一个土鳖安全工程师的奋斗史（下）

2008年，我是看着《我的华为十年》这篇文章进入这家公司的，当时我的总监就是这篇文章的作者家俊。转眼云烟，第一份工作做到了现在。上篇主要记录了我工作前几年的经历，如果没有几个重要的事情发生，我很可能在所谓的甲方安全道路上继续磨磨唧唧走下去了。中篇主要记录了我负责安全产品后的一段经历。与乏陈可述的前几年比起来，后面做生产网安全和安全产品几年的经

刚接触我的时候还是蛮防着我的，生怕我是来骗钱的。其实也可以理解，有点预算的甲方，估计都被乙方洗脑N遍了。另外我长的比较喜感，眼神比较清纯，人来熟，不像大家对黑客或者说安全从业人员的印象。接触几次后逐渐建立了信任，大家也比较聊的开了。虽然安全技术一直在演进，各种新的思想和概念也不断涌现，几乎每年安全会议的侧重点都会不太一样，大数据、AI再到区块链。安全的攻击形式也层出不穷，针对web的、智能硬件的、AI模型的等等。但是一个现实是，甲方的需求和乙方介绍的技术和产品的鸿沟却一直不断扩大。一些很基础的安全加固知识可以搞定的，一些通过配置就可以搞定的事情，黑产关注了，但是大家却没怎么关注。mongodb、es之类匿名访问放到公网裸奔，直到被加密勒索了；没打补丁的window服务器防火墙也不打开，还对外提供服务，直到被人全盘加密勒索；智能摄像头的root密码也不改，放到公网还拍些敏感内容，结果被人一个初始密码就劫持了。我把我的一些经验和大家分享了下，发现大家蛮感兴趣。于是我抱着玩的心态，开始写我的公众号。起先我也没有多大把握会有多少人看，毕竟讲的都是些基础干货，比如如果做网络区域划分和隔离策略，如何对无线网络安全加固，生产网的服务器如何做加固等等。开始的时候，我是遇到用户问的问题，就把公众号里面相关的发给大家看。没想到一下子转发的很多，关注用户数涨的不错。最后我把文章进行了分类，分为了企业安全和AI安全两个板块。我公众号并不追求思路多新多领先，就是想成个小笔记本，大家有需要时可以找到使用的办法，一不小心成了一个粉丝数相当不错的安全自媒体。

AI探索

大概在2014年底还是15年初，组织架构调整，我收了一个研究机器学习的小团队。团队的leader是个非常活跃的小孩，而且特别有激情。他一直鼓捣我增加在机器学习方面的投入。当时HC控制非常严格，但是我还是被他传销式的汇报感动或者说屈服，我尽力支持他。当时我们在线上环境的离线数据上做了大量的尝试，在部分场景下也取得了不少进展。也是这个阶段，我对AI建立起了信心。我开始重新梳理AI比较成功的使用场景，然后尝试移植到安全领域。那段时间我自学了机器学习，也经历过激情澎湃地买了一堆机器学习书籍后发现一个公式也看不懂的尴尬，几次想放弃。最后我发现自己是码农出身，我对代码的理解能力远强于文字和公式，于是我从有示例代码的书籍学习起，逐渐理解了机器学习的常见算法。如何挖掘场景并使用合适的算法呢？这个确实靠悟性和经验，很难就靠看书就理解了，需要大量的实践。我投入了大量的个人时间用于学习和实践。熟悉我的人都知道我喜欢看电子书，我的电子书里除了老罗的书和几本历史的书，基本都是机器学习的书。每天上下班有将近一个小时在城铁上看书，算起来一个月就是20个小时，约3个工作日。回顾这段学习的经历，我的感受是机器学习的学习坡度很陡，所以很多人会半途放弃或者一知半解，但是这恰恰是它的门槛。sqlmap的常见命令一天掌握问题不大，你觉得是门槛吗？

写书

为啥会写书呢？说起来原因很简单，因为我的公众号和文章经常被人抄，有去掉我水印的，有去掉我图片的，还有完全抄只是改作者名称的。抄袭的有自媒体，有小媒体，还有一些厂商，我也无力吐槽和维权。最后我就写书吧，抄我的好歹你要买一本复印。也正是这段被抄袭的经历，我的书和PPT，尽量连引用的图片也标注，算是一种尊重吧。

写书的选材，我选择了AI安全，而不是企业安全。因为实话实说，企业安全也不急于一时，市场上已经有了，但是AI安全的却没有。另外，大家其实对于如何使用AI做安全更多停留在概念层面。更有甚者，在PR稿上就是罗列一堆公式，然后说人能识别威胁，人能看病，所以他能用AI搞定。我也只能呵呵。基于这复杂的原因，我开始写我的AI安全书籍。由于AI的知识太多，最终定稿成三本，一本讲入门的，叫《web安全之机器学习入门》，一本讲实战的，叫《web安全之深度学习实战》，目前都已经出版了。出版前我很担心卖不出去，结果让我非常意外，从甲方到乙方，从国内到国外，都有我的读者，就在今天美国fireye的一位总监，当然也是我好友还在朋友圈show我的书。还要感谢我的几位老板帮我写序，以及众多业内好友的帮助。据说我的书还入选了出版社的计算机类年度十佳。感谢Freebuf的提名，我在FIT年度安全人物评选排到第三。

生命不息折腾不止

也许我继续做我的安全产品，今天改个bug，明天加个按钮，日子也慢慢也会过去。具体的产品也有具体负责的经理，我把经理管好就ok了，我也可以过的比较happy，就和以前巨牛无比的万能充一样。当年万能充卖的火热时，哪里会想到现在充电接口统一后，再难见到它的踪影。

时代抛弃你的时候，连招呼都不会打。尤其是你觉得舒适的时候。

我自己研究AI，我的几次转型，其实都是我主动的走出了舒适区。就像我最近，以30岁高龄，从带团队的，转去实验室稿新产品预研一样。在一堆20多岁的小伙子高呼搞技术没用，要搞管理岗的时候，我选择了在一个技术型公司继续深耕技术。我有自己的技术理想，我觉得搞这些蛮开心不枯燥。

精彩待续

我的奋斗还在继续，精彩等着我继续谱写。

如果打赏才能宣泄你的情感