为何我不涉足信息安全 punditry：我的立场声明Why I refrain from infosec punditry

如果你了解我的职业背景，那么这个 Substack 最令人费解的一点一定是：我没有用它来谈论我的主要专业领域——信息安全。事实上，这感觉就像是在自我破坏；大多数认识我用户名的人可能更愿意读我对 Mythos（Anthropic 推出的有望革新漏洞发现流程的新 LLM 工具）的看法，而不是听我聊养鸡场或数学基础。

我之所以一直三缄其口，原因很简单：我曾涉足信息安全评论界近二十年，但逐渐意识到这是一种让自己忙碌却一事无成的方式。这个行业充斥着近乎持续的戏剧性事件——新的数据泄露、新的产品宣传、新的争议——但其中几乎没有一件与长期趋势有关。举个实际的例子，加密货币及其相关的勒索软件产业对企业的安全格局产生了远比任何漏洞研究进展更大的影响。说真的，即使在漏洞研究领域，讨论也常常被公关宣传主导，而非现实情况。2010 年代，你会看到微软在符号执行研究方面发表数十篇报道；而我完全不记得有 Ars Technica 的文章提到 Address Sanitizer——一个不起眼的开源功能，却帮助修复了数万个 bug。我还有很多类似的辛辣案例，但如果把它们列出来，只会惹恼一些同行。

信息安全领域的持续炒作也让我们的评论变得异常肤浅。你不再做深度剖析，而是在为当天的 headlines 提供 TikTok 式的热门观点。你有一半时间是对的，另一半时间是错的，而且只要说得 provocative（挑衅），通常就会受到奖励，即使你判断失误也没人追究责任。

No posts