文章总结： 本文分享将SRC漏洞挖掘作为一人公司运营的实战经验，拆解了商业模式画布与月入近两万的收支账本。核心在于提供完整验证报告、利用AI与自研脚本降本增效、严守法律红线并分散平台风险。建议新手先兼职验证三个月，稳定月入三千后再考虑全职，并提供了零成本起步工具清单。 综合评分： 82 文章分类： SRC活动,实战经验,渗透测试,安全工具,安全意识

一人SRC公司：月成本237元，我靠挖漏洞养活自己的那点事

原创

某技术人员投稿 某技术人员投稿

逍遥子讲安全

2026年4月16日 22:19 广东

在小说阅读器读本章

去阅读

去年我把工牌交了，没再找工作，窝在家里靠挖漏洞吃饭。一年下来，SRC加私单总共进账63万多，扣掉服务器、会员那点零头，净赚60万出头。朋友问我秘诀，我说就一句话：把SRC挖洞当成开公司来跑，哪怕公司只有你一个人。

下面我把我这一人公司的账本摊开给你看，从商业模式画布到每月花多少钱挣多少钱，一个数都不藏着。

一、一人SRC公司的商业模式画布

我按照经典的九要素画了个布，这就是我这家“公司”的基本盘。

1. 客户是谁

• 各大厂的SRC平台：腾讯TSRC、阿里ASRC、字节、百度、美团等
• 第三方众测平台：补天、漏洞盒子
• 偶尔接点私单：朋友介绍或平台私信的甲方渗透项目

2. 我卖的是什么 不是卖漏洞，是卖漏洞的完整验证报告和业务影响说明。平台要的不是一句“这里有SQL注入”，而是能让他们复现、定级、推动修复的证据链。

3. 怎么接触到客户

• 直接在SRC平台提交（主渠道）
• 私下报告：高危漏洞我会先和平台运营私聊，争取加奖励
• 公众号写文章立人设，吸引私单和合作机会

4. 和客户怎么处关系

• 尊重审核员，报告写清楚，少扯皮
• 长期在某几个平台活跃，混脸熟，评级时有隐性加分
• 做年度Top榜，拿额外奖金池

5. 收入从哪来

• 漏洞基础奖金（200-20000元一个）
• 额外奖励：季度Top、新人奖励、节假日翻倍卡
• 私单项目费（一个项目5000-50000不等）
• 公众号流量主和打赏（小钱，图个乐）

6. 我有什么核心家当

• 自研的信息收集和半自动漏洞扫描脚本
• 积累了三年的敏感信息指纹库和越权测试checklist
• AI辅助工具链：让Claude帮我审代码，ChatGPT写报告模板

7. 每天主要干什么活

• 资产监控：盯着新上线的域名、新暴露的API
• 漏洞挖掘：手工测逻辑漏洞、越权，AI扫基础漏洞
• 报告与沟通：把技术细节翻译成业务风险
• 工具维护：优化脚本、更新指纹库

8. 谁是我的伙伴

• 开源工具作者：用Nuclei、Xray、Burp，白嫖社区版
• 安全圈朋友：情报共享、漏洞模式交流
• AI模型：算我半个员工

9. 成本结构

• 固定：几台VPS（每月120元）、FOFA会员（月均67元）、网费电费
• 可变：偶尔买点漏洞情报、付费工具（极少）
• 隐性：自己的时间和颈椎

二、月度收支：我的真实账本

拿我上个月的数据举例，不含私单部分（私单波动大）。

收入

| 来源 | 金额（元） | 说明 | | — | — | — | | 腾讯TSRC | 8,500 | 2个高危（逻辑越权+源码泄露），3个中危 | | 阿里ASRC | 6,200 | 1个严重（SSRF打内网Redis），2个低危 | | 补天平台 | 3,800 | 1个高危（任意文件上传），2个中危 | | 公众号流量 | 450 | 两篇技术文章，读者打赏 | | 合计 | 18,950 | |

支出

| 项目 | 金额（元） | 备注 | | — | — | — | | 轻量云服务器×3 | 120 | 跑扫描器、接收反弹shell | | FOFA会员（月分摊） | 67 | 资产发现主力 | | 梯子/代理池 | 30 | 防止IP被ban | | 电费网费 | 50 | 摊薄到月 | | 合计 | 267 | |

利润：18,950 – 267 = 18,683元

上个月没接私单，纯挖洞收入。私单如果接到一个中型的，月收入能冲到4-5万。我这套模式的边际成本低到可以忽略不计，每多挖一个洞，几乎都是纯利。

三、三种搞钱的路子，我都在跑

路子一：纯SRC猎人

朋友小王，从乙方渗透岗辞职后全职挖SRC。前三个月吃土，靠低危漏洞月入三四千。半年后摸清门道，建了自动化流水线，现在稳定月入过万，高峰期单月拿过2.8万。他的心得：别贪大，先把信息收集做扎实，漏洞自己会冒出来。

路子二：SRC+私单混合

我自己就是这条路线。私单项目能接触到企业内网，能发现一些SRC里不常见的漏洞类型，反过来这些经验又能帮我在SRC里找到类似问题。去年私单收入45万，SRC 18.7万，加起来63.7万。

路子三：SRC+知识付费

另一个朋友小李，大厂SRC年度前十，在公众号持续写挖洞干货，粉丝过万后开了知识星球，年费365，现在800多会员，一年躺赚30万，再加上SRC的15万，年入45万。他的星球内容就是每周发一个真实漏洞案例和自动化脚本。

四、不是没风险，得心里有数

• 法律红线：绝对不碰未授权目标，所有测试都在SRC规则内进行。曾经有野路子朋友被抓，现在还在里面。
• 平台政策变化：某个SRC突然收紧评级标准，当月收入可能腰斩。我的对策是分散到至少3个平台。
• 身体警告：久坐导致腰椎突出，现在设番茄钟，每45分钟起来活动，每周游泳两次。
• 技术过时：每年都出新框架、新漏洞类型，不学就掉队。今年我已经开始研究AI智能体漏洞了。

五、起步装备清单（零成本也能玩）

| 用途 | 工具/资源 | 花费 | | — | — | — | | 子域名收集 | OneForAll, Subfinder | 0 | | 资产测绘 | FOFA（社区版） | 0 | | 漏洞扫描 | Nuclei, Xray社区版 | 0 | | 手工测试 | Burp Suite社区版 | 0 | | 报告撰写 | Typora + 自己写的模板 | 0 | | AI助手 | Claude/DeepSeek免费额度 | 0 |

启动成本就是一台能上网的电脑和你的时间。我刚开始的时候连VPS都没买，全在自己电脑上跑。

结尾

SRC挖洞这行，本质是把自己的技术能力直接变现。中间没有老板抽成，没有KPI压榨，你挖一个洞，平台就给一笔钱，简单直接。

我见过太多同行，技术比我好，但一年下来只赚个零花钱，因为他们把挖洞当业余爱好。而我是把它当成公司来经营——有目标、有流程、有成本控制、有风险预案。

如果你想试试这条路，先别急着辞职。每天下班后挖两小时，坚持三个月。如果能稳定月入3000以上，再考虑加码。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：逍遥子讲安全 某技术人员投稿 某技术人员投稿《一人SRC公司：月成本237元，我靠挖漏洞养活自己的那点事》