懒得一个一个写了，貌似这三个经历都差不多，都是在 2020 年左右练手而拿的。有两个是 XSS，另一个图灵机器人的是逻辑业务逻辑。那个时候刚好十六岁，上初三，混进了安在的微信群（全程好像叫安在-信息安全媒体？现在好像是没了，或者人家只做私域，不弄 Website)。之后又在安在的群混到了圈子社区、吐司的群。认识了很多朋友，那个时候白嫖培训机构的课，又在培训机构的群里认识了一两个朋友。

当时天真的认为，弄个群就是一个 Team 了。于是想着混平台的团队排名，选择了漏洞盒子，叫 “江雪分析”，当时的域名是 jiangxue.org.cn，随着Team 的解散就没续费了。而现在的域名则是 jiangxue.org，之前是有机会拿下 jiangxue.com 的，可惜当时拿不出注册域名的钱。

之所以选择漏洞盒子呢，可能大概是当时漏洞盒子比补天的门槛低。补天需要提交了一个漏洞才能创建团队，而漏洞盒子不需要。其实我觉得漏洞盒子做的还挺全的，还有小图表（虽然一眼就是 echarts 但当时不懂，感觉很高级），任务之类的。

感觉和补天、hackerone 相比，还是挺泛娱乐化的。自己提交漏洞信息之后，还会提示、标注什么 提示： 禁止将漏洞信息（包括被忽略的漏洞）在他处传播，违者将冻结账号并追究法律责任。显得很有仪式感。

其实就漏洞的本身倒是没什么技术含量，更重要的是那一段经历。说起来那个时候自己什么都不懂，反而想什么就做什么，想要什么就争取什么。例如当时我并不知道 Github，于是就花 15 CNY 买一个月的虚拟空间。那个服务商的名字我到现在还记得，叫 “天达云”，没想到现在还活着呢。

当时弄了一个非常简单的 html page 就上传了，之后在搜索引擎里搜索了各种诸如 “安全团队” 的关键词，找到其他团队的网站，追着他们后面要友链。现在想想以前真的很有勇气，换成现在的我会想：“我一个破页面，怎么感跟这种大佬搭上话，竟然还要求换友链”。

现在觉得，与其在意他人目光，混所谓的圈子。真的不如提升下自己，虽然少了些喝彩和鼓舞，以及交友的机会。但多了些冷嘲热讽不是吗？

在这三个漏洞中，除了这些经历之外，我影响深刻的莫过于图灵机器人的。当时在用 py 做一个对话的机器人，调用的是图灵机器人的 API。当 Prompt 传入类似 “你的开发者是谁？” 的信息，总会说出是 “图灵机器人团队做的”，而更改类似的信息则需要付费。

于是我通过构造 Prompt，绕过了这个限制，当时我只觉得是类似逻辑漏洞之类的，就提交到了 CNVD，没想到真的通过了。不过可惜 公开日期 2030-01-18，很难想象 2023 年 CNVD 会不会被其他的平台替代掉。毕竟 website 看起来真的很有年代感。