关于
吴飞飞(Feei),网络安全从业者,现任支付宝支付科技有限公司首席网络安全官。过去十余年,持续参与和主导内容电商、互联网银行与支付平台的安全体系建设,长期聚焦高复杂度业务中的信任、安全架构、攻防对抗与风险治理。
我工作和生活在杭州。网络安全对我来说,不只是职业,也是一种长期投入的责任: 在复杂系统中建立秩序,在高强度对抗中守护信任。
这些年,我主要在做几类事情:
- 在高安全等级、高复杂度业务中建设长期有效的安全体系
- 把安全能力尽可能前移为默认机制,而不是主要依赖事后发现与补救
- 围绕 0day、供应链、水平越权、敏感数据保护、资金安全、威胁对抗等重难点问题持续突破
- 把经验沉淀为方法论、产品能力、组织能力与公开知识
相比单点漏洞和短期战术,我更长期关注这些问题:
- 如何在大规模复杂业务中建设真正有效的安全体系
- 如何在 AI 时代重写攻防方法、组织方式与安全基础设施
- 如何把安全经验沉淀为方法论、产品能力与组织能力
- 如何让安全不仅控制风险,也成为业务竞争力的一部分
我做过什么
我的职业经历,主要跨越三个阶段:
- 2014-2019年,在蘑菇街,从研发转向安全,作为第一位安全工程师参与并推动电商业务安全体系建设,后续成长为安全负责人,经历了从创业公司到上市公司的完整安全建设过程。
- 2019-2023年,在网商银行,作为安全架构师深度参与金融级安全体系从 0 到 1 的建设,带过应用安全、移动安全、基础设施安全、威胁感知与响应、安全产品研发等方向团队,围绕默认安全、可信防护、供应链安全和重难点风险治理持续落地。
- 2023-至今,在支付宝,负责更高复杂度与更高对抗强度下的整体安全问题。这里面对的是数十亿用户、数万亿级交易规模,以及长期处于高等级真实威胁下的金融级安全要求。
如果你想了解更完整的职业脉络,可以看《我的网络安全之路》。
如果你希望看更完整的职业背景,也可以看《我的简历》。
我相信什么
我始终相信,真正优秀的安全,不是靠堆叠设备、规则和人力,而是靠更高层的判断与更深层的体系化建设。
- 要理解攻击者,但不能用攻击者的方式做防守
- 要重视工程实现,但不能停留在工程细节
- 要解决当下问题,但不能只做短期止血
- 要做出成果,也要让成果可以复制、传播和持续演进
这也是为什么我持续研究和分享默认安全、可信纵深防御、AI 攻防、敏感数据保护、安全组织演进等主题。很多我真正关心的问题,不是“如何多拦一次攻击”,而是“如何让系统长期更难被攻破,如何让组织长期更值得信赖”。
公开输出
这些年,我持续通过公开演讲、文章、白皮书和出版物,对外输出自己的判断与实践。
- 主导撰写《数字银行安全体系构建》,多次售罄重印;《网络安全面试指南》累计阅读超过 10 万。
- GitHub 开源安全工具累计超过 12k Star,部分工具被大量安全从业者长期使用。
- 在 QCon、SSC、EISS、InSecWorld 等安全大会分享企业安全架构、数字银行安全、支付安全、可信纵深防御、AI 驱动攻击与 AI 时代的软件安全范式迁移。
- 也持续参与白皮书、标准、专利、软著等方向的内容沉淀与输出。
- 这个网站则是我长期公开沉淀方法、经验与判断的地方。
相关内容可以继续看:
这个网站写什么
这个网站不是一份简历,也不是单纯的技术博客。
它更像是一个长期公开的知识与判断系统。安全是这座网站的主线,健康、事业、财富与人生,则是我对长期主义、决策与确定性的延伸观察。我会在这里持续记录:
- 网络安全中的方法论、架构设计、攻防实践与组织判断
- AI 对软件、安全、职业与行业格局带来的长期变化
- 我在健康、事业、财富与人生上的长期实践与反思
我希望它既能帮助别人理解我在思考什么,也能让真正关心这些问题的人,直接看到我如何观察问题、如何做判断、如何推动落地。
我如何工作
我习惯从长期目标、体系设计和关键风险闭环出发推进工作,而不是被短期噪音牵着走。
- 重视直接沟通、跨团队协同与事实验证
- 尽量把经验沉淀为机制、产品与组织能力,而不是依赖个人英雄主义
- 对外尊重约束和边界,对内追求高标准、可落地与持续改进
适合交流的话题
如果你想和我交流,我更愿意讨论这些方向:
- 企业安全体系建设与安全组织演进
- AI 时代的软件工程与安全范式迁移
- 支付、金融、数据与高复杂度业务场景下的安全问题
- 安全职业发展、能力成长与长期路线选择
你可以发邮件到 feei#feei.cn,或加我微信 FEEI_WU,请简单说明来意。
题记
君不见,黄河之水天上来,奔流到海不复回。
君不见,高堂明镜悲白发,朝如青丝暮成雪。
人生得意须尽欢,莫使金樽空对月。
天生我材必有用,千金散尽还复来。