辅导员：找到哪家公司的工作了？

我：腾讯

辅导员：QQ公司？

我：是的

辅导员：是去当客服吗？

我：……

这段对话发生在2010年福建中医药大学的导员办公室。彼时正值大五上学期，riusksk（泉哥）回校开具就业证明，作为班里第一个敲定工作的学生，他本以为会得到肯定，却没想到迎来这样一段对话。谁能想到，这个中西医骨伤专业出身的医学生，日后会成为手握近百个 CVE 漏洞致谢的网络安全专家？答案，藏在他十余年的跨界人生里。

• 《漏洞战争：软件漏洞分析精要》作者

• 微软最具价值安全研究员

• GeekPwn国际安全极客大赛获奖者

• 看雪论坛40+篇精华文章作者，会员能力总排行第一

• 拥有近百个CVE漏洞致谢，涵盖Microsoft、Apple、Google、Adobe等顶尖厂商

毕业于福建中医药大学中西医骨伤专业，曾任职于腾讯安全应急响应中心。十年磨一剑，从跨界新人成长为行业资深专家，聚焦漏洞攻防、AI for Security、恶意软件对抗等核心领域，用热爱与坚持改写了人生轨迹。

1、《黑客入门》点燃的别样人生

泉哥的跨界，始于一场“专业困境”，他是国内第一届中西医骨伤专业学生，也是最后一届——后来学校取消该专业，仅保留中医骨伤方向。不同于其他专业毕业生手持“两证”，他们这届学生多了一本“专业方向证明”，可在当时，国内尚无该专业毕业生就业先例，多数医院不认可这份特殊证书。“医学路太难走了，不仅学习周期长，对学历要求高，中西医临床还归属中医类别，连西医执照都考不了。”医学之路的不确定性，让泉哥偶然叩开了IT世界的大门。

当时在网友们的建议下，泉哥尝试投递网络安全公司简历，腾讯便是其中之一。“我记的特别清楚，当时在厦门二院实习，给病人扎完针灸，就接到了腾讯的面试电话。”泉哥笑着回忆，“电话里聊了半小时溢出漏洞利用，从原理到实战思路，我把自己琢磨的东西全说透，没想到真的通过了。对我来说，去腾讯做喜欢的技术，比在小医院吸引力大太多了。”

这份“喜欢”的源头，来自大一图书馆的一本《黑客入门》。那时专业课节奏慢，他常泡在图书馆，书中中国黑客在中美黑客大战中黑掉白宫网站的黑页照片，让他热血沸腾。紧接着，他又上网搜到《网络渗透技术》，光书名就觉得很牛逼，可下载 PDF 后才发现，第一章介绍工具都看不懂。“当时就跟自己较劲，一定要看懂这本书。”这个目标，他多年后才实现，但对技术的热爱，早已在心里扎了根。

“很多人说对安全感兴趣，但你问他为‘兴趣’做了什么？可能一年过去，连基础工具都没摸过。”泉哥坦言，“真正的兴趣是愿意花时间啃硬骨头——从‘好奇’到‘坚持’，才是热爱的开始。”

给跨界学习者的小建议：我常被问“零基础能不能转网安”，其实我学编程时连电脑都没有。关键是“用以致学”——先定小目标，比如看懂一本书、复现一个简单漏洞，比泛泛学理论有效得多。

2、台历本与诺基亚：无电脑时代的编程启蒙

真正踏入IT行业的第一步，泉哥走得异常艰难 —— 不仅“零基础”，还”无设备”。“从小白到专业，这个过程是困难且漫长的。20年前根本没有信息安全专业（现在大多叫网络空间安全），学习资料非常匮乏。”比资料匮乏更残酷的是硬件短缺，直到大四下学期，靠着《黑客防线》的稿费和哥哥的资助，他才买了人生第一台电脑。

而在那之前，他的编程启蒙藏在台历本和诺基亚里。“没电脑的人学电脑就是个奇葩事，在此之前，我都是在台历本上写代码，在手机上读完了《Windows 程序设计》、《Windows 核心编程》、《Windows 32位环境下汇编语言程序设计》等计算机相关书籍。”

图为当时用的手机

除了用手机看书，图书馆的计算机书架成了他的第二课堂。他对书架的熟悉度到了，报书名就能说有没有、在哪个位置的地步。“最初都找有‘黑客’二字的书来看，最后发现大部分没什么用，得老老实实地学习计算机基础课程，比如编程、操作系统原理、计算机网络、编译原理等等，而且要“用以致学”，即带着解决问题的角度来学习，效率更高。

没有电脑，实战就去网吧。“当时去网吧上网，比买书贵多了，但为了学技术没办法。”他常在网吧反复看中山大学的汇编教程，边看边记笔记，跟着操作。

“现在回想那段日子，挺佩服当时的自己。”正是这些时光，不仅打下扎实基础，更锤炼出“没条件就造条件”的韧劲——这份韧劲，成了他跨界路上最宝贵的财富。

3、人生两大转折点：一个是看雪，另一个是腾讯

“2000年初互联网刚刚兴起，可想而知当时看雪论坛的存在，对中国网络安全发展的推动作用有多大。”泉哥感慨道。

2007年，他从网上偶然得知了“看雪学苑”（当时叫“看雪学院”），于是注册了账号，自此开启了破解生涯。论坛里前辈分享的实战思路、工具技巧与技术讨论，让他了解到破解不是凭空摸索，而是有章法、有工具、有前人经验可循的。泉哥表示，“那时的看雪精华帖，是学习二进制逆向的必备学习资源。”

为了看更多内容、验证学习成果，他开始尝试发帖：“当时发表文章有两个动机：一方面只是为了升级会员，另一方面是通过输出学习技术。”据统计，泉哥在论坛共发表了40余篇精华文章，多年仍稳居【会员能力总排行】第一。

泉哥表示，看雪是他踏入逆向工程与漏洞攻防领域的 “敲门砖”，更成为他拿到腾讯 offer 的助推器。“当时我就是通过看雪论坛联系上岳哥，才获得了面试机会，最终成功入职腾讯。” 更巧的是，多年后他跳槽到另一家公司，竟和当初腾讯面试他的两位——lake、gmxp 再次成为同事。安全圈真的小，优秀的人总会在顶峰相遇。

入职腾讯后，泉哥迎来 “快速成长期”，从一名跨行新人成长为资深安全专家。“以前在腾讯，整天应急处理的安全事件太多了，压力也大，比较适合年轻人，高强度工作让技术能力飞速提升。现在我也不太喜欢搞应急，可能年纪大了。”

“影响我人生的重大转折点，一个是看雪，一个是腾讯。”泉哥感慨道。

4、《漏洞战争》与书虫人生：泉哥的技术修行

如今，泉哥已获得近百个 CVE 漏洞致谢，覆盖Microsoft、Apple、Google、Adobe 等厂商。

谈及印象最深的一次，是发现 Adobe PDF 字体堆溢出漏洞：“和天府杯参赛的人撞洞了，当时project zero报了一个pdf漏洞，随后Adobe 做了修补，却没料到补了旧漏洞的同时，反而引入了一个之前根本不存在的新漏洞，最后被我fuzzing出来了。”

他的另一大成就，是写出安全领域的经典著作——《漏洞战争：软件漏洞分析精要》。这本书的诞生，源于一次意外的承诺：“网友‘爱无言’拉我一起写书，我又找了2个朋友分工，最后发现只有我一个老老实实写了，其他人都没动，最后就我一个人坚持全写完了。”

泉哥表示，之所以坚持下来，是因为当时业界CVE漏洞实战案例分析的书籍很少，大多是溢出相关漏洞分析与利用的入门书籍，于是就想填补这个空缺，这几乎是一本：用调试器写出来的书。如今，《漏洞战争：软件漏洞分析精要》成了网安学生、从业者的必读书，很多人说：看了这本书，才懂漏洞分析是怎么回事。

除了写书，看书成为他的唯一“嗜好”。每年保持30-60本阅读量的习惯，他已坚持了10余年。大学期间，他投稿赚的稿费几乎都用来买书。“现在家里书房、客厅都放了书架和墨水屏阅读器。以前主要看计算机、安全类书，近两年开始读文学、心理学 —— 用他的话说：“感性思维也很重要，否则总会缺少点人情味。”毕竟技术是为人服务的，懂人性，才能做更贴合用户的安全产品。

5、AI+安全：十年漏洞研究者的 “深耕与期待”

如今，国家对网安的支持力度越来越大：高校设网络空间安全专业、办国家级 CTF 大赛、组建网络空间部队。但泉哥指出，国内安全公司的处境并不乐观 —— 市值越大亏得越多，产品同质化严重，80% 收入靠政府项目，传统产品需求下滑，而云安全、AI 安全这些新兴领域，又因研发投入大、回报慢，很多公司不敢布局。“国内企业想达到微软‘网安产品年利润百亿美金’的高度，还有很长的路，商业路径依赖和技术创新不足是最大障碍。”

在这样的行业背景下，AI与安全的深度融合成为破局关键。泉哥表示：AI for Security（用AI解决安全问题）与Security for AI（解决AI自身安全问题）是当前安全领域的热门方向。

随着LLM崛起，Agent爆发，很多传统网络安全工作正在被重构。他观察到，国内多数安全研究团队已将AI列为重点方向：“从近2年顶会论文数量就能看出，漏洞挖掘、分析、利用、修复等全流程都在尝试引入AI技术，其中挖洞与补洞是当前的研究热点，相关论文占比最高。”

从研究进展来看，AI在漏洞研究中的巨大潜力，“Google Project Zero用LLM挖掘到sqlite可利用漏洞，国内深蓝用LLM挖掘到linux内核可利用漏洞，腾讯也用LLM挖到一些Web漏洞，国外xbow AI渗透机器人登顶Hacker One榜首。“这些案例确实振奋人心，但整体来看仍处于‘略有成效’阶段。泉哥分析：“如果LLM真能大规模挖洞，理论上log4j这类应用广但安全投入少的开源软件应该被挖到更多漏洞，但目前并未出现这种爆发。”

作为一线漏洞研究者，他亲身体验着AI带来的效率变革。“现在我经常用LLM辅助生成代码或者分析漏洞、以前需要1周才能验证研究思想对错，现在1小时就搞定了。”这种效率提升让研究者能更聚焦于创意与深度分析，而非重复劳动。

给年轻网安从业者的建议：别觉得 AI 能替代人工，核心创意还是要靠人。现在很多年轻人盯着“AI 挖洞”，却忽略了编程、操作系统、编译原理这些“老本行”—— 这些才是做好安全研究的根基。另外，他尤其推崇跨领域学习：“创新往往来自学科交叉，有时候生物工程的论文，可能比网络安全文献更启发思路。”

谈及未来，泉哥表示：AI会持续重塑漏洞研究模式，但不必过度吹捧。潜心研究，等待拐点到来——这是对年轻研究者的建议，也是我对行业的期待。

从福建中医药大学的 “代码少年”，到手握近百个 CVE 致谢的网安专家，泉哥用二十年证明：人生没有标准答案，热爱能抵漫长岁月。

草木有本心，何求美人折。当我们未被他人寄予厚望，就更应该为自己种下期许。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！