农历二月初五,周一。 上海在下着一场大雨,阴霾潮湿。那天晚上我决定了要加入X2。从北外滩到豫园地铁站的路仿佛格外长。我还依稀记得一群精神矍铄的老年人在快速的穿过人行道,导游手里喇叭的喊声格外响亮。雨开始变得稀稀拉拉的。
80多天以来,其实很少能够获得休息。这和我之前崇尚的 work-life balance 完全是不同的。我没办法说我已经想的很清楚了,精力的消耗会使人变得迟钝。我只能说我在和过去10年的自己进行对话。即便我已经在此之前投入了近三个月的时间在这些 Agentic Security 项目上,即便我可以大言不惭的说已经在甲方安全积累了不少企业安全的经验,更可怕的是即便是已经意识到AI的浪潮是传统企业安全终究无法抗衡的。我依然没有准备好。
我没准备好的,不是哪一处技术细节。该读的论文读了,该跑的实验跑了。我没准备好的是另一件事——10年里我所有的”对”,都建在一个前提上:我清楚我守护的是谁、清楚边界在哪、清楚下一份事件报告里会出现哪几个词。这80多天里几乎每一天,这些前提都在被晃动。不是被打破,是被晃动——像你以为踩着的是地砖,低头才发现脚下是一层薄薄的水。老板说,那不过是你做甲方的时候,乙方愿意陪你玩罢了。是的,当我变成了乙方,才发现当初的设计也有一些逞强,理想的逞强。嘴里念叨着的架构是一种平衡,原来只是甲乙方里面的一种平衡。
远远站在山脚的时候,是没法理解山的巍峨。爬到半山腰的时候才能更加被山顶的风景吸引。那天之后很多夜里,我经常在凌晨想事情。不是Issues,不是PR,也不是Ticket;更多的是——5年前的我每说一句话我都同意,但他每一句话都是为那个我准备的,不是给这个我。
现在的我每天做的决定,3年前的我可能会反对其中的30%。 也让我担忧的是5-10年后的我会怎么回望此身——那个从北外滩走向豫园地铁站的人,他是不是在那一刻就已经把后面10年的所有事都设错了?我没法和10年后的我说话。我只能用文字记录下来今天做的每一个决定。
以前的我知道怎么”把事情做对”。架构师的本能是把所有事想清楚再上线。但业务和产品的本能必须是先让东西存在、再围着它把边界一寸一寸收回来。这两种本能在一个sprint后会真的打起来。我此刻还在学的,是什么时候要听前者、什么时候必须不听。
以前的我整个职业生涯更多是”说不”的过程。所谓 business enable的安全文化背后,是风险选择性接受、是制定策略、是流程必须遵守、是新业务必须评审、是安全产品必须符合企业基建。然后这么多天里我做的事,恰恰是让 AI Agent替企业说”是”——让它跑起来、再用结果验证过程。开发的爆炸式迭代,从tab到vibe,从commit到branch再到worktree+PR;过去被训练用于抑制的方向,恰恰成了现在做产品的灵魂。这件事最微妙的地方是——过去的自动化是把规则写死交给机器跑,所以”说是”的边界由人提前圈好;但Agent不一样,它在边界里自己探索。也就是说,”说不”这件事,从写规则的人手里、转到了设计边界的人手里。过去的我在设计固定的边界和规则中来回切换,现在的我必须让边界变得智能和弹性。
以前的我把LLM当做一种工具——它会摘要、会打分、会写报告、会做自动化、会帮我看一眼。这80多天里我盯着产品的自动迭代的引擎,看 Agent Runtime。那是一次完整的 ReAct循环——LLM 收到上下文、调用 MCP工具、读返回值、决定下一步、再调一个、判断是否需要人工介入、最后给出结论。一整条链路里没有任何一处是人写死的判断。也没有一处业务代码是人写的。那一刻我意识到——LLM 不再是工具,是同事。和同事工作的方式,和用工具工作的方式不是同一件事。工具不会做scope外的事,同事会。用来做开发的Agent同事也已经能够遵循识别问题、Open Issues、设计 Plan、新开Worktree迭代、端到端的测试、和 PR 的持续 review 和合并。
以前的我保证交付。现在的我决定把今天还做不到的事,公开写在架构文档里。逐条,带状态符号,带证据链。包括那些让我们产品听起来”不够厉害”的部分。甲方时代我审乙方的承诺,乙方时代我开始审自己的承诺。甚至比当年更严。主动公开你不能做什么,是一种信任。在这个品类里,所有人都在声称可以实现一切,但买方的免疫力涨得比厂商的修辞更快,唯一一种还能挣到信任的方式,是把自己钉到可证伪的状态上。信任在AI时代的虚幻里显得更加难得。
这些看起来毫不相干的事情,我看了一遍又一遍才看清楚——它们其实是同一件事。过去10年我把自己训练成系统里最后那道阀门;这90天里我在学的,是设计一个不需要我做阀门的系统。这是10年的甲方安全留给我的最贵的一件东西,也是它现在要我亲手放下的最难的一件东西。尤其是在AI时代,很多设计理念也发生了变化。我再次重读了自己这么多年来写下的对安全架构设计的理解。网络,系统,权限,数据,应用;左移,零信任,深度防御等等。
当然还有更多困难的事情,让别人理解你的设计,确保迭代和规划,需求和实现直接的平衡,减少团队的信息GAP,使自己具备更强的信念,虚心的学习,为产品建立护城河等等。
写到这里苏州也开始下雨了。今天的雨比农历二月初五那天小很多。我又想到那群在豫园地铁口前快步走过的老年人,那几声格外响亮的喇叭。我开始明白没有任何一段路是为你专门留长的,只是你这一段刚好走得慢。 我开始意识到知道能做什么和不能做什么,知道喜欢什么不喜欢什么是一件非常重要的事情。
最后的最后,如果你也走在某条不知道还要多久才看得见山顶的半山腰上,你也许要先遇见自己,才能与神对话。
年前我定了个任务去思考《遇见自己》的话题,2月份动笔,3月份暂停,一直到6月,我还在思考这个话题。或许还有很多需要讨论的。
