我的网络安全之路

我从小就对黑客着迷。

在我眼里，黑客能赋予普通人"超能力"。就像《Mr. Robot》里的 Elliot，又像《黑客帝国》里的 Neo——他们的力量，来自对系统的理解。

我第一次真正接触这个世界，是因为一台电脑。小时候，有家公司欠我家工厂的钱，父亲把对方的一台电脑搬回家抵债。那是一台大屁股显示器的老机器，开机时会跳出一个彩色的鹦鹉标志 🦜。那时还没有宽带，我攒钱去电脑城买了张 USB 无线网卡，把母亲的 SIM 卡插进去上网。几百块电话费，换来的是我对数字世界的初次沉浸。

起初我只是沉迷游戏，每天醒来打到凌晨两三点。打不过别人，就开始用外挂；外挂不够强，就自己写。从易语言到 Visual Basic，当我第一次拥有"创造工具"的能力时，整个世界都开始不一样了。后来我写远控程序恶作剧朋友，自学漏洞原理、渗透测试、操作系统和协议栈——不知不觉，我真的走进了网络安全的世界。

这条路走得并不顺。

刚工作那几年，安全岗位几乎不存在。我白天是软件工程师，晚上把所有时间都砸进安全研究，在 WooYun 这样的平台上学挖洞、学利用。因为有编程的底子，我比很多人更能看清漏洞的本质——它怎么产生、怎么被利用、又该怎么修。我写自动化的漏洞利用工具，十天里在 WooYun 排行榜上窜了十页，也曾握着国内许多顶级互联网公司服务器的控制权。

也是在那时我才真正明白：真正的安全能力来自对系统的深度理解，工具反倒在其次。

随着公司业务做大，安全从"可有可无"变成了"非有不可"，我也顺势从攻击者的视角，转向了建设者的视角。我开始主导一个又一个业务真正需要的安全产品：账户安全检测、数字证书体系、实名认证、VPN、堡垒机……后来，我成了公司第一位安全工程师。那是我安全职业生涯真正的起点。

接下来的十年，是两段跨越式的成长。

前五年，我陪着一家电商公司从创业团队一路走到纳斯达克上市，自己也从独自起步的安全岗，长成了带团队的人，参与并推动了一整套安全体系从无到有。后五年，我在网商银行做安全架构师，作为 CISO 的副手，从零参与建设金融级的安全体系——应用安全、移动安全、基础设施安全、威胁情报、事件响应、安全产品研发，我们一点一点搭起了支撑一家数字银行的底层安全能力。这段经历，我写在了《蚂蚁五年：从巅峰到低谷，再到转机》里。

现在，我担任支付宝支付科技有限公司的首席网络安全官。这里承载着海量用户的敏感数据和金融级的交易规模，安全标准没有任何可以妥协的空间。我们正在做的，是一套世界级的安全体系，把理念、方法论、产品和漏洞治理一点点沉淀下来。

回过头看，这条路有太多偶然——一台抵债的旧电脑，一个不强迫我按部就班的家庭环境，一段没人管你做什么的时光。正是这种宽松，让我有机会把时间砸进真正感兴趣的事里，在别人还在走标准路径的时候，我已经积累了几年的实战经验。

但偶然背后也有必然：有环境给空间不够，还要有人真的去用这个空间。我不是名校出身，也不是科班背景，技术天赋未必有多突出。

我只是始终保有对安全的热爱，和那份没被磨灭的好奇心。我愿意为它投入远超常人的时间，愿意去做那些难而正确的事，也要求自己把每一件事都做到能力范围内的最好。我信开放和分享的力量，所以我开源工具、沉淀经验，也在各种安全会议上讲我的经验和教训——因为真正的成长，不该停在一个人身上。

热爱仍在，好奇心仍在。我还会继续在高复杂度的系统里构建确定性，继续做那些难而正确的事，也继续把走过的路写下来。

这条路没有终点，我还在路上。