受訪者| 高敏睿(白帽駭客/資深紅隊演練專家&滲透測試工程師)
採訪者| 吳亞彌、文芃儒、姚翊萱
企業/受訪人簡介:
高敏睿,資安紅隊演練專家/滲透測試工程師。自國立高雄科技大學資管系「技優人才專班」出身,走上一條「邊做邊學」的實戰之路:大學每年做專題、課外大量接案,把學校功課當成可交付的專案;同時參與國內攻防賽、全國技能競賽與公開漏洞回報,拿下企業賞金與賽事名次。他的日常,是搶先於駭客之前,幫助企業提前找到系統潛藏漏洞、進而降低企業資安及營運風險。他說:「還好今天找到的人是我們,不是壞人。」
從遊戲管理員到資安守門人:一場好奇心的開端
那份責任感,源自於他最初單純的好奇心。
國小時,他只是個愛玩線上遊戲的小孩。「那時候沒錢買點數嘛,」高敏睿笑著回想,「就自己架伺服器,想玩得爽一點。」直到有一天,他登入系統後發現遊戲裡多了一位「不請自來」的管理員,那是他第一次體會到「被駭」的感覺。於是,他決定上論壇查資料、學對手的攻擊手法,先把人踢出去,再把洞補起來。
「起初只是想打回去,最後卻變成公開讓大家修補。」他笑著說。回頭看,那是他與資安的第一次握手——不是把門踹開,而是把門做好。升上高職後,他被選為全國技能競賽選手,70% 的時間不在教室,課業靠重補修硬接回來;競賽一路從校內、區賽到全國。他發現自己真正擅長的,不是考題,而是把系統跑起來、把問題關掉、把成果交付。「我喜歡做出能被用到的東西,」他說,「那種實際解決問題的成就感,比分數還讓人滿足。」
從那時起,他就明白:自己走的,會是一條「邊做邊學」的路——一條必須靠實戰去累積信任的路。
在挑戰中前進:從課堂到賽場的修煉
大學後,高敏睿在這條實戰之路更有策略前進。靠著一場又一場比賽磨練實力,他因就讀「技優人才專班」,能更有彈性地安排課程,把多出的學分拿去修資安、網路管理等自己最有興趣的課。「每一門課我都當成一個專案來做——要能被雇主買單,也要能被老師買單。」他說。
談起「學歷到底有沒有用」,他的回答務實:「要先看你想進的產業在意什麼。」他指出,有些體系會將學歷與薪資綁定;但在多數資安團隊與新創公司裡,真正被看重的,是能力與實績——競賽、技術文章、專案與回報紀錄。「如果你要走的是這條路,作品集和戰績,才是最有說服力的履歷。」
只是,這樣的選擇並不總被理解。國小時老師嫌他問題太多,高中時家人覺得他「整天玩電腦」,同學甚至懷疑他請公假比賽只是偷懶。「明明只是想把事情做好,卻老是被當成不務正業。」他笑了笑,「我也懶得解釋,就讓結果講話吧。」直到他參與國際漏洞回報計畫、拿下第一筆賞金那天,家人終於開始理解他。「我媽看到存摺上多了一筆美金入帳,就問我那是什麼,我就說,是抓漏洞的獎金啦!雖然她聽不太懂,但看到有錢進來就安心了。」那筆賞金不只是收入,更像是一個答案——那些被懷疑的日子,終於有了意義。
當別人終於看見他的努力,他也更加確信:自己不是在「玩電腦」,而是在用技術守護世界的安全。
用模擬戰守護真實世界:白帽駭客的日常
這份「守護」的意識,也延伸到他後來的職場生活。在多數人眼中,駭客神祕又危險;但在他眼裡,紅隊演練更像「幫助企業進行防守的預演」。
「我們的任務是模擬攻擊、測試客戶防線。從外部偵測漏洞,到取得權限、橫向移動,再到報告、複測,每個步驟都要精確控制。」他說,「因為我們不是來製造災情,是來預演災情。」雖然每天都在與系統對抗,但在這個圈子裡也有默契:不在非上班時段進行高風險操作。
他笑著說,「你想想,如果半夜跑腳本結果伺服器掛了,雙方都得加班,誰都不好受吧!」這樣的工作節奏雖緊湊,卻也充滿成就感。每一次專案成功取得客戶機敏資料、打下議定目標,用行動展示客戶防禦還有哪些不足的地方,都像是在無形的戰場上贏下一場不為人知的勝利。
只是,真正的挑戰並不只在技術,還在如何在熱情與壓力之間,保持清醒。
在理性與熱情之間:學會與完美共處
談起興趣與工作的界線,高敏睿笑著說:「大概是因為,我的工作是駭客,休閒娛樂也都是駭客。」但興趣成為職業,也意味著要面對現實的壓力。「剛入行那幾年,我總想把每個專案做到極致。報告多看一次、測資再驗一次、程式碼再優化一點,常常一回神就半夜三點」他誠實的說道。
做到後來,他才明白——完美沒有盡頭。於是他學會在理性與熱情之間找到平衡。「先滿足客戶的目標,再把餘力放在做到漂亮,這樣反而更長久。」他提到,與隊友的合作讓他成長許多。「一開始我什麼都想自己來,但後來發現,團隊合作能讓結果更好。有人比我懂系統架構,有人擅長優化工程,我從他們身上學到的,比獨自鑽研還多。」
他也笑著補充:「駭客這行看起來好像很孤單,但其實最重要的,是那群和你並肩打仗的隊友。」而當這份熱情與冷靜能並存時,他也開始思考——下一個時代的駭客,該如何面對更快的變化。
面向未來的駭客精神:探索、理解、再前行
談到 AI 的普及,高敏睿思索片刻後笑著說:「AI 讓我們變快,也讓黑帽駭客變快。」在這個世代,AI 能幫資安工程師更快撰寫程式、生成報告,但同時也讓攻擊速度倍增。「AI 可能成為新的攻擊工具,像自動生成釣魚信、假冒語音影像等——這些都在改變防禦方式。」但他仍語氣堅定的表示:「有科技就有風險。我們能做的,是先一步理解,再先一步防禦。」
對他而言,駭客不只是職業,更是一種人格特質——用不同角度看問題、願意一直試到通。他希望未來能繼續深耕資安,也嘗試小規模創業,把生活當成社會實驗。「等到收入壓力沒那麼大了,就會想做更有趣的事吧!」
他最後堅定地說:「駭客的精神不是破壞,而是探索。這個世界總有新的系統、新的規則,我只是想看看,還能怎麼更好地讓它運作。」
別讓遺憾留在大學——去參加、去體驗、去挑戰
如果能回到大學時期,高敏睿最想對自己說的一句話是:
「人生就這麼一次,所以要參加社團活動,就用心去參加吧!」
他笑著說,只有在大學這段期間,我們才能擁有這樣的身分、情境,盡情去體驗、去嘗試不同的事物。另外,若校內外有比賽機會,而且不需要投入太多金錢成本,那就毫不猶豫地報名參加吧——那些經驗往往會成為人生中最珍貴的回憶與養分,是用錢也買不到的。
談到這個話題,高敏睿也坦言,自己在大學時期最大的遺憾就是沒有參加社團。他認為社團中其實可以認識不同行業、面向的人,這將會是你重要的人脈及資源。高敏睿分享在大學期間的一些案子也是由認識的學長姐介紹而來的機會。他說:「你要去參加,才有機會開啟這些人生支線。」
對於想在資安領域更進一步的同學,高敏睿也提出了幾點建議。他指出,網路上有很多學習資源,例如國外的 picoCTF ,各種靶機挑戰網站平台都是可以直接申請挑戰的,並在實作中學習。另外,國內也有不少由教育部推動的學習計畫,像是 AIS3、臺灣好厲駭等;國內也有各式資安競賽,如金盾獎、全國技能競賽,更是在累積實戰經驗的同時,習得很多新的資安知識。
現在大學生學歷對於就職十分重要,而高敏睿也分享了他對於這方面的看法。雖然有一些公司仍十分重視學歷,然而,在很多新創以及資安公司中,個人實力遠比學歷更重要,他們看中的是你的個人技術、實力以及比賽成績等。
從遊戲伺服器到資安戰場,從被懷疑到闖出自己的一片天,高敏睿走過的每一步,都證明了——真正的學習,不在課本裡,而在你親身投入去做。「去參加、去體驗、去挑戰」,因為你永遠不知道,哪一次行動,會成為開啟你人生的那條支線。