安全工程师不应雷同于其他工程师，他们不是致力于支持系统运行，而是拼命研究系统什么状态下会瘫痪。因为绝大多数的软件漏洞只有在攻击者故意使用时才会被发现，平常的操作中则往往难以发现，所以像黑客一样思考问题是安全工程师该有的思维方式。
　　
　　控制他人电脑的一般途径是通过利用电脑软件中的漏洞来实现的。所谓漏洞就是软件中的错误——包括在规划和设计上的错误，但绝大部分的错误源于编程这一环节。任何大型软件都会有成千上万个漏洞，他们隐匿在软件系统中等待着被发现。而一旦被发现，他们就会成为攻击系统的工具。
　　新的漏洞是炙手可热的商品。发现新漏洞的黑客可以在黑市上销售，或者借此向相关软件提供商狮子大开口，再或者不计后果地公开漏洞。即使上述事情都没有发生，至少软件漏洞被某些人所掌握的事实已经增加了用户的风险。那么，研究新的漏洞是否道德呢？
　　答案无疑是肯定的，抛开那些风险不论，漏洞的研究有着巨大价值。安全工程师必须像攻击者一样思考。缺乏这种思维方式的人绝不可能设计出安全的产品。从全社会来看，无论是软件、互联网协议、投票机、票价卡及其他支付系统，这些都需要开发团队中有专人负责其安全性，而这些人都必须像攻击者那样思考问题。
　　这种思维方式可能是与生俱来的天赋，但也可以锻炼。任何领域在这一点上都是一致的，比如优秀的密码专家在别人的算法和协议中总能发现漏洞；软件安全专家能在别人的代码中挑出漏洞；优秀的机场安保设计者会主动寻找破坏机场安保的新途径等。
　　当有人向我展示他设计的安全方案时，我的第一个问题是：这个设计者曾经破坏过什么？任何人都能设计一个自己无法破坏的安全系统，如果他是一个曾经破坏过几十个类似系统的人，那么他设计的系统是值得一看的；而如果他从未破坏过，那么这个系统绝不可能是好产品。
　　漏洞研究是至關重要的，因为这是培养我们下一代的电脑安全专家的方法。当然，如何处理一个新漏洞，这或多或少将牵涉到责任、法律等问题，因此我们需要一些能够击败不法分子的、有道德的安全工程师。对于我本人而言，研究漏洞是否道德这一点并不是问题。如果有人非要深入分析漏洞研究课题的本质，那么这个问题应该是：不去研究漏洞是否是道德的。