作客 Podcast《From Noise to Signal》，與 Mehul Revankar 對談

這次接受 Mehul Revankar 針對 Bromure、Nessus 等主題所做的訪談，我聊 得很開心。Mehul 是我在 Tenable 時期的同事，如今是 Quantro Security 的共同創辦人。

我們聊了些什麼

訪談大約有一個小時，幾個重點如下：

• Nessus 的早期故事。 1998 年起步、寫一個必須塞進 56 MB 記憶體 的平行掃描器、2003 年開始每天推送外掛更新（其實就是 CI/CD 這個 詞出現之前的 CI/CD），以及我為什麼最後放棄 Perl，轉而打造一套 專用語言 NASL。
• 「AppSec 已死」。 AI 生成、具自我修復能力的基礎設施，正在悄 悄地讓許多傳統應用安全工作變得多餘——以及為什麼深度技術背景的創 辦人如今擁有一種「不公平的優勢」：他們能明確告訴 AI 代理該做什 麼，而不是期待它自己猜對。
• Bromure 是怎麼來的。 簡短版本是：一個金融蜜罐、一堆我不想在 真正的機器上點開的詐騙連結，以及一個發現——沒有人在做一款「預設 會被攻破」的瀏覽器。完整版本請聽 Podcast。
• Overbearer。 一個代理程式，用來遮蔽內部自動化所使用的真實 bearer token 與 API 金鑰。這樣即使 CI runner 或開發者筆電被入 侵，攻擊者也不會立刻拿到通往正式環境的鑰匙。
• 募資與 VC 生態的現實。 兩億美元規模的種子輪、失去對自身出場 節奏的掌控，以及為什麼兩週內開源兩個工具，比追逐獨角獸估值要健康 得多。

最後我們快速走了一趟「漏洞名人堂」——WannaCry、Heartbleed、 Log4Shell——看看每一個事件給（或沒給）整個產業留下了什麼。