vivo演讲实录 | 面对数百万黑产大军，企业风控如何以少胜多？

在数美2025 AI 风控大会上，vivo 业务安全总监陈辉分享了团队过去几年在业务安全实践中的经验。面对日益复杂的黑产攻击，传统“兵来将挡”的被动防御已难以为继。

如何利用企业的数据优势与主场优势，实现从“被动防御”到“主动狩猎”的转型？如何让风控不再只是成本部门，而是为业务创造增量价值？陈辉在演讲中给出了自己的实践答案。

本文根据现场演讲整理，主要内容如下：

困局：企业风控几十人vs 黑产数百万人，不对称战争怎么打？

实战：独家揭秘“主动狩猎”的三大支柱与 PIKE 模型。

价值：风控不再是成本部门！通过精细化运营，帮助业务在618 大促实现 30% 营收增长。

以下为演讲实录：

大家好，很高兴有机会在这里分享我们团队过去几年在业务安全实践中的经验。今天分享的主题是《从被动防御到主动出击：业务安全运营体系的演进》。

之所以选择这个主题，是因为我们发现传统的被动防御机制已经越来越难应对日益复杂的黑产攻击模式，这就要求我们的工作思路必须从“被动防御”转变为“主动出击”。

一、困境：被动防御下的“不对称战争”

我有幸参与了公司业务安全能力从0 到 1 的建设过程。在初期，黑产的行为简单粗暴，主要表现为高频作弊，对业务核心数据和运营数据造成巨大影响。

在这个阶段，我们的核心任务只有两个字：救火。

为了快速消除影响，我们往往会制定严格的策略，但这就像是一把双刃剑：虽然控制了风险，但也带来了误伤，损害了用户体验。这种“被动防御”模式面临着三大痛点：

1.如何平衡：在救火阶段留下的“坑”（误伤率），需要在业务平稳期去填补，平衡安全与体验是一大难题。

2.维护成本：随着时间推移，策略和告警数量激增，维护上百条策略的有效性成本巨大。

3.信任危机：黑盒式的策略不仅容易被黑产绕过，也难以与业务部门建立深厚的信任。

更深层次的问题在于，业务安全攻防存在极端的“不对称性”：

人员不对称：企业风控团队通常只有几十人，而黑产从业者保守估计在百万量级。

能力不对称：黑产团伙分工明确，具备行业级能力整合优势，且只攻一点（木桶短板）；而企业防守面广，难以面面俱到。

资源不对称：黑产年产值达万亿美金级别，企业的投入与之相比由于量级悬殊。

种种迹象表明，靠被动防守是守不住的，必须改变思路，主动出击。

二、实战：以己之长，攻彼之短

主动出击可行吗？当然。企业拥有黑产不具备的三大核心优势：

规则制定权：我们是游戏规则的制定者，具有主场优势。

生态数据优势：我们拥有全链路的业务数据、跨业务场景的数据关联能力，这是黑产无法获取的。

正义的威慑：随着《数据安全法》等法规完善和国家“清朗行动”的推进，法律对黑产形成了强大威慑。

主动出击的核心，是要从“城墙守卫”转变为“深入敌后”。这需要具备三大基础能力：情报能力、假设驱动能力、数据融合能力。

1. 情报驱动：知己知彼

情报能让我们提前知晓黑产的意图。通过打入黑产内部，我们在上游截获作弊工具和物料，中游了解作弊路径，下游掌握变现方式，从而提升攻击成本。

实战案例：在账号注册场景中，通过引入风险手机号和IP 情报，我们在注册环节进行染色，月均拦截异常注册达百万量级。如果没有情报数据的加持，这百万级风险账号进入下游业务后，将造成巨大的治理成本。

2. 假设驱动（PIKE模型）：寻找未知威胁

我们提出了PIKE模型来驱动主动探索：

P (Pattern 模式)：将历史攻击沉淀为剧本，自动巡检，确保在一个业务场景发生过的问题，在其他场景不再发生。

I (Intelligence 情报)：利用情报做好提前防御部署准备。

K (KPI Anomaly 异常)：保持对数据异常的敏感性，快速归因。

E (Experience 经验)：记住每一个血的教训，规避风险点。

此外，我们还建设了蜜罐系统。对于识别出的部分高确信风险账号，我们暂不处置，而是让其在“蜜罐”中活动。这么做有什么价值？

第一，直观了解黑产作案模式；

第二，检验业务系统漏洞；

第三，通过关联分析扩散风险人群；

第四，迷惑对手，让黑产摸不清封号逻辑。

3. 数据融合：构建全景视图

数据是企业最大的优势。我们融合了业务数据、跨业务数据、端云数据以及三方数据，构建了丰富的特征库和关系网络。基于这些特征，我们能建设特征洞察系统、关系网络和行为序列，为业务提供更精准的安全服务。

三、价值：风控不是成本部门，而是价值中心

很多时候，风控团队被视为“只花钱不赚钱”的成本部门，甚至是业务增长的“刹车片”。但通过智慧化的运营，风控完全可以创造增量价值。

我们认为，处理“黑”和“白”靠技术，但处理“灰色”流量更需要智慧。异常不等于恶意，我们不能简单粗暴地拦截，而应给用户被理解的机会。

为此，我们做了一次重要的“黑灰剥离与分层”实践：

第一步：将特征细分为强特征和弱特征，对灰色流量进行分层；

第二步：丰富特征工程，通过特征扩散和分解，建立上万个特征指标；

第三步：实施“重组分箱”与“积分制”判定，不再依赖单条策略，而是基于特征评分来判断风险。

价值成果：这套方案上线后，在618 大促期间，在风险水位不变的前提下，我们帮助业务实现了收入提升 30%。

原因在于，我们通过精细化运营，释放了大量原本被误杀的“灰色”正常用户。同时，方案也解决了策略保密性与可解释性的矛盾，降低了维护成本。

此外，我们还可以“借力打力”。比如识别出羊毛党团伙后，打击核心成员，而对团伙中的普通成员进行定向营销转化。实际上是让黑产成为了我们的“免费推广者”，帮我们筛选出了目标用户，实现了业务增收。

四、总结：技术重要，理念升级也很关键

最后，我想分享几点思考：

企业风控必须转向主动狩猎：被动防御已无法满足当下的安全需求，企业必须充分利用自身最大的优势——数据，构建多维度的全景视图以实现主动应对。

理念比技术更重要：技术固然重要，但理念的升级更为关键，在面对复杂数字世界时，如何充满智慧地处理“灰色”流量，是每个风控从业者需要思考的问题。

创造业务价值：风控不应是成本部门，而应成为业务创造价值的重要力量。

行业协作是大势所趋：面对组织化的黑产，单打独斗无法取胜，企业间需要更开放包容的合作心态，共同构建联防联控的行业安全生态。

安全没有绝对，只有相对。优秀的风控团队存在的意义，在于让问题发生得更少、影响更小、修复更快，让风控从业务的“强制要求”变成业务的“主动选择”。