安全软件就是用来防护用户免受恶意软件和其他在线威胁的侵害的。大多数普通用户总觉得如果电脑上不装上一套，就跟裸奔一样心惊胆颤。因此，防病毒软件几乎人手一份。

道理是这个道理，但很可惜，大多数防病毒工具的实际表现是令人失望的。安全软件也是软件，所有计算机程序都无法避免漏洞或者其他缺陷，达不到其宣称的功能简直太正常不过，防病毒(AV)软件也不例外。

安全牛之前曾有过多次“安全产品不安全”的报道，几乎所有你能叫得出名字的大型AV厂商的产品都出过这样或那样的问题。甚至有人专门从事AV产品的漏洞挖掘研究，比如谷歌“零计划”(Project Zero)研究员塔维斯·奥曼迪。

他在职业生涯中披露了数十几此类问题。仅在今年2月，他就分别在Avast的SafeZone和Malwarebytes产品中发现了问题。前者是一个密码相关的漏洞，后者的中间人攻击漏洞也没逃过他的法眼。更甚者，他在最近发现Comodo远程桌面工具GeekBuddy竟然可以无需身份验证就能拥有完全管理权限。说直白点，就是任何人都能以“IP:端口”这样的简单形式连接用户的计算机。

实际上，AV产品或解决方案中的安全问题已经是整个防病毒行业的共性问题，但丝毫未妨碍通过一些权威的AV认证。

就拿Comodo来说吧，该公司的产品在被威瑞森认定为“信息安全测试中表现杰出”的时候，此产品经历着数百起关键内存崩溃的问题投诉。更不可理喻的是，Comodo的默认安装留下一个弱身份验证的虚拟网络计算(VNC)服务器，默认安装的浏览器禁用同源策略，扫描过程没开启随机地址空间布局(ASLR)，而且其产品全部使用的是访问控制列表(ACLs)。

如此漏洞百出的AV解决方案，怎么还能“表现杰出”？是不是鉴定认证方法或标准出了问题？

威瑞森的鉴定方法，部分是建立在一套陈旧的诸如“带有启动和禁用恶意软件检测的管理功能”、“在按需测试中表现出恶意软件检测能力”等标准基础之上的。但这种测试标准有意义吗？

依据这套标准，防病毒厂商稍做努力几乎都会通过的。而且威瑞森的古董级鉴定方法还只是问题的一小部分，更大的问题在于，基于特征码的安全软件无法检测新兴恶意软件。实际上，在安全公司Damballa《2015感染态势报告》中，就已经揭示出：大多数著名防病毒解决方案都在第一小时内漏掉了70%的恶意软件。

正是此类对著名安全厂商的实际能力的披露，以及对个人工具一直存在漏洞的曝光，让一些人开始怀疑：依靠防病毒软件是否实际上在让用户变得不安全。如果防病毒行业想重振雄风，基于特征码的检测方式必须要改。一个可能的前进方向，是采用协议特定的深度数据包检测(DPI)，来扫描用户电子邮件和其他数字通信中的威胁。还可以借鉴安全开发生命周期，包括动态分析、模糊测试、攻击面审查等，实际检验AV产品的认证申请人应对当今现实威胁的能力。

或许改善安全行业现状的第一步，就是确保这些鉴定、认证能真正检测出有价值的东西出来。