文章总结： 文章借快手被攻击事件探讨网安从业者的安全感缺失，指出部分公司存在欠薪、逼迫离职及SRC拒付奖励等侵害权益现象。作者批评行业对外谈安全对内乱象丛生的双重标准，强调安全行业需建立制度敬畏与人文底线，保障从业者基本权益才能维护行业健康发展。 综合评分： 78 文章分类： SRC活动,安全大事件,安全建设

【资深网安锐评】快手被攻击引发热议，但网安从业者的“安全感”又在哪里？

原创

安全透视镜

网络安全透视镜

2025年12月24日 08:04 江苏

前言

昨天的推文原本是发网友投稿，某安全公司欠薪不发的文章。突遇快手遭遇黑客攻击的消息引发广泛讨论，于是跟着吃了一个瓜。 数据安全、平台责任、技术防护，再一次成为舆论焦点。

但在热议之外，一个更现实、却更少被讨论的问题是：

那些真正从事网络安全工作的人，他们的“安全感”来自哪里？

安全行业，真的安全吗？

年中离职后进入一家新公司，虽然安全做的稀碎，好在老板重视安全，不大的公司成立了一个安全部门，乱七八糟的活也是非常的多，一直忙着公众号很少更新。

在后台投稿中，看到了一起令人不安的案例。

十一月发了一篇《网络安全公司暴雷!欠薪2000多万，欠贷超2亿》的文章，没想到阅读量4W+，后台众多网安行业网友说被欠薪了，请我帮忙曝光。

汇总了一下网友发来的消息，北京某安科技逼迫员工离职，签完协议后又不给钱。留下来的员工，贷款上班，现在既没钱还要还贷款。

网友虽然申请了仲裁，但还是没给钱

这并不是“技术问题”， 而是一个赤裸裸的劳动关系问题。

行业的讽刺之处在于——

#

• 对外，我们谈 攻防演练、应急响应、合规审计
• 对内，却有人连 劳动合同、薪资结算 都无法保障

当一家安全公司无法保障员工的基本权益时，它是否还有资格对外谈“责任”与“合规”？

在去年也发生了一起有趣的事情，被美国FBI悬赏1000万美元通缉的网安从业者，在国内讨薪

除了这种企业拖欠工资。广大安全从业者没日每夜挖漏洞，遇到的最多的问题可能是各家 SRC（安全应急响应中心）不给钱 / 不结算 / 拖奖励

最常见的官方拒付理由（SRC最爱用）

#

“漏洞不符合奖励范围”

出现频率：★★★★★（第一名）

典型说法：

• “该漏洞不在当前奖励范围内”
• “仅属于低危 / 提示性问题”
• “属于配置问题，不予奖励”

真实情况：

• 奖励范围写得极其宽泛
• 解释权完全在厂商
• 同类漏洞： 👉 A 给钱 👉 B 不给钱 👉 C 标记“已知问题”

2️⃣ “已知漏洞 / 重复漏洞”

出现频率：★★★★☆

常见套路：

• “该问题已被内部发现”
• “已存在相似漏洞报告”
• “无法确认首报”

问题在于：

• 不公开已知漏洞列表
• 不提供首报时间证明
• 研究员无法自证“你是第一个”

很多 SRC 的“已知漏洞”， 实际含义是：我们不想付钱了

3️⃣ “影响范围不足 / 利用条件苛刻”

出现频率：★★★★☆

典型话术：

• “需要特定环境才能复现”
• “需登录 / 需内部权限”
• “攻击成本过高，风险可控”

现实：

• 真实世界 80% 的漏洞都需要条件
• SRC 事后抬高攻击门槛
• 把“现实攻击路径”当成“理论风险”

4️⃣ “漏洞描述不清 / 证明不充分”

出现频率：★★★☆☆

常见要求：

• 再补一个 POC
• 再录一个视频
• 再证明一次影响
• 再提供环境

无限拉扯式复核：

“我们这边复现不了”

但：

• 环境不提供
• 账号不给
• 日志不给

拖到活动结束 / 财年结束 / 从业人员放弃

5️⃣ “漏洞已修复，感谢提交”

出现频率：★★★☆☆（非常阴）

最狠的一句：

“问题已修复，不再进行奖励评估”

潜台词：

• 修了 ≠ 认可
• 修了 ≠ 给钱
• 修了 = 你白干

这是很多 SRC 最被诟病的操作。

既要马跑，又不给马吃草，网安从业者也是普通打工人。当付出的劳动得不到回报，任何人都不会再有动力干下去。

从快手事件，看行业的“双重标准”

#

快手被攻击后，社会迅速给出判断：

• 攻击路径是否合规
• 响应是否及时
• 是否履行平台责任

但当安全行业内部发生劳动纠纷、拖欠薪资、逼迫离职时，却往往：

• 没有热搜
• 没有通报
• 没有“行业复盘”

仿佛安全全流程没有人，只对数据负责，不对人负责

如果安全行业连人都保护不了

那它保护的系统，平台，商业数据，机密信息还安全吗？ 一个真正成熟的安全行业，不仅要有技术能力，更要有制度敬畏、法律意识与人文底线，而不是天天靠对行业热忱的情怀干活。

写在最后

#

这篇文章不是为了否定某一家企业，而是想提醒整个行业：

安全，不该只是一门生意，更不该建立在侵蚀劳动者权益之上。

如果安全从业者自己都缺乏安全感，那这个行业，迟早也会出问题。当掌握技术的网安从业者从合法途径赚不到钱，那么真正的网安危机就会到来。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全透视镜 安全透视镜《【资深网安锐评】快手被攻击引发热议，但网安从业者的“安全感”又在哪里？》