我可能知道《红楼梦》八十回后的情节是什么了：贾宝玉在沁芳闸边找了几块石头，回怡红院磨出一堆石头心，分别送给林黛玉、薛宝钗、秦钟、蒋玉菡、北静王……所以，前八十回叫《红楼梦》，后四十回叫《石头记》。

4 月 22 日，美国征收了创纪录的 117 亿美元的“关税和某些消费税”。是之前月度总额的两倍，比川普上台前月度总额（约20亿美元）高出约六倍。

这两年经常有人问类似“做安全研究挖不到漏洞怎么办”这样的问题，这里统一答复一下。

早年没有信息安全专业，搞漏洞研究的全都是因为爱好这个，自己主动来搞的。不适合干这个，搞不出来的，自然也就还干本行去了。所以早年没有人抱怨为什么研究不出东西。

现在信息安全专业开设的越来越多，有些同学看别人搞漏洞研究，自己也想搞。搞不出来，就四处找人问为什么自己搞不出来，怎么才能搞出来。

首先，必须要先泼一瓢冷水：由于性格、能力等多方面原因，无论是不是学信息安全专业的，世界上大部分人都不适合做漏洞研究，就像大部分人都不适合做职业运动员一样。

你们琢磨一下漏洞是什么？漏洞是程序员犯的错误。那些著名大公司软件的漏洞是什么？是一些面试好多轮才能入职的名校毕业的程序员犯的错误。而且这些公司里还有很多面试好多轮才能入职的名校毕业的人在做安全。他们都没查出来，才能留下来让你去发现。

我曾给微软中国的 QA 做过培训，和他们连续接触了数天。这些人体现出来的平均水平肯定在国内安全行业（不特指漏洞研究）之上，其中有几个还相当出色。

所以，挖不到漏洞是正常的，挖到才不正常。信息安全工作有很多方向，学信息安全，不一定非要都做漏洞研究。