负责电商APP全生命周期安全防护体系建设，聚焦Android/iOS端反外挂、支付链路加密、隐私合规整改及安全SDK迭代，联动业务团队解决黑产攻击问题

• 主导设计Android端反外挂体系，针对电商刷单、优惠券薅羊毛场景，使用Frida动态调试、IDA Pro逆向分析黑产工具的进程注入、内存篡改特征，结合XGBoost机器学习模型识别“短时间高频模拟点击”“跨APP数据劫持”等异常行为，开发实时拦截引擎；上线后外挂拦截率从65%提升至92%，每月减少优惠券损失约120万元
• 解决iOS端支付链路Hook攻击问题，针对Cydia Substrate篡改支付回调的高危场景，采用LLVM Obfuscator代码混淆+TOTP动态令牌+设备指纹SDK三重防护，修复3个CVE高危漏洞（CVE-2023-12345等）；经第三方渗透测试，支付环节漏洞利用难度从“低”提升至“极高”，全年未发生支付安全事故
• 推动隐私合规整改以应对《个人信息保护法》，主导开发隐私权限管理SDK，集成Android AppOpsManager、iOS AppTrackingTransparency框架，实现“定位权限仅配送时申请”“通讯录权限仅在客服场景触发”的最小必要原则；完成12次监管机构检查，整改完成率100%，避免约50万元罚款
• 搭建APP安全监控平台，基于ELK Stack日志分析+Prometheus指标监控，针对iOS重打包攻击，通过IPA签名哈希校验+动态加载检测机制，将攻击发现时间从48小时缩短至1小时内；全年拦截重打包攻击37起，保障APP正版率稳定在99.8%以上

负责零售APP（线上线下一体化场景）安全架构升级，聚焦跨端数据安全传输、供应链安全管控及黑产对抗体系优化，支撑业务增长同时保障合规

• 设计跨端数据安全传输方案，针对线下门店APP与线上商城的会员信息同步场景，采用TLS 1.3加密+双向证书校验+AES-GCM敏感字段脱敏，解决之前HTTP传输导致的用户手机号泄露问题；第三方检测显示数据传输漏洞清零，通过PCI DSS认证
• 构建供应链安全管控体系，开发自动化SDK扫描工具（基于OWASP Dependency-Check+自定义规则引擎），每周扫描100+第三方SDK版本，拦截2个含恶意代码的推送SDK（私自收集位置信息）；将供应链风险事件发生率从15%降至2%，保障APP依赖库安全
• 优化线下门店“虚假打卡”外挂对抗，结合设备加速度计、陀螺仪传感器数据+地理围栏算法，开发动态定位校验模块嵌入打卡功能；虚假打卡率从28%降至5%，每月节省线下运营成本约80万元
• 制定《APP安全开发规范》，涵盖代码编写、依赖管理、漏洞修复流程，指导5名初级工程师；团队安全编码能力评分从75分提升至90分，全年因代码漏洞导致的安全事件下降60%

统筹生活服务APP安全技术战略落地，负责Android/iOS端安全产品（反外挂、隐私合规、安全SDK）研发迭代，联动业务/法务/运维构建全链路防护体系，支撑业务规模化

• 推动隐私合规产品升级，针对《个人信息保护法实施条例》要求，主导开发“隐私中心”模块（React Native跨端），集成权限管理、数据流向查询、一键撤回授权功能；上线后用户隐私投诉率下降70%，通过国家网信办合规认证
• 领导反外挂技术迭代，针对“刷好评”外挂（批量注册、伪造评价），采用图神经网络（GNN）分析用户行为关联（同一设备多账号、短时间多评价），开发智能反作弊系统；识别准确率从82%提升至95%，每月减少虚假评价1.2万条
• 推动安全SDK商业化输出，将内部隐私合规、反外挂SDK封装为标准化产品，面向中小商家输出；制定接入文档与技术支持流程，目前50+商家接入，年新增收入约200万元
• 应对竞品爬虫攻击（爬取商家信息），主导开发动态反爬机制（用户行为特征+IP信誉库+验证码策略），结合机器学习实时调整规则；爬虫成功率从40%降至5%，保护商家核心数据资产

电商平台全链路交易风险防控系统重构与智能化升级

• 星途作为头部社交电商平台，2021年起交易欺诈率同比上升37%，原有系统基于分散规则引擎，存在跨渠道团伙作案识别盲区、误报率18%、大促期间响应延迟超500ms等痛点。我主导系统从需求分析到落地的全生命周期，负责架构设计、核心模块开发及跨数据/算法/业务团队的协调。
• 面临三大挑战：一是多源异构数据整合（需关联交易、用户行为、设备指纹、第三方征信等8类实时数据，格式差异大）；二是高并发下低延迟检测（支撑大促10万TPS峰值）；三是AI模型需平衡准确率与业务适配性（避免过度拦截影响用户体验）。技术上选择Apache Flink构建实时数据中台，解决数据流关联问题；采用“规则+机器学习+图计算”三层架构应对复杂风险。
• 主导定义标准化事件模型整合8类数据，优化Drools规则引擎支持动态加载（规则更新停机时间从4小时缩短至10分钟）；针对刷单、盗号、薅羊毛场景训练5个XGBoost专项模型，结合Neo4j图计算构建用户-设备-订单关系图谱识别团伙风险；通过Redis缓存高频风险画像、Kafka削峰填谷，优化系统性能。
• 系统上线后，风险检测准确率从72%提升至91%，误报率降至5%，实时延迟降至80ms，支撑大促10万TPS峰值；年减少欺诈损失约1200万元，业务投诉率下降65%；获公司“年度技术创新奖”，已推广至金融业务线覆盖支付、信贷场景，成为集团级风险防控底座。

金融支付系统漏洞自动化检测平台研发

• 云盾为中小金融机构提供支付系统解决方案，原人工检测效率低（单系统需3天）、遗漏新型漏洞（如API越权）。我的目标是研发自动化平台，覆盖OWASP Top10漏洞，提升检测效率与覆盖率，支撑客户合规需求。
• 挑战包括：动态检测场景真实性不足（难模拟真实用户操作绕过防护）、多支付渠道接口兼容性差（微信/支付宝/银联差异大）、检测报告缺乏修复指导性。技术上需整合漏洞扫描工具与自定义脚本，解决真实性与兼容性问题。
• 集成Burp Suite API与Python自定义脚本，构建120+漏洞测试用例库（覆盖SQL注入、XSS、API越权等场景）；用Selenium模拟用户真实点击、输入行为，提升检测准确性；设计多维度报告，包含漏洞等级、CVSS评分、修复代码示例，并对接Jira实现缺陷自动流转。
• 平台检测效率提升4倍（单系统检测仅需8小时），漏洞覆盖率从75%升至95%；服务20+金融机构，年减少漏洞修复成本300万元；成为公司支付安全解决方案核心组件，支撑新客户接入效率提升50%，客户满意度从82%升至94%。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。