大约一年前,我决定了目标是网安方向,理由大致如下: 我很喜欢计算机相关的东西,所以一定一定想走相关专业 但就了解到的信息,经典的软件工程这方面就业是越来越难了,再加上AI的冲击,即使技术过硬,想当传统码农也不容易了。所以就Pass了 人工智能是个显而易见的风口,但就是太显而易见了,毫无疑问的什么奇奇怪怪的人都会往这挤,且不说竞争太激烈,我想学风大概一般,所以放在最末尾考虑的位置 所以这么看来,再一个热门还有点前景的方向就是网安了。 那么,我一开始觉得网安有什么优势呢? 顺着人工智能的思路去想,我觉得AI和网安其实是矛和盾的关系,AI越能挖漏洞,不越需要网安人才么?所以这让我觉得它的就业前景不说会变好,起码不容易像隔壁一样恶化 兴趣是很重要的东西。学网安,怎么看都比学别的好玩点 实在不行,我学完去考公。技术岗的竞争大概还是温和点的,而且这和AI就没什么大关系了 当然,以上有些想法可能有些幼稚,抑或有些偏颇。一年过去,有些心境发生了变化,有些疑问也存在。 现在看来,AI对底层网安的冲击还是相当猛烈的,仅仅比普通码农们晚了个把月而已。 但我又觉得“矛和盾”的想法应该还是正确的。未来,脚本小子更容易当,初级漏洞扫描不需要人工,但安全专家的需求我想依然是会扩大的。 所以,现在看到一些唱衰网安的讨论,总还是略显迷茫。这个道路到底对不对? 另:估分590上下,211水平 17 个帖子 - 15 位参与者 阅读完整话题
首先,自我介绍一下,本人男,刚过20,双非网安科班,参与过很多比赛,也挖过漏洞,但是比赛的成绩并不怎么优秀,没站内的佬优秀,漏洞就早期挖点edusrc,和现在搞了点企业的src。自己在参与自己学校的竞赛团队的同时,也有在带团队的开发方向,但是由于团队比较年轻,对程序作品的积累不多,今年上半年打了很多的作品赛,但是收效甚微,而且比较东奔西跑,因为对赛制和选题不太明确,最近和团队成员一起搞一个大学生的初创公司,但是考虑的就更多了,但幸好自己不是公司的主要负责和操心的。 当时整个团队刚创建的时候我们都很有干劲,每日每夜的待在实验室里学习和比赛,但是现在纳入新成员和去比赛,好像没有当初的热血了,然后感觉自己的发展好像也到达了一点瓶颈,学业上有些挂科,也在补考,就感觉自己站在十字路口,团队的导师也在询问我是直接找工作还是去考研深造,找工作的话就需要趁早去多搞点项目和实操经历,考研也早点打好基础和跟导师一起出论文。 而且最近还有一段可能要成的感情(没有利诱,纯情感吸引,对方很开朗大方),但是最近也是快期末了,所以挺忙的,也就线下在实验室一起待一会(教她点东西),线上一起玩一会游戏,不热的时候出去散会步,还有线上经常性的聊天。 所以想问问佬们,我这还有什么发展路径吗? 10 个帖子 - 5 位参与者 阅读完整话题
Linkedin 吹的天花乱坠, 网安证书 一大堆 剧透 10 个帖子 - 7 位参与者 阅读完整话题
背景 19年至今,从业7年的网安小萌新,主攻渗透方向。 从三线城市小厂安服->一线城市某大厂Red team->通信行业某垃圾国企三级公司->小公司 如题,虽然一直没有账号,不过潜水看了很久,发现佬友里有很多学生党,私以为能以我的错误路线给佬友们提供教训,有问题的话可以提问喔 7 个帖子 - 5 位参与者 阅读完整话题
感觉我的生活似乎相当简单,毕业后直接进了某网安公司实习、然后就慢慢悠悠待了六年,直到今天。 毕竟是人生的第一次,感觉应该写点什么纪念一下。 刚毕业的时候是 2020 年,选了一个网安公司。当时进这个公司非常重要的一点是,我对网安行业非常有兴趣(初高中「捣鼓」过很多东西,还玩过渗透,甚至年少无知黑过别人论坛 - 幸好人家没报警),而且这家公司还运营着我曾经经常逛的一个安全论坛 当年也正值网安行业如日中天,开心入职了。刚入职的时候其实福利相当可以,各种下午茶、福利、多余的假期、奖金等等,各种活动也不少。 入职的时候面的是 Python ,还记得进公司的时候接手的是当时的一个老项目加功能。读这个项目源码的时候真的非常痛苦,具体记不清了,但大概也就是不遵守命名规范、没有注释、没有类型注解、没有测试这些,我梳理代码的过程中加了一些注释,然后做好了功能,然后提交代码。 然后 Code Review 过程有两件事情让我至今印象十分深刻 因为写了过多的注释被 leader 要求「不要加注释,因为后面代码变了可能和注释对不上」 当时做了一个删除功能,然后因为 ES 删除并不是实时的,可能出现添加后立刻删除没有 / 删除后立刻查询还在,当时不太懂 ES ,听从了 leader 给的解决方案「在所有操作后都执行 index 刷新」 不过巧的是,我的代码质量被另一个团队的 leader 看到欣赏了,把我要了过去 —— 所以这也是我在真正招我入职的这个 leader 手里做的唯一一个项目 在新的小组,用 Python 做了一个新项目以后,就遇到了公司决定放弃 Python 转 Java 😂 所以我那个 Python 项目在线上好像也就存活了一个月 之后,既然公司决定转 Java 了,那我自然是…… 去写 Go…… 没错,我所在的新部门因为是中间件部门,因此没有受到应用层转 Java 的影响,而是可以选择合适(喜欢)的语言完成,在职期间我基本上可以说把 Python 2, Python 3, Golang, Java, JavaScript (TypeScript), Rust 玩的都挺明白(主打一个想学什么语言就用什么做) 在这个部门工作的时候非常开心 —— 即使那时候我知道我的能力已经远超我的薪资了我也没有走,我经常觉得好像工作氛围要比钱重要的多。 然而,在这期间,网安行业走下坡路,公司也开始了各种「骚操作」,取消各种奖金、晚发至最后取消年终奖、强制加班(我入职的时候承诺了每天工作 8h 、周末双休 - 当时也确实做到了,但后面就变成了要求工作 9.5h )等,我因为氛围 & 做的东西我比较开心其实也都默默忍了下来。 转折点应该是两个因素一起构成的。一是我当时的 leader 因为不满公司 9.5h 的工时制度而离职(公司为了逼他离职甚至做出了在他头顶装摄像头的离谱举动),二则是公司突然搞了一个「王牌项目」,而我也正式从专门的基础架构/中间件的开发去转做了业务开发 坦白说,这是一个非常有前景的项目,但也是一个十分困难的项目 —— 当时的说法是「我们是第一个,没有竞争对手」而我说的是「因为其他家都知道不可能所以我们是第一个」—— 这件事情几年后到了现在也是正确的,我们没有任何同类竞品、到今天也没有 当时我是负责安全动态爬虫的,简单说就是给你一个 url 要争取全自动的、完美的爬取到整个网站、触发所有可能的 API —— 这是一个可能现在基于 AI Agent 都难以达成的目标 —— 但在当时就被要求去做到极致,有一段时间一直淹没在对各种奇葩网站的适配,十分痛苦 但其实虽然觉得困难,但我还挺喜欢挑战困难的,所以虽然痛苦,我也一直没有什么一定要走的想法 AI 时代来了。我进了 AI 安全项目组。 这次我要做的产品是 AI 网关。 这其实是一个对我来说毫无挑战的项目。作为一个「精通」各种网络协议、代理协议,手搓过 MitM 实现的人,这个需求对我来说简直太简单了 —— 它对我来说最大的难点就是作为一名 ADHD 我怎么说服自己去做这么一个「无聊」的项目。 anyway ,就当做个「 Build your own nginx 」这种练习了,轻松搞定。 但是让我始料未及的是,我又接到了很多 AI 网关的需求 —— 这不正常吗?这正常吗?还记得我开篇吗,我在的是一个「网络安全公司」!而我在的项目组是做 AI 安全的! 4 月我接到了大量的 AI 网关方面的需求,多上游负载均衡、协议转换、计费…… 我其实挺不理解的,为什么会有人期望让一个安全产品支持这些功能。。这不是后面接一个 Kong 甚至开源的 New API / litellm 就能解决的嘛?我们产品经理其实也不理解 —— 也没有客户提 —— 是伟大的 CEO 同志提出的。 而与此同时,一个安全产品却又不给安全研究方面的资源。。只有一位研究员还需要在多个产品之间提供支持、要求训练小模型不给卡。。。 (当然,现在好很多了,但是项目组中网关的研发已经有数个,安全研究人员目前却仍然只有一个。。) 与此同时,公司正在实行 All in AI 的政策 —— 坦白说,我觉得方向是对的,然而实行却一言难尽 先说我负责的 AI 网关。4 月直接接到了海量的、人力根本不可能完成的需求,而上面给的解决方案就是 —— 用 AI —— 并且号称给「无限的 AI Token 」 —— 然后对于项目的要求是「做出来就行,不要求质量」。 「无限的 AI Token 」,听起来很美好是吧?结果给的是某个廉价中转的 API Key —— 这个离谱的廉价中转的可用性甚至是见过、听过的最差的 —— 一个流式请求的 TTFT 平均 1min 、最长能干到 3min 的中转你们听说过吗?(对比下,直连 OpenAI / Claude 官方基本在数秒) 哦对,几分钟的 TTFT 还是后话,4 月初刚刚给到我的时候,它甚至根本没办法正常使用当时最先进的 gpt 模型 —— 非常稳定的,不开思考(默认 none thinking )就是智障、开了思考会无限等待直到超时。 (当然,当时秉持着绝不自费打工的想法,我申请到了 ChatGPT Pro 报销 —— 没强制要求发票,invoice 就给报了,这点公司倒是挺好的,我还以为到财务那里会卡我呢) AI 现在的发展阶段到处是什么样子?我觉得是一个挺尴尬的境界。AI 可以去完成一些简单的任务、复杂的任务、甚至多步工作流的任务,AI 也能完成一些小项目的完整维护。 但是对于一个 AI 网关这种量级的项目呢?我的评价是,根本无法正常维护 —— 哪怕是最先进的 gpt-5.5 。 被迫用 AI 开始这种级别的「 Vibe Coding 」我其实是极度痛苦的。因为给的时间去完整审阅 AI 代码是不可能的,我只能尽力保证大方向的架构是我期望的、而放任中间的细节由 AI 把控。 我的「掌控欲」其实还挺强的。我之前几乎可以保证只要我交付出去的代码,几乎不会有我写的 bug ;而我自己没测出来的 bug ,测试也几乎不可能测出来 —— 我有另一个中大规模的项目,完全由我开发、没有测试介入、运行数年、在无数个不同的环境中新装、升级,累计 bug 数不超过 10 但是现在呢?我再也不敢直接去笃定的说「配置问题」了,而是接到可能的 bug 永远要自己先审查一遍 —— 当然,我做了个 AI Skill 让 AI 完成这件事情 —— 但这种事情带来的心智负担是我不能/不愿意接受的。 而且也算是不得不对代码质量放任了。之前做 Code Review 我都会非常仔细的一行行代码看,包括考虑各种性能和可能的边界条件。而现在呢?别说审查了,我自己都不知道哪里会埋雷。看了下只要 CI 过了、别提交不该提交的文件、没有什么明显改动不该改的文件,就 Merge 了。 —— 哦,说到 CI ,可能只有我负责的项目有 CI 这种东西吧,公司完全不管 —— 当然,没有 CI ,也没有 CD ;我明确提过,这种 AI 的代码 bug 会很多,必须要做到遇到 bug 敏捷开发、快速迭代、快速上线(目前是采用月发版、中间非常紧急的 hotfix 才会手动去部署升级 —— 但我现在几乎每天都能发现 AI 之前埋藏的数个惊喜),要搭建好 CI/CD 做好自动的上线,正好趁着新项目直接上全套的 k8s + helm + argocd —— 然而,nobody cares —— 没有人敢使用新技术、没有人敢担拍板的责任 与此同时,公司正在执行更加激进的 AI 政策。 配备统一的(公司自己开发的)( Vibe Coding 的)(极其难用的)(充满 bug 的) AI 工具,禁止使用自己的工具、禁止使用自己的 API Key ,将 AI 使用率纳入考评、所有 commit 必须 AI 提交…… CEO 期望的肯定是「降本增效」,但如此激进的政策,我也很难说公司到底是先驱还是先烈了。 断断续续,不知道写啥,纯属觉得应该画个句号,写个流水账记录下吧;也尽量模糊了公司(不过网安行业就这么大,期望猜到的/我的同事们也不要说出公司名称来) 下一步怎么走也没想好,先去玩玩?自己做点什么?再换一家小而美不加班的公司? 无贷未婚无娃在这种情况下,还挺自由的 XD
IT之家 6 月 5 日消息,今日,公安部网安局公布 5 起仿冒假冒网站违法犯罪典型案例。 文章称,党政机关、企事业单位官方网站是信息公开、便民服务的重要窗口,也是群众信任的权威信息来源和办事渠道。一些不法人员为谋取非法利益,通过“以假乱真”手段仿冒假冒官方网站, 从事虚假认证、制售假证、网络诈骗、窃取个人信息等各类违法犯罪活动 ,严重扰乱社会公共秩序,损害人民群众合法权益。公安机关网安部门针对仿冒假冒网站违法犯罪,始终保持高压严打态势,依法侦办查处一批非法利用信息网络搭建仿冒假冒网站违法犯罪案件。 IT之家整理案例如下: 案例一: 甘肃武威公安机关侦破赵某等人非法利用信息网络案 甘肃武威公安机关网安部门查明,赵某(男,26 岁)委托卢某(男,38 岁)设立仿冒学历学位认证类网站,为虚假学历证书提供在线查验服务牟利。2026 年 3 月,甘肃武威公安机关将赵某、卢某 2 人抓获,查明其设立、运营仿冒网站 18 个,制作仿冒学位证、毕业证等 2406 份。 案例二:河北石家庄公安机关侦破张某等人非法利用信息网络案 河北石家庄公安机关网安部门查明,张某(男,32 岁)伙同他人设立仿冒某部委人事考试网,制售虚假职业资格证书牟利。2026 年 3 月,河北石家庄公安机关将张某等 4 人抓获,查明其设立、运营仿冒网站 1 个,制作仿冒职业资格证书 256 份。 案例三:山西临汾公安机关侦破崔某非法利用信息网络案 山西临汾公安机关网安部门查明,崔某(男,33 岁)设立假冒民办教育网站,为虚假学历证书提供在线查验服务牟利。2026 年 3 月,山西临汾公安机关将崔某抓获,查明其设立、运营仿冒网站 1 个,制作仿冒学历证书 72 份。 案例四:甘肃临夏公安机关侦破袁某等人非法利用信息网络案 甘肃临夏公安机关网安部门查明,以袁某(男,45 岁)为首的犯罪团伙设立假冒教育培训网站,制售虚假学历、学位证书牟利。2026 年 3 月,甘肃临夏公安机关将袁某等 4 人抓获,查明其制作仿冒学历证书 4125 份、伪造印章 5976 枚。 案例五:福建厦门公安机关侦破陈某非法利用信息网络案 福建厦门公安机关网安部门查明,陈某(男,35 岁)在明知他人实施涉税违法行为的情况下,仍为其搭建仿冒税务机关网站。2026 年 5 月,福建厦门公安机关将陈某抓获,查明其设立、运营的仿冒网站 1 个。 以上 5 起案例涉案人员均已被公安机关依法采取刑事强制措施,案件正在进一步办理中。 据悉,设立仿冒假冒网站实施违法犯罪,涉嫌违反《中华人民共和国刑法》第二百八十七条之一规定, 构成非法利用信息网络罪 ;明知他人设立、运营仿冒假冒网站实施违法犯罪,为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持的,涉嫌违反《中华人民共和国刑法》第二百八十七条之二规定, 构成帮助信息网络犯罪活动罪 。 依据《中华人民共和国网络安全法》第四十八条、第六十八条规定,任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。违反规定,尚不构成犯罪的,由公安机关处五日以下拘留,可以并处一万元以上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。
感觉我的生活似乎相当简单,毕业后直接进了某网安公司实习、然后就慢慢悠悠待了六年,直到今天。 毕竟是人生的第一次,感觉应该写点什么纪念一下。 刚毕业的时候是 2020 年,选了一个网安公司。当时进这个公司非常重要的一点是,我对网安行业非常有兴趣(初高中「捣鼓」过很多东西,还玩过渗透,甚至年少无知黑过别人论坛 - 幸好人家没报警),而且这家公司还运营着我曾经经常逛的一个安全论坛 当年也正值网安行业如日中天,开心入职了。刚入职的时候其实福利相当可以,各种下午茶、福利、多余的假期、奖金等等,各种活动也不少。 入职的时候面的是 Python ,还记得进公司的时候接手的是当时的一个老项目加功能。读这个项目源码的时候真的非常痛苦,具体记不清了,但大概也就是不遵守命名规范、没有注释、没有类型注解、没有测试这些,我梳理代码的过程中加了一些注释,然后做好了功能,然后提交代码。 然后 Code Review 过程有两件事情让我至今印象十分深刻 因为写了过多的注释被 leader 要求「不要加注释,因为后面代码变了可能和注释对不上」 当时做了一个删除功能,然后因为 ES 删除并不是实时的,可能出现添加后立刻删除没有 / 删除后立刻查询还在,当时不太懂 ES ,听从了 leader 给的解决方案「在所有操作后都执行 index 刷新」 不过巧的是,我的代码质量被另一个团队的 leader 看到欣赏了,把我要了过去 —— 所以这也是我在真正招我入职的这个 leader 手里做的唯一一个项目 在新的小组,用 Python 做了一个新项目以后,就遇到了公司决定放弃 Python 转 Java 😂 所以我那个 Python 项目在线上好像也就存活了一个月 之后,既然公司决定转 Java 了,那我自然是…… 去写 Go…… 没错,我所在的新部门因为是中间件部门,因此没有受到应用层转 Java 的影响,而是可以选择合适(喜欢)的语言完成,在职期间我基本上可以说把 Python 2, Python 3, Golang, Java, JavaScript (TypeScript), Rust 玩的都挺明白(主打一个想学什么语言就用什么做) 在这个部门工作的时候非常开心 —— 即使那时候我知道我的能力已经远超我的薪资了我也没有走,我经常觉得好像工作氛围要比钱重要的多。 然而,在这期间,网安行业走下坡路,公司也开始了各种「骚操作」,取消各种奖金、晚发至最后取消年终奖、强制加班(我入职的时候承诺了每天工作 8h 、周末双休 - 当时也确实做到了,但后面就变成了要求工作 9.5h )等,我因为氛围 & 做的东西我比较开心其实也都默默忍了下来。 转折点应该是两个因素一起构成的。一是我当时的 leader 因为不满公司 9.5h 的工时制度而离职(公司为了逼他离职甚至做出了在他头顶装摄像头的离谱举动),二则是公司突然搞了一个「王牌项目」,而我也正式从专门的基础架构/中间件的开发去转做了业务开发 坦白说,这是一个非常有前景的项目,但也是一个十分困难的项目 —— 当时的说法是「我们是第一个,没有竞争对手」而我说的是「因为其他家都知道不可能所以我们是第一个」—— 这件事情几年后到了现在也是正确的,我们没有任何同类竞品、到今天也没有 当时我是负责安全动态爬虫的,简单说就是给你一个 url 要争取全自动的、完美的爬取到整个网站、触发所有可能的 API —— 这是一个可能现在基于 AI Agent 都难以达成的目标 —— 但在当时就被要求去做到极致,有一段时间一直淹没在对各种奇葩网站的适配,十分痛苦 但其实虽然觉得困难,但我还挺喜欢挑战困难的,所以虽然痛苦,我也一直没有什么一定要走的想法 AI 时代来了。我进了 AI 安全项目组。 这次我要做的产品是 AI 网关。 这其实是一个对我来说毫无挑战的项目。作为一个「精通」各种网络协议、代理协议,手搓过 MitM 实现的人,这个需求对我来说简直太简单了 —— 它对我来说最大的难点就是作为一名 ADHD 我怎么说服自己去做这么一个「无聊」的项目。 anyway ,就当做个「 Build your own nginx 」这种练习了,轻松搞定。 但是让我始料未及的是,我又接到了很多 AI 网关的需求 —— 这不正常吗?这正常吗?还记得我开篇吗,我在的是一个「网络安全公司」!而我在的项目组是做 AI 安全的! 4 月我接到了大量的 AI 网关方面的需求,多上游负载均衡、协议转换、计费…… 我其实挺不理解的,为什么会有人期望让一个安全产品支持这些功能。。这不是后面接一个 Kong 甚至开源的 New API / litellm 就能解决的嘛?我们产品经理其实也不理解 —— 也没有客户提 —— 是伟大的 CEO 同志提出的。 而与此同时,一个安全产品却又不给安全研究方面的资源。。只有一位研究员还需要在多个产品之间提供支持、要求训练小模型不给卡。。。 (当然,现在好很多了,但是项目组中网关的研发已经有数个,安全研究人员目前却仍然只有一个。。) 与此同时,公司正在实行 All in AI 的政策 —— 坦白说,我觉得方向是对的,然而实行却一言难尽 先说我负责的 AI 网关。4 月直接接到了海量的、人力根本不可能完成的需求,而上面给的解决方案就是 —— 用 AI —— 并且号称给「无限的 AI Token 」 —— 然后对于项目的要求是「做出来就行,不要求质量」。 「无限的 AI Token 」,听起来很美好是吧?结果给的是某个廉价中转的 API Key —— 这个离谱的廉价中转的可用性甚至是见过、听过的最差的 —— 一个流式请求的 TTFT 平均 1min 、最长能干到 3min 的中转你们听说过吗?(对比下,直连 OpenAI / Claude 官方基本在数秒) 哦对,几分钟的 TTFT 还是后话,4 月初刚刚给到我的时候,它甚至根本没办法正常使用当时最先进的 gpt 模型 —— 非常稳定的,不开思考(默认 none thinking )就是智障、开了思考会无限等待直到超时。 (当然,当时秉持着绝不自费打工的想法,我申请到了 ChatGPT Pro 报销 —— 没强制要求发票,invoice 就给报了,这点公司倒是挺好的,我还以为到财务那里会卡我呢) AI 现在的发展阶段到处是什么样子?我觉得是一个挺尴尬的境界。AI 可以去完成一些简单的任务、复杂的任务、甚至多步工作流的任务,AI 也能完成一些小项目的完整维护。 但是对于一个 AI 网关这种量级的项目呢?我的评价是,根本无法正常维护 —— 哪怕是最先进的 gpt-5.5 。 被迫用 AI 开始这种级别的「 Vibe Coding 」我其实是极度痛苦的。因为给的时间去完整审阅 AI 代码是不可能的,我只能尽力保证大方向的架构是我期望的、而放任中间的细节由 AI 把控。 我的「掌控欲」其实还挺强的。我之前几乎可以保证只要我交付出去的代码,几乎不会有我写的 bug ;而我自己没测出来的 bug ,测试也几乎不可能测出来 —— 我有另一个中大规模的项目,完全由我开发、没有测试介入、运行数年、在无数个不同的环境中新装、升级,累计 bug 数不超过 10 但是现在呢?我再也不敢直接去笃定的说「配置问题」了,而是接到可能的 bug 永远要自己先审查一遍 —— 当然,我做了个 AI Skill 让 AI 完成这件事情 —— 但这种事情带来的心智负担是我不能/不愿意接受的。 而且也算是不得不对代码质量放任了。之前做 Code Review 我都会非常仔细的一行行代码看,包括考虑各种性能和可能的边界条件。而现在呢?别说审查了,我自己都不知道哪里会埋雷。看了下只要 CI 过了、别提交不该提交的文件、没有什么明显改动不该改的文件,就 Merge 了。 —— 哦,说到 CI ,可能只有我负责的项目有 CI 这种东西吧,公司完全不管 —— 当然,没有 CI ,也没有 CD ;我明确提过,这种 AI 的代码 bug 会很多,必须要做到遇到 bug 敏捷开发、快速迭代、快速上线(目前是采用月发版、中间非常紧急的 hotfix 才会手动去部署升级 —— 但我现在几乎每天都能发现 AI 之前埋藏的数个惊喜),要搭建好 CI/CD 做好自动的上线,正好趁着新项目直接上全套的 k8s + helm + argocd —— 然而,nobody cares —— 没有人敢使用新技术、没有人敢担拍板的责任 与此同时,公司正在执行更加激进的 AI 政策。 配备统一的(公司自己开发的)( Vibe Coding 的)(极其难用的)(充满 bug 的) AI 工具,禁止使用自己的工具、禁止使用自己的 API Key ,将 AI 使用率纳入考评、所有 commit 必须 AI 提交…… CEO 期望的肯定是「降本增效」,但如此激进的政策,我也很难说公司到底是先驱还是先烈了。 断断续续,不知道写啥,纯属觉得应该画个句号,写个流水账记录下吧;也尽量模糊了公司(不过网安行业就这么大,期望猜到的/我的同事们也不要说出公司名称来) 下一步怎么走也没想好,先去玩玩?自己做点什么?再换一家小而美不加班的公司? 无贷未婚无娃在这种情况下,还挺自由的 XD
感觉我的生活似乎相当简单,毕业后直接进了某网安公司实习、然后就慢慢悠悠待了六年,直到今天。 毕竟是人生的第一次,感觉应该写点什么纪念一下。 刚毕业的时候是 2020 年,选了一个网安公司。当时进这个公司非常重要的一点是,我对网安行业非常有兴趣(初高中「捣鼓」过很多东西,还玩过渗透,甚至年少无知黑过别人论坛 - 幸好人家没报警),而且这家公司还运营着我曾经经常逛的一个安全论坛 当年也正值网安行业如日中天,开心入职了。刚入职的时候其实福利相当可以,各种下午茶、福利、多余的假期、奖金等等,各种活动也不少。 入职的时候面的是 Python ,还记得进公司的时候接手的是当时的一个老项目加功能。读这个项目源码的时候真的非常痛苦,具体记不清了,但大概也就是不遵守命名规范、没有注释、没有类型注解、没有测试这些,我梳理代码的过程中加了一些注释,然后做好了功能,然后提交代码。 然后 Code Review 过程有两件事情让我至今印象十分深刻 因为写了过多的注释被 leader 要求「不要加注释,因为后面代码变了可能和注释对不上」 当时做了一个删除功能,然后因为 ES 删除并不是实时的,可能出现添加后立刻删除没有 / 删除后立刻查询还在,当时不太懂 ES ,听从了 leader 给的解决方案「在所有操作后都执行 index 刷新」 不过巧的是,我的代码质量被另一个团队的 leader 看到欣赏了,把我要了过去 —— 所以这也是我在真正招我入职的这个 leader 手里做的唯一一个项目 在新的小组,用 Python 做了一个新项目以后,就遇到了公司决定放弃 Python 转 Java 😂 所以我那个 Python 项目在线上好像也就存活了一个月 之后,既然公司决定转 Java 了,那我自然是…… 去写 Go…… 没错,我所在的新部门因为是中间件部门,因此没有受到应用层转 Java 的影响,而是可以选择合适(喜欢)的语言完成,在职期间我基本上可以说把 Python 2, Python 3, Golang, Java, JavaScript (TypeScript), Rust 玩的都挺明白(主打一个想学什么语言就用什么做) 在这个部门工作的时候非常开心 —— 即使那时候我知道我的能力已经远超我的薪资了我也没有走,我经常觉得好像工作氛围要比钱重要的多。 然而,在这期间,网安行业走下坡路,公司也开始了各种「骚操作」,取消各种奖金、晚发至最后取消年终奖、强制加班(我入职的时候承诺了每天工作 8h 、周末双休 - 当时也确实做到了,但后面就变成了要求工作 9.5h )等,我因为氛围 & 做的东西我比较开心其实也都默默忍了下来。 转折点应该是两个因素一起构成的。一是我当时的 leader 因为不满公司 9.5h 的工时制度而离职(公司为了逼他离职甚至做出了在他头顶装摄像头的离谱举动),二则是公司突然搞了一个「王牌项目」,而我也正式从专门的基础架构/中间件的开发去转做了业务开发 坦白说,这是一个非常有前景的项目,但也是一个十分困难的项目 —— 当时的说法是「我们是第一个,没有竞争对手」而我说的是「因为其他家都知道不可能所以我们是第一个」—— 这件事情几年后到了现在也是正确的,我们没有任何同类竞品、到今天也没有 当时我是负责安全动态爬虫的,简单说就是给你一个 url 要争取全自动的、完美的爬取到整个网站、触发所有可能的 API —— 这是一个可能现在基于 AI Agent 都难以达成的目标 —— 但在当时就被要求去做到极致,有一段时间一直淹没在对各种奇葩网站的适配,十分痛苦 但其实虽然觉得困难,但我还挺喜欢挑战困难的,所以虽然痛苦,我也一直没有什么一定要走的想法 AI 时代来了。我进了 AI 安全项目组。 这次我要做的产品是 AI 网关。 这其实是一个对我来说毫无挑战的项目。作为一个「精通」各种网络协议、代理协议,手搓过 MitM 实现的人,这个需求对我来说简直太简单了 —— 它对我来说最大的难点就是作为一名 ADHD 我怎么说服自己去做这么一个「无聊」的项目。 anyway ,就当做个「 Build your own nginx 」这种练习了,轻松搞定。 但是让我始料未及的是,我又接到了很多 AI 网关的需求 —— 这不正常吗?这正常吗?还记得我开篇吗,我在的是一个「网络安全公司」!而我在的项目组是做 AI 安全的! 4 月我接到了大量的 AI 网关方面的需求,多上游负载均衡、协议转换、计费…… 我其实挺不理解的,为什么会有人期望让一个安全产品支持这些功能。。这不是后面接一个 Kong 甚至开源的 New API / litellm 就能解决的嘛?我们产品经理其实也不理解 —— 也没有客户提 —— 是伟大的 CEO 同志提出的。 而与此同时,一个安全产品却又不给安全研究方面的资源。。只有一位研究员还需要在多个产品之间提供支持、要求训练小模型不给卡。。。 (当然,现在好很多了,但是项目组中网关的研发已经有数个,安全研究人员目前却仍然只有一个。。) 与此同时,公司正在实行 All in AI 的政策 —— 坦白说,我觉得方向是对的,然而实行却一言难尽 先说我负责的 AI 网关。4 月直接接到了海量的、人力根本不可能完成的需求,而上面给的解决方案就是 —— 用 AI —— 并且号称给「无限的 AI Token 」 —— 然后对于项目的要求是「做出来就行,不要求质量」。 「无限的 AI Token 」,听起来很美好是吧?结果给的是某个廉价中转的 API Key —— 这个离谱的廉价中转的可用性甚至是见过、听过的最差的 —— 一个流式请求的 TTFT 平均 1min 、最长能干到 3min 的中转你们听说过吗?(对比下,直连 OpenAI / Claude 官方基本在数秒) 哦对,几分钟的 TTFT 还是后话,4 月初刚刚给到我的时候,它甚至根本没办法正常使用当时最先进的 gpt 模型 —— 非常稳定的,不开思考(默认 none thinking )就是智障、开了思考会无限等待直到超时。 (当然,当时秉持着绝不自费打工的想法,我申请到了 ChatGPT Pro 报销 —— 没强制要求发票,invoice 就给报了,这点公司倒是挺好的,我还以为到财务那里会卡我呢) AI 现在的发展阶段到处是什么样子?我觉得是一个挺尴尬的境界。AI 可以去完成一些简单的任务、复杂的任务、甚至多步工作流的任务,AI 也能完成一些小项目的完整维护。 但是对于一个 AI 网关这种量级的项目呢?我的评价是,根本无法正常维护 —— 哪怕是最先进的 gpt-5.5 。 被迫用 AI 开始这种级别的「 Vibe Coding 」我其实是极度痛苦的。因为给的时间去完整审阅 AI 代码是不可能的,我只能尽力保证大方向的架构是我期望的、而放任中间的细节由 AI 把控。 我的「掌控欲」其实还挺强的。我之前几乎可以保证只要我交付出去的代码,几乎不会有我写的 bug ;而我自己没测出来的 bug ,测试也几乎不可能测出来 —— 我有另一个中大规模的项目,完全由我开发、没有测试介入、运行数年、在无数个不同的环境中新装、升级,累计 bug 数不超过 10 但是现在呢?我再也不敢直接去笃定的说「配置问题」了,而是接到可能的 bug 永远要自己先审查一遍 —— 当然,我做了个 AI Skill 让 AI 完成这件事情 —— 但这种事情带来的心智负担是我不能/不愿意接受的。 而且也算是不得不对代码质量放任了。之前做 Code Review 我都会非常仔细的一行行代码看,包括考虑各种性能和可能的边界条件。而现在呢?别说审查了,我自己都不知道哪里会埋雷。看了下只要 CI 过了、别提交不该提交的文件、没有什么明显改动不该改的文件,就 Merge 了。 —— 哦,说到 CI ,可能只有我负责的项目有 CI 这种东西吧,公司完全不管 —— 当然,没有 CI ,也没有 CD ;我明确提过,这种 AI 的代码 bug 会很多,必须要做到遇到 bug 敏捷开发、快速迭代、快速上线(目前是采用月发版、中间非常紧急的 hotfix 才会手动去部署升级 —— 但我现在几乎每天都能发现 AI 之前埋藏的数个惊喜),要搭建好 CI/CD 做好自动的上线,正好趁着新项目直接上全套的 k8s + helm + argocd —— 然而,nobody cares —— 没有人敢使用新技术、没有人敢担拍板的责任 与此同时,公司正在执行更加激进的 AI 政策。 配备统一的(公司自己开发的)( Vibe Coding 的)(极其难用的)(充满 bug 的) AI 工具,禁止使用自己的工具、禁止使用自己的 API Key ,将 AI 使用率纳入考评、所有 commit 必须 AI 提交…… CEO 期望的肯定是「降本增效」,但如此激进的政策,我也很难说公司到底是先驱还是先烈了。 断断续续,不知道写啥,纯属觉得应该画个句号,写个流水账记录下吧;也尽量模糊了公司(不过网安行业就这么大,期望猜到的/我的同事们也不要说出公司名称来) 下一步怎么走也没想好,先去玩玩?自己做点什么?再换一家小而美不加班的公司? 无贷未婚无娃在这种情况下,还挺自由的 XD
IT之家 6 月 1 日消息,据科技媒体 Bleeping Computer 今天报道,比利时网络安全中心(CCB)上周五发出警告,称已有黑客利用近期修复的 Windows Netlogon 漏洞发动实际攻击。 据报道,Netlogon 是 Windows Server 的远程过程调用(PRC)接口,也是系统的核心后台服务,它负责为 Windows 域的用户进行身份验证服务。 微软已在上个月的“周二补丁日”修复这一漏洞(IT之家注:编号 CVE-2026-41089),并将其描述为 Windows Netlogon 中基于栈的缓冲区溢出漏洞。未授权攻击者可利用该漏洞,无需事先取得权限即可在目标域控制器上远程执行代码。 CVE-2026-41089 影响所有受支持的 Windows Server 系统,包括最新的 Windows Server 2025。 比利时网络安全中心则表示, 目前已有黑客在真实环境中积极利用 CVE-2026-41089 漏洞 , 敦促所有管理员立刻为服务器安装补丁 。 截至目前,微软发言人暂未确认 CVE-2026-41089 是否被实际利用。
查了下这几个开源程序的安装包 发现好像都报了同一种毒 完整报告 (点击了解更多详细信息) 这是微步误报还是什么情况 我用奇安信和360沙箱扫都是正常的 我感觉大概率是误报 发帖主要是想弄明白什么部分引发了误报 1 个帖子 - 1 位参与者 阅读完整话题
目前是研究生,网安的,但旁边的人找工作都没往这方向找的,室友有搞java的,也有搞ai算法的,但我认为ai算法吃学历和论文,都说网安是计算机里的土木,我以后也想找个开发工作,现在第一篇论文准备发了,像提早想一下以后往哪个方向找工作,第一条帖子用ai润色被举报了 。 5 个帖子 - 4 位参与者 阅读完整话题
IT之家 5 月 26 日消息,公安部网安局今日集中通报 5 起网络谣言典型案例,包括直播间摆拍“绑架”博流量、用 AI 工具编造景区塌桥事故、恶意捏造校园不实信息等等,均为自导自演的网络闹剧,不断消耗公众的善意和警力资源。 5 起案例中最具代表性的当属江西上栗的直播间摆拍“绑架”案。今年 4 月 24 日晚,违法行为人彭某为博取网络流量、增加粉丝关注,伙同郭某、李某、刘某等人编造虚构剧情,在直播期间制造虚假警情,甚至煽动网友报警。多名网友在看到“救命!直播间里有人被绑架了”等内容后信以为真,出于善意纷纷向警方报警。经调查,这场“绑架”实为自导自演的闹剧,上述 4 人因故意扰乱公共秩序、扰乱公安机关正常工作、造成警力浪费,已被江西省萍乡市上栗县公安局依法行政拘留,相关网络账号也已被封禁。 重庆开州另一起虚假摆拍案同样触目惊心。刘某某、夏某某、王某等 6 人为博取流量策划演绎虚假信息,在网上虚构“将女主播高薪诱骗至境外挣钱”“向女主播家人索要 30 万元赎金”“女主播母亲卖房筹款”等情节,引发大量网民关注和讨论。为增强欺骗性,刘某某还专程前往外地连线直播,刻意营造身处境外的假象。经当地公安网安部门核查,该区近期未发现相关诈骗警情,刘某某等 6 人因虚构事实扰乱公共秩序已被依法行政拘留。 在传统谣言之外,利用 AI 制作虚假图文视频正成为网络谣言的新手段,此次通报中就有两起典型案例。其一是湖南张家界的马某某,为博人眼球吸引流量,利用 AI 工具编造了“张家界大峡谷玻璃桥突发坍塌事故”的虚假视频。画面中桥头断裂、人群四散奔逃,配上“没事就别想着出去玩了,还是家里安全”的煽动性标题,在“五一”假期前夕引发公众恐慌。马某某还特意带上“张家界天门山”“张家界大峡谷玻璃桥”等热门话题蹭取假期热度。截至案发,该虚假视频已获点赞 1.5 万次、转发 1.2 万次。当地警方接景区报警后迅速展开调查,将马某某抓获,目前其已被依法采取刑事强制措施,虚假内容已全部下架。 IT之家从官方获悉,另一名违法行为人赵某某则利用 AI 工具生成虚假文案和视频,谣称山西大同某企业车间发生爆炸且有工人“面部烧伤面积 100%”。经核实,该企业未发生任何此类安全事故,相关内容系赵某某通过 AI 炮制,其已被公安机关依法作出行政警告。 此外,浙江温州网民薛某某恶意编造“瑞安某中学 5 名学生怀孕”的不实信息,并在短视频平台和社交媒体散布,称“学校举行体检,5 个女孩子怀孕,校长也被叫出去约谈了”,对学校声誉和正常教学秩序造成恶劣影响,薛某某已被依法行政拘留。 公安机关网安部门提醒广大网民:网络不是法外之地,更不是博眼球演闹剧的舞台。故意散布谣言、谎报警情或以其他方法故意扰乱公共秩序的,将根据《中华人民共和国治安管理处罚法》《中华人民共和国刑法》等法律法规依法追究相应责任。请大家不造谣、不信谣、不传谣,做网络时代的“清醒者”。
各位大佬,本人是大二的一名普通211学生,最近面试屡屡受挫,感觉现在好迷茫,现在的技术感觉就够干个安服、护网的,面代码审计还是有点距离的。随着agent爆火,已经不知道转开发还是继续学网安了。求助各位大佬,帮我指引方向 16 个帖子 - 8 位参与者 阅读完整话题
想考公 但是现在竞争太大了,还怕考不上,就想找个实习,如果考不上还能凭实习经历找个工作先过渡一下,但是现在还是没有头绪,佬友们有什么推荐的实习方向吗?现在比较想做前端,但是感觉纯前端的岗位有点少,全栈要的多一点,但是真做全栈了又有点不太赶趟 与此同时还在焦虑考公。。怕现在全力准备考公考不上,到时候实习也没有,找工作也找不到,实在太恐怖了 7 个帖子 - 3 位参与者 阅读完整话题
而且有时候小鸡鸡又多,环境又复杂,有没有什么方法能够实时低成本方便安全的监控鸡鸡安全性的吗,亡羊补牢那种也行。我刚检查发现我有台鸡鸡去年被就被摸进来了,创了个和root同权限的用户,cd了几个敏感目录扫了一些证书密钥啥的。 7 个帖子 - 3 位参与者 阅读完整话题
如题,狐蒂云寄了之后瞬间没机器用了…本人平时主要搞网安学习(漏洞复现、靶场搭建)+ 后端开发测试,之前用阿里、腾讯云,只要一开端口扫描、搭点测试环境就疯狂触发风控,短信 + 站内信警告,太影响心态了。想求佬们推荐点风控没那么敏感的服务器,最好线路稳、别动不动就封号,适合学习和开发折腾的。感谢大佬们! 3 个帖子 - 3 位参与者 阅读完整话题
本人土木本科毕业,毕业后通过熟人关系进了一家网安产品的代理商做销售。到目前为止有一年半了,没有任何进展,去售前、售后待了一段时间,学的东西也是零零散散,薪资待遇也不是很高。 现在就是想换工作,本人从小就对数码、电子产品等感兴趣,现在就想着去干个手机导购之类的,结果发现薪资待遇比我现在还要低,路过的佬友们愿意给我一点建议说说你们的看法呢。 5 个帖子 - 5 位参与者 阅读完整话题
如题,刚才收到导员消息,要求说明翻墙的相关使用,但是我看统计了我16次 我室友校园网搞了上百次直接被叫线下了。问问各位佬,我该怎么回复导员呢? 1 个帖子 - 1 位参与者 阅读完整话题
随着电动汽车快速普及,公共充电网络正逐步演变为关键基础设施,但其安全防护水平仍停留在普通消费级物联网设备的水准,存在被大规模恶意关停的风险。研究人员指出,可预测的设备编号以及薄弱的身份认证机制,可能让攻击者从“干扰一名司机”为起点,升级为让整座城市的公共充电网络集体离线。 公共电动汽车充电桩、共享电单车和租赁滑板车等设备,普遍具备一个共同特征:设备无人值守、依赖手机应用远程控制、长期暴露在开放环境中,任何人都有机会接触和拆解硬件或分析配套软件。在今年的 Black Hat Asia 大会上,清华大学物联网安全研究员石贺天演示了如何利用一款中国充电平台的应用漏洞,远程关闭充电端口,引发业界对这一类风险的高度关注。 据报道,石贺天在演示中使用的是一家中国电动车充电服务商的官方应用。当现场观众选择“上海”作为示范城市后,他在应用中调用附近充电站列表,从中选取位于人民广场附近的一处充电桩,并将该设备的 ID 复制到事先准备好的脚本中执行,随后该充电桩在地图上的图标由绿色变为灰色,表示充电端口已被远程禁用。他认为,利用同样的手法,可以在缺乏有效防护的情况下,对整座城市的大量充电设施实施拒绝服务攻击。 更令人担忧的是,这类问题并非中国市场独有。石贺天团队还对 11 款来自欧洲共享单车和电动滑板车运营商的应用进行了测试,发现同样存在类似安全缺陷。在硬件层面,他们找到仍然开放的调试接口和 UART 连接点,使得攻击者更容易对设备进行逆向分析和功能篡改;在软件与云端层面,则发现固件内共用的认证密钥,以及后端服务对用户请求缺乏充分的身份校验机制。 研究显示,应用侧漏洞同样危险。弱认证设计可能允许攻击者伪造所谓的“幽灵客户端”,让平台无法分辨其与真实用户之间的差异。在此基础上,攻击者不仅可能获得免费骑行、免费充电等非法服务,还可能进一步窃取用户个人信息,对运营方和用户双方造成经济与隐私损失。 这次在大会上的演示并非孤立案例,其背后是系统性研究结果的一个缩影。在 USENIX Security 2024 上发表的一篇相关论文中,清华大学团队(包括石贺天在内)对 17 款可租赁物联网设备及其配套的 92 款应用进行了系统分析。团队共识别出 57 个漏洞,分布于 28 款产品,其中 24 个漏洞被认定为具备大规模利用潜力,可能影响数百万用户和终端设备。 论文指出,可被推断或算法预测的资源 ID 是问题的关键之一。攻击者只需通过简单枚举或推断,就有机会获取大量设备或用户标识,再与访问控制缺陷叠加利用,即可对海量设备发起批量操作,从而在城市级或更大范围内造成服务中断或功能异常。 在所有此类系统中,公共充电桩尤其敏感。它们往往同时涉及用户支付、蜂窝网络连接、云端管理平台以及与电网直接相连的基础设施。单个充电桩遭遇故障或攻击,最多只是给个别车主带来不便;但如果上千个充电终端在短时间内被远程关闭或锁死,对本已对电动车可靠性心存疑虑的潜在用户而言,将严重打击其对整个充电网络和电动车生态的信心。 研究团队表示,相关厂商对研究结果予以确认,并在研究人员的协助下对大部分已披露问题进行了修复或缓解。但他们同时强调,整个可租赁物联网行业仍需在多方面加强安全能力,包括为每台设备建立更强的唯一身份标识、在后端实施更严格的授权机制、为单设备配置独立凭证、关闭不必要的调试端口以及建立完善的滥用检测体系。只有在安全基础设施得到系统性加固之后,公共充电网络与共享出行设备才能真正承担起关键基础设施的角色,而不再成为攻击者眼中的“软目标”。 查看评论
如图,虽然我朋友安慰自己说可能可以分解成小任务来绕过(?),但咱都确实不明所以。原来数据是 json 文件存储的,朋友让 gpt-5.5 用 prisma + sqlite 改造时马上碰上了。 我今天逆向时候也遇到过几次,我倒觉得可以接受,但我朋友这个请求集思广益,出个小小的绕过方案下下 2 个帖子 - 2 位参与者 阅读完整话题