前言
没想到吧,等来的不是我的工作总结大论文,而是一篇小结(主要是没想到阿里的试用期压力真的大,各位看官 6.30 应该没问题的,先把饼子画上)。已经好久没写博客了,给我要发的文章预热的同时,也是给自己设置个ddl,毕竟ddl才是生产力!
不知道大家最近过的还好嘛?有在努力工作,快乐生活嘛?这才没过几年,世界已经发生了翻天覆地的变化。科技有AI,时政有战争,而我还是那个坚持古法写作的小小社畜。
我的2025
之前就有预感2025年或许是我的转折之年,只是没想到这个转折还是有点出乎我的意料。
一些背景
在2024年上半年,部门的组织架构就出现了调整,安全组的地位直线下降。在同一年,我也肝完了在华为最有技术含量的一个大项目+一个小项目,当时就觉得已经来到了瓶颈期,再加上我在自己内心是有个时间线,在这个部门待2-3年学习基础知识和安全特性打好自己的基础,未来还是要以更深入的安全研究为目标。在这个前提之下,我是打算无论怎么样,2025年是要换个坑位和方向,然而很多时候真的世事难料吧……
突然被锁
在华为工作过的人应该知道被锁的意思吧,给不太了解这个机制的人科普一下。华为有一个神秘的短名单机制,这个短名单是为了专门给部门拿来做优化人员使用,被放进短名单中的人意味着你是部门的优化指标,这个时候内部的转岗调动将会失败。当然,短名单这个锁定机制里面放着的人不一定就是要被优化,有些时候往往就是主管觉得你可能会跑路,就会通过开会决议把你放进去。我还见过某些部门全员被锁定的状况(狗头)。
科普结束之后,来讲讲我当时的状况。我就是25年年初在等绩效结果的那段时间之前,就开始在规划后续要跳槽的部门了,早在24年年中的时候就开始在各路联系。因此,可以看出来我的规划时间特别靠前,也算是未雨绸缪吧,结果没想到我在25年年初知道绩效之后准备提桶跑路,对面部门给我发offer失败了。这也就意味着我进入了短名单(摊手),当时知道这个结果十分震惊,要知道我2024年的代码量在整个部门都是top3,还是第一季度的优秀coder,很难想象居然是这种情况。
事后自己反思总结,可能是因为安全领域在那个时候已经不被重视了吧,再加上2025年年初有另外一个兄弟(待锁定目标)在得知绩效结果的那一刻直接点了转岗,或许是因为这个结果让我成了下一个垫背的人。以后再出现这种情况时,一定要下手果断,该跑路就跑路~ 有时候差了几天,就是一个天上一个地下。(不过我当时还有另外一个考虑导致接收offer慢了,跑晚了,这里就不提了)
盘活死局
说实话,一开始真的很绝望,曾经的PL也是我的学长打电话过来安慰我,当时都差点想哭,那种棋差一招的滋味真的很难受。浑浑噩噩了一周左右,大概还是因为读研期间被IIE折磨过(大雾?),有了一定的抗性,渡过艰难的情绪低谷之后,开始继续思考未来的对策。在绝望中继续保持战斗,属于我的黄金精神!
既然内部转岗已是死路,那么就只能向外看。
首先是准备简历,先是梳理自己这几年来工作项目,把有亮点的东西汇总出来,尽量别太多只写top3级别的贡献项目,以之前校招的面试经验,一轮面试能讲的项目没多少个。
其次,把简历上的项目细节亲自摸一遍,至少能知道细节,能知道原理,能知道设计等等内容,让面试官提问时知道你的功力。
最后,把相关联的知识都要全部过一遍。我就是整理出了Linux系统所有的攻防知识,Linux内核的大部分流行的防御机制原理,攻击技巧的原理等都掌握一遍。
有了上面的积累,大厂的面试几乎都能乱杀了(只不过当时因为还没面,所以心里仍然很忐忑,不知道我的能力在市场上是什么水平)。我去面了现在的BAT(字节、阿里、腾讯)+一家伪国企,先拿伪国企天翼云练手,没想到结果是吊锤一面面试官,和二面面试官平分秋色,和三面面试官(大领导面)谈笑风生。一下子信心就开始爆棚,原来我还是可以的嘛~
至于岗位从哪里找?我是 脉脉 + 公司官网招聘页面,双管齐下。脉脉上有不少的猎头,可以加着猎头去获取更多的招聘信息,当然有些猎头也很恶心,一直追着你问让你投各种垃圾岗位,所以一定要小心谨慎。脉脉上也有各家公司的hr在,所以有些时候单独找这些hr单独聊岗位也是个选择。不过有些时候脉脉上的职位信息不完整,这个时候就需要去对应公司的官网招聘页面再看一眼。
至于我最后的结果,都是不错的,凡是参加的面试的公司全部拿到了offer。也算是盘活了我的职业生涯,让我还能继续追逐我的安全之路。
工作三年多的沉思
职场的规则
向上管理
这已经是被人说烂了的东西,毕竟领导的时间和精力都有限,不可能关注到每个人方方面面的细节,这个时候就要做好向上呈现的工作,展示你的能力和思考。这些东西都是你未来进一步发展的根基,让领导知道你有潜力继续成长,并且能站在更高维度去思考,而不仅仅是一个螺丝钉。当然这些思考也是需要你用业绩和产出来说话的,有了产出才能有锦上添花的作用。
周报月报什么的,尽量能详细记录,让领导知道整个项目目前的进展如何,有什么风险,这样能给他们一种掌控感。否则,领导一焦虑下面的人是没什么好果子吃。
事务优先级
当面对爆炸般的工作事物涌向你时,给这些事物排个优先级很重要,毕竟工作是干不完的(狗头),强行肝完只会让你的身体承受不住。我之前的经验都是直接找+1领导,问他哪些事情特别重要且紧急,然后就优先做这些事情,其他事情就先临时放一放。这样做的好处,自然就是请示了领导,后面如果有其他人来push你干他的活,你就能拉上自己的领导一起把一些不重要的事情顶出去。
当然有些对你自己事业发展有好处的事情,我自己会在内心深处给它偷偷提升优先级,毕竟打工的目的还是为了提升自己。所以我的排序一般是:紧急重要 > 紧急 ≈ 重要(对自己)> 重要(对团队)> 其他杂事。
平台资源
一般大厂都会有自己的一些福利措施,该薅羊毛的就去薅,比如什么夜宵,餐补,活动小礼物等。这里就提一些福利资源之外的大厂平台资源。
(1)人脉
别的不说,能在大厂打工的人,或多或少都是有几把刷子的人。细心去观察那些大佬/同事的工作方式,向他们学习做事的流程,思考的方式,汇报的逻辑等等。不仅仅能遇到业界的顶流,还能有机会和他们深入讨论问题,这种机会在外面可不常见。最后,就是加联系方式了,也算是拓圈子吧,但对于小虾米的我来讲,和大佬们实在没什么话说,倒是和同龄人一起吐槽很多。🤣
(2)项目
大厂的项目虽说鱼龙混杂,有含金量的也是不少,如果能自己上手拿到这是最好不过的事情,如果不行也可以找做这些项目的人请教学习。至少在华为,很多项目都会有资料输出总结,以及对应的ppt分享,这些都是难得的学习资料。有空余时间的情况下,抓紧学习吸收这些内容,能让你的成长和眼界都更上一层楼。
(3)知识分享
内部的各种知识分享平台,这里通常是各种大佬和大牛分享文章的地方,你能学到前沿的知识分享,深刻的洞察经验,细节丰富到让你瞠目结舌的技术拆解。很多时候,没办法直接和领域大佬对话时,多学习他们的文章也是一个途径。在华为时,除了技术的文章,我也看到了很多对公司制度,社会制度,人性和职场的思考。
(4)组织结构与流程
大厂之大,需要复杂的管理结构和流程来管理,能良好运转多年的大厂,必定有一套自己的东西在这种管理模式之中。很多流程不一定正确,我们可以从旁边者的视角去审视这些流程,它运行的逻辑和道理是什么?它的利弊是什么?这些思考都能让你理解大厂的很多组织变动和领导的想法。
华为比较有趣的地方就在于有很多评审流程,而且是不同的东西有不同的评审会议。
CCB:变更评审会议;TMG:技术评审会议;RAT:需求评审会议;TDT会议:部门级裁决会议 等等。
但行好事
工作的时候有些小忙能帮的就帮一下,比如在某些你专长的技术领域,别人有疑问的地方,可以帮别人解答疑惑。有些别的部门请求的资源,在有+1领导的许可下,也是能给就给,部门墙不应该阻隔人与人之间的项目合作。有些我写的技术总结文章,能分享出来就分享出来,比如我在内网的SELinux问题汇总已经传遍整个ICT领域,这也是一种建立个人影响力的过程。
当然,也不能无限的当老好人,有人想来无限白嫖你的时候,要及时止损!
最后,非常欣慰的一点是,所有和我有过项目合作的兄弟,无论是同部门还是跨一级部门,在知道我要跑路之后,都纷纷向我发来祝福。或许,这就是但行好事莫问前程最好的体现吧。(都加上了微信,后续还能一起吐槽前司,哈哈哈)
华为的困境
在华为跑路之前,我在内网心声社区上了写了一篇《华为那些直击灵魂的帖子》(浏览量听说已经破11w+了,害怕),里面汇总了我在华为期间看到的非常有营养的帖子内容。这里我就浅浅写一点自己的感受。
青黄不接的业务
原有的老业务已经做到了头,而华为有很神奇的制度是,必须要有新增业务代码才能拿到预算。原有的老代码维护,不给你预算投资。典型的硬件盒子思维,想想硬件领域就是如此,没有硬件修改那么以后也不会出现变更。但软件不是如此,软件像是一条又一条持续不断地线,它每过几个月就会和之前几个月发生变化,然后过个1-2年又会有架构重构,这对原有的老特性天然会变成负担。这造成的结果就是在华为,新起炉灶比在那里修旧炉子要划算不少,因为新炉子能要来很多的预算,而旧炉子的缝缝补补只能算增强改进,预算极为稀少。但是万一旧炉子非常厉害怎么办呢?新炉子比不过它,也会强压着做人海战术进行上马,这也是为啥华为总是很卷的根因之一,明知道这样很累,偏要走这条更苦逼的路。
有部分旧有业务领域,大家找不到新业务的方向在何方,问了领导,领导说他也不知道,但是有几个idea,你去康康吧,所以只能广撒网不停地探索。那么代价就是所有人在已经有旧业务的情况下,还需要投入一部分时间精力去探索新业务,最后的结果自然是越来越忙,越来越累了。所有人都在焦虑,领导在为团队的未来发展焦虑,普通小兵在不停的迷茫探索中产生焦虑。
粗暴的项目管理
随意抽调的人力资源,都在为了自己的项目抢人。我们都知道一般在企业里面你会有个直属领导,但在华为你可能会被其他层级的领导给派活,也就是所谓的透传,在你的+1直属领导都不知情的情况下让你去打黑工。经常会出现非常滑稽的场景:几个+2的领导在那里抢人,说这个人要来我这个项目干活,我这个对部门更重要 blabla。这就会出现,本来这几个月你还在干着这个A项目的事情,第二天就被派去另外一个B项目去救火了,然后火救到一半发现火变小了,又被派到其他地方去救急C项目。
有些项目汇报看似稳扎稳打,实际都是yy出来的进展,一个月开发半年工作量的事情比比皆是。厚重的流程,让大部分开发的时间特别紧张,毕竟新开发的代码还需要测试,还需要配合下游进行调试,最后如果有问题,上述的流程就要重新来一遍。
高压的绩效与创新困境
传说中强制实行的361比例,每个团队每年必须淘汰10%的人,再结合华为每半年就要考核一次,基本上就是说每半年都会有人会被干掉。在这种高压的环境下,每个人都很紧绷,年初就要开始规划这一整年的事务,很多时候你的绩效从年初的任务就已经决定好了。
各级主管自身的绩效压力,自上而下的残酷。强大的压力也让上层主管动作变形,为了自己的前途,宁愿牺牲部门未来发展的潜力,只求能在自己三年的任期中做出亮眼的结果,能让自己的下一跳跳的更高。没人会想着怎么样规划对部门自身更加友好,没人想要去大规模的创新,因为创新也就意味着有失败的可能性,没有人愿意去承担失败的代价,一次失败在华为基本意味着结束。这种扭曲的环境,让人根本没有创新的欲望,所有人只想着以最安全的步伐,小步进行微创新,只要你没犯错,别人犯错了,你就是赢家。华为只惩罚犯错者,不惩罚平庸者。
在提完离职之后,我和我当时的 +1 +2主管在会议室畅聊了一个多小时,本来我觉得半小时就能聊完,最后硬是聊了一小时多,他们只想在会议室里多待一会儿,就是想喘口气暂时不想去面对那些b事。+2:要不是我身上还有房贷,我也不想在这里做这些sb事情,早上的会又被xx总骂了(我的+3),我TM都要emo了。
阿里的初体验
毕竟才刚进来一个多月,肯定有很多事情没有最为直观的感受。这里只记录一些作为社招新员工的感想。
基于信任的管理方式
最为直接的一点,那就是不打卡。这点真是让我爽到了,作为一个在读研开始就在打卡的人来说,第一次感受到了这种舒服。有那么一次,我睡过头了,早上9点半才起床,抓紧时间赶过去也没有人责备,没有扣钱,真好呀。
年假贼多,阿里集团刚入职旧有 7天年假 + 7天陪伴假,一共14天。这在华为完全不敢想,华为要入职满一年之后的第二年才会有,而且华为年假是几乎不会有人请的存在。。。毕竟请年假要扣你的年终奖。
1、3、5这种周年纪念品,整挺好(有小礼物挺好的,不过作为打工人也不能太认真了,该开除你还是会不择手段开除你)
抽象的HR
你能为公司带来什么样的价值?你如何证明自己的技术先进性?
这是我当时HR面的两个最为抽象的问题,我应该怎么说呢?搞安全就是为公司解决安全相关的难题,提升攻击者的攻击成本,减少公司的安全风险和危机事件。但看上去HR并不满意?我也不知道该说什么了。。。另外一个技术先进性,也只能放在世界范围内看技术pk对比情况了。总之,很抽象,不愧是被大家称作政委的存在,上来就给我训了一顿,还好给我发offer了。
自由背后的限制
有竞业协议的存在,我在华为的时候很少听到内部会用竞业协议去限制某个人,除非是终端或者海思那边的核心岗位。但在阿里这边,好像开启竞业的情况较为普遍,虽然也有钱拿,对于个人的职业规划来说,肯定会有较大的影响,我的一个同事跑路就吃了6个月的竞业。
旁边做编译器相关工作的兄弟居然只能拿丐版mac mini跑构建,我满脸问号???我在华为期间就时常和编译器团队打交道,我知道llvm的构建极其耗时,华为那边都是拿64核 512G的服务器做构建,但在阿里居然只拿一个小pc跑构建?听那个兄弟说构建基本上要接近一天,还不能直接调用云那边的服务器做。看来莫名其妙的约束和部门墙真的在哪里都有。
没有插线板,这点最为让我震惊!说是为了安全防火隐患,这话你们信吗?反正我是不信的,这种企业级供电肯定要考虑插座的供电能力,如果有这种莫名其妙的限制,那说明之前在设计线路的时候就偷工减料了。
流失率的疑惑?
我周围的兄弟都是社招进来只有半年左右,入职5年+的老员工很稀少,这么来看华为的老员工还是相对较多。为什么阿里的安全团队组成这么奇怪?大概还有我不为所知的坑在那里吧。按照马老师的说话,员工跑路要么是钱少了,要么是受委屈了,可能在阿里整体收益趋于平稳的现在,钱的增长没之前那么快了,很多人选择跑路去字节拿高薪。至于受委屈,我在目前的团队感觉尚可,可能以后会有更深的体会,但就和周围平级同事的了解来看,受委屈应该是不至于。
未来已经到来,只是尚未流行
按照我的惯例,写一点对于AI未来的想法。只不过,就看目前AI发展的速度,真的是远超我的想象。
AI for security
我在看到chatgpt那种出色的语言和代码理解能力的时候,我就已经知道静态分析的最后一块拼图来了。传统静态分析思路:数据流分析、符号执行、程序切片等,都是想以一种方式来对代码语义做抽象,并在抽象之后告诉人们它在做什么。而大模型直接就蹦出来了,出色的写代码能力,以及当时就能做一些基础问题的审计。而在2026年的今天,我相信安全圈的大家已经看到了A社的模型在安全圈大杀四方的表现,什么浏览器xx个0day,9分钟挖出vim的RCE等等新闻。
那么未来,它能做到什么样的程度呢?再过一年就能直接写OS和虚拟机这种顶级基础软件,顺带着去挖这些产品的安全漏洞?真的很难想象,我都觉得有点过于离谱。最后的节奏大概率和互联网+一样吧,所有的业务全部被AI重新赋能实现一遍,以后就是AI+了。比如,原来我们购物是线下购物,后来有了电视就有了电视上广告,电话去购物的场景,再往后,就是互联网上在线购物。未来,我们的购物怕不是直接给我们的私人管家(AI)输入指令,它直接在网上各大平台上搜索对比,看到结果之后我们直接点购买,像现在还去傻乎乎的人工搜索的情况,应该也会变成古法探索了。
回到安全的话题上,首先是传统的代码审计工作,基本上快灭绝了,机器看的比人看的快N倍,还不会疲倦。其次,逆向分析等工作也差不多进入倒计时,现在之所以逆的还不到位,有些时候是模型的思维还没学会相关的思路,等到了把那些挖掘的skill和mcp tools都掌握了,和安全人员就没什么联系了。之后,传统的漏洞挖掘和利用,大概率也是直接把漏洞点,poc和exp全部一把梭出来,只需要人来决定是否要使用,或者如何去使用。(以上为二进制方向的畅享,web方向也是类似,像是java反序列化利用链,直接通过读源码给你一把梭)
好像搞得人有点焦虑了,哈哈哈哈,我预估这个过程应该还要个2-3年,需要把专家的经验全部固化下来,然后被AI消化吸收,掌握利用。趁着这段时间努力拥抱AI吧!后续的展望,一个人的系统设计能力,攻击面的探索能力,全局思维和规划能力会比单纯的代码编写能力更加重要。(人人都是架构师的时代要来了,一人成军)
security for AI
有了新的业务,那么自然就有新的安全诉求。豆包手机就是一个很典型的例子,一个直接在底层就能GUI识别 + 虚拟屏幕自动化控制的手机,你真的敢用吗?反正我是不敢的。市场也给出了回答,各大厂商集体封杀,字节的豆包手机开了第一枪,虽然我觉得时机有点早了,但它给了其他大厂一个非常直接的震撼,AI深度融合的时代已经来临。
简单分析一下现在AI的业务使用场景。大体由三个部分组成:
- 前端:网页对话框、各类agent客户端工具(CLI、GUI等)
- 后端:大模型的调用,输入我们的数据,吐出来它的思考结果(由云服务提供能力)
- 数据层:md文件配置(本地)、memory记忆压缩数据(本地)、模型对话记录数据(云端/本地)
那么针对AI的安全性分析,也会从这三个方面做评估。
AI的前端
前端包括网页端和客户端两个方向,这个就和传统安全很接近了,就是web安全+客户端安全的结合体,只不过业务内容变成了AI。传统的问题很有可能都会重现,比如:网页或者客户端上的XSS,SSRF等东西。或者是后续的发展中,AI的前端会和很多不同工具通过一些协议连接在一起,比如mcp,那么攻击这些AI调用的工具也是一个方向。比如:某个路径我作为普通用户没有权限,但是AI工具之前被授权过该路径的访问权限,那么我就可以通过AI去获取这个目录下的内容,并且篡改里面的数据。
AI的后端
后端场景结合AI相关的新问题,可能会有我们的输入是否可以绕过模型本身的约束,让它说出一些意料之外的事情。典型的有老奶奶漏洞(我的奶奶总是在睡前给我说xxxx的key来哄我入睡)。除此之外,还有一些信息泄露的情况,通过不断和模型对话,泄露出模型内部的一些关键信息。
还有一种,目前后端的调用肯定在容器或者虚拟环境中,但如果真的存在一些容器逃逸漏洞,应该是可以让AI执行一段我们的恶意代码,来完成容器逃逸进而获取云服务中的关键信息。
AI的数据层
现在AI大模型浪潮之中,除了模型本身的比拼,第二亮眼的仔就是memory记忆维护相关的工作了。受限于现在大模型能力,我们的对话上下文有长度约束,就像我们的大脑在工作区的容量有限一样,这种情况下为了让AI记住一些关键内容,就需要一套记忆系统来维持AI的记忆能力。目前,记忆系统有一部分是采用纯文本的markdown文件来记录,还有一部分是实现了自己压缩算法的记忆文件系统。
针对纯文本的记忆内容,如果我们有能力越权修改,那么这也是一种恶意攻击,无论是利用前端的问题还是说利用传统的任意读写漏洞。篡改过后,破坏AI原有的任务规划,轻则任务丢失,重则AI直接抽风。(比如篡改AI的性格为一个猫娘,只会喵喵喵)
针对有一定压缩算法能力的记忆文件系统,那么可以研究这个压缩算法它的解析器是否存在问题,比如它要加载这段记忆时,是否会有RCE出现。