Mikko Hyppönen在拉斯维加斯Black Hat 2025大会的主会场上来回走动，深金色马尾辫配上一身青绿色西装，显得十分醒目。这位在业界颇具知名度的安全研究员，正向台下聚集的黑客和安全从业者阐述他对这一行的长期观察。

他将自己的工作比作“网络安全版俄罗斯方块”。在这款经典游戏中，当一整行方块被填满时就会消失，剩余方块则继续堆叠。“你的成功会消失，而失败却会堆积，”他在主题演讲中说。他指出，网络安全工作的特点在于“不可见”——当防御做得足够好时，表面上看起来就是“什么都没发生”。

三十五年与恶意软件对抗

Hyppönen被视为网络安全领域资历最深的一批从业者之一。他与恶意软件的交锋可以追溯到上世纪80年代末。当时，“恶意软件”这一说法尚未普及，人们更多使用“计算机病毒”或“木马”等词汇。互联网尚未大规模普及，一些病毒仍依赖软盘传播。

他估计，自己多年来分析过的恶意软件“以千计”。凭借在全球各类安全会议上的频繁露面，他逐渐成为网络安全社区中辨识度和影响力都很高的人物。

Hyppönen最初通过破解电子游戏进入这一行。他在Commodore 64家用电脑上逆向工程软件、移除反盗版保护，由此培养起对安全技术的兴趣。之后，他在芬兰公司Data Fellows（后来更名为F-Secure）获得第一份专职分析恶意软件的工作，并在此过程中系统磨炼了逆向工程能力。

在他的记忆中，早期病毒作者多出于兴趣和好奇心，尝试用代码实现各种效果。虽然当时已经存在一定程度的网络间谍活动，但尚未形成以勒索软件为代表的成熟盈利模式，也没有加密货币和成熟的黑市来支撑大规模敲诈和数据交易。

例如，Form.A是上世纪90年代初最常见的病毒之一，通过软盘感染计算机。Hyppönen介绍说，该病毒部分变种并不破坏系统，只是在屏幕上显示一条信息，但最终传播至全球，包括南极科研站。

2000年，他和同事首次发现了后来臭名昭著的ILOVEYOU蠕虫。这种恶意程序通过电子邮件附件传播，伪装成情书文本文件。一旦用户打开，病毒会覆盖并破坏部分文件，并自动向受害者通讯录中的所有联系人发送自身。该蠕虫最终感染了全球逾一千万台Windows计算机。

此后，恶意软件生态发生明显变化。Hyppönen表示，如今几乎没有人再把编写恶意软件当作爱好，自我复制的蠕虫也愈发罕见。例外包括2017年被指由朝鲜发起的WannaCry勒索软件攻击，以及同年晚些时候被归因于俄罗斯的NotPetya攻击，这两起事件对乌克兰的互联网和电力基础设施造成严重影响。

在他看来，“病毒时代已经彻底过去”。当前的恶意软件主要由网络犯罪团伙、情报机构以及为政府支持的黑客和间谍活动提供工具的间谍软件开发者使用。这些组织通常刻意保持低调，尽量隐藏其工具，以便长期运作并规避安全厂商和执法机构的侦测。

与此同时，网络安全产业本身也发生了变化。Hyppönen指出，如今这一行业的市场规模约为2500亿美元，防御方从早期的免费工具逐步转向商业化的付费产品和服务，这在一定程度上是对恶意软件攻击日益增多的回应。

他还提到，计算机和智能手机在2000年代后期开始大规模普及，并逐步变得更难攻破。以iPhone和Chrome浏览器为例，针对这些平台的有效攻击工具价格可达六位数甚至数百万美元。在他看来，这种高成本使得大部分复杂漏洞利用仅对资源充足的政府机构具有现实意义，而非一般以牟利为目的的网络犯罪分子。这一变化被他视为消费者安全状况改善以及网络安全行业长期投入的体现。

从网络防御转向无人机防御

2025年中，Hyppönen开始将重心从传统网络安全转向无人机防御。他出任总部位于赫尔辛基的Sensofusion公司首席研究官，该公司为执法机构和军方研发反无人机系统。

他表示，促使自己进入这一新领域的关键因素，是乌克兰战争中无人机的广泛使用。据报道，乌克兰战场上相当一部分伤亡来自无人机空袭。Hyppönen居住地距离芬兰与俄罗斯边境约两小时车程，他称，俄罗斯与芬兰之间日益紧张的关系以及2022年俄乌冲突的升级，使他意识到自己可以在无人机防御方面发挥作用。

作为芬兰公民，他同时在预备役部队服役。他提到，自己的两位祖父曾在战争中对抗俄罗斯，这些个人经历使他对边境局势有更直接的感受。他说，这项工作“对我来说非常非常重要”，并强调自己更关注“明天的无人机”带来的威胁。

在他看来，网络安全与无人机防御之间存在明显相似之处。过去，安全公司通过建立“签名”来识别和拦截恶意软件；在无人机领域，防御系统则需要定位并干扰无人机的无线电信号，识别用于控制无人机和其他自主飞行器的频率。

Hyppönen介绍，防御方可以通过记录无人机的无线电频率信号（即IQ样本）来识别目标。“我们从中检测协议，并建立签名以检测未知无人机，”他解释说。

一旦掌握控制无人机所用的协议和频率，防御方还可以尝试对其实施网络攻击，使无人机系统发生故障并坠毁。他认为，在协议层面对无人机实施攻击在某些方面比传统网络攻击更为直接，因为“第一步就是最后一步”，“如果你发现了漏洞，你就成功了”。

他指出，无论是恶意软件还是无人机，防御工作都呈现出类似的“猫捉老鼠”特征：防御者不断学习如何阻止新威胁，而对手则持续调整策略以绕过防御。在他看来，敌人的身份也在一定程度上保持了连续性。

“我职业生涯的大部分时间都在与俄罗斯的恶意软件攻击作斗争，”Hyppönen说，“现在我在对抗俄罗斯的无人机攻击。”