再见2023

很久不动笔了，似乎变成了年更博主，打开这个仓库后，一时分不清我是要写工作年报还是生活总结，要不先唠唠生活？或者更准确地说，是剖析自我。

生活

0. 我的年度词汇——“孤独”

2023这一年，应该是从17年以来最孤独的一年。

“孤独”是生活的新房客，而我是生活的物业，偶尔看“孤独”太不顺眼，上去敲敲门，催他出门走走。“孤独”的涌现，或许是在上周的失眠，或许是在五月搬离飞鸟客，或许是在二月莫名的心悸，或许是在去年断崖式分手，又或许是在21年入职后。以表象为参考也未必正确，说不定在每个冬天？或者是在童年怕黑的夜晚？又或许是在被动内卷的社会结构？

“孤独”什么时候退租呢？但他应该不会退租，可能只是出趟远门，可能回来，也可能回不来。当然，我是希望他在今天之后别再回来了。

1. 岁岁年年人不同相同

从小学到高中，好朋友都在，只是现在以南京为核心，分散到各地了。

元旦假期第一天，和胖爷散步，结果六年没见的王屁孩也来了，屁孩抽象指数只增不减；次日约早饭，喊上了胖爷和两三年没见的TLP、大南瓜，后面这俩人我感觉是漂白了，没之前黑了；晚上斗地主，除了上午这仨，飞哥、炸药包也TM来了，炸药包手劲不减当年，打完牌，我和胖爷又跑去地雷家打麻将跨年。老朋友总会在不经意间重逢，然后又悄悄潜伏在记忆的角落里随时准备来一记千年杀。可惜杰总、肉包、锴哥、靖神、西瓜等等没回南京，不然高低选两个人抬进县中阿鲁巴了。

说到大学时期，我就想到这帮打CTF的，骑驴、郁离歌、cccmc….比如骑驴，不仅能在高铁碰到复刻版皮三宝，昨天在漫展碰到复刻版我，真捏妈醉了，抽象程度直逼皮三宝。

另外，今年必须感谢🐲哥，全国技能大赛带飞；也要感谢H**k师傅，23年我一半炼丹和IDA的碎碎念都耗这儿了；还有群里的或或、何止、南梦、波哥、berTrAM、Y老师…个个都是人才，说话又好听。

哦还有母总，《21天养成一个好习惯之和母总吃遍余杭》，母总除了在吃上很懂行、在创业这方面很牛逼，在SAST也是一绝，今年我这么关注SAST，多半是受母总启发。

2. 东亚人的执念与解脱

剖析自我，不妨把我掰成两块来看——守成和创新。

东亚人的一生都离不开对比，或者说是竞赛、比赛、比拼，仿佛只有对比才能体现出价值。我无法脱俗，只能有选择地拥抱竞赛，尤其是周期长的竞赛。从大学时的KCTF，再到今年的第二届全国技能大赛和DataCon，好处也很明显——金钱、奖杯、政策倾斜，本质是基于历史经验的外界认同。

然而危机也蕴含其中，毕竟生活是一场星际航行，关机巡航的结局是被引力捕获，加速、逃逸、变轨是必选。2023年几乎可以说是AIGC元年，我不想一辈子待在传统二进制安全行业（刚何况它也未必会持续繁荣），更不想在未来被AI+二进制安全挑战甚至失业，所以是时候从旧视角跳出来了。

这也是为什么我2023年下半年几乎一半的业余时间都在倒腾AI+BinDiff/BinSCA，希望在2024年我能如期搞定LLM+GNN的BinSCA方案，毕竟守成的保险是创新，我姑且认为这是业余时间的一项P1。

3. 好身体的必要性

然而无论如何守成或创新，身体是革命的本钱。

心理健康往往会对躯体产生影响，在这一年，我有点儿能感觉到焦虑正在缓慢侵蚀我的生活。阳康后我一直在关注自己的心率，二月份有次偶然发热心悸，加之又听说阳康后有人剧烈运动猝死，于是锻炼变得断断续续，下半年天气转凉后几乎停止了锻炼。

九月和十一月又分别在炎症时心悸，心理咨询说我这可能是焦虑的躯体化，于是十二月我开始嗑美托洛尔…像个中老年人，不过最近已经减量到即将停药了。焦虑这事说来话长，医生说和从小建立自信的途径有关，加之对自己负责的部分工作的逃避或者崩溃的想法（现在好多了，后文会讲），以及上文所说的“孤独”。

这确实是2023年的败笔，2024年，恢复健身是不能再拖了，同时也要更透彻地认识自己的情绪。

工作

0. 人随事走

年末迎来了工作以来最大的一次变动，原本待着的十人团队突然去做AI安全了，把我托付给了康师傅，不过工作内容基本不变，我继续支持Data-SYS的OS/内核/供应链等方向的安全，以SYS安全保障owner的身份和SYS安全BP对接。

大厂确实是人随事走（但事实上如果个人能力远超岗位所需则事随人走，比如昊坤），这其实有点太无情了，老板和mentor都换了，搞得我至少焦虑了两三周。不过好在我的前老板和前mentor都是很好的人，尤其是前mentor，工作调整后我们仍然有不少交流，甚至还交接了些重要工作给我。

私以为，在没被裁员的前提下，如何避免被动局面是个必备技能，凭个人所见，我感觉以下两条是很必要的：

• 成果汇报不是全部，做好过程的记录也有必要，于公是后来者或者后来项目的宝贵经验，于私是证明个人产出的一道保险
• 和业务方建立足够的信任，在关键项目上掌握一定话语权

应届生在这方面应该是最容易吃亏的，但是幸好我遇到了很好的mentor和leader，真心话，大树一样的mentor和leader，∠(°ゝ°)

1. 做好一件事

24年的目标，就是在“做好一件事”下够功夫。

23年上半年自我感觉挺低谷的，除了Data-SYS的日常安全保障工作（铺得很广）、C/C++安全编程规范的规则开发、渗透蓝军手下打点小工，就是写写轮子。之所以低谷，可能根本原因是工作缺少技术深度，给我自己一种冒牌BP的既视感。

下半年是出现了一些转机的，一方面是加入了新的保密项目，另一方面是找到了追求深度的点——

• 准备和鑫总计划在内核安全大干特干
• Native SBOM的缺失真的很哈人，libwebp的漏洞应急排查堪称愚公移山

虽然内核安全和Native SBOM都没有取得突破性的技术进展，但至少明确了方向。话说回来Native SBOM还是有些进展的，BERT和T5已就位，Q1把模型推理优化搞定估计就能上线了。内核安全我们打算放长线，以年为单位去建设，覆盖fuzz、SAST、配置巡检等等。

2. 一些遗憾

太贪了是真不好，我曾经把Data-SYS的工作铺得很广，想要在golang审计、syzkaller、bmc漏洞挖掘雨露均沾，然而这显然不太可能。

PICO的变动也导致了一大遗憾，FwSpy 2.0 （对标IoT defender的IoT设备固件安全审计平台）缺少了持续优化的动力，而服务器安全的人又更倾向于造不如买…如果24年来得及，这必须当作P0去加急开发

另外就是SAST真太难顶了，为什么就没有好心人搞个可商用的CodeQL开源平替，我真受够了weggli、semgrep和clang-tidy，怎么会有人类如此钟意AST :(

写在最后

about页面新增了一些内容——今年的两次对外分享（DEFCON GROUP 860571和字节跳动安全中心公众号）以及今年少得可怜的3枚CVE。

宏大的愿景我不愿谈，我只希望在2024年能够告别“孤独”，直面内心，在技术上多一点沉淀，在工作中少一点遗憾。

诸位，新年快乐！