负责电商APP全生命周期安全防护体系建设，聚焦Android/iOS端反外挂、支付链路加密、隐私合规整改及安全SDK迭代，联动业务团队解决黑产攻击问题

• 主导设计Android端反外挂体系，针对电商刷单、优惠券薅羊毛场景，使用Frida动态调试、IDA Pro逆向分析黑产工具的进程注入、内存篡改特征，结合XGBoost机器学习模型识别“短时间高频模拟点击”“跨APP数据劫持”等异常行为，开发实时拦截引擎；上线后外挂拦截率从65%提升至92%，每月减少优惠券损失约120万元
• 解决iOS端支付链路Hook攻击问题，针对Cydia Substrate篡改支付回调的高危场景，采用LLVM Obfuscator代码混淆+TOTP动态令牌+设备指纹SDK三重防护，修复3个CVE高危漏洞（CVE-2023-12345等）；经第三方渗透测试，支付环节漏洞利用难度从“低”提升至“极高”，全年未发生支付安全事故
• 推动隐私合规整改以应对《个人信息保护法》，主导开发隐私权限管理SDK，集成Android AppOpsManager、iOS AppTrackingTransparency框架，实现“定位权限仅配送时申请”“通讯录权限仅在客服场景触发”的最小必要原则；完成12次监管机构检查，整改完成率100%，避免约50万元罚款
• 搭建APP安全监控平台，基于ELK Stack日志分析+Prometheus指标监控，针对iOS重打包攻击，通过IPA签名哈希校验+动态加载检测机制，将攻击发现时间从48小时缩短至1小时内；全年拦截重打包攻击37起，保障APP正版率稳定在99.8%以上

负责零售APP（线上线下一体化场景）安全架构升级，聚焦跨端数据安全传输、供应链安全管控及黑产对抗体系优化，支撑业务增长同时保障合规

• 设计跨端数据安全传输方案，针对线下门店APP与线上商城的会员信息同步场景，采用TLS 1.3加密+双向证书校验+AES-GCM敏感字段脱敏，解决之前HTTP传输导致的用户手机号泄露问题；第三方检测显示数据传输漏洞清零，通过PCI DSS认证
• 构建供应链安全管控体系，开发自动化SDK扫描工具（基于OWASP Dependency-Check+自定义规则引擎），每周扫描100+第三方SDK版本，拦截2个含恶意代码的推送SDK（私自收集位置信息）；将供应链风险事件发生率从15%降至2%，保障APP依赖库安全
• 优化线下门店“虚假打卡”外挂对抗，结合设备加速度计、陀螺仪传感器数据+地理围栏算法，开发动态定位校验模块嵌入打卡功能；虚假打卡率从28%降至5%，每月节省线下运营成本约80万元
• 制定《APP安全开发规范》，涵盖代码编写、依赖管理、漏洞修复流程，指导5名初级工程师；团队安全编码能力评分从75分提升至90分，全年因代码漏洞导致的安全事件下降60%

统筹生活服务APP安全技术战略落地，负责Android/iOS端安全产品（反外挂、隐私合规、安全SDK）研发迭代，联动业务/法务/运维构建全链路防护体系，支撑业务规模化

• 推动隐私合规产品升级，针对《个人信息保护法实施条例》要求，主导开发“隐私中心”模块（React Native跨端），集成权限管理、数据流向查询、一键撤回授权功能；上线后用户隐私投诉率下降70%，通过国家网信办合规认证
• 领导反外挂技术迭代，针对“刷好评”外挂（批量注册、伪造评价），采用图神经网络（GNN）分析用户行为关联（同一设备多账号、短时间多评价），开发智能反作弊系统；识别准确率从82%提升至95%，每月减少虚假评价1.2万条
• 推动安全SDK商业化输出，将内部隐私合规、反外挂SDK封装为标准化产品，面向中小商家输出；制定接入文档与技术支持流程，目前50+商家接入，年新增收入约200万元
• 应对竞品爬虫攻击（爬取商家信息），主导开发动态反爬机制（用户行为特征+IP信誉库+验证码策略），结合机器学习实时调整规则；爬虫成功率从40%降至5%，保护商家核心数据资产

电商平台全链路支付风险防控体系重构

• 星途互动作为年GMV超500亿的头部社交电商平台，支付环节面临虚假交易套券、黑产批量盗刷、营销薅羊毛等核心风险——原有基于静态规则的支付风控系统漏报率达12%、误拦截率8%，大促期间客诉率上升15%，直接冲击用户留存。我的核心目标是主导重构全链路支付风险防控体系，实现“精准拦截风险+最小化正常用户干扰”的平衡。
• 项目难点集中在三点：一是原有系统与支付网关、用户中心、商品库耦合度高，无法整合交易行为、设备指纹、用户画像等多源数据做关联分析；二是实时决策要求延迟≤200ms，传统规则引擎计算效率不足；三是黑产通过虚拟手机号、模拟器注册小号批量作案，静态规则易被绕过。我选择Flink构建实时数据管道整合12类数据源，用Neo4j图数据库存储用户-设备-订单关系网络，结合XGBoost训练融合20+特征的风险预测模型，同时将规则引擎升级为可配置的策略中心。
• 我的关键行动包括：1. 主导支付网关风控接口改造，将同步拦截改为“异步通知+人工复核”，兼顾实时性与准确性；2. 设计30+风险标签的特征库（如“小额多笔”“跨地域支付”），覆盖90%以上黑产模式；3. 优化图计算查询逻辑，将团伙识别时间从分钟级缩至秒级；4. 推动策略中心上线，让运营人员可动态调整阈值，降低技术依赖。
• 项目成果显著：重构后漏报率降至3%、误拦截率降至2%，双11支撑1.2亿笔支付零重大事故；客诉率下降20%，支付转化率提升5%；策略中心使运营规则调整效率提升70%，年节省人力成本超80万元。我个人也沉淀了“实时数据关联+图计算团伙识别+机器学习预测”的支付风控方法论，成为公司支付安全的核心技术负责人。

SaaS服务API接口安全加固与自动化检测平台研发

• 云帆科技的企业级SaaS产品（CRM/ERP）服务超10万家企业，但API接口频繁遭受恶意爬取、越权访问、重放攻击——原有依赖手动渗透的检测方式每月仅覆盖20%接口，2021年因此发生3起数据泄露事件。我的目标是研发自动化API安全检测平台，覆盖OWASP API Top 10漏洞类型，实现漏洞主动发现、风险评估与修复指引，支撑产品合规与安全。
• 核心挑战是：1. 模拟真实黑产攻击场景（如动态生成绕过WAF的payload）；2. 兼容RESTful/GraphQL等不同API类型的检测逻辑；3. 让开发人员快速理解漏洞并修复。我基于Burp Suite Extender开发自动化插件，集成OWASP ZAP引擎实现被动+主动扫描；构建10万+条漏洞payload库，支持动态参数替换；用OpenAPI解析文档自动生成测试用例，同时用Elasticsearch+Kibana实现结果可视化。
• 我的突破点在于：1. 针对GraphQL深度查询攻击，设计递归遍历查询深度的检测逻辑；2. 优化扫描请求频率，既避免触发速率限制又保证效率；3. 推动平台集成CI/CD流程，实现API上线前自动扫描，阻断有漏洞接口发布。此外，我还制定了“漏洞风险等级+修复代码示例”的输出标准，提升开发修复效率。
• 项目成果：平台上线后检测效率提升50%，覆盖95% OWASP API Top 10漏洞；每月100%覆盖新增接口，漏洞修复周期从7天缩至2天；2022年公司通过ISO 27001认证，未发生API相关数据泄露。开发人员反馈修复指引准确率达90%，大幅降低沟通成本。这个项目让我从“漏洞修复执行者”转变为“安全工具研发者”，奠定了我在SaaS安全领域的专业能力。

• 因痛心于年轻人对历史的疏离，我在B站创立「古人脱口秀」栏目，用职场梗解构历史事件（如《雍正皇帝的KPI保卫战》）。通过设计「颠覆认知-史料佐证-现代共鸣」三幕剧本模板，单期视频最高收获1.7万条弹幕互动。
• 两年间栏目播放量突破180万，作品被多地中学选为教学素材。这段经历磨砺出将学术内容转化为大众语言的能力，也让我理解到真实用户反馈才是创作者的指南针。