个策略用于识别诈骗网站，第二天发现确实可以跑出来几百个，每天可以拦截几万次用户访问。这很有成就感。”

彼时假网站诈骗正兴起，这是“网络钓鱼”的一种。不法分子假冒银行、电商平台、游戏充值等网站，通过搜索引擎、QQ、论坛、博客等渠道“钓鱼”，骗取用户点击输入卡号、密码等信息，进而窃取资金。

陶思南需要做的是，尽可能覆盖用户举报的所有诈骗网站，阻止下一波用户被骗。当样本量足够多时，他可以通过技术建立安全模型，找到更多类似的诈骗网站，及时阻断或拦截传播。

尽管在学校掌握了基础知识，但每个公司研发体系和架构各有差异，新兵真到了“实战场”难免手足无措，此时腾讯内部分配的“导师”就发挥了作用。

面对不甚熟悉的后台开发业务，陶思南在自行探索的同时也会追着导师询问，一天多则十几个问题。后来这个系统上线两周，他的导师说晚上做了个噩梦，梦里有两个人一直缠着他。其中一人是项目经理，催着问产品何时能上线；另一个是陶思南，总是急切地问各种环节的问题。

“内心憋着一股气”

实习一年半，陶思南拿到了留用的offer。毕业时还有一家成都公司向他抛出橄榄枝，主要做硬件安全方面的工作，开的工资比腾讯诱人。

天平还是倾向深圳。那段实习经历让陶思南基本了解一个互联网企业的研发链条，也更加清楚自己努力的方向——在后台开发和服务端开发上沉淀技术。

奔着“把一件事情做好”的想法，他信心满满地加入了腾讯，但现实却有些“骨感”。在论技术能力评级的互联网企业，陶思南获得的是最低级别，工资也是团队里最低的，这让他感到有些不是滋味。

在公司内部的OA办公系统上，陶思南用的头像还是大学时的照片。画面里，他身穿白色T恤，头发蓬松茂密，一副青葱的模样。陶思南看起来斯斯文文，内心里却有一种不服输的劲儿。

2010年前后，木马盗号甚是猖獗，“一天有几万个盗号”。在利用木马病毒盗取他人的QQ号时，不法分子会同步获取好友信息冒名借钱，还会往用户所在的群里投放广告信息，诱导更多人受骗。基于这种背景，腾讯开始建设自己的反诈体系，陶思南是第一批参与者之一，是电脑管家URL（网址）团队的一员。他们的工作就是识别各种恶意网址，并视情况予以用户风险提示或者是直接禁止访问。

“我们团队的工作直接影响了这些黑产能不能赚到钱，这块对抗非常激烈。”陶思南说。

早期他所在团队以木马查杀为重心，钓鱼网站检测属于比较边缘的业务，一开始还有4、5个人，后来因为工作内容在团队内不被重视，纷纷离开，只剩下陶思南和另一名毕业生。

重担落在两人肩上。他们为了搭建系统写了上万行代码，每发现一个欺诈网址就要自动下载检测。早期系统上线时几个小时就宕掉一次，两人还要随时“灭火”。

不久前接受南都记者专访，陶思南回忆起这段经历时接连几次提到“崩溃”。“那天看到一个程序员哭了，我当时就想到当初场景——代码编译之后，跑了一段时间程序又挂掉了，但很难定位问题。”

在复杂的代码中，找Bug可能是一件容易把人逼疯的事情。举个例子，你在网购页面进行一项“点击—下单—付款”的操作，背后可能有两百万行代码；如果系统还用了网上的一些开源组件，这意味着难度升级。

最崩溃的时候，两人天天盯着屏幕一行行看代码，花了接近一个星期没找出Bug，“在那里拍桌子气得不行。”

期间，陶思南也想过辞职。2012年阿里从香港退市，在深圳招聘时曾找到他，并开出诱人的工作条件，但不服输的陶思南“内心憋了一股气”，“想把一件事情做好再走”。两年后阿里正式登陆纽交所，上市首日收盘市值为2314亿美元，成为中国最大的互联网上市公司，陶思南调侃错过了这趟“说不定能实现财务自由”的班车。

从盗号、电话诈骗到杀猪盘……与黑产作激烈对抗

好在，陶思南也因为这份坚持迎来柳暗花明。

在各大厂商相继推出终端杀毒软件后，木马病毒的生存空间遭到压缩。很多黑产开始往钓鱼网站、涉金融欺诈转移。凭借一直以来在反欺诈领域的积累，陶思南开始厚积薄发。

中国互联网协会发布的《中国网民权益保护调查报告》显示，2013年网民因为网络诈骗、垃圾信息、个人信息泄露等侵权现象而产生的损失达到1433.6亿元。

警方和运营商也为这个事情头疼不已。在一个偶然的机会下，2016年，陶思南所在的反诈骗实验室和无锡公安、江苏电信达成合作，联合打击网络诈骗，并且很快取得了立竿见影的效果，部署反诈骗系统第一周，警方来自用户的网络诈骗报案数据就暴降50%。

“我记得2013年、2014年的时候，我们每天做一个模型可以快速影响几十万、几百万人。每拦阻一个欺诈的网站就能避免更多人受害。”陶思南说，“那段时间虽然没给公司赚什么钱，但做（反欺诈）这件事对社会挺有价值。”

从两人到三十几人，陶思南开始带团队，负责的业务也从早期的恶意网址欺诈、盗号拓展到到电话诈骗、刷单诈骗、金融诈骗、“杀猪盘”等各种形态。

李乐乐告诉南都记者，业务边界的扩大一定程度上得益于陶思南敏锐的市场判断。“我们以前是纯做安全的，后来做这些金融监管、市场监管的内容，是基于对于客户潜在需求分析挖掘出来的，对于潜在的一些商机、机会点的判断，陶思南起了一些关键的作用。”

和陶思南共事9年的张文辉说基本很少看到陶思南动怒的样子，他行事作风一向稳健。但在和南都的交流中，斯文的陶思南在提及“假疫苗”的时候，说了唯一的一次脏话。对于已经是两个孩子父亲的陶思南，这是忍无可忍的问题。

2018年7月,长春长生生物因在狂犬病疫苗生产过程中存在记录造假等行为，被责令停止生产。“我*，连疫苗都造假。”陶思南想起来他两岁半的孩子在体检时也被发现，明明打了几针乙肝疫苗，但医生并未检测出任何抗体。

长生生物疫苗事件爆发后，作为一个父亲，陶思南知道无数家长需要一颗“定心丸”，他带领团队加班在24小时内上线了疫苗查询服务。一天之内，有几百万人访问了上线在微信“城市服务”的查询系统。

在张文辉看来，陶思南是一个对社会痛点比较敏感的人。因为这份洞察力，“他带着我们团队在反欺诈的道路上捕捉了很多机会。当看到某类社会现象发生后，他会结合我们的能力去挖掘能做什么，不断拓展新场景，在社会责任这块做得很好。”

在业务边界扩大过程中也踩过不少坑，“因为想多抓一些坏人的时候，就有可能产生误判。”这种误判甚至让陶思南差点惹上官司，但这些都只能算是小插曲，真正让他一度感到疲惫的是，黑灰产野火烧不尽，春风吹又生，躲在暗处的敌人从未停下作恶的脚步。面对超过150万人的黑产从业者，早期陶思南团队仅有十几人，纯靠人工作战难免打败仗。

公司里，游戏、微信或QQ的团队在上线新版本后，总可以休息一段时间再考虑迭代。“但我们要不断追着敌人跑。对方一变我们要调整策略，再变又要跟上，这像是一个不断死循环的过程。”

一股内卷的情绪在团队中铺散开来，作为管理者的陶思南必须带队冲出迷雾。最终，他找到了破局之道——将AI和反欺诈结合起来。

当时谷歌的阿尔法（AlphaGo）还未打败围棋世界冠军，陶思南团队开始用早期传统机器学习的办法代替人工做模型，然后不断训练，给机器样本和特征维度数据，让它自行学习。如此一来，很多耗时的人力工作就被自动化取代了，他们有更多兵力去对抗黑产团伙、断其财路。

兵来将挡，水来土掩，陶思南喜欢这样的状态——“工作如果一直是一条很平的线，人容易疲惫或丧失激情。但如果不断有挑战刺激你，达到一个里程碑后设定下一个，过程就很有成就感。”

从T恤到衬衫领带，技术人转型的阵痛

从0到1，陶思南在反欺诈的路上有多很多创造。这些与黑产对抗的经验和对技术的探索，最终沉淀在灵鲲中。目前他是腾讯安全云部灵鲲监管产品中心总监。入职时耿耿于怀的“最低的级别、最低的工资”，现在可以心平气和当成段子讲了。

“鲲之大不知其所踪。”这句出自庄子《逍遥游》的话，寄托着陶思南等人通过“鲲之大”的技术更好解决社会痛点的期望。目前灵鲲在金融科技、食药来源追溯、知识产权、电商等领域都有规模化应用，服务对象包括各地市场监管部门、药监局、金融办、公安局、银行、电商平台等。

每深入一个垂直领域，陶思南团队都需要了解各个行业的业务知识、监管政策等等。不过1到N从来不是最难的，而是从0开始。2018年9月，腾讯提出从C端转向B端后，让这个以技术研发为班底的团队倍感折腾。

最初这群程序员要学着写文档，有时好不容易写了1000页纸，客户一发话可能要缩回100页；他们要事先接受商务培训，换上正装去见客户，硬着头皮在各种场合做汇报；还有一次团建时遇到突发任务，他们不得不到处借电脑改方案，中途还有人累倒紧急送医……

“不止我痛苦，整个团队也是。”陶思南说。过去两年，这种转型的阵痛在腾讯内部并不少见，但竞争带来的危机感促使他们不断向前。

当C端红利消耗殆尽，大型互联网企业纷纷转向B端赛道。事实证明，这一转型的初效已现。2020年Q3财报显示，腾讯第三季度营收1254.5亿元，同比增长29%，其中企业级安全业务成为一个增长点。截至目前，腾讯市值突破6000亿美元。

陶思南也在筹划布局，想方设法带领团队转型。“创新很难，我相信他有段时间也很焦虑。如果技术转型方向不明确，未来就不知道要做什么。但他提出了很多方向，然后我们快速试错。”张文辉说。

一向给人温和、沉稳的陶思南确实有过不安，就像早期转到管理岗一样，本来想走技术路线，变了赛道后还能回得去吗？但面对全新的挑战，他有自己的适应法则——从全局看待问题，把事情做好，多去思考！

当然陶思南也有特殊的放松方式，回家后钻进技术的知识海洋里——“掌握一项最新技术，思考它能解决什么问题。挺好的！”

采写：南都记者李玲 冯群星 发自深圳（受访者供图）

编辑：许文茜