负责电商APP全生命周期安全开发，涵盖iOS/Android双端客户端安全设计、数据全链路防护、反逆向/反作弊体系搭建，及漏洞从发现到闭环的快速响应。

• 主导设计电商APP客户端安全加固体系，针对过往加固后iOS端出现的启动兼容性问题，结合OLLVM控制流平坦化+爱加密自定义混淆规则，重构加固脚本并嵌入VMP保护核心支付逻辑，将反逆向工具分析耗时从3小时压缩至45分钟内，版本上线后逆向破解率从18%降至7%，支撑了大促期间支付功能的零安全事件。
• 优化敏感数据传输安全，识别出订单详情接口存在字段级明文传输风险后，采用AES-GCM 256位加密结合HMAC-SHA256鉴权，替换原有RSA+Base64方案，同时联动服务端实现密钥动态轮换，经OWASP ZAP渗透测试验证，数据泄露风险等级从“高危”降至“低危”，该方案被纳入公司数据安全标准。
• 搭建APP漏洞快速响应SOP，基于CI/CD pipeline集成MobSF静态扫描与Burp Suite动态测试，设置12类高危漏洞自动告警规则，将漏洞从发现到修复的平均周期从7天缩短至2天；Q3季度拦截了3起因第三方SDK引入的WebView远程代码执行漏洞，避免影响500万+活跃用户。
• 牵头处理某版本iOS APP的“隐私政策未明示收集位置信息”合规事件，对照《个人信息保护法》要求，用OneTrust工具扫描定位问题根源——代码中误调用Core Location未授权接口，通过新增用户主动授权弹窗+本地缓存策略，48小时内完成热修复并通过工信部合规复查，避免了APP被应用商店下架风险。

负责零售APP安全架构升级，聚焦iOS/Android双端零信任模型落地、反作弊能力构建，及合规性全流程保障。

• 落地iOS端零信任安全模型，针对门店员工APP越狱后访问敏感库存数据的问题，采用Keychain加密存储员工凭证+阿里聚安全设备指纹SDK实现动态权限校验——当检测到设备越狱或指纹异常时，自动拦截核心功能调用并触发二次认证，越狱设备滥用率从15%降至2%，该模型获公司技术创新奖。
• 破解Android端“改机作弊”难题，原反调试机制被Xposed工具绕过后，重构防御逻辑：结合Ptrace反检测+日志文件脱敏（删除“debug”关键词）+内存特征校验（检测Xposed Hook痕迹），将改机成功率从40%压至10%以内，支撑了大促期间优惠券发放的精准性。
• 推动APP隐私合规自动化改造，基于《GDPR》《常见类型移动互联网应用程序必要个人信息范围规定》，用Python开发合规检测脚本整合OneTrust扫描结果，自动识别“过度收集通讯录”“未明示摄像头用途”等问题，季度整改率达95%，助力APP通过第三方机构的ISO 27001合规认证。
• 研发跨端安全测试工具“SafeTest”，基于Appium框架集成静态扫描（MobSF）、动态注入（Frida）功能，实现一次脚本运行覆盖双端漏洞检测；工具上线后，每次APP迭代的测试时间从3天缩短至1天，测试覆盖率从60%提升至85%，已被推广至公司其他产品线使用。

协助完成生活服务APP基础安全开发，包括客户端漏洞修复、安全工具落地及安全文档沉淀。

• 修复Android端WebView核心安全漏洞：识别出版本中WebView未禁用file协议导致XSS攻击的问题，通过修改WebView.setAllowFileAccessFromFileURLs(false)、屏蔽JavaScriptInterface未授权调用，结合Charles抓包验证，彻底消除了恶意脚本执行风险，该修复方案被纳入团队WebView安全开发 checklist。
• 执行APP静态安全扫描与整改：每周用MobSF扫描代码库，累计输出32份报告，整改了45个硬编码API Key、21个弱加密（MD5哈希存储密码）问题，APP的Fortify安全评分从65分提升至82分，基础安全能力显著夯实。
• 编写团队安全开发文档：整理《Android客户端安全编码规范》《常见漏洞防范指南》，覆盖“数据存储安全”“网络传输安全”等10类高频场景，包含20+代码示例与规避方法，帮助新人快速掌握安全开发要点，文档成为团队新人培训核心材料。

电商平台全链路交易风险防控系统重构与智能化升级

• 星途作为头部社交电商平台，2021年起交易欺诈率同比上升37%，原有系统基于分散规则引擎，存在跨渠道团伙作案识别盲区、误报率18%、大促期间响应延迟超500ms等痛点。我主导系统从需求分析到落地的全生命周期，负责架构设计、核心模块开发及跨数据/算法/业务团队的协调。
• 面临三大挑战：一是多源异构数据整合（需关联交易、用户行为、设备指纹、第三方征信等8类实时数据，格式差异大）；二是高并发下低延迟检测（支撑大促10万TPS峰值）；三是AI模型需平衡准确率与业务适配性（避免过度拦截影响用户体验）。技术上选择Apache Flink构建实时数据中台，解决数据流关联问题；采用“规则+机器学习+图计算”三层架构应对复杂风险。
• 主导定义标准化事件模型整合8类数据，优化Drools规则引擎支持动态加载（规则更新停机时间从4小时缩短至10分钟）；针对刷单、盗号、薅羊毛场景训练5个XGBoost专项模型，结合Neo4j图计算构建用户-设备-订单关系图谱识别团伙风险；通过Redis缓存高频风险画像、Kafka削峰填谷，优化系统性能。
• 系统上线后，风险检测准确率从72%提升至91%，误报率降至5%，实时延迟降至80ms，支撑大促10万TPS峰值；年减少欺诈损失约1200万元，业务投诉率下降65%；获公司“年度技术创新奖”，已推广至金融业务线覆盖支付、信贷场景，成为集团级风险防控底座。

金融支付系统漏洞自动化检测平台研发

• 云盾为中小金融机构提供支付系统解决方案，原人工检测效率低（单系统需3天）、遗漏新型漏洞（如API越权）。我的目标是研发自动化平台，覆盖OWASP Top10漏洞，提升检测效率与覆盖率，支撑客户合规需求。
• 挑战包括：动态检测场景真实性不足（难模拟真实用户操作绕过防护）、多支付渠道接口兼容性差（微信/支付宝/银联差异大）、检测报告缺乏修复指导性。技术上需整合漏洞扫描工具与自定义脚本，解决真实性与兼容性问题。
• 集成Burp Suite API与Python自定义脚本，构建120+漏洞测试用例库（覆盖SQL注入、XSS、API越权等场景）；用Selenium模拟用户真实点击、输入行为，提升检测准确性；设计多维度报告，包含漏洞等级、CVSS评分、修复代码示例，并对接Jira实现缺陷自动流转。
• 平台检测效率提升4倍（单系统检测仅需8小时），漏洞覆盖率从75%升至95%；服务20+金融机构，年减少漏洞修复成本300万元；成为公司支付安全解决方案核心组件，支撑新客户接入效率提升50%，客户满意度从82%升至94%。

支教时发现乡村小学因缺乏实验器材，科学课多停留在课本讲解。返校后联合实验室开发出百元级科学实验背包，内含20个基础实验器材。为确保可持续运营，设计配套视频课程与城乡结对系统，并培训132名大学生担任远程助教。项目覆盖9省47所学校后，学生科学兴趣评分提升35%。这段经历教会我用产品思维解决社会问题，当看到孩子们用自制望远镜发现土星光环时，我理解了教育的真谛是点燃可能性。