对话Hellen丨AI时代,安全是一门与技术“互生共进”的艺术

📅 2026/7/4 3:59:12
对话Hellen丨AI时代,安全是一门与技术“互生共进”的艺术
导语从2021年《数据安全法》《个人信息保护法》出台到2026年AI大模型全面渗透零售业五年间企业安全的内涵与外延发生了深刻变化。作为全渠道数智零售服务商百胜软件始终高度关注自身产品的安全研发、客户业务的安全运营与全方位安全布局。百胜软件副总裁、安全研发相关业务负责人Hellen亲历了这一演进——公司从0到1搭建安全基建再逐步把产品安全能力转化为客户选型的“加分项”为客户与生态持续创造价值。本期【百胜智见】以QA形式呈现与Hellen的精彩对话。Q1如果说数据是企业的核心资产安全则是资产的防线。当AI全面渗透零售业百胜软件对安全的战略定位是怎样的2026年公司OKR提出“安全投入成本控制目标”这是否意味着安全正从“被动合规”转向“主动经营”Hellen作为一家深耕行业的全渠道数智零售服务商百胜软件一直高度重视“安全”。先从五年前说起当时《数据安全法》《个人信息保护法》等政策密集出台消费者隐私数据承载在百胜中台和电商系统里安全是重中之重的合规底线。我们在原有产研基础上加强从0到1的安全基建覆盖应用层、基础架构层从单点链路走向全流程逐步建立起全面的产品安全能力确保产品符合法律法规与平台的最新要求。到了今年我们在公司OKR中明确提出“安全投入成本控制目标”它背后的逻辑是安全已经不再是“有没有”的问题而是“好不好”的问题。近两年我们接触了不少国际品牌和高端客户。某国际运动品牌在选型时把安全列为核心评分项之一百胜软件在方案中详细呈现了产品安全能力与解决方案获得了明显加分。客户要的不只是合规而是真正能落地、能经营、能保障数据安全的体系化能力。安全确实正从“被动合规”转向“主动经营”从后台走向前台从成本中心变成增长引擎。我们与客户一道砥砺同行从安全赋能中创造价值。Q2ISO27001认证、零信任SASE这些“硬基建”客户能感知到吗安全如何让百胜软件的产品增值Hellen我们服务的零售品牌客户广泛像一些国际头部运动、快消品牌会通过权威平台要求我们提交安全评估报告。我们每年持续更新评估结果基本都能符合要求——这就是客户可感知的价值。在打单过程中安全已成为售前咨询方案里的重要章节。客户会专门问你们有哪些安全认证数据怎么保护有没有零信任架构这些“后台动作”正在变成客户决策的显性因素。ISO27001虽然不是最新的概念但它是体现企业安全体系化能力的“硬通货”——我们很早通过认证并持续更新到2022版本用于保护企业信息资产防泄密、防篡改、防丢失、防黑客攻击。此外我们还拥有ISO20000IT服务管理认证以及面向大客户的专项安全评估。这些都是百胜软件安全能力的实打实背书。/百胜软件部分荣誉和资质/Q3零售场景涉及大量消费者隐私数据百胜软件在数据加密、脱敏、访问控制方面有哪些具体设计如何做到“既安全又不影响体验”Hellen从个保法和数据安全法的要求出发隐私数据从采集、处理、存储到传输、销毁整个全生命周期都要保护。具体而言所有隐私数据必须以AES-256算法加密存储无论落在数据库还是配置文件都是加密后的密文页面展示或导出时手机号、地址等做脱敏处理中间以掩码呈现不会全部暴露。业务中确有查看明文的场景比如客服帮客户改地址。这时操作者必须具备权限且每一次查看都会被日志记录——谁、何时、看了什么全部可追溯、可审计。我们还支持密文搜索哪怕只知道一个姓名系统也能在不解密的前提下快速匹配相关订单。同时针对各大平台普遍使用的隐私号原虚拟号我们的产品也做到了无缝对接。这些设计既满足合规与审计要求又不会让一线人员觉得“系统太难用”。安全不是阻碍业务而是平稳地保障业务。Q4AI大模型带来了提示词注入、模型幻觉、数据隐私等新风险。百胜软件如何应对在胜券AI与产品融合过程中安全测试与DevOps是如何联动的Hellen百胜软件的“胜券在握”AI平台是2024年6月启动、2025年初基于DeepSeek自建的智能体开发平台。AI的到来确实带来全新挑战但我想强调一个核心观点AI和安全是互生共进的。你看AI技术演进的同时安全技术也在同步迭代。比如OpenClaw刚出来时不少人质疑它的企业级安全性、认为更适合个人使用但很快各大安全与云厂商陆续推出安全的claw部署方案模型层的Claude Code也推出了Claude SecurityCodex同样有配套的Codex Security。在vibe coding场景中自带安全扫描、提示词护栏、Skill安全检测等能力——而这些护栏技术本就是从安全领域衍生出来的。百胜软件的做法是——从应用安全、架构安全、开发过程安全、持续运维安全四个维度建立AI安全的基线标准。我们把安全工具植入“胜券在握”平台同时自建基线体系明确在哪些环节必须符合什么标准、用什么技术方案落地最终通过安全测试与符合度检查闭环。当然这套基线也会随AI技术和新业务持续迭代。在测试与DevOps联动上我们很早就用AI赋能安全测试通过胜券AI平台搭建“测试用例智能体”与Jira联动基于用户故事的描述与验收标准自动初始化一整套测试用例、辅助测试执行。这一能力在公司内部已运行得非常顺畅目前也在向客户实践赋能延伸。可以说在百胜软件一体化的产品研发过程中AI和安全一定是互生共进的。Q5电商平台的安全合规要求逐年升级。百胜软件作为ISV如何帮助品牌商家实现全链路合规BOP开放平台又如何保障生态安全Hellen这其实可以接上前面的话题——百胜软件在平台安全合规上有很深的历史积累。早在2015年电商蓬勃发展时我们就开始关注安全2017年专门成立了安全技术委员会。我们是最早与淘系、京东、拼多多、抖音等大平台共创安全解决方案的ISV之一还作为理事单位参与阿里安全生态联盟、参与撰写部分安全标准。BOP开放平台的诞生本身就源于安全需求。过去每个应用系统各自持有AppKey与Secret、分散管理一旦泄露很难快速禁用。于是我们做了BOP——统一管理、统一分发密钥并提供监控预警。/百胜软件BOP开放平台/更值得一提的是“融合开发”场景生态伙伴可基于百胜中台底座以独立微服务方式开发应用。我们提供从脚手架模板、代码构建、私服管理到打包发布的完整工程能力并把百胜研发链路上的安全扫描静态扫描、Trivy镜像扫描等全部配套给生态伙伴。他们开发出的微服务同样安全可控。生态伙伴的成果与百胜主干系统同源、同标、同治——开放不放任赋能不失控。换句话说百胜软件不仅对自研产品负责也对生态伙伴的开发成果负责。这种“平台生态”的安全共担模式我们相信是一条健康、可持续的路径。Q6面对618、双十一等电商大促如何平衡“快速迭代”与“安全稳定”百胜的SRE监控与熔断机制如何运作Hellen每年大促我们都设有质量安全专项保障组。这个组会定义安全自检清单、配套工具甚至为客户提供安全自查指引——比如非大促期间关闭的一些安全阀门大促前要全部开启、把安全水位调高。压测也是必备环节根据客户的业务指标如预计订单量做容量压测提前识别需扩容的资源既保稳定、也保安全。面对安全漏洞如Linux、Spring框架、前端框架漏洞我们的原则是——抓大放小、精准评估。安全同学与架构师会一起判断这个漏洞在我们的应用场景里是否真正可被利用如果是私有化的单租户部署多租户相关漏洞就可暂时忽略如果漏洞需先攻破网络外层才能利用而我们的网络防护已足够强则可下调其修复优先级。安全一定伴随成本投入我们要做的是站在业务场景下找到平衡点——既安全可控又成本可控、交付高效。安全在这里不是刹车片而是减震器它不阻止业务加速而是确保峰值压力下系统依然平稳、可信、可恢复。Q7展望2026年下半年及未来两年百胜软件在信息安全领域还有哪些值得期待的布局Hellen简单说主要是三个方面。第一AI安全基线持续进化。我们正从“0到1”转向“1到N”的持续迭代——基线不是一成不变的它会伴随AI技术与新业务不断演进。第二安全能力对外赋能。百胜的安全解决方案一定会开放给客户与生态伙伴使用而非闭门造车。第三成本与效能优化。在保障运行环境安全的前提下持续控制成本、提升效率让安全真正成为百胜产品的差异化竞争力。最后如果用一句话总结——“安全和技术互生共进是一门艺术。”让安全与技术优雅地结合正是我们一直追求的方向。结语从多年前的“合规基建”到今天的“经营引擎”百胜软件的安全战略持续进化也折射出整个零售数字化行业对安全认知的深刻转变。当AI加速重构商业模式安全不再是被动的成本项而是赢得客户信任、驱动业务增长的核心能力。这条路上百胜软件正以体系化的安全能力为客户与伙伴筑起一道既坚实又智能的护城河。