想要避免成为工具人或者脚本小子，你需要注意学习初期和工作初期的选择。

首先，在学习初期，打好基础最重要，避免成为脚本小子。

你可能发现很多人仅仅会写个Python然后会用工具，积累一点经验就可以找到一份还不错的工作，但是他们可能只能做一最简单的安服工作。

现在集成化的脚本工具特别多，使用门槛也在逐渐降低，很多连网站建设都不会的人随便拿着个扫描器去扫网站目录，技术断层严重，网络安全的目的是以攻促防，发现漏洞只是其中的一步，能够做到定位漏洞，描述漏洞危害，利用方式，漏洞修复建议却很难。技术水平不扎实，很难有一个好的发展前景。

比如，做渗透测试，提到SQL注入就需要需要懂TSQL语言，提到CSRF，就会涉及到《计算机网络》的应用层协议HTTP，如果要去审计代码，那JavaWeb开发就必须掌握，否则连Servlet都理解不了。因此渗透前期需要有网络基础、编程基础、数据库基础、操作系统等基本技能。首先就应该从html、css、js、编程语言、协议包分析、网络互联原理、数据库语法等进入，等基础知识掌握牢固以后，再去进行渗透测试的深入学习。

因此，你需要远离浮躁的环境。很多人最初都有一颗通往技术的心，但是却沉不下心来持续性的学习。不断地突破瓶颈，在技术提升的阶段，每一个人都会经历自己的迷茫期，自己会了很多，但是去更深入研究的话，会是一个全新的世界，会又是一番苦战。如果你退缩的话，那也就停留在脚本小子阶段了。

那么，在网安工作中，如何避免成为工具人。

由于目前业内招聘渗透岗比较多，也比较急缺，因此入行时，可以先做渗透这类工程岗位。

后期，如果你有较强的编码或者研究的功底，又积累了更多的经验，最好转向安全研发或者安全研究等薪资更高或者更细分的岗位。例如以下几种：

云计算产品安全分析师。随着互联网的快速发展，越来越多企业开始重视网络安全，云计算产品安全分析师缺口大，待遇高。云计算产品安全分析师靠的是解决问题的能力，像老中医一样越老越吃香，升职快，安全工作对接的一般是企业领导人和部门高管，更容易获得领导的认可。相比于一些it岗位，还会涉及到非常难的数学问题。

安全开发工程师。工作内容主要是设计安全产品和实现，对安全产品的易用性改进和Web研发技术优化；开发安全辅助工具或平台；负责安全平台的设计与开发；了解安全领域最新攻击与防护技术，不断完善产品。薪资也相对较高。

网络安全等级保护测评师。主要做等级保护测评、风险评估、信息安全建设与整改咨询等。编写项目的工作规范及流程、实施方案； 对客户公司进行网络安全等级保护测评、网络安全咨询、信息安全风险评估、操作系统及数据库方面的安全加固等；根据客户需求设计网络安全解决方案，按照文档规范整理编写技术支持文档，为客户提供等级保护、信息安全咨询介绍和培训等。