夜雨聆风
一个人+AI=一家安全公司?拿三个真实项目算一笔账
上周有个朋友找我喝酒,他在一家中型安全公司做技术总监。
酒过三巡他开始吐苦水:公司养了十几号人,渗透测试三个、代码审计两个、前端后端各两个、还有售前、项目经理、行政。一个月光工资就烧掉十几万。
“最气的是,”他把酒杯一墩,“我们报五万的项目,客户嫌贵。但你知道有个自由职业者报多少吗?一万五。客户扭头就给他了。”
我没好意思告诉他,那个人可能就是我。
这事儿让我认真琢磨了一个问题:在AI遍地走的今天,一个会用AI的人,到底能不能顶一家中小型安全公司?
我拿自己过去三个月的三个项目,拉了一张对照表。
一、真实对照:传统团队 vs 我+AI
项目A:某电商平台全套安全检测
客户需求:子域名测绘、端口扫描、漏洞检测、渗透测试、报告输出。
传统安全公司怎么干?
信息收集一个人半天,漏洞扫描一个人一天,渗透测试两个人两天,报告撰写一个人半天。加项目经理协调,总工时五天,报价三万起。
我怎么干?
上午九点打开昆仑安全平台,信息收集模块自动跑完,子域名、端口、指纹全出来。十点Nuclei模板库开始批量扫,同时我对几个重点接口做手工测试。下午三点漏洞基本验证完毕,开始写报告。AI出初稿,我润色加修复建议。
晚上六点,报告发到客户邮箱。
耗时一天,报价一万两千,成本几乎为零。
项目B:给甲方开发一个安全监控小程序
客户需求:做一个内部用的安全告警推送小程序,管理员能看实时告警、历史记录、按等级筛选、推送通知。
传统团队怎么干?
后端一个两天,前端一个三天,联调测试一天,总工时六天。外包报价两万起。
我怎么干?
需求理清楚后,丢给AI生成后端框架代码。Python+Flask,数据库SQLite,接口RESTful。AI写了七成代码,我改了一些业务逻辑和权限校验。前端也用AI生成微信小程序原生代码,界面套了组件库,看着挺像样。
难点在哪?WebSocket推送那部分AI生成的有bug,我自己改了两个小时。 其他部分基本顺利。
三天交付。报价一万,成本是我三天的咖啡钱。
项目C:SRC漏洞批量挖掘
这个不算接的项目,是我自己干的。
目标某大型互联网公司SRC,我花了两天时间用昆仑安全平台做资产测绘+漏洞扫描,再用AI帮我分析几个可疑接口的业务逻辑,最后找出一个越权漏洞、两个信息泄露、一个SSRF。
四个漏洞,交了三个,总奖金九千六。 另一个被拒了,说重复。
传统团队干这个?他们不会干。因为不划算。团队成本太高,SRC奖金养不活团队。
但我一个人,两天九千六,性价比拉满。
二、AI到底替我们干了哪些活
很多人觉得AI就是聊聊天、写写文案。那是只用了皮毛。
我们团队实际在用AI干这些事:
1. 生成工程图片
豆包、Midjourney,我们拿来做什么?流程图、架构图、攻击链示意图、公众号封面、PPT配图。以前得找设计师,现在说句话出七八个版本,挑一个微调,五分钟完事。
我们公司没有美工,但视觉效果看着像有专门的设计团队。
2. 写安全工具
昆仑安全平台的Python后端,八成代码是AI辅助生成的。那些Payload变异引擎、DNS外带检测模块、字典管理功能,我写核心逻辑,AI帮我补全、写注释、写单元测试。
我现在的编程主要工作是复制粘贴AI的输出,然后找bug。
3. 做威胁建模和攻击链推演
接到一个目标,我把环境信息告诉AI:什么框架、什么中间件、开放了哪些端口。AI能帮我推演可能的攻击路径,有时候给出来的思路我自己都没想到。
它像一个24小时在线的技术合伙人,不抱怨、不请假、不要求涨薪。
4. 写报告和方案
渗透测试报告、项目方案、投标技术文档,全是AI出初稿。我只需要补充具体的漏洞细节和截图,调整语气让它更像人写的。
以前半天写一份报告,现在一小时搞定。
5. 免杀和Payload定制
很多人在用Metasploit原版payload,一落地就被杀。我用AI帮我做payload混淆、编码变异、加载器定制。告诉它:我需要绕过某国产杀软的行为检测,它帮我生成几个可用的模板,我挑一个微调就行。
以前自己研究免杀,一个payload搞一天。现在几分钟。
三、AI最大的悖论:功能过剩,利用率极低
用了这么多AI工具,我有一个特别深的感受:
AI的能力是100分,大多数人只用了20分。
就说豆包。你问问身边的人拿它干什么?大部分是聊天、问天气、写朋友圈文案、让AI陪自己唠嗑。有人投喂自己的日记进去训练,然后跟AI精神交流。
不是说这样不行。但你想过没有——同样的工具,你拿它聊天,我拿它生产工程物料、出技术文档、做PPT。
一年下来,我们两个的产出差距是指数级的。
不是AI不行,是绝大多数人没把AI用透。
这也是我为什么说“功能过剩”。AI能做的事太多了,但大多数人被困在“AI就是个聊天机器人”的认知牢笼里,根本没意识到自己手里拿着的是一台工业机床,却只拿它当指甲刀用。
四、一个人+AI的组合,强在哪?
回到开头的那个问题:一个人能不能顶一家中小型安全公司?
我的答案是:在特定类型的项目上,不但能顶,而且效率更高、成本更低。
为什么?因为传统安全公司有大量隐性成本:
-
沟通成本:项目经理传话、开会、对齐,信息每传递一次就失真一次。
-
管理成本:考勤、考核、报销、团建,都是钱。
-
冗余成本:养着人不能闲着,闲了也得发工资,所以必须接大量低利润项目填坑。
-
试错成本:一个决策要层层审批,等批下来市场窗口早过去了。
而“一个人+AI”的模式,这些问题几乎不存在:
-
沟通成本为零。你自己就是老板,自己做技术,信息不失真。
-
管理成本为零。不用打卡、不用团建、不用写周报。
-
冗余成本为零。有项目做项目,没项目搞研究、写文章、打磨产品,不存在“空转”。
-
试错成本极低。想到一个方向,今天就能动手验证,不行明天换一个。
这就是小个体的核心竞争力:快、轻、狠。
五、顺便介绍一下我们在用的产品
说了这么多,很多人可能会问:你用的到底是什么工具?
其实我们一人公司自己就在做这些产品——不是因为想卖,是因为我们自己要用。自己用着顺手了,顺便开放出来给同行一起用。
昆仑AI中转站
一个低调的API聚合网关。我们自己天天用各种大模型写文案、做图、挖漏洞、写代码,但直接买各家官方API太贵了。于是自己搭了个中转站,把各大厂商的API批量接进来,原样转发出去,中间不掺水不掺假。省点钱,顺便开放出来给大家一起省。目前试运营中,注册送一点额度,够你玩几分钟的那种。
昆仑安全平台
一个集成化的渗透测试工具箱。把信息收集、漏洞扫描、字典管理、报告生成这些散落在各处的工具打包到一起,统一界面、统一调用。目前内测中,正在往里面加AI安全检测模块——AI智能体权限越权检测、RAG知识库投毒检测、LLM API不安全调用检测这些。纯Python实现,不依赖外部API模型。
公众号
就是你现在看的这个。每周更新一人公司的创业实录、AI安全技术干货、工具踩坑笔记。顺便也会聊聊我们这些产品做到哪一步了、踩了什么坑、什么时候能正式上线。
三个产品,一条逻辑:我们自己是一人公司,我们自己用这些东西省时间、省钱、提效率。 你觉得有用,就拿去用。你觉得不好用,也欢迎告诉我哪里不行,我改。
六、那是不是安全公司都要完蛋了?
当然不是。
大项目、复杂环境、深度攻防对抗,一个人肯定扛不住。国家级护网、关基设施防护、APT溯源,这些需要重型投入和协同作战的领域,团队依然不可替代。
但中小型安全服务市场,正在被“超级个体”快速侵蚀。
这个夹在中间的群体最难受:往上够不着大项目,往下拼不过个人的效率和价格。有几个我认识的安全公司老板,已经开始裁员了,把团队压缩到核心三四人,其他活全外包给自由职业者或者用AI代替。
大安全厂商做深、做重、做国家队项目;无数个“超级个体”用AI武装自己,接中小项目、挖SRC、做安全咨询、出技术内容;传统中型安全公司被挤扁。
这是正在发生的未来。
七、说点扎心的
很多人还在纠结“要不要学AI”、“AI会不会取代我”。
其实答案已经很明显了。
AI不会取代你,但会用AI的人会取代你。
就像二十年前会用搜索引擎的人取代了只会在图书馆翻卡片的人,十年前会用自动化工具的人取代了纯手工测试的人。工具一直在进化,差距从来不是工具的锅,是谁用得狠、用得透、用得巧。
如果你也在做安全、做开发、或者在做一人公司,我建议你试试把AI用到极致:让它帮你写代码、出报告、画图、分析数据、做决策支持。你会发现,很多“必须招人才能干”的事,AI已经能胜任七成了。
剩下的三成,恰好是你不可替代的价值。
当你能把AI用到这种程度时,你确实不再只是一个“个人开发者”或“单打独斗的安全研究员”了。
你就是一家公司。
尾声
那晚喝酒的朋友,后来给我发了条微信:“你说的那些AI工具,能教我一下吗?”
我说行。然后给他开了个清单。
一个月后,他离职了,自己开了个工作坊。前两天我看他发朋友圈,接了一个之前公司报价八万都没拿下的项目,他一个人报三万,干完了,客户还给他介绍了新客户。
他在朋友圈写了句话:
“不是小公司被大公司替代,是快的人替代慢的人。”
我觉得他说得对。
有软件开发需求?添加微信
发送需求文档获取报价