Zoom:一只缺钙的纸老虎-冯金伟博客园

图片来源@视觉中国

  文航通社,作者书航

  最近航通社出深度稿的进度越来越慢了,当文章终于定稿的时候,很多新闻都成了“旧闻”。但社长相信,经过较长时间思考、整理和收集新的事实,所得出的结论一定好于匆忙之中的急就章。

  今天我们来说说 Zoom。当国内疫情发展趋于平缓,美国成为新的“震中”的时候,属于它的高光时刻就到来了。但过去这一个月,在给 Zoom 带来史上最大曝光的同时,也让它遭遇了发展 5 年来最大的危机。

  “危机”一词恰如其分,因为机遇和危险相伴相生。机遇让 Zoom 快速催熟,家喻户晓,成为视频会议的代名词,膨胀如森林之王。但危险则是源于它跟不上节奏的安全和隐私投入,这是 Zoom 未来的命门,也让竞争对手意识到这只老虎是“纸做的”。

  一、Zoom 的危机一月

  3 月 19 日(当地时间,下同)美国约翰·霍普金斯大学发布,全美新增确诊病例突破 1 万例,标志着美国疫情进入高峰期。Zoom 股票(NASDAQ: ZM)价格应声而起,从 18 日的 118.71 美元飙涨到 23 日的 159.56 美元。

  此后进入 4 月,在 2 日和 7 日 Zoom 股价遭遇两次小波谷,最低回落到 113.75 美元。但此后它又重新涨回来,4 月 15 日股价 151.56 美元,重新接近了历史高位。

Zoom:一只缺钙的纸老虎-冯金伟博客园

  Zoom 创始人、CEO 袁征在 4 月 1 日发文说,产品日活用户从去年 12 月的 1000 万人激增到 3 月份的 2 亿人。

  然而,中国台湾省、澳大利亚和德国就先后禁止地方行政机关使用 Zoom。此外,美国纽约州和新加坡禁止学校采用 Zoom 远程教学(新加坡在封禁 Zoom 两周后正考虑放开限制);美国参议院、NASA、马斯克的 SpaceX 公司、谷歌、西门子、渣打银行等机构也禁止员工在工作和 / 或私人场合使用 Zoom。

  Zoom 在一份声明中说,仍有许多全球客户,包括金融公司、电信公司、大学和政府机构,都对其技术进行了”详尽的安全审查”,并依然选择使用他们的服务。这些评估后仍然使用 Zoom 的案例包含摩根大通、高盛和美国金融行业监管局(FINRA)。

  过去这一个月对 Zoom 而言就是如上所述,充满机遇和危险的“危机”时刻。

  1、“Zoom 炸弹”让陌生人闯入会议

  Zoom 在疫情期间能快速得到普及,很大程度上归功于它简单到极致,根本不用设置就能用的产品设计。也正是这样无需用户参与和思考的产品设计,让一些按照默认选项一路“下一步”的用户遇到了麻烦。

  最先出现的问题是“Zoom 炸弹”(zoombombings)。由于 Zoom 的默认设置都是以方便用户无需学习就加入会议为目的,所以这就让很多会议被无关人士擅闯、偷听或者捣乱——接管屏幕共享、散发色情资料,等等。

Zoom:一只缺钙的纸老虎-冯金伟博客园

  要避免陌生人参会,应该禁用“在主持人进场之前允许参会者入场”,设置主持人之外的管理员,禁用“文件传输”以避免捣乱者传播带毒文件,禁用“允许被移除的用户再度加入”。但 Zoom 的默认设置是极简的,这些选项都是默认关闭的,它因此遭受批评。

  4 月 1 日,美国联邦调查局(FBI)警告用户更改默认设置,以防止“Zoom 炸弹”。此前一天,英国首相约翰逊贴出的社交媒体照片,公开了他网上召集内阁会议的 Zoom 房间号:539-544-323,引发全民猜密码的狂欢。(Zoom 此后修改默认设置,隐藏了标题栏上的房间号。)

Zoom:一只缺钙的纸老虎-冯金伟博客园

  2、为图方便,默认选项隐含多重漏洞

  这类默认设置“为用户着想”而引发的安全隐患还有不少。3 月 31 日,Zoom 被指其 Mac 客户端采用了像很多“流氓软件”一样的静默安装方式,全程不给用户提示信息。

  这种把漏洞(bug)当卖点(feature)的做法并不是第一次引发质疑。2019 年 7 月,苹果被迫向几百万台装有 Zoom 的 Mac 打补丁,因为 Zoom 安装完后多出了一个可以远程激活用户摄像头的小型网络服务器。它开机自启,且卸载 Zoom 后无法同时删除。

  发现漏洞的研究员拒绝了 Zoom 以封口为代价给他支付的赏金,并将其公之于众。Zoom 发声明称:“我们认为这合情合理地改善了糟糕的用户体验,使用户能更快地一键加入会议。我们并不是业界唯一这么做的。”但它可以通过网页版,只用浏览器就加入会议,所以这条辩解也说不过去。

  此外,3 月 26 日,《赫芬顿邮报》质疑 Zoom 的一项特性——允许会议发起人检查参会者是否把 Zoom 窗口隐藏到了后台——是一种变相“云监工”。

  3、用户协议中未披露的隐私泄露

  很少有人会主动查阅常用软件与服务的用户协议,但只要一查,基本都会查出一些问题来。航通社以前也曾关注过国内的同类情况:《你总会变老,所以你要仔细看用户协议》。

  Zoom 在过去 6 年的发展中都没有被人针对性地挑刺,不过民间对用户协议的追究可能迟到,却从不会缺席。

  3 月 30 日,《消费者报告》杂志指责 Zoom 的用户协议允许其收集有关用户会议的信息(如视频和共享笔记)进行定向广告分析而受到批评。此后 Zoom 修改了相关的协议条文。

  3 月 26 日,Vice 旗下科技媒体品牌 Motherboard 曝光 Zoom 的 iOS 应用悄悄地向 Facebook 发送有关用户习惯的数据,即使用户没有 Facebook 帐户。信息包含设备型号,正使用的手机运营商等。Zoom 虽然删除了这一段代码,但速度不够快,无法阻止用户发起的集体诉讼,以及纽约总检察长对其展开调查。

  3 月 19 日,有关注隐私的组织 Access Now 要求 Zoom 就像亚马逊、微软、谷歌等前辈一样,每半年一次公开全球各地执法机构对其发出的协助调查的指令。

  4、“中国威胁论”

  3 月 31 日,The Intercept 报道 Zoom 不是如其声称的那样是“端到端加密”的。这意味着,如果第三方同时截获了 Zoom 会议的数据包和掌握解密用的密钥,就可以破解和窃听会议内容。

  4 月 3 日,加拿大一家研究机构指出 Zoom 将一些北美的通话重定向到中国大陆的服务器,连用来保护这些呼叫的加密密钥也传递过去了。媒体担心,不同司法管辖区下的制度冲突,让跨区传输的通话变得不安全。

  Zoom 回应称,过去几周努力提高服务器容量以容纳大量用户涌入,但”错误地”允许其两个中国数据中心作为网络极度拥塞时的潜在备份。

  截止 2019 年 11 月,Zoom 主应用程序(zoom.us)在中国大陆无法访问,但在中国境内销售 Zoom 应用的代理商有几家(如 zoom.cn、zoomvip.cn、zoomcloud.cn)。据第一财经报道,Zoom 正准备设立官方中国分公司,以替代第三方渠道。

  Zoom 将其数据中心的流量分配机制称为”地理围栏”。理论上,北美的通话数据应该留在北美数据中心,而欧洲的应该留在欧洲数据中心,等等。但当本区内遭遇流量高峰时,网络会将流量自动转移到附近容量最大的数据中心。

  当然,跨司法管辖区的业务向来很麻烦,即使是把欧洲的通话转接到北美,也可能会遭遇欧盟 GDPR 的管辖。但在部分人士看来,涉及到中国大陆的问题似乎比其他地方更为尖锐。

  这一记载在 Zoom 危机一月的“编年史”上的最新章节,彻底威胁到了 Zoom 保持高速成长下正向现金流的“独门秘籍”:将大部分研发力量放在中国大陆,以降低人力成本。

  二、Zoom 的低研发 / 安全投入:“劳动力市场套利”

  SaaS 企业很容易验证盈利能力,但在上市前就已经在保持正向现金流的凤毛麟角,Zoom 就是这样的“异类”。公司 2016-2018 财年营收依次翻倍,为 6080 万美元、1.52 亿美元、3.31 亿美元;在 2018 财年扭亏为盈,净利润 758 万美元。

  Zoom 保持盈利的“秘诀”之一,就是相比对手而言超低的研发投入。招股书称,Zoom 的研发支出占营收比例不足 10%,而同类大型 SaaS 企业一般将收入的 20% 以上用于研发。

  采用将研发团队设置在中国大陆的方法,Zoom 充分利用了中国相对硅谷的“低工资优势”。招股书称,Zoom 在中国多个研发中心拥有 500 多名员工,约占其劳动力总数的 30%、非美籍员工总数的 70%。

  2012 年,美国电信运营商 Verizon 的安全团队讲了个有趣的故事。美国一家公司的“天才程序员”支付自己五分之一的薪水、将自己的程序员工作外包给中国的码农,而自己每天的工作竟然只是在网上闲逛。

  即使到现在,中国程序员的收入已经相对增长了很多,但中国上海的程序员平均月薪 10166 人民币,硅谷(圣何塞)平均月薪则为 6544 美元(46280 人民币)。

  这种所谓“劳动力市场套利”甚至被分析人士认为,是让当下的 Zoom 保持盈利的主要原因。换句话说,如果 Zoom 不得不将产品开发团队转移出中国,可能就没法继续盈利了。

  Zoom 招股书表明,中国开发团队可能让公司面临安全相关的审查。如今形势的发展证实了这一点。这让现在的 Zoom 措手不及,但考虑到它已经发展了 5 年,你也可以说之前留给它的时间已经够多了。

  更不用说,Zoom 不止通过雇佣中国程序员“省下了”研发投入;它对研发,特别是安全方面的资金投入,是全方位的不足。

  4 月 1 日,Motherboard 报道的问题令人啼笑皆非:Zoom 将几千个使用小众免费电子邮箱服务的人视为“同事”,因为它只记录了 Gmail、Outlook、雅虎等耳熟能详的大型邮箱服务。荷兰有不少人用 xs4all.nl、dds.nl 和 quicknet.nl 后缀的免费邮箱,就被 Zoom 当作是公司邮箱了。于是,这些陌生人被列入同一个“公司通讯录”,可以查阅彼此邮箱地址和发起呼叫。

Zoom:一只缺钙的纸老虎-冯金伟博客园

  你可以从这个例子里面,再清晰不过地看到 Zoom 省下来的安全、隐私、功能改进的费用,到底应该花在什么地方。这就是在安全上花一点点钱和一大笔钱的区别。

  Zoom 公司在 4 月 2 日宣布暂停功能更新 90 天,专注于应对隐私和安全问题。公司创始人、CEO 袁征接受 Business Insider 专访时说,任何利用 Zoom 的安全和隐私问题搞市场营销的公司都有“可怕的文化”。说人话,就是微软、思科等视频会议对手打隐私牌,趁机“爆锤” Zoom 是不道德的。

  但这不是道德问题,这就是竞争力,哥们。

  在隐私和安全问题上,Zoom 的对手们已经遭遇了大大小小的质询,体会过焦头烂额的时刻,做完了该做的基础改进(至少看上去是)。你没有,那你就不能投机取巧,绕过这一步。

  三、Zoom 的低营销投入:“为他人做嫁衣”

  如果说 Zoom 通过在中国开发,和聚焦核心功能(更少关注安全等外围能力)降低了开发成本,那么通过 C 端(企业员工一端)的口口相传,它又有效地降低了营销成本。

  在长期由思科 WebEx、微软 Teams 等把持的商用电话会议市场,Zoom 采用大胆的长期免费策略,首先让员工体验,并通过自然使用渗透,反向影响老板的采购决策。这一进程如今仍在持续:袁征的最新举措是免费为 K-12 学校提供 Zoom 的付费功能。

  但这里必须指出,所谓“降低营销成本”也是相对的。从 B 端入手,自上而下影响采购部门和老板的思路并没有过时,很多在大众眼里关注度不高的产品在 B 端被广泛应用,乃至底层员工可能都不知道公司原来买了某种软件。

  微软 Teams 就是典型案例。像 The Verge 曾质疑,为什么微软有消费端的 Skype、商用端的 Skype for Business 和 Teams,却“打烂了一手好牌”,任由 Zoom 抢尽风头。

  该文认为,微软对 Teams 等视频通话产品近乎采取粗放经营的方式,产品线没有整合,用户对 Skype for Business 和 Teams 之间有什么区别都搞不清楚。而 Skype 原本使用的 P2P 协议,确实适合低带宽下保持通话流畅,但却影响了非电脑的移动终端使用,微软不得不在近期抛弃这些遗产,对其完全重构。

  但事实证明,商业用户看到安全风险之后,纷纷逃离 Zoom,并会寻找 Teams 和 WebEx 这类商用替代品。真正黏在 Zoom 上的普通人和免费用户,转为付费的意愿并不高。Zoom 培养了大众的使用习惯,只是“为他人做嫁衣”。

  微软 Teams 随着 Office 365 / Microsoft 365 分发到了世界各地的企业用户,虽然它也是一个付费服务,但已经购买了 Office 的企业可以不用感知到这笔开销。

Zoom:一只缺钙的纸老虎-冯金伟博客园

  航通社在上周专访了负责 Microsoft 365 的微软全球副总裁施洋(Jared Spataro)。他的回答表明,微软并未真正担心过 Zoom 的兴起。

  “Zoom、Houseparty、Google Hangouts 这些主要是针对个人用的,Zoom 在报纸上说他们的用户很多是免费的。它们都是针对消费市场研发的,所以有的时候用广告来维持商业模型。”

  “Teams 从一开始的设计过程中,就会考虑到安全和隐私这些基本原则。现在有很多公司已经开始跟我们交流,由于安全和隐私的问题,他们正在考虑是否要切换到 Teams 工作。”

  “Teams 的用户包括中小企业和大公司,都是需要付费的。Teams 正在迅速推动着世界生产力发展,但微软不会在市场上大肆宣扬。这一周我们会发布一些新的统计数字来解释用户量。”

  第二天,微软分享了有关 Teams 的最新数据:在线会议时长(27 亿分钟)和打开视频会议的次数都是疫情暴发前的 3 倍。今年 3 月,Teams 内部的总通话时长同比增长了 1000%。Teams 在中国每天新增用户数是 1 月份的两倍多。

  Zoom 之所以受欢迎,因为它易于使用,连接质量可靠。但 Zoom 的误导性声明,为用户提供了“虚假的”安全感和隐私感。

  原本员工自下而上影响决策的推广模式,因为 Zoom 的安全隐患被大大阻碍,企业纷纷直接禁止使用 Zoom,可能令其错过疫情期间一次性部署的黄金时期。这样的部署一旦完成,再更改就非常困难了。

  “先污染,后治理”的模式对初创公司是最理想的,它有另一个名字叫“最小可用产品(MVP)”,也就是先跑起来再说。这证明了 Zoom 初期战略的成功。但眼下,视频会议产品完成了全民普及,门槛将比以前变得更低,或者说,有能力迈过门槛的巨头都已经参与进来了。

  四、专业工具转平台?难而且没必要

  很多支招的吃瓜群众都说让 Zoom 做平台,但变成另一个 slack 并没有太大必要——特别是当你只是“赶鸭子上架”,为求生而做平台的时候。企业和员工看中的是 Zoom 专注的高连接率,而不是别的。

Zoom:一只缺钙的纸老虎-冯金伟博客园

  Zoom 让其它带有视频会议功能的 SaaS 产品或通用聊天软件相形见绌的,是它引以为傲的低延时,所有通话延时都被缩减在 150 毫秒以内,这是公司的承诺。它们一切的技术优化都是为了确保这样的目标。

  很难保证 Zoom 一旦转为平台以后,其他业务是否还会有这样的极致优势,而战线拉长对于节省研发开支著称的团队并不是好事。

  有一些更利基的产品,目的是为了修正 Zoom 类工具的问题或缺憾。比如 Pragli 使用永远在线的卡通头像标注员工状态,以此避免员工开会前一定要化妆更衣,以及由此带来的不能放开交流的问题。

  它的做法让人想起天国的聊天宝(子弹短信),所以你就能由此看到,同为纯工具的 Zoom 也有它的天花板,只是高那么一点点而已。

  用户并不能在 Zoom 上完成上班打卡、报销、请假等事情。这种一个工具只服务于一个用途的做法,让 Zoom 无意中实现了区隔工作与生活的目的,也实现了区隔开会(这一令人头痛和烦躁不安的时刻)与工作其他环节的目的。毕竟,远程协作还包含共同编辑文档等其他异步沟通方式,无需担心延时等令人抓狂的问题。

  航通社社长曾跟老友远程叙旧,因为其中一位用的是 Zoom,他一听我提起 Zoom 就退避三舍,说这会让他以为自己在上班。最后,大家达成共识,用腾讯会议连麦。

  好在,现在人们开始将 Zoom 用于工作以外的其他目的,如与朋友聊天、网络课堂、婚礼、宗教活动等,它曾经培育用户的巨大努力正收回一点成效。这甚至也许会帮助它——在万一永远无法修复企业客户信任的时候——摇身一变成为民用,而不是商用的产品,作为让公司存活的备选方案。

  五、开源变服务商?利润空间更小

  Zoom 的替代者,在大致解决安全问题的同时,都不可能做到像 Zoom 这么方便。前面说过了,Zoom 宁可选择傻瓜化的默认选项,尽管一路“下一步”隐藏着风险。

  为了彻底消灭外界对安全隐私问题的纠缠不休,袁征在近期接受《福布斯》采访时似乎乱了方寸。他甚至说,

  “如果不能把 Zoom 变成世界上最安全的平台,在接下来的几年里甚至会考虑开源 Zoom 的代码供其他人尝试。”

  “我觉得 Zoom 不再是 Zoom 的一部分了,Zoom 现在属于世界。所以,我需要其他所有人的帮助。让我们一起建立一个更好的、世界上最安全的平台,让全世界都从中受益。”

  ——一种聊天或对话协议,之前开源过吗?

  谷歌 Gtalk、苹果 iMessage、微博、Twitter 一度短暂的允许第三方客户端,但随后都收回去了 API,因为聊天工具不断涌现的新功能无法传导到第三方客户端,有些信息流不能乱序显示,让“竞价排名”的广告没了展示位。

  Telegram 协议是开源的,但这让基础协议无法进一步更新,跟虚拟货币分叉时候遇到的困境类似。当然也可以用与分叉相似的方式尝试解决争议。另有一种鲜为人知的视频通话平台 Jitsi,虽然也不是端到端加密的,但它现在已经是开源的。

  一部分由于美国本土版本被封锁,Zoom 在中国的很多业务以“技术支持”的方式展开。第一财经报道了一款名为“瞩目”的国产线上会议软件与 Zoom 存在技术合作,其应用界面和 Zoom 如出一辙。

Zoom:一只缺钙的纸老虎-冯金伟博客园

  如果真的迫于压力开源,那么 Zoom 会转变为像 Canonical(负责维护 Ubuntu Linux)一样的开源服务商,主要盈利模式改为向企业提供服务和技术支持。

  由于停止了直接对产品本身收费的方式,且有些公司可能会在私有云架设 Zoom,持续创收能力肯定不如现在这么好,而且这一过程是不可逆的。

  Zoom 或许会怀念 2013 年底成立以后,长达 5 年多默默无闻的低调发展。如今的高成长大概率难以维持,如果回到一个小而美的服务商,可以自我持续发展,将是比较理想的一个结局。但搞不好,也可能让它无法承担大范围的安全责任而“倒在黎明前”,这考验着管理者的掌舵能力。

  六、结论

  相比上市之初的每股 62 美元,Zoom 不到一年就实现了超过 142% 的股价涨幅,300 多亿美金的市值让它跟 Uber 等独角兽比肩。

  不过,看了这么多做空中概股的故事,现在是时候做空 Zoom 了,而且恐怕已经在进行。它如此之高的期待必将从高位回落,区别只是最后将成为较为稳健的 SaaS 公司还是更糟糕。

  另外也许是调侃的一点,Zoom 以华人创始人雇佣国内程序员的做法,让这家美国纯血统公司也俨然成了半个“中概股”。若隐若现的“去中国化”逆流,将让 Zoom 的运营成本承受不必要的上升。

  科技公司过去一年经常遭受指责,这些指责主要来自隐私和安全方面。商业企业拿出占其营收也许是九牛一毛的收入修补被媒体提到的安全问题。这称之为“Techlash”。但显而易见的是,新冠肺炎疫情改变了这个趋势。对患者、疑似病例、密切接触者、社交距离保持情况的检查,让民众被迫让渡一些个人权益,而科技公司快速用技术补充社会不足,可以改善它们的公众印象。

  对于最前面的科技巨头来说,改善外界关切的安全和隐私问题,并非伤筋动骨的支出,它们可以熬到柳暗花明的时刻。但这对研发支出低成了“竞争优势”的 Zoom 并不适用。

  Zoom 从来就没有被正面害怕过,或者说,就算以前有对手因为摸不着底细而害怕过它,现在也有了确定的答案。它正需要对社会关心的问题逐一“补课”,来补充让“纸老虎”强壮起来的“钙质”。

  安全隐私这件事处理的好不好,决定了 Zoom 能否挽回企业用户的信任,维持其向来稳健的商业模式。而这进一步决定了它是否只会是又一家昙花一现的热门公司。