NS往事

应老友scz要求，写的绿盟从业往事，首发于"青衣十三楼飞花堂" 链接如下

NSFOCUS旧友记--caoz《NS往事》

旧照一张，那时候年轻啊。

上图是前两年疫情还没开始的时候，在新加坡东海岸和Nsfocus老同事quack，deepin，liqun的合影。

总觉得怀旧是衰老的标志，所以一直以来不是很愿意写所谓回忆录这样的东西。

禁不住scz要求，要整理连载绿盟老同事的点滴回忆，一言既出，莫敢不从，只好乖乖写作业交稿。

其实我跟绿盟的渊源，在入职之前就已经开始了，我还在广州打工的时候，说来还是上个世纪末的时候，我的一个大学同学，谢博士，自己琢磨出了一个大杀招，SQL注入，入侵了当时我开发的一个系统，还改了管理员密码，当时一头雾水，不知所以，后来这哥们才告诉我是怎么做到的。那么后来我回到北京，一边挣扎创业，一边给一家小公司打工，做OA，CRM系统，和几个老同学合租，闲着就琢磨这些玩意，发现这东西真好使，当年几乎所有需要登录认证的网站都能突破，当然也想靠这个赚点钱，但知道不能违法，不能搞黑的，咱这个素质还是有的，想去通知那些有漏洞的网站换点钱，但不知道怎么去跟有漏洞的网站说，而且一交底这东西修复成本又不高。不交底不知道怎么沟通，很容易被当作敲诈勒索对不对，也怕钱没赚到，人被抓了。(所以后来非常同情白帽，也是真的深有体会)。那时候网上看到绿色兵团，一群黑客高手，刚刚开始企业化运作，我就想，是不是可以找他们合作，毕竟人家专业服务的，看看有没有合作变现的空间。

我就去了，反正脸皮厚，那时候网上联系各个创业公司老板很容易，也不太会被当作骗子，眼圈跟我聊，我说有个特别厉害的东西，可以通杀几乎所有主流网站，但是又不敢透底，反正随便聊着，然后好像是backend吧，如果记错了莫怪，进来说，你讲的不会是SQL注入吧，好尴尬。

不过后来他们还是很重视这个话题，专门出了公告给互联网预警，可能也是我的提醒下，重新定义了这个问题的严重性。后来眼圈还拉着我们几个同学一起吃饭，然后发现另一个尴尬的事情，当时有个小门户网站，有个网上美女拉票的活动，我们几个同学也是闲着，就想给一个看上去很漂亮的妹子刷票，有个同学写刷票代码，看，今天回看都是黑历史，幸亏当年网上监管没那么严格，然后被对方的系统发现了，刷票被处理掉了，于是我们就玩对抗，当然有点恶俗了，把最丑最奇葩的刷到顶，反正搞了那么几天，吃饭的时候聊天发现，那个网站的技术负责人，和我们默默对抗好多天的，已经入职绿盟了，研究部的老大w3，尴尬二次方。

怎么说来着，从那时候起我就意识到，行业圈子真不大，千万别做坏事。

那时候我自己的创业跟中公网有合作，中公网当时谢文老师操盘，还收购了联众游戏，算是当年比较有实力的互联网企业，那么我就提到了绿盟他们，然后这边就请绿盟去做了一个安全检测，一下子被绿盟这帮黑客突破个底掉，于是成单了，后来眼圈说这是绿盟第一个有价值的服务单。

那么和眼圈熟了之后，才发现其实他和我师兄，孙博士一直有深度合作，孙博士和谢博士也是很好的朋友，看来行业圈子真不大，孙博士又推荐了叶博士去绿盟，貌似现在叶博士是绿盟高级副总裁。那么我后来也陆续推荐了三个同学去绿盟，王冬，段小华，何剑波。后来老何同学重新考取了清华五道口金融学院的研究生，回校读研，后来一度做到了美国上市公司的副总裁，那是后话。王冬负责绿盟测试，后来去了360担任测试总监。

由于以上(包括孙博士，叶博士)都是清华力学系毕业的，以至于当年安全焦点论坛里有个帖子是这样说的，有人问，请问读什么专业可以入行信息安全，(那个年代大学里就没有信息安全专业一说)，然后有人就回答，清华大学力学系，这个回答真不是我写的。

啰嗦了这么多，还没进入正题，2000年我创业的时候，财务紧张，为了支付服务器费用，还找眼圈借了2万多，那时候2万多真不是个小数字，后来2002年去还债的时候，他居然没有保留借条，他说当初就没打算我能还，汗。借钱难道可以不还的么。当然，没有给利息是真的。那么后来我所效力的那家创业小公司运转困难，欠薪。自己又背了房贷，创业没有太大起色，想想还是要找份工作，恰好何同学考回清华读研，我说我去填这个坑吧，眼圈给了我这个offer，从此成为绿盟的一名程序员。

其实那时候还错过了一个机会，当时百度王湛也找过我，那时候百度也是个刚起步的创业公司，我觉得给的薪酬太低，没考虑。复盘一下，我觉得最大的问题不是没接百度的offer，而是居然没有去看一看这家公司，看一下这个团队，去当面聊聊，这是很遗憾的，所以后来我才不断强调，很多时候，面对一些新兴公司的招募，去不去两说，保持沟通，保持了解，非常重要。

话扯远了，很感谢眼圈在我最困顿的时候给了我一个offer，特别是能和一批传说中的人物共事的机会。当时我跟杨冀龙做扫描器，此外还有一些保密级的项目，就不展开说了，坦白说表现不好，主要原因很简单，水平不够。每次看bug列表，当时san哥给我们做代码审核，一堆注入漏洞，好惭愧，尴尬三次方。

在去绿盟之前，我有一些非常破碎的职场经验，也参与过创业团队，但坦白说，对职场的概念其实是不完整的，毕竟，绿盟这样的公司，有太多想不到。

第一，发不出工资都没事。

曾经半年发不出工资，但是骨干居然没有流失，我去的时候其实已经缓过来了，融资成功。但确实颠覆了对好公司的定义，发不出薪酬的公司，原来也不一定都是烂公司。

第二，老板居然没有权威。

我们理所当然认为职场里，老板权威最大，但是当时有一次产品方向，老板叫上副总裁，还有deepin，还有谁来着，还叫上我，去跟zerg对决产品规划问题，当时zerg是项目经理，全程高能反击，坚持己见，面对诸多公司高层(除我之外)决不妥协。最后老板妥协，我开始还以为给老板助威肯定是稳稳的表现机会，结果感觉成了没有主见的狗腿子，尴尬的四次方。

第三，老板又跑路啦！

当然，这是段子，但绿盟的长跑文化太吓人了。

老何刚去绿盟面试的时候，眼圈问他，有什么特长，老何当年是清华校运会男子乙组的长跑冠军，所以得瑟了一下，眼圈直接回了一句，你去看看清华校运会长跑记录是不是还是我的。

后来我问老何，是不是除了老板你跑的最快，他说不是，老板也不是跑的最快的，还有一个刘继革，比老板还能跑。绿盟每年马拉松都会有一大票人参赛，老板在四十多岁的时候还能跑到3小时10分以内的全马成绩，还是很牛逼的。

所以我编个段子。老板去哪里了，老板跑路了，老板又跑路了。

因为年代久远，很多老同事名字都记不住了，只知道牛人太多，很多研发部的牛人都有点“不务正业”想着挖洞，杨冀龙整理个思路批量挖掘unix下的漏洞，反正听上去就很牛逼，同部门的还有几个也是此中高手，团队里有个人后来去了美国，在fireeye成为核心主力，很容易就财务自由了(好惭愧我记不得名字了)。我当时确实做事不够专心，表现一般，后来觉得自己在安全领域的技术领悟力和这些大牛相差太多，那么两年后就裸辞离开了，一段时间的挣扎创业后，感谢俞军老师发出邀约，有幸进入了百度。

TK当时还是很青涩的，但特别热心，善于解决各种疑难杂症，不管是技术的还是非技术的，几乎什么问题都可以找他，而且你永远不知道他还会什么。比如当时他在内网分享了看片的工具，开源软件mplayer，包括播放器和各种插件，以及如何安装使用的说明(当时网上视频格式繁多，所谓播放器只能播放最基本的几种格式，其他的都需要独立的插件配合才能播放，有些还涉及版权问题，当年并没有所谓万能播放器)。过了几年，暴风影音横空出世，就是mplayer+各种插件的汉化封装。所以后来为什么我忽悠TK教主做影音工具，因为他其实很早就默默的干了这事，只是没有往商业化上去思考。

TK后来还给他夫人做了很多电商管理的小工具，以及帮他夫人找到了在淘宝上优化排名的小技巧。当年他夫人淘宝店比他收入还高，但其实背后这个男人真的各种不简单。

Quack, san, tk,杨冀龙他们还搞了一个安全组织，Xfocus。有一个社区，我在里面很活跃，当然，由于能力问题，仅限在灌水区活跃。后来他们出了一本书，他们觉得我比较懂营销，让我帮忙起名，我说这个简单啊，黑客技术揭秘，保证热销，但是不行，人家不想碰黑客这种词，不能过于追求所谓的眼球，要实事求是，要朴实无华，结果就只好叫做《网络渗透技术》，对，这个名字还是我帮忙起的，但是你们知道，这个名字不吸睛，真不能怪我，他们自己要低调。

Xfocus搞了几次大会，我也凑趣去逛过几次，见证了一些故事，不过和nsfocus无关，就不展开了。应该是国内最大的民间信息安全峰会，当然每次也都有政府的人会到场围观，不过还好，都是正经技术讨论。

san后来想回老家，问我有没有工作机会，被我介绍给了51，后来51这个项目没有成功，辗转去了朋友的游戏公司，几经辗转，并没有得到足够丰厚的回报，说来有些可惜，以他当年全球安全大会上演讲嘉宾的实力，以他主写《网络渗透技术》的能力，没有能发财，实在是有些可惜的，说来我也很自责，没有给他找到合适的发挥空间。

我在百度负责反欺诈点击的时候，有一次有企业客服的负责人给我发来一些渠道id，说流量激增，让我查查是否正常，我查了一下，有几个是异常的，直接就屏蔽掉了，但有一个是流量都是真实正常的，而且增长非常迅速，我就好奇查了一下这个渠道的背景，意外发现，竟然是老熟人deepin，于是我直接约他吃了顿饭，deepin是国内第一批持证的安全讲师，技术上是非常牛逼的，但是毕竟从流量商业化上，我肯定比他了解的更多。我当时给了他一些建议，我记得他第二天告诉我，当天晚上就实现了，第二天直接上线。后来当然效果也非常好。然后他就辞职了，那么几经周折，现在deepin的统信软件已经是领先的国产操作系统综合平台。而前文提到的，曾经搞过SQL注入，还写过防火墙代码，后来转型做法律的谢博士现在负责统信的上市合规相关。所以还是那句话，江湖很小，缘起缘落，聚散无常。

quack几次创业我也是没少出主意，当然，最后知识星球能做起来，起决定作用的另有他人，不过说来多多少少也是有些许的贡献。

那么后续和quack，tk，san，deepin，杨冀龙，老同学王冬这些人还都一直有联系，也有很多人常年没有联系了。那么后来在坡，突然发现老领导liqun也移民过来了，很高兴，经常一起吃饭，他儿子非常出色，考进了新加坡最好的中学，华侨中学，而且在坡还生了二胎，买了市中心的高层公寓。顺便，在坡我还帮他找了一份新工作，但是这份工作是得是失，还不敢妄评。

也是因为liqun，2017年我在新加坡东海岸买的公寓入住，办暖房party，请了一波当地朋友，liqun说scz正好在坡，意外惊喜，当然邀约，这是多少年了，才又见小四同学风采。

这不，一晃又五年过去了。

絮絮叨叨一堆旧事，说来，从职场发展而言，绿盟并不是我比较有价值的职场经历，主要原因是自己的能力和兴趣覆盖不到这个领域，以及当时确实职场意识不到位，主动性不够，没有追求技术成长，所以如果简单来看，对我后续的职场发展并没有特别多直接的助益。但换个角度看，正是因为绿盟这段经历，让我认识了诸多信息安全行业的牛人，拓展了安全思维和风控意识，这些意识长久以来还是让我在工作中受益匪浅。额外一点就是，可以用“我的好友TK”,“我的好友袁哥”来装逼多年。

最后，回到那个时代，我总结一点。

在世纪初，没有人知道信息安全是个怎样的行业，没有人觉得这是风口，这是赚大钱的领域，也没有哪个高校有这样的专业，但是我们看到大量不同专业，不同背景的人，凭借兴趣，凭借热爱，走到一起，哪怕半年拿不到薪酬，执着于拓展技术，最后，现实给了他们丰厚的回报，那些技术大牛，无论是走向创业，还是仍然留在职场，从财务回报来看，都远远超过了当年最乐观的想象。

感谢时代，但也要知道，每个人的坚持和热爱，才是能够达成成就的关键，现在经常有人问我，什么是风口，做什么最赚钱，如果有一份工作，半年不给你薪酬，仅仅提供基本生活费，你还能痴迷不拔，坚决追求自我能力的提升和价值体现。这才是你真正值得追求的方向。

最后再说一个花絮，我最初接触信息安全还是在上个世纪末，在清华读书的时候，从水木bbs找到了一份安全教程，作者是中国台湾的coolfire，我第一次的成功入侵尝试和破解行为，都是参照这个教程实现的。后来偶然我在微博提及，TK就提醒我，此人也在微博活跃，我立即加了关注并私信联系，很快加上了微信，在2020年初海外疫情爆发前夜，去台北和他见了一面吃饭，当面表达了对他当年分享的感谢。后来得知，包括quack，好像star也在内，很多国内早期信息安全的拓荒者，都曾经学习过他的教程，可以说是非常传奇的一个行业前辈。在此一并表达感谢。

---

Scz同学，2000年的那一篇，《你尽力了么》，是网上最有价值的励志鸡汤之一。至今仍不过时。我搜了半天，他自己的公众号没有留存，但是其他公众号上有完整保留，想要了解scz传奇的，可以点如下链接查阅。

能和TK教主成为好基友的，除我之外，有一个算一个，都是顶级大牛。

你尽力了吗? (来自中国著名网络安全专家小四scz)