atum@Tencent % cat portfolio.md

Portfolio

技能标签

逆向工程

漏洞挖掘

模糊测试

协议分析

模型微调

智能体设计

基础运维

软件架构

工程开发

VibeCoding

当前主要兴趣点

基于我对全栈技术方向的追求,我在多个技术领域(尤其是安全相关的领域)保持着探索和学习的兴趣。以下内容展示了我当前的主要兴趣和日常工作方向。

一、自动化发现高价值漏洞

高价值漏洞的发现一直是高人力成本的工作。而探索如何让漏洞挖掘更自动化、更高效,是我最感兴趣也是做的最久的方向之一。

在大模型出现之前,我主要借鉴软件工程的思路:

  • 漏洞挖掘能力模块化:将代码分析、行为分析、Fuzz 等关键能力拆解成可复用模块,把漏洞挖掘转化为工程编排任务。
  • Fuzz 流程模块化:将种子选取、程序启动、数据输入、反馈跟踪等环节模块化,实现对新目标的Fuzz的快速启动。理念类似 LibAFL,但抽象程度更高。

这些尝试在自动化上有提升,但工程开发和维护成本高,且与研究员的手工挖掘习惯差异较大,因此算不上成功。

大模型出现后,我尝试通过微调安全模型进行漏洞挖掘,但受限于模型能力,很难产生突破。过去一年,随着大模型代码理解与 Agent 能力的提升,我和团队开始利用 Agentic 方法 自动化挖掘高价值漏洞。
目前这条思路已取得实际成果:系统已发现数十个高价值漏洞,其中不少具备复杂逻辑,整体水平已接近中等人类专家。我们会继续沿着这个方向深入研究。

二、大模型安全问题研究

目前,大模型逐渐成为数字世界的心的核心技术基础设施,但其安全研究还处在早期阶段。当前研究多集中在越狱、提示词注入、数据投毒等显性风险。

我更关注的隐藏在更深层的是潜在影响更严重、攻击成本更低的模型级安全问题——类似于传统软件中的“远程代码执行(RCE)”级风险。

我目前的工作包括两个方面:

  • 模型自身安全性:关注因模型结构、权重以及训练流程本身导致的一些潜在漏洞。
  • 模型生态安全:研究大模型在集成、调用和部署过程中的传统安全风险。

我与团队已经在这个方向上取得一些成果,并会持续投入,探索更多的大模型安全问题和以及相关防护方法。

三、后量子密码与迁移

业界普遍认为,量子计算有望在 2035 年左右破解经典密码算法。后量子迁移不仅是算法替换问题,更是一项复杂的系统工程,并具有一系列的技术挑战,如:密码资产的发现、供应链的治理、新的工程实践方案(如密码敏捷性、混合加密等)。我在这个方向的重点是与团队一起设计和研发解决方案应对后量子迁移中的挑战,并推动后量子迁移的工程化实施,为后量子时代的的安全做准备。

四、大模型在安全方向的应用

除了在漏洞挖掘上的尝试,我和团队也在致力于设计和研发大模型在其他安全任务上的解决方案,包括供应链治理、情报收集与分析、安全知识工程、安全数据挖掘、告警降噪等。部分工作成果已经实际投入使用。

已公开的代表性工作

我的部分研究工作属于公司内部项目,涉及公司的知识产权,无法公开分享。此处仅列出可公开的具有代表性研究成果。

一、漏洞与攻防研究

1. 协议安全

2. 人工智能安全

我关注AI时代衍生的新安全问题,并从攻击者视角展开探索:

3. 软件与供应链安全

二、解决方案研发

1. 大模型在安全方向的应用

  • 基于大模型的安全情报系统: 基于AI实现安全技术情报的自动搜寻、订阅和分析,典型用途包括在安全研究中跟踪安全技术的最新进展,在业务安全场景中跟踪最新的黑灰产攻击手法等,该系统驱动了玄武Sectoday腾讯后量子主题站
  • 基于LLM的智能语义检索库,以提升漏洞挖掘和代码审计效率Github,Paper
  • 基于安全大模型的EDR告警研判机器人,实现海量告警的自动化分析与定性一种基于安全大模型的EDR告警研判机器人

2.后量子密码迁移

3. 利用硬件特性辅助代码分析类任务

© 2019-2025 Atum. All rights reserved.