一個土鱉安全工程師的奮鬥史（下）

2008年，我是看著《我的華為十年》這篇文章進入這家公司的，當時我的總監就是這篇文章的作者家俊。轉眼雲煙，第一份工作做到了現在。上篇主要記錄了我工作前幾年的經歷，如果沒有幾個重要的事情發生，我很可能在所謂的甲方安全道路上繼續磨磨唧唧走下去了。中篇主要記錄了我負責安全產品後的一段經歷。與乏陳可述的前幾年比起來，後面做生產網安全和安全產品幾年的經

剛接觸我的時候還是蠻防著我的，生怕我是來騙錢的。其實也可以理解，有點預算的甲方，估計都被乙方洗腦N遍了。另外我長的比較喜感，眼神比較清純，人來熟，不像大家對黑客或者說安全從業人員的印象。接觸幾次後逐漸建立了信任，大家也比較聊的開了。雖然安全技術一直在演進，各種新的思想和概念也不斷湧現，幾乎每年安全會議的側重點都會不太一樣，大數據、AI再到區塊鏈。安全的攻擊形式也層出不窮，針對web的、智能硬體的、AI模型的等等。但是一個現實是，甲方的需求和乙方介紹的技術和產品的鴻溝卻一直不斷擴大。一些很基礎的安全加固知識可以搞定的，一些通過配置就可以搞定的事情，黑產關注了，但是大家卻沒怎麼關注。mongodb、es之類匿名訪問放到公網裸奔，直到被加密勒索了；沒打補丁的window伺服器防火牆也不打開，還對外提供服務，直到被人全盤加密勒索；智能攝像頭的root密碼也不改，放到公網還拍些敏感內容，結果被人一個初始密碼就劫持了。我把我的一些經驗和大家分享了下，發現大家蠻感興趣。於是我抱著玩的心態，開始寫我的公眾號。起先我也沒有多大把握會有多少人看，畢竟講的都是些基礎乾貨，比如如果做網路區域劃分和隔離策略，如何對無線網路安全加固，生產網的伺服器如何做加固等等。開始的時候，我是遇到用戶問的問題，就把公眾號裡面相關的發給大家看。沒想到一下子轉發的很多，關注用戶數漲的不錯。最後我把文章進行了分類，分為了企業安全和AI安全兩個板塊。我公眾號並不追求思路多新多領先，就是想成個小筆記本，大家有需要時可以找到使用的辦法，一不小心成了一個粉絲數相當不錯的安全自媒體。

AI探索

大概在2014年底還是15年初，組織架構調整，我收了一個研究機器學習的小團隊。團隊的leader是個非常活躍的小孩，而且特別有激情。他一直鼓搗我增加在機器學習方面的投入。當時HC控制非常嚴格，但是我還是被他傳銷式的彙報感動或者說屈服，我儘力支持他。當時我們在線上環境的離線數據上做了大量的嘗試，在部分場景下也取得了不少進展。也是這個階段，我對AI建立起了信心。我開始重新梳理AI比較成功的使用場景，然後嘗試移植到安全領域。那段時間我自學了機器學習，也經歷過激情澎湃地買了一堆機器學習書籍後發現一個公式也看不懂的尷尬，幾次想放棄。最後我發現自己是碼農出身，我對代碼的理解能力遠強於文字和公式，於是我從有示例代碼的書籍學習起，逐漸理解了機器學習的常見演算法。如何挖掘場景並使用合適的演算法呢？這個確實靠悟性和經驗，很難就靠看書就理解了，需要大量的實踐。我投入了大量的個人時間用於學習和實踐。熟悉我的人都知道我喜歡看電子書，我的電子書里除了老羅的書和幾本歷史的書，基本都是機器學習的書。每天上下班有將近一個小時在城鐵上看書，算起來一個月就是20個小時，約3個工作日。回顧這段學習的經歷，我的感受是機器學習的學習坡度很陡，所以很多人會半途放棄或者一知半解，但是這恰恰是它的門檻。sqlmap的常見命令一天掌握問題不大，你覺得是門檻嗎？

寫書

為啥會寫書呢？說起來原因很簡單，因為我的公眾號和文章經常被人抄，有去掉我水印的，有去掉我圖片的，還有完全抄只是改作者名稱的。抄襲的有自媒體，有小媒體，還有一些廠商，我也無力吐槽和維權。最後我就寫書吧，抄我的好歹你要買一本複印。也正是這段被抄襲的經歷，我的書和PPT，盡量連引用的圖片也標註，算是一種尊重吧。

寫書的選材，我選擇了AI安全，而不是企業安全。因為實話實說，企業安全也不急於一時，市場上已經有了，但是AI安全的卻沒有。另外，大家其實對於如何使用AI做安全更多停留在概念層面。更有甚者，在PR稿上就是羅列一堆公式，然後說人能識別威脅，人能看病，所以他能用AI搞定。我也只能呵呵。基於這複雜的原因，我開始寫我的AI安全書籍。由於AI的知識太多，最終定稿成三本，一本講入門的，叫《web安全之機器學習入門》，一本講實戰的，叫《web安全之深度學習實戰》，目前都已經出版了。出版前我很擔心賣不出去，結果讓我非常意外，從甲方到乙方，從國內到國外，都有我的讀者，就在今天美國fireye的一位總監，當然也是我好友還在朋友圈show我的書。還要感謝我的幾位老闆幫我寫序，以及眾多業內好友的幫助。據說我的書還入選了出版社的計算機類年度十佳。感謝Freebuf的提名，我在FIT年度安全人物評選排到第三。

生命不息折騰不止

也許我繼續做我的安全產品，今天改個bug，明天加個按鈕，日子也慢慢也會過去。具體的產品也有具體負責的經理，我把經理管好就ok了，我也可以過的比較happy，就和以前巨牛無比的萬能充一樣。當年萬能充賣的火熱時，哪裡會想到現在充電介面統一後，再難見到它的蹤影。

時代拋棄你的時候，連招呼都不會打。尤其是你覺得舒適的時候。

我自己研究AI，我的幾次轉型，其實都是我主動的走出了舒適區。就像我最近，以30歲高齡，從帶團隊的，轉去實驗室稿新產品預研一樣。在一堆20多歲的小夥子高呼搞技術沒用，要搞管理崗的時候，我選擇了在一個技術型公司繼續深耕技術。我有自己的技術理想，我覺得搞這些蠻開心不枯燥。

精彩待續

我的奮鬥還在繼續，精彩等著我繼續譜寫。

如果打賞才能宣洩你的情感

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！