做客播客《From Noise to Signal》，与 Mehul Revankar 对谈

这次接受 Mehul Revankar 就 Bromure、Nessus 等话题做的采访，我聊得很 开心。Mehul 是我在 Tenable 时的同事，如今是 Quantro Security 的联合 创始人。

我们聊了些什么

采访大约有一个小时。几个要点：

• Nessus 的早年故事。 1998 年起步，写一个必须塞进 56 MB 内存的 并行扫描器，2003 年开始每天推送插件更新（这其实就是在 CI/CD 这个 词出现之前的 CI/CD），以及我为什么最终放弃 Perl，转向一门为此专 门设计的语言 NASL。
• 「AppSec 已死」。 由 AI 生成、具备自愈能力的基础设施，正在 悄悄让很多传统应用安全工作变得多余——以及为什么深度技术背景的 创始人如今拥有一种「不公平的优势」：他们能明确告诉 AI 代理该做 什么，而不是寄希望于它自己猜对。
• Bromure 是怎么来的。 简短的版本是：一个金融蜜罐、大量我不想 在真机上点开的诈骗链接，再加上一个发现——没有人在做一款「预设会 被攻破」的浏览器。完整版本在播客里。
• Overbearer。 一个代理，用于遮蔽内部自动化程序使用的真实 bearer 令牌和 API 密钥。这样即便 CI runner 或开发者笔记本被入侵， 攻击者也不会立刻拿到通往生产环境的钥匙。
• 融资与 VC 生态的现实。 两亿美元的种子轮、失去对自己退出节奏 的掌控，以及为什么两周内开源两个工具，比追逐一个独角兽估值要健康 得多。

最后我们快速走了一圈「漏洞名人堂」——WannaCry、Heartbleed、Log4Shell ——看看每一个事件给（没给）整个行业留下了什么。