工作總結

發表時間：2026-04-28

前端風控主管工作總結〔2026佳文〕。

那是一個雨后的早晨，客戶運維負責人打來電話，說昨晚那條策略起效了。他語氣里帶著少見的那種松弛感——之前我們通了好幾次電話，每次都是半夜告警后他被叫醒。這次不一樣?！皵r截記錄我們復過盤了，確實是試探攻擊，沒有誤傷?！睊炝穗娫捨叶⒅巴忏读艘粫?。說真的，這種活干久了，最怕聽到的就是鈴聲。而這一次，是最近三個月里唯一一個讓我覺得“沒白干”的電話。

先交代清楚。我叫前端風控，管的就是用戶從進門到動手操作之間的所有風險點。登錄、注冊、交易確認、換綁手機——這些口子但凡漏一個，壞人就順著爬進來了。我們團隊不大，六個人，四個業務方向。去年下半年到現在，我最大的體會是：風控不是堆規則，是走鋼絲。鋼絲左邊是漏過去一個攻擊，右邊是把正常用戶攔在門外。走偏了哪邊，都是事故。

一個把我打醒的故障

今年3月，一個周四下午。告警突然炸了。我們一條針對“高頻異地登錄”的規則，把某區域網段的大批用戶全封了。你問我第一反應是什么？不是改閾值，是罵了自己一句——這條規則當初是我拍板上的。

復盤下來，丟人了。那規則采樣窗口只有30秒，閾值設了5次失敗就封。我忽略了運營商最近做了大范圍NAT，幾十萬用戶擠在幾個公網IP后面。正常用戶剛切到4G網絡，IP變了，觸發了異地判斷，接著連續兩次輸錯密碼——完蛋，封了。當天下午客服那邊已經接到二十幾個投訴，用戶說“你們APP登不上了，我要銷戶”。

第一個補丁我打得很急躁。直接把閾值從5放寬到15，窗口從30秒拉到2分鐘。結果呢？攻擊流量也跟著沖進來了，因為腳本可以慢速試探。第二天凌晨，又誤封了一批——這次是正常的出差用戶，他們確實在不同城市登錄，但頻率很低，本來不該攔。我還是用老思路去調參數，越調越亂。

那天晚上我跟組里一個老同事蹲在工位邊上抽煙。他說：“你有沒有想過，問題不在閾值，在我們拿IP當身份用？”就這一句話，把我點醒了。

后來的方案說起來簡單，做起來磨了三輪。我們把設備指紋拉進來做雙重校驗——當IP觸發高頻閾值時，先查這個IP背后有多少個獨立設備指紋。少于50個，說明是正常的個人用戶或者小團伙，可以執行攔截。多于200個，八成是運營商大NAT或者機房出口，那就不封IP，改成針對單個設備指紋做限流。中間那檔50到200之間，再疊一層行為特征，比如是否集中在一個用戶代理版本上。

但落地沒這么順。第一次上線影子模式，發現設備指紋在我們自己的測試環境里綁定率很高，到了真實用戶手機上，尤其是那種清理緩存的安卓機，指紋一天變三次。我們又花了一周，把canvas指紋和音頻上下文改成加權投票——多特征融合，只要過半特征匹配就認為是同一設備。就這樣，影子模式跑了整整五天，中間又調了兩回窗口期，才把誤報率從千分之三壓到萬分之零點三（口徑：日活兩百萬的業務上觀測了連續兩周，日均請求量一千兩百萬）。第三回調完的那天晚上，我特意沒走，盯著監控看到凌晨兩點，確認閾值曲線平穩了才回家。

那場跟運營的架，我差點輸了

產品經理的活兒，說白了就是判斷“做什么”和“不做什么”。風控很多時候要說不。今年5月，運營推一個新活動——邀請新用戶得紅包。他們要求我們放開所有渠道的注冊，只要手機號有效就給過。我說不行，短信接碼平臺的黑產號會沖進來。運營說“活動只有三天，你們風控別拖后腿”。

我沒讓步。但我也沒光說“不行”，而是給了兩條路。第一，活動上線前24小時，我們按渠道歷史風險分打分，允許低風險渠道直接注冊，中高風險渠道必須先過滑塊驗證碼。第二，上線后前12小時，風控團隊三人輪班盯著實時攔截數據，如果發現誤傷超過萬分之零點五，立刻把驗證碼降級成延時響應——就是讓用戶等三秒鐘再提交，不彈任何驗證框。運營那邊不太樂意，覺得驗證碼影響轉化。我直接把過去三個月的渠道風險數據摔在桌上：接碼平臺的注冊成功率是正常用戶的47倍，不攔的話，紅包預算一半會被黑產薅走。最后CTO拍板，按我的方案走。

結果呢？活動三天，我們攔截了四千多個接碼賬號，正常用戶誤報率萬分之零點二。運營負責人后來在周會上說了一句：“風控這次沒拖后腿，還幫我們省了十幾萬預算。”這句話我記到現在，不是因為被夸了，是因為我終于覺得——風控不是躲在后面的警察，是可以跟業務并肩往前跑的人。

幾個讓我自己覺得“這事干得值”的改動

設備指紋我們踩過一個深坑。有個版本的Chrome在無痕模式下，canvas指紋會加隨機噪聲。你猜我怎么發現的？是一個用戶投訴說“每次打開APP都讓我重新登錄”，我們抓日志一看，同一個人的設備指紋每次都不一樣。當時的解決方案很土——加一個本地存儲的fallback，如果指紋變化太快，就回調到cookie+IP的復合標識，同時把這次異常上報，等人肉核實。后來我們換了新的指紋庫，不再依賴單一canvas，而是把音頻上下文、WebRTC候選IP、字體指紋放在一起做投票。偽造成本一下子就上去了，有朋友做黑產的跟我說“你們那個指紋太惡心了，改一次要花二十多分鐘，懶得搞了”——這比任何報告上的數字都讓我踏實。

行為序列這塊，我們沒上高大上的模型。就一個滑動窗口，記錄用戶每次操作之間的間隔和鼠標軌跡。正常人輸密碼會有停頓、回刪、看一眼鍵盤；腳本是勻速的，精確到毫秒。我就用這個特征，把一個持續了兩周的撞庫攻擊給揪出來了——攻擊方每秒鐘試三個賬號，但間隔完全相同，像節拍器一樣。我寫了一條規則：如果最近十次失敗嘗試的間隔標準差小于10毫秒，直接判腳本。就這么一行邏輯，把那波攻擊擋了，事后算下來，節省了大概一百多個賬號被攻破的損失。

SDK輕量化那次更有意思。客戶投訴我們SDK讓頁面卡了180毫秒，他們老板直接在項目群里說“換友盟吧，人家才30毫秒”。我一看代碼，發現我們有個同步的get請求在初始化時就跑，去拿一個叫“風險開關”的配置。我就問自己：這個配置是實時必要的嗎？不是。改異步，首屏不拿，等用戶開始操作了再后臺拉取。又順手把特征采集從同步阻塞改成requestIdleCallback，瀏覽器閑了再發。用戶無感，風控照樣跑。最后壓縮到120KB，加載耗時30毫秒以內?？蛻暨\維后來開玩笑說“你們SDK瘦身比我們還狠”。 YS575.COm

?述職報告之家精品必收:

主管工作總結?|?風控部轉正工作總結?|?運營主管工作總結?|?技術主管工作總結?|?前端風控主管工作總結?|?前端風控主管工作總結

我對團隊的“土辦法”

以前帶人，我習慣自己沖在前面。后來發現不行——故障永遠出在你沒想到的地方，一個人看不過來?，F在我逼著組里每個人輪流當“本周值班風控師”，就干三件事：看告警、抽日志、寫筆記。筆記不要求格式，隨便寫?！敖裉煊X得某個閾值怪怪的，但說不上來”——可以。這種模糊的警覺，才是經驗積累出來的肌肉記憶。

有人問我，你怎么不叫復盤報告？叫觀察筆記？我笑笑：報告有壓力，筆記沒有。筆記允許廢話，允許直覺，允許寫“我今天就是覺得那條流量不對勁，后來發現是某家云廠商的健康檢查”。這些東西放進正經報告里顯得不專業，但放在筆記里，就是下次救命的線索。

我自己的狼狽

說句掏心窩的話。有段時間我特別懷疑自己。那是今年年初，連續兩周出了三個誤報，團隊里有人開始嘀咕“是不是閾值設得太嚴了，內鬼測試賬號都被攔了好幾次”。我晚上回家躺在床上想：是不是我真保守了？那周我把自己定過的所有規則翻出來，一條一條看，用了一個周末把每個閾值的理論依據寫成了文檔。寫完發現——大部分沒問題，但有三條確實寫死了，沒有考慮邊緣場景。比如有一條“單日修改密碼超過1次就凍結”，完全忘了還有“用戶先改了密碼，發現不對又改回來”這種正常人也會做的事。

我把這三條改成了階梯式處置：第一次改密碼只是打標，第二次才彈驗證碼，第三次才短時凍結。改完那個周一，我主動在晨會上說：“前兩周的誤報，有三條是我定的規則有問題，已經改了?！睕]人指責我。反而有人說：“你早該這么調了?！蹦且豢涛颐靼?，做風控不能怕認錯。你不認錯，別人就不信你。你不認錯，規則就會越來越死，最后變成一堵墻，把用戶和業務都堵在外面。

現在每天到辦公室，第一件事不是看報表，是隨機抽五條攔截記錄和五條通過記錄，人工對比一遍。你問我這能發現多少問題？說實話，90%什么也發現不了。但剩下的10%里面，有一次我發現攔截記錄里混著一個內網IP——原來是測試環境忘了關風控，把自己人攔了。還有一次我注意到通過的記錄里，有連續三個賬號用了同一個設備指紋，但地域不同。順著往下挖，發現是一個小團伙在慢速試探，每天只試十個賬號，繞過了我們的高頻規則。我們用這個線索又補了一條基于“累計失敗次數+設備指紋跨地域”的規則。

這就是前線。沒有多少高深理論，有的只是日復一日的核對、質疑、微調。干久了，你會對那些“異常流量模式”產生一種手感，就像老機修工聽發動機聲音就知道哪兒不對勁。這種手感，是坐在報表前永遠學不到的。

推薦閱讀:

我們精彩推薦工作總結專題，靜候訪問專題：工作總結

熱門標簽:

PMC主管工作總結

后勤主管工作總結

商務主管工作總結