他們說安全是躲在後面的東西，不需要被覺察。

作者 | 陳晨編輯 | 靖宇

「下載國家反詐中心 App 了嗎？」

當這句話在上班路上把我攔下的時候，我有一瞬間恍惚。彼時我正趕往地鐵口，來往行人間站著幾個民警，走在前面背公文包的大哥正停在其中一個民警前，掏出手機掃碼下載 App。

慶幸的是手機裡已經有了這個 App，給我節省了些時間。在那之前，我在警官老陳和一眾快手博主的直播連線中成功接受了這個「安利」。

這波反詐宣傳除了傳統的街道橫幅、路口廣播，還有下載反詐 App「跟特警合照」、「去文和友走快速通道」等眾多讓人直呼「絕了」的操作。

國家怎麼突然這麼重視反詐了？

反詐宣傳形式的「有趣」之外，其實還有不少數字與案例。比如今年 1 月到 5 月破獲電信詐騙案件 11.4 萬起、挽回經濟損失 991 億元，又比如「被騙 80 萬，為還貸款賣掉房子」。

刷單返利、登出校園貸、冒充公檢法、殺豬盤……

「暴利」之下，各種詐騙套路防不勝防，更有騙子用 AI 換臉繞過人臉識別等引入技術手段，不用跟受害者打交道就能轉走錢款，讓我們的「警惕心」都沒有發揮空間。

既然在詐騙之前大多數人很無力，什麼能幫我們在最後時刻守住「錢袋子」？

這讓我想到了之前看的一檔節目。

節目內容用一句話來概括：「駭客大戰支付寶」。

駭客在手機裡植入了木馬後直接控制手機，再用手機驗證碼登入支付寶，透過手機儲存裡的銀行卡和身份證照片成功修改支付密碼。輸入支付密碼、正在支付……轉賬失敗。

有了支付密碼仍然轉賬失敗，其實是碰上了支付寶 AlphaRisk 這個硬茬。

AlphaRisk 在最後關頭阻止交易

自 2004 年上線以來，AlphaRisk 不斷最佳化升級，目前已經更迭至第五代。今年 6 月，以「可信 AI」為核心的下一代風控系統 IMAGE 開始部署上線。

接力棒即將交過，但是比起「互動式風控」、「多方安全風控」、「智慧決策」、「全圖風控」、「端雲協同風控」等需要被解釋的概念，我更想看看團隊裡的員工們正在做些什麼？風控體系裡有哪些是我們可以感知的？哪些是不為人知的？在風控領域，支付寶有沒有走上更廣闊的舞臺？

為此，我們採訪了幾位支付寶風控的同學，他們分別來自策略、運營、技術、出海團隊。來聽他們講講自己的工作，一起聊聊有什麼正在發生著。

01

「數字時代，安全是AI 與 AI 的博弈」

詐騙套路越來越多、越來越智慧化，反詐也要趕上騙子的速度。

楮墨的工作就是奮戰在跟騙子鬥智鬥勇的一線。他們的團隊被稱作「策略工坊」。

炒鞋、網紅奶茶店加盟、登出校園貸，騙子慣會在熱點中找到詐騙的機會。即使是團隊內研究策略的專家，也很難一下子識別各種套路和話術的包裝，更不要說普通人。

面對層出不窮的詐騙手段，即使有大量的反詐經驗，他們也不敢說有壓倒性的優勢，通常是「你想出了一招新的，他也會有一招新的過來。」

策略團隊的主要工作就是依據專業的經驗從還未發生或已發生的詐騙中提取出異常行為，然後分析形成策略，再沉澱為 AI 分析的模型。

支付寶端內每天有上億筆的交易，光靠人工識別沒辦法承受如此巨大的工作量。大面上的識別與管控主要交給智慧化的模型。

「我們現在有的非常多的這種 AI 的攻防、AI 的互動的這些能力，實際上是為了透過使用技術，儘快地應對風險。」

而這種與騙子的對招，「我們內部稱這個叫攻防」，「實際上就是跟騙子的對峙過程」。

對峙的過程往往是長期、動態的。

比如起於曖昧、熱於投資、終於詐騙的「殺豬盤」，短則幾個月、長則一兩年。在這個過程中，騙子在和受騙人的互動中獲取信任，「我們能提供一些什麼樣的資訊，讓使用者去信賴我們，這其實是一個要長期去迭代和長期去研究的問題。」

不過在談到這部分的時候，楮墨和負責反詐運營的今南都覺得有些遺憾。

「我們可以識別到的可疑交易中，大概只有三到四成使用者會選擇主動舉報。」

至於為什麼很多使用者沒有舉報，據他們所說，其一可能是涉及金額較少，對舉報之後能否追回款項沒有信心。另一個原因則是很多詐騙跨平臺，支付寶只是最後交易的一環，使用者可能在其他平臺舉報後便忽略了在支付寶上舉報的過程。

相較於支付寶，公安機關卻有著更高的公信力，使用者有什麼訴求也更容易想到警察。「也是為什麼我們要和其他機構特別是公安這邊合作的原因。」真實世界出現新的欺詐報案時，支付寶的 AlphaRisk 能透過自學習，在 1 天內完成全盤進化，離不開與公安機關的緊密合作。

我問他們，在後臺工作，最大的成就感是什麼？

「成就感？」

兩人都琢磨了一下這個詞，「我們可以看到風險形變化，案件的下降，感覺已經是很直接的反饋了。」

對他們來說，資料的溫度或許不比話語的溫度差。

02

技術的目的在於「人」

《白帽子講 Web 安全》中寫到：「網際網路公司安全還有一些鮮明的特色，比如注重使用者體驗、注重效能、注重產品釋出時間……」這句話在 2014 年的風控系統升級中得到了很好的體現。

對技術部門的向秀來說，那也是最讓他印象深刻的一次攻堅戰。

當時正處在 PC 向移動網際網路全面轉換階段，又恰逢網商銀行、國際出海等新業務高速推進，支付寶亟需讓龐大的風控系統輕盈起來，能更快速靈動地應對場景的變化與適配。

而雙十一已經臨近，峰值考驗在前，留給技術升級的時間並不多。除了技術攻堅，更讓團隊頭疼的，其實是如何在使用者和業務無感的情況下完成體系升級。用他的話說，像是「如何給飛行中的飛機無縫換掉引擎」。

最終，體系升級異常成功，「同學們扛住了壓力」，除了資損和打擾率的指數級降低、適配率提升，也「沒有給業務和使用者帶來任何影響」，完成了「無體感」式升級。

對於風控來說，「人」是工作另一端。關注「人」的感受也是他們工作的一部分。

AI 機器人在客服等與使用者互動的場景中其實有不少應用，但要說起跟 AI 對話的感受，相信不少人會說：「冷冰冰的」。

在反詐場景中，潛在受騙者要麼已經對騙子有了信任，要麼受騙後情緒激動，這時候「冷冰冰」的資訊提示往往很難改變他們的態度。

跟詐騙案件和潛在受騙人數相比，真人反詐客服一定是不夠的，那麼 AI 能更有「人」味一些嗎？

讓 AI 理解情緒。幾位同學也給我們介紹了這樣一項技術。

2019 年初，螞蟻安全天筭實驗室與浙江大學心理學研究團隊合作推出「AI 叫醒機器人」。

經過訓練的「AI 叫醒機器人」，能夠根據使用者交流中關鍵資訊，選擇最合適的話術和手段，讓潛在受騙者的情緒恢復平穩，然後再進行針對性的說服勸阻。

簡單來說，如果情緒激動，AI 叫醒機器人就先緩緩，或者幫助你緩解情緒後再溝通。

除此之外，它還能建立個性特徵判斷模型，對不同性格特徵的人用不同的情緒引導方式，提供千人千面的陪伴式安全提醒，讓 AI 更有人情味。

這項技術也獲得了比較好的成績，現在支付寶的叫醒熱線 90% 以上是由 AI 打出，而主動互動不僅喚醒潛在被騙者，也能在交流中還原詐騙手法，幫助「策略工廠」理解欺詐者意圖、分析騙術資訊。

今年 7 月，這項技術也入選了 2021 年度資訊通訊行業反詐創新專案。

螞蟻兩項反詐技術獲獎

另一個問題是，AI 的理解怎樣轉化成人的理解，特別是在要對使用者進行打擾或者交易攔截的時候。

提高 AI 的可解釋性也是策略部門的工作之一，楮墨也對此作出了回答。

資訊如何觸達使用者端，不能單純地用 AI 來解決，「我們跟心理學的專家有些合作」，影響使用者接受程度的因素很多，「怎樣給到使用者一些更好的文案，甚至有些時候我們還會想使用什麼樣的色彩，在什麼地方放什麼樣的圖示。」整個風控團隊在這個過程中其實做了很多細枝末節的工作。

反詐要落到實處，歸根到底是要對使用者的心智產生影響，這裡面涉及到了太多問題，很多可能都沒有被使用者察覺。

為了理解使用者的需求、獲取使用者的信任，整個支付寶團隊還做了很多工作。比如客權部門組織的「使用者三小時」，讓其他業務部門的員工定期的傾聽使用者的反饋，比如報名成為反詐宣傳的志願者，下到鄉縣、走進校園……但更多的，是在各司其職。

支付寶的安全團隊吸納了大量的行業精英，吳翰清在他書裡的致謝中說，「感謝我的公司，它營造了良好的技術與實踐氛圍，使我能夠有今天的積累。」不過對於大多數人來說，它只是一個新的工作機會，而後帶來了新的挑戰。

就像楮墨的花名，「說實在的，大部分的花名都被使用了」，剛好「進來也是做安全類相關的工作，希望在這個場面上面我們能夠找到這條界限。這個黑白分明的界限。」

03

「安全共同體」

支付寶風控體系做得不錯，既然能保護使用者的資產安全，它的技術可以讓更多人用嗎？

他們的回答是「安全」也要形成「共同體」。

疫情加速了物理世界的數字化，2020 年 3 月，支付寶在數字化轉型的大背景下鎖定了成為「全球最大的數字生活平臺」的新願景。

「未來三年，支付寶將攜手 5 萬服務商，幫助 4000 萬服務業商家完成數字化升級。」而與數字化程序相伴的，是同時被加速的風險與問題，「安全」這項基礎設施也因著支付寶的新願景開放。

武漢利楚掃唄，國內最早從事聚合支付技術研發和應用的高新技術企業，就是一個支付寶開展風控技術聯防的實踐案例。它聯合支付寶搭建了可用於商戶入網安全的聯合風控引擎系統，在疫情期間幫四千多家商戶搭建了基於支付寶小程式的外賣到家服務。

支付寶風控技術的「走出去」當然不只於國內，經濟的全球化也必然帶來風控的全球化。

一方面來說，「黑產無國界」，黑產的流竄作案加大了對聯防聯控的要求。另一方面，在安全領域起步較早的支付寶也看到了技術在全球範圍的應用場景。

黑產「會隨著各個國家的經濟發展和它的網際網路技術的發展找空子鑽。」

印度當地百貨商店內為使用 Paytm 支付系統做廣告

兩三年前，支付寶的風控出海「大包大攬」，派技術、業務人員幫其他國家做整套防控體系的解決方案，過程中輸出一些國內的經驗。如今，很多國家本地化的能力和理念已經建立了起來。除了分析一些地區個性化的案例，現在的主要工作是與其他國家合作，更大範圍分析風控形式，及時找到並防禦風險。

「之前做 0 到 1，現在算是 1 到 N。」

支付寶實時保護的便籤裡寫「被盜全額賠付」，而在早期合作的東南亞國家，它同樣喊出了「你敢付、我敢賠」的口號。這不僅源於對風控技術的自信，也得益於國內多年摸爬滾打中學習的經驗。

就像金焰所說，「能看清楚它的一個風險的趨勢、峰值、可能的防控手段以及我們的響應速度」，「這幾個方面心裡還是有底的。」在出海業務上，如何應對各國家各異監管標準、分析特殊的風險場景，相較而言則是目前支付寶風控面臨的更大挑戰。

在風控標準的制定上，支付寶同樣取得了一些成就。

2020 年 7 月，由支付寶母公司螞蟻集團主導編制的智慧風控技術國際標準正式釋出，中國的標準獲得了國際認可，變成世界標準。在此之前，在數字身份、區塊鏈、終端安全、內容安全等領域，螞蟻集團也已主導制定了大量 ISO、IEEE、ITU-T 國際標準。

風控領域有很多前輩，行業中也已經建立了很多標準。支付寶作為一家相對來說新一代的支付企業，在傳統巨頭之下希望帶來一些新東西。

金焰介紹，支付寶的「很多模式會更加偏向網際網路」，「希望在這個生態裡面也能夠去建立一些稽核的標準，然後幫助更多生態裡面的角色走得更加順暢。」

當我帶著這句評價詢問金焰時，他說：「今天也許沒有支付寶，他們也是會做到這一步的。這是整個社會發展、現代化發展包括科技發展的一個必然的方向。」

不過他又補充到，支付寶「不僅僅侷限於我們自己的一個品牌，而是說協同生態裡的其他企業，讓整個生態都能發展起來」。

採訪的最後，我問了有關臺前與幕後的問題，關於安全是什麼？

「有時候安全是一箇中臺的東西，最好的狀態就是不需要讓消費者感受到你的存在，但是讓消費者覺得整個過程是暢通無阻又非常安心的。」

他們說安全是躲在後面的東西，不需要被察覺。