负责电商平台核心业务线（包括交易、会员、营销活动）的Web安全防护体系全生命周期建设，主导漏洞挖掘、防御系统开发及0day应急响应，协同研发团队落地SDL安全开发流程，保障大促期间0级安全事件。

• 主导设计并落地基于OWASP Top 10的动态防御矩阵，针对促销活动页面的高频攻击场景（如秒杀接口暴力破解、支付参数篡改），通过自研的规则引擎+AI行为分析模块，将恶意请求拦截率从82%提升至97%；过程中突破传统WAF特征匹配局限，引入用户会话行为建模，识别出3类新型绕过手法并沉淀到威胁情报库。
• 牵头开发自动化漏洞检测平台（基于Go语言+OpenResty），集成SonarQube SAST、ZAP DAST及自研的SQL注入/XXE检测插件，实现代码提交时实时扫描与线上流量旁路检测双链路覆盖；上线后漏洞发现效率提升2.3倍，研发侧修复周期从72小时压缩至24小时内，季度内拦截未上线高危漏洞17个。
• 主导某次Log4j2 RCE 0day应急响应，2小时内完成全站组件依赖排查，定位到3个业务系统使用的第三方SDK存在风险；同步推动热修复方案（字节码插桩+请求过滤）与长期补丁升级，避免了用户数据泄露风险，事件处置效率获集团安全委员会通报表扬。
• 优化SDL流程中的安全评审环节，设计「威胁建模-自动化检测-人工渗透」三级准入标准，将安全左移覆盖率从58%提升至89%；主导编写《电商业务常见Web漏洞防护指南》，覆盖12类高频场景，推动研发团队安全编码能力考核通过率从65%提升至85%。

聚焦金融核心系统（信贷、支付、账户管理）的Web安全加固，负责漏洞挖掘与修复、防御工具二次开发及跨团队安全培训，保障监管合规（等保2.0、金融行业安全规范）下的业务稳定运行。

• 针对信贷审批系统的越权访问漏洞高发问题，通过逆向分析业务逻辑（涉及OAuth2.0鉴权、Redis缓存键设计），定位到3类权限校验缺失场景；提出「接口级权限指纹+动态令牌校验」方案，修复后同类漏洞发生率下降91%，相关技术方案被纳入公司安全开发规范。
• 主导改造现有WAF集群，针对金融API接口的复杂参数结构（如嵌套JSON、文件上传），优化正则匹配规则与机器学习模型；调整后误报率从35%降至8%，关键接口攻击拦截成功率提升至99.2%，支撑了年度PCI DSS合规审计。
• 开发内部Web漏洞靶场系统（基于Docker+OWASP Juice Shop扩展），模拟15类金融场景漏洞（如SSRF攻击银行内部接口、XSS窃取用户银行卡信息）；累计组织8场研发/测试团队实战演练，团队平均漏洞发现耗时从45分钟缩短至12分钟，安全意识考核优秀率提升40%。
• 参与某银行合作项目的第三方渗透测试，发现目标系统存在存储型XSS与CSRF组合攻击链；通过构造钓鱼链接验证攻击可行性后，协助客户修复漏洞并输出《第三方系统交互安全白皮书》，推动建立供应商安全准入评估机制。

负责公司官网、用户中心及内容发布平台的Web安全日常防护，执行漏洞扫描、修复跟进及安全事件响应，参与基础安全工具的部署与维护。

• 搭建基于Nessus+AWVS的自动化扫描体系，每周对20+业务系统进行全量扫描，结合人工验证输出漏洞报告；3个月内累计发现并推动修复XSS（53个）、SQL注入（21个）、文件上传漏洞（9个），关键系统漏洞清零率从68%提升至92%。
• 参与用户登录模块的安全加固，分析历史撞库攻击日志（日均1.2万次恶意请求），通过引入滑动验证码+设备指纹识别，将暴力破解成功率从19%降至2%；同步优化日志监控规则，实现异常登录行为5分钟内告警。
• 协助搭建公司安全知识库，整理常见Web漏洞原理（如CSRF令牌伪造、CORS配置错误）及修复方案，覆盖Java/PHP/Node.js多语言场景；推动新人培训中加入「漏洞复现实战」环节，团队基础安全能力考核通过率提升30%。
• 处置某次CMS系统未授权访问事件，定位到后台管理目录未设置访问控制；通过临时封禁IP、紧急发布补丁（Nginx反向代理限制）及长期权限最小化改造，避免了用户信息泄露风险，事件响应时效获部门负责人肯定。

星途互娱全链路游戏账号安全防护体系搭建

• 星途互娱作为月活超5000万的头部休闲游戏厂商，2022年Q1面临账号盗刷事件环比上升45%、黑产通过模拟器+改机工具绕过传统防护的困境，核心目标是由我主导搭建覆盖“注册-登录-交互-支付-资产转移”全链路的账号安全防护体系，将盗刷率降至0.1%以下并拦截95%以上黑产攻击。
• 项目核心挑战有三：一是多端（APP/H5/小程序）数据割裂，无法统一识别风险；二是黑产动态对抗，传统静态设备指纹识别率跌至60%；三是实时性与性能平衡，风控决策需在100ms内完成，否则影响用户体验。
• 我的解决路径：1）梳理12个高风险节点（如异地登录、新设备首单支付），设计节点专属策略；2）整合设备硬件熵值、行为操作轨迹、环境网络特征构建500+维度用户画像；3）为解决客户端推理性能，将XGBoost模型转换为TensorFlow Lite格式，通过剪枝冗余特征、量化浮点运算，把推理时间从500ms压至120ms且保持90%以上准确率；4）推动客户端嵌入特征SDK、后端用Flink搭建实时风控引擎、数据侧整合第三方威胁情报，形成风险闭环。
• 项目成果：上线6个月盗刷率降至0.07%，月均拦截12.6万次黑产攻击，阻止一起2000万账号规模的撞库事件，减少用户资产损失1500万元；实时引擎延迟稳定在80ms内，客户端指纹采集耗时降至50ms，未影响用户体验（同期DAU增长2%）；申请2项发明专利（已进入实审），输出的防护方案成为公司安全团队标准，且用户“账号安全”满意度从78%升至92%，助力主力游戏季度收入增长8%。

游戏支付链路反欺诈精准拦截系统研发

• 彼时公司游戏支付环节欺诈率高达0.21%，主要源于黑产利用“虚假手机号+盗刷银行卡”组合作案，而现有规则引擎仅能拦截30%的欺诈交易，我的目标是主导研发精准支付反欺诈系统，将欺诈率降低至0.08%以下。
• 难点在于：黑产支付特征分散在支付渠道、用户设备、行为日志中，难以关联分析；且欺诈模式随时间演变，静态规则无法覆盖新变种。
• 我的行动：1）打通支付网关、用户中心、设备指纹库的数据链路，构建支付交易全维度数据集（含支付金额、收款方信誉、设备更换频率等300+特征）；2）采用LightGBM算法训练欺诈预测模型，通过网格搜索优化超参数，将模型AUC从0.78提升至0.89；3）设计“规则+模型”双引擎架构，规则处理高频低风险场景（如单笔超5000元的陌生收款方），模型处理低频高风险场景（如跨地域快速支付），实现效率与精准度平衡。
• 成果：系统上线后支付欺诈率降至0.07%，月均拦截欺诈交易4.2万笔，减少资金损失约600万元；模型迭代周期从每月1次缩短至每周1次，能快速应对黑产新变种；该方案被纳入集团支付安全标准，推广至旗下金融板块，间接创造跨业务价值。

• 因痛心于年轻人对历史的疏离，我在B站创立「古人脱口秀」栏目，用职场梗解构历史事件（如《雍正皇帝的KPI保卫战》）。通过设计「颠覆认知-史料佐证-现代共鸣」三幕剧本模板，单期视频最高收获1.7万条弹幕互动。
• 两年间栏目播放量突破180万，作品被多地中学选为教学素材。这段经历磨砺出将学术内容转化为大众语言的能力，也让我理解到真实用户反馈才是创作者的指南针。