很久不动笔了,似乎变成了年更博主,打开这个仓库后,一时分不清我是要写工作年报还是生活总结,要不先唠唠生活?或者更准确地说,是剖析自我。

生活

0. 我的年度词汇——“孤独”

2023这一年,应该是从17年以来最孤独的一年。

“孤独”是生活的新房客,而我是生活的物业,偶尔看“孤独”太不顺眼,上去敲敲门,催他出门走走。“孤独”的涌现,或许是在上周的失眠,或许是在五月搬离飞鸟客,或许是在二月莫名的心悸,或许是在去年断崖式分手,又或许是在21年入职后。以表象为参考也未必正确,说不定在每个冬天?或者是在童年怕黑的夜晚?又或许是在被动内卷的社会结构?

“孤独”什么时候退租呢?但他应该不会退租,可能只是出趟远门,可能回来,也可能回不来。当然,我是希望他在今天之后别再回来了。

1. 岁岁年年人不同相同

从小学到高中,好朋友都在,只是现在以南京为核心,分散到各地了。

元旦假期第一天,和胖爷散步,结果六年没见的王屁孩也来了,屁孩抽象指数只增不减;次日约早饭,喊上了胖爷和两三年没见的TLP、大南瓜,后面这俩人我感觉是漂白了,没之前黑了;晚上斗地主,除了上午这仨,飞哥、炸药包也TM来了,炸药包手劲不减当年,打完牌,我和胖爷又跑去地雷家打麻将跨年。老朋友总会在不经意间重逢,然后又悄悄潜伏在记忆的角落里随时准备来一记千年杀。可惜杰总、肉包、锴哥、靖神、西瓜等等没回南京,不然高低选两个人抬进县中阿鲁巴了。

说到大学时期,我就想到这帮打CTF的,骑驴、郁离歌、cccmc….比如骑驴,不仅能在高铁碰到复刻版皮三宝,昨天在漫展碰到复刻版我,真捏妈醉了,抽象程度直逼皮三宝。

另外,今年必须感谢🐲哥,全国技能大赛带飞;也要感谢H**k师傅,23年我一半炼丹和IDA的碎碎念都耗这儿了;还有群里的或或、何止、南梦、波哥、berTrAM、Y老师…个个都是人才,说话又好听。

哦还有母总,《21天养成一个好习惯之和母总吃遍余杭》,母总除了在吃上很懂行、在创业这方面很牛逼,在SAST也是一绝,今年我这么关注SAST,多半是受母总启发。

2. 东亚人的执念与解脱

剖析自我,不妨把我掰成两块来看——守成和创新。

东亚人的一生都离不开对比,或者说是竞赛、比赛、比拼,仿佛只有对比才能体现出价值。我无法脱俗,只能有选择地拥抱竞赛,尤其是周期长的竞赛。从大学时的KCTF,再到今年的第二届全国技能大赛和DataCon,好处也很明显——金钱、奖杯、政策倾斜,本质是基于历史经验的外界认同。

然而危机也蕴含其中,毕竟生活是一场星际航行,关机巡航的结局是被引力捕获,加速、逃逸、变轨是必选。2023年几乎可以说是AIGC元年,我不想一辈子待在传统二进制安全行业(刚何况它也未必会持续繁荣),更不想在未来被AI+二进制安全挑战甚至失业,所以是时候从旧视角跳出来了。

这也是为什么我2023年下半年几乎一半的业余时间都在倒腾AI+BinDiff/BinSCA,希望在2024年我能如期搞定LLM+GNN的BinSCA方案,毕竟守成的保险是创新,我姑且认为这是业余时间的一项P1。

3. 好身体的必要性

然而无论如何守成或创新,身体是革命的本钱。

心理健康往往会对躯体产生影响,在这一年,我有点儿能感觉到焦虑正在缓慢侵蚀我的生活。阳康后我一直在关注自己的心率,二月份有次偶然发热心悸,加之又听说阳康后有人剧烈运动猝死,于是锻炼变得断断续续,下半年天气转凉后几乎停止了锻炼。

九月和十一月又分别在炎症时心悸,心理咨询说我这可能是焦虑的躯体化,于是十二月我开始嗑美托洛尔…像个中老年人,不过最近已经减量到即将停药了。焦虑这事说来话长,医生说和从小建立自信的途径有关,加之对自己负责的部分工作的逃避或者崩溃的想法(现在好多了,后文会讲),以及上文所说的“孤独”。

这确实是2023年的败笔,2024年,恢复健身是不能再拖了,同时也要更透彻地认识自己的情绪。

工作

0. 人随事走

年末迎来了工作以来最大的一次变动,原本待着的十人团队突然去做AI安全了,把我托付给了康师傅,不过工作内容基本不变,我继续支持Data-SYS的OS/内核/供应链等方向的安全,以SYS安全保障owner的身份和SYS安全BP对接。

大厂确实是人随事走(但事实上如果个人能力远超岗位所需则事随人走,比如昊坤),这其实有点太无情了,老板和mentor都换了,搞得我至少焦虑了两三周。不过好在我的前老板和前mentor都是很好的人,尤其是前mentor,工作调整后我们仍然有不少交流,甚至还交接了些重要工作给我。

私以为,在没被裁员的前提下,如何避免被动局面是个必备技能,凭个人所见,我感觉以下两条是很必要的:

  • 成果汇报不是全部,做好过程的记录也有必要,于公是后来者或者后来项目的宝贵经验,于私是证明个人产出的一道保险
  • 和业务方建立足够的信任,在关键项目上掌握一定话语权

应届生在这方面应该是最容易吃亏的,但是幸好我遇到了很好的mentor和leader,真心话,大树一样的mentor和leader,∠(°ゝ°)

1. 做好一件事

24年的目标,就是在“做好一件事”下够功夫。

23年上半年自我感觉挺低谷的,除了Data-SYS的日常安全保障工作(铺得很广)、C/C++安全编程规范的规则开发、渗透蓝军手下打点小工,就是写写轮子。之所以低谷,可能根本原因是工作缺少技术深度,给我自己一种冒牌BP的既视感。

下半年是出现了一些转机的,一方面是加入了新的保密项目,另一方面是找到了追求深度的点——

  • 准备和鑫总计划在内核安全大干特干
  • Native SBOM的缺失真的很哈人,libwebp的漏洞应急排查堪称愚公移山

虽然内核安全和Native SBOM都没有取得突破性的技术进展,但至少明确了方向。话说回来Native SBOM还是有些进展的,BERT和T5已就位,Q1把模型推理优化搞定估计就能上线了。内核安全我们打算放长线,以年为单位去建设,覆盖fuzz、SAST、配置巡检等等。

2. 一些遗憾

太贪了是真不好,我曾经把Data-SYS的工作铺得很广,想要在golang审计、syzkaller、bmc漏洞挖掘雨露均沾,然而这显然不太可能。

PICO的变动也导致了一大遗憾,FwSpy 2.0 (对标IoT defender的IoT设备固件安全审计平台)缺少了持续优化的动力,而服务器安全的人又更倾向于造不如买…如果24年来得及,这必须当作P0去加急开发

另外就是SAST真太难顶了,为什么就没有好心人搞个可商用的CodeQL开源平替,我真受够了weggli、semgrep和clang-tidy,怎么会有人类如此钟意AST :(

写在最后

about页面新增了一些内容——今年的两次对外分享(DEFCON GROUP 860571和字节跳动安全中心公众号)以及今年少得可怜的3枚CVE。

宏大的愿景我不愿谈,我只希望在2024年能够告别“孤独”,直面内心,在技术上多一点沉淀,在工作中少一点遗憾。

诸位,新年快乐!