Full-Stack Engineer · Security Researcher · Builder

I build systems — then find what’s broken in them.

全端工程師 · 資安研究者,臺北城市科技大學資工系。

alaner.status — session
LIVE
BuildingAgora-AIcampus AI assistant · deploying
WorkingTPCU Computer Centerauthorized security & tooling
AssessingApp & infra securityauthorized · ongoing
Latest caseReverse-engineering the school API
Latest writing從 Roblox 到電算中心my story
uptime — building since 2019loc — Taipei · GMT+8
View work →Read writingView CV
Since 2019Building / shipping
10 tools · 69 testsAgora-AI agent
HITCON ZeroDayresponsible disclosures · ×2
B.Eng · Y35-year program · TPCU
About

It started with a bug I probably shouldn’t have found.

2019 年自學 Roblox 遊戲開發起步,後加入國際工作室任 Lead Scripter。進入五專後技術重心轉向全端開發與資安研究。

對校務系統做安全研究期間發現多項高風險漏洞,向 HITCON ZeroDay 負責任揭露,隨後獲聘入電算中心主導修補。

目前在電算中心執行授權範圍內的安全評估與修補。

Featured Work

Not just the result — the way of solving the problem.

W·01Ongoing · authorized

Application & Infrastructure Security

HITCON ZeroDay 通報多項高風險漏洞(IDOR、XSS、clickjacking、憑證外洩)——隨後獲聘入電算中心主導修補,並提出 WAF / reverse-proxy 強化方案由校方採用。

HITCON ZeroDayauthorized assessmentsWAF 提案落地Python 內部工具
W·02Deploying

Agora-AI — Campus Assistant

學生不用再開 portal——逆向工程無文件的校務 API,包成 10-tool agent 鏈,自然語言查課表、成績、出缺勤、請假 CRUD 全包。SSE streaming · BYOK LLM · Loki / Grafana。

10 agent tools69 testsBYOK LLMDocker + Caddy
W·03Live

雞狗查圖 — 字幕截圖搜尋

輸入台詞,找到那個畫面。Ave Mujica Bot 的完整重寫——從三個獨立專案(Python + Node.js + Discord.js)收斂成一個乾淨架構:Next.js 網頁 + Python OCR extractor。截圖與 GIF 由 ffmpeg 即時生成,砍掉 4 GB 預存圖片。支援多系列(Ave Mujica、MyGO!!!!!)。

Next.jsPython EasyOCRffmpeg on-demandLRU cache多系列支援
W·04Shipped · open source

早餐店點餐系統

LINE Login 整合的點餐系統。顧客掃碼登入點餐,下單即推 LINE Flex Message 給店主;狀態機驅動訂單流程(PENDING → READY),SSE 即時同步進度。Drizzle ORM 管理 9 張關聯表,含快照欄位保留歷史訂單正確性。

Next.js 16SQLite + DrizzleLINE BotSSE · 壓力測試
W·05Shipped · open source

Easy TPCU — 校務系統查詢自動化

把「每天手動查出缺勤」這件事全自動化——統計圖表 Discord 推送,零手動操作。Agora-AI 逆向工程的早期概念驗證。

PythonBurp SuiteMatplotlibDiscord Webhook
W·06Archived

Ave Mujica Bot — 影像檢索自動化

輸入台詞關鍵字,秒出對應動畫截圖。OCR 逐幀建字幕索引,Discord Bot 查詢——讓粉絲找截圖從翻影片變成一秒的事。

PaddleOCRDiscord.pyPythonJSON pipeline
W·07Offline · archived

Foodie AI — 語意餐廳推薦

願景對,架構太簡單——後端現在壞了。第一次真正搞清楚「技術能跑起來」跟「產品能撐住」之間的落差。

Gemini APIGoogle Places APINext.js 15
W·08Shipped · v1.0.0

osu! Map Manager — 譜面管理工具

解決自己的需求,順手發佈。掃描本機譜面、批次下載、斷點續傳,PyInstaller 打包成 Windows 獨立執行檔,不需要裝 Python。

PythonPyInstallerCSV export斷點續傳
Experience

Roles

2026 — now
Independent Builder
Personal Projects

獨立開發與維護個人專案,負責從問題定義到部署上線的完整產品週期。

2026 — now
Work-Study · Pro Bono Security
TPCU Computer Center

正式身分為工讀生。透過 HITCON ZeroDay 負責任揭露高風險漏洞(IDOR、XSS、憑證外洩)後,獲電算中心信任,在授權範圍內無償執行資安評估與修補,清除校務系統殘存的 XSS 與後門程式;並提出 WAF / reverse-proxy 強化方案由校方採用,將外部攻擊面縮減約 70%。

2022 — 2024
Lead Scripter
Game Studio (Roblox)

主導遊戲系統開發與國際協作。從交付中理解市場驗證先於技術實現。

Writing

記錄研究與思考。

重新設計 AveMujicaBot:從三個爛攤子到一個乾淨的架構45 天後的家庭網路回顧:拓樸、穩定性與一條線的妥協從 Roblox 到電算中心:近半年的反思Tailscale on OpenWrt:從踩坑到跑通監視器斷訊,根源是網段衝突All posts →
Now

Current focus

  • 持續深化資安能力——授權評估、攻防實務與系統安全研究
  • 備戰 116 特殊選才——目標:交大百川、交大資工
  • 尋找第一份 R&D 相關工作,將工程能力轉化為有商業價值的產品
Philosophy
Build for the adversary. Ship for the user.

安全導向的工程實踐從威脅模型開始,而不是功能清單。最值得解決的問題,永遠藏在系統假設最薄弱的邊界上。