对13岁的Dylan来说,他已经是Microsoft安全应变中心(MSRC)合作的最年轻研究员。他的安全之路从Scratch开始,一路走到负责漏洞回应,靠着强大的好奇心与行动力,一步步踏进资讯安全的核心圈。
和许多对科技感兴趣的孩子一样,Dylan的启蒙来自Scratch程序语言,但他很快就高端到HTML等其他语言。五年级那年,他开始研究教育平台的源码,甚至还破解系统让自己可以提前玩游戏,虽然因此小小惹了点麻烦,却也让他对“系统背后怎么运行”越来越好奇。
疫情期间,学校限制学生创建Teams会议,他靠Outlook找到绕道方法,让同学仍能线上相聚。这种“不是为了违规,而是为了解决问题”的心态,正是他安全研究的起点。
后来Dylan发现了可以控制任意Teams群组的漏洞,这让他正式进入安全领域,也打开与MSRC的合作。当他将发现回应给微软时,微软甚至修改Bug Bounty的条款,允许年满13岁的研究者参加。
Dylan从此积极投入漏洞通报,靠着专业又有礼貌的沟通态度,不只一次让微软修改判定,甚至扩大漏洞奖励计划的涵盖范围。他回应的Authenticator Broker漏洞原本被视为不在范围内,经过他条理清楚地说明后,MSRC最终认可其重要性,并将其纳入未来的回应清单中。
Dylan的成就并非一帆风顺。他曾因健康问题失去声音,历经两次手术才恢复,也曾遇到报告被误解的挫折。不过他靠着家人的支持,学会坚持、耐心与专业。
如今他是高中生,参加科学奥林匹亚、数学竞赛,还会游泳、骑车、拉大提琴。光是去年夏天就回应了20个漏洞,比前几年加起来还多。他也连续入选MSRC最有价值研究员(2022与2024),更在2025年四月的Microsoft“Zero Day Quest”现场竞赛中夺下第三名,实力惊人。
未来,他希望能参加更多安全研讨会,与全球顶尖研究者交流。他的故事正是最好的例子:年龄从来不是限制,真正重要的是创意、毅力与学习热情。