在全球网络安全行业中，漏洞挖掘早已从边缘化的实践，走向企业安全战略的核心位置。越来越多的年轻研究者正在通过公开平台进入这一领域，他们不仅改变了传统安全行业的人才结构，也为人工智能时代的防御需求带来了新的思考。

小杰——一位刚毕业不久的年轻白帽，便是这一趋势的缩影。2022 年，他提交了人生第一个 CNVD 漏洞，三年间他获得越来越多的荣誉，而今，他在 HackProve 漏洞大赛中夺得冠军，并凭借多个高危漏洞获得六位数的奖金。但更值得关注的，不是数字和头衔，而是他身上折射出的年轻白帽的学习路径、能力模型与未来走向。

从犹豫到执着：一段青春的起点

刚入大学时，小杰几乎要放弃网络安全。他觉得自己“对电脑一窍不通”，甚至考虑过转专业。母亲的一句话改变了他：“当你不知道自己热爱什么时，就先把眼前的事情做到最好。”

这句话成为他的锚点。

他开始系统学习，打基础，熬夜钻研。舍友们入睡时，他还在屏幕前调试代码；舍友们起床时，他依然坐在那里。量变形成质变，2022 年，他在 CNVD 获得了第一张漏洞证书，那份来自系统的“正反馈”，成为点燃他热情的火花，并由此越走越远。

被忽略的漏洞，和不被忽略的坚持

漏洞挖掘是一条布满坎坷的路。在 HackProve 比赛中，小杰最大的卡点也是收获来自一次全新的尝试。他第一次深入到客户端漏洞的挖掘。过程并不顺利——漏洞在首次提交时被忽略，这让他一度感到低落，甚至怀疑是自己的技术出现了问题。但他并没有停下，而是选择重新梳理思路，持续查阅资料、补足知识，并结合工具不断测试。最终，他成功找到绕过的方法，再次提交并获得认可。这个漏洞的确认也成为他夺冠的重要筹码。

谈到这种“被忽略再被接收”的情况，他坦言并不少见。漏洞挖掘往往需要在“薄弱点”上反复尝试，这一过程本身工作量繁杂，也极具挑战性。但正因如此，投入时间和精力才能带来更高的产出价值。

积累即力量：白帽的“武器库”搭建

不同于只依赖灵感的白帽，小杰选择了体系化的积累。每一个漏洞，他都会整理成完整的“危害链”，记录在 Notion 中搭建个人知识库，逐步形成可复用的 SOP，每次遇到新漏洞，他会先尝试调用已有的经验框架，复制、调整并验证，从而提高效率。

“这是我自己的武器库，”他说，“下一次再遇到类似情况，我能更快验证和提交。”

但在沉淀的同时，小杰也清楚地意识到自己的不足：知识库会逐渐老化，而新的漏洞类型和研究方向不断涌现。他坦言，目前自己还没有找到特别理想的外部知识来源，学习更多依赖实战和个人积累。更新迭代是他必须面对的问题，也是他接下来希望突破的方向。

职业与未来：不止是赏金，更是责任

在 HackProve 比赛中，当得知自己最终夺冠时，小杰形容那一刻“当然非常激动”。他知道，这个结果来之不易，同时也收到了丰厚的赏金。其实，这并不是他第一次迎来重要突破。在比赛之外，他曾挖掘到一个价值两万元的高危漏洞，也是他目前单笔最高的赏金，他在日常挖掘中发现了权限检查的缺陷，并通过分析 API 请求路径，意外获得了修改账户密码等核心操作权限。这样的发现往往被一些人归结为“运气”，但小杰的看法不同：“运气可能让你遇到机会，但真正能抓住机会的，是实力和细心。”

一次次挖洞和比赛获得的奖金也让小杰更加独立。小杰回忆道，大学早期，他仍然需要父母的资助来支付生活费和学费，但从大三开始，他已经能够依靠漏洞赏金独立负担费用。如今，他甚至会每月主动给母亲打钱，让父母能有更多余裕去旅行和放松。“这是我对他们培养的一种回馈。”他说。

对于漏洞赏金与全职工作的关系，小杰的态度很明确。他并不希望依赖奖金维持生活，而是将重心放在职业发展上。在他看来，赏金是阶段性的回报，但事业和责任才是长远目标。

升级之路：系统学习，多线作战

在形成方法论的过程中，小杰也得到过他人的帮助。他坦言，早期自己的漏洞挖掘比较零散，没有系统结构。后来在厦门吉比特公司实习时，带领的导师wyb前辈帮助他梳理出完整的思路，不仅在技术方法上受益，更在职业观念上形成了影响。这段经历让他逐渐建立起可以经得起考量的方法论，也让他认识到职业成长需要外部引导。

除了个人导师，他也会借助会议和行业交流拓展视野。“我参加会议时通常带着目的，会挑选有价值的议题和人脉去建立联系，而不是为了社交而社交。”通过与车联网、AI 等不同领域的研究者建立沟通，他不断弥补知识的不足。

在学习方式上，小杰并不局限于学校课程。他报过不少线上和线下培训班，认为付费学习可以帮助自己少走弯路，更快形成体系化的认知。当然，他也承认不同机构风格差异较大，需要谨慎选择。“群众的眼睛是雪亮的，多看评价再决定。”他笑道。

课堂知识最终要回到实战。他常常利用靶场平台去练习特定漏洞类型，从 SQL 注入到跨站脚本，通过重复实验去培养敏感度。他总结道：“课堂能学到原理，但要真正熟悉漏洞，就得知道它最容易出现在什么功能点上，并在不同平台反复验证。”这种方法让他积累了扎实的经验。

日常与兴趣：从幽默到耐力

在朋友眼中，小杰并不是传统意义上“神秘而冷酷”的黑客形象，相反，他被评价为一个“挺逗”的人，喜欢笑，也爱和朋友开玩笑打趣。“我在生活里其实特别喜欢热闹的氛围。”他说。这种乐观和幽默，也延伸到他的安全研究中，让他能以相对轻松的心态面对繁琐的挖掘过程。

这种好奇心常常延伸到生活细节。比如他曾经尝试研究酒店门卡、NFC 信号复制等问题。“纯粹是兴趣，看看能不能实现，不会真的去利用。”他笑着解释。通过自购智能门锁，他甚至能模拟复制 NFC 信号，从而验证设备潜在的安全缺陷。在他看来，技术探索并不局限于实验室，而是存在于日常生活的方方面面。

除了技术，他也坚持长期的运动习惯。跑步是他最重要的锻炼方式，经常要求自己跑 3 到 5 公里，而且全程保持高速度。这种耐力训练不仅增强了体能，也磨炼了心态。“漏洞挖掘很多时候是重复性极高的工作，很枯燥，但我觉得自己能一直坚持去试。朋友们会觉得复杂又麻烦，但我反而习惯了这种不断尝试的过程。”

这种耐力在他最近的冠军经历中体现得尤为明显。为了攻克这次比赛中一个看似低危的漏洞，他在下班后的业余时间里连续花了两到三周反复测试，最终才逐渐找到突破口，从一个低危漏洞扩展到实现命令执行，拿下比赛关键分。这段经历让他印象深刻，也印证了他的信念：耐心和反复尝试，往往是突破的唯一途径。

给年轻白帽的三条启示

尽管近几年网络安全行业整体机会看似减少，但小杰依然认为这是一个热门领域。区别在于，重复性、低门槛的岗位正在逐渐被 AI 或自动化工具替代，而真正稀缺的，是能够创新、具备实战经验的高级人才。

而对于“新人要有经验”的矛盾，他也有切身感受。早在大学期间，他就积极寻找实战机会：从大二开始接触社会项目，大三进入国内安全厂商实习，并参加攻防演练来积累实践经历。这些沉淀成为他求职时的核心优势。“等我毕业时，我的简历里已经有项目经历和实习经验，和其他只停留在课堂学习的同学相比，企业更愿意选择我。”

回顾这一路，他坦言自己在大一入学时也曾迷茫，不确定是否要继续走下去。转折点同样来自一次选择：他开始主动与学长、老师以及行业前辈交流，慢慢明确了方向。从那以后，他为自己规划了清晰的路径——大二打基础，大三积累项目和实习，大四准备全职工作。正是这样的提前布局，让他在进入职场时具备了相对成熟的准备。

从小杰的经历出发，小杰给到了三条给到年轻白帽的建议：

主动投资自己—— 付费课程、线上靶场，能帮助他们更快形成体系。

严谨求证 —— 每一个参数、每一行代码，都需要追根溯源，拒绝模糊答案。

细心与耐心—— 持续重复和验证，是漏洞挖掘最本质的功夫。

这三点，也许正是下一代网络安全人才的底色。

结语：热爱与坚持

在采访的最后，小杰说：“如果要总结我的安全之路，我会用四个字：热爱与坚持。”同时他也感谢 HackProve 创建了这样一个平台，让来自全球的伙伴能够聚在一起，互相交流、互相学习。信息安全的边界正在不断拓展，从 Web 到车联网、从物联网到 AI，都需要更多人的参与与守护。希望大家能够在 HackProve 上继续汲取经验、分享成果。

在这个被 AI、自动化和新型攻击快速重塑的行业中，技术会更新，工具会淘汰，但热爱与坚持，也许才是推动个人、社区乃至整个行业不断前行的力量。

欢迎留下你的看法，参与讨论。专访还在继续，下一个网络安全大咖的分享，敬请期待。

Website: https://www.hackprove.com/

Discord: https://lnkd.in/ejBKZyNn

X : https://x.com/hackprove_

LinkedIn: @HackProve