# 分类：ai-security

> 该分类下的文章按时间倒序排列，便于按主题继续深挖。

## 页面摘要
- 路径: /categories/ai-security/page/10/
- 当前页: 10 / 11
- 文章总数: 868
- 当前页文章数: 80

## 快速导航
- [首页](/)
- [分类索引](/categories/)
- [归档索引](/archive/)

## 本页文章
### [Signal 双棘轮协议中的后量子棘轮工程：会话演进的量子抵抗机制](/posts/2025/10/03/post-quantum-ratchets-in-signal-double-ratchet-protocol/)
- 日期: 2025-10-03T04:17:04+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨在 Signal 协议中工程化后量子棘轮，以增强双棘轮协议的会话安全性，确保超出初始密钥协商的前向保密性。

### [Signal 协议后量子棘轮：PQXDH 集成实现量子抵抗前向保密](/posts/2025/10/03/integrating-pqxdh-into-signal-double-ratchet-for-post-quantum-security/)
- 日期: 2025-10-03T03:47:07+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 在 Signal 的双棘轮协议中集成 PQXDH 混合后量子密钥协商，实现量子抵抗的前向保密，同时保持现有部署的兼容性。提供工程参数和落地指南。

### [Signal 双棘轮协议中集成混合后量子密钥协商：实现量子抵抗前向保密](/posts/2025/10/03/integrating-hybrid-post-quantum-key-agreement-into-signal-double-ratchet/)
- 日期: 2025-10-03T00:32:27+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨Signal如何通过PQXDH将后量子Kyber集成到Double Ratchet中，提供量子安全的forward secrecy，同时确保现有部署兼容。包括工程参数和监控要点。

### [使用AI模糊测试和符号执行提升libcurl HTTP/2可靠性](/posts/2025/10/03/leveraging-ai-fuzzing-and-symbolic-execution-for-libcurl-http2-reliability/)
- 日期: 2025-10-03T00:02:52+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 利用AI辅助的模糊测试和符号执行，发现并修复libcurl HTTP/2中的22个bug，提供工程化参数和监控要点。

### [工程化自动化 SBOM 生成与漏洞扫描工作流：开源项目网络弹性法案合规实践](/posts/2025/10/02/engineering-automated-sbom-generation-vulnerability-scanning-open-source-cra-compliance/)
- 日期: 2025-10-02T20:32:27+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对欧盟网络弹性法案（CRA），开源项目需构建自动化 SBOM 生成、漏洞扫描及报告管道，提供可操作的参数配置与监控策略。

### [外推Shor算法在大型RSA密钥上的运行时估算](/posts/2025/10/02/extrapolating-shors-algorithm-runtime-for-rsa-keys/)
- 日期: 2025-10-02T14:48:29+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 利用小规模量子电路基准，通过对数拟合等工程方法估算Shor算法破解大型RSA密钥的运行时，提供可落地参数和监控要点。

### [工程化 CRDT 同步访问规则与 E2E 加密：离线协作编辑的无中心一致性](/posts/2025/10/02/engineering-crdt-synced-access-rules-with-e2e-encryption-for-offline-collaborative-editing/)
- 日期: 2025-10-02T11:47:16+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨 Keyhive 项目中 CRDT 与 E2E 加密的集成，实现离线协作编辑的安全访问控制，确保跨设备一致性而无需中心认证。

### [Trivy 多源漏洞数据库同步：实时更新与严重性优先级](/posts/2025/10/02/trivy-multi-source-vulnerability-db-syncing/)
- 日期: 2025-10-02T10:47:16+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对动态容器环境，Trivy 通过多源漏洞 DB 实时同步与严重性过滤，实现高效扫描，提供配置参数与监控要点。

### [工程化 Trivy 的并行层扫描、多源漏洞 DB 同步与严重性过滤](/posts/2025/10/02/trivy-parallel-layer-scanning-multi-source-db-syncing-severity-filtering/)
- 日期: 2025-10-02T05:02:41+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对容器安全审计，给出 Trivy 并行层扫描、多源 DB 同步和严重性过滤的工程参数与优化要点。

### [逆向工程SAP GUI脚本漏洞：JLR与Harrods黑客攻击中的认证绕过与命令注入](/posts/2025/10/02/reverse-engineering-sap-gui-scripting-exploit-jlr-harrods-hacks/)
- 日期: 2025-10-02T00:47:32+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 剖析SAP GUI脚本漏洞在JLR和Harrods攻击中的应用，包括认证绕过机制、命令注入技巧及规避技术，并给出可落地防护措施。

### [使用 Go 基于 Trivy 实现多工具容器漏洞扫描器](/posts/2025/10/01/implementing-multi-tool-container-vuln-scanner-with-trivy-in-go/)
- 日期: 2025-10-01T23:32:17+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 基于 Trivy 的 Go 实现多工具扫描器，支持并行漏洞检测、SBOM 生成及云配置检查的工程指南。

### [Broadcom VMware零日漏洞披露失败的技术根源与响应机制工程化缺陷](/posts/2025/10/01/broadcom-vmware-zero-day-disclosure-failure-technical-analysis/)
- 日期: 2025-10-01T21:36:29+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 分析CVE-2025-41244零日漏洞的技术成因，揭示Broadcom安全响应机制在漏洞披露延迟、风险评估与公告完整性方面的系统性工程缺陷。

### [Broadcom未及时披露VMware零日漏洞的技术原因与安全响应机制失效分析](/posts/2025/10/01/broadcom-vmware-zero-day-disclosure-failure-analysis/)
- 日期: 2025-10-01T21:20:56+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 分析CVE-2025-41244长达一年的零日利用未被Broadcom及时披露的技术原因，揭示安全响应机制在工程实践层面的系统性失效。

### [Google CDC文件传输协议的零信任安全架构解析](/posts/2025/10/01/google-cdc-file-transfer-zero-trust-security/)
- 日期: 2025-10-01T20:38:31+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 深入分析Google CDC文件传输工具如何实现BeyondCorp零信任安全架构，包括端到端加密、基于身份的访问控制和持续信任评估机制。

### [ZFS加密根密钥丢失时的数据恢复工作流与备份策略](/posts/2025/10/01/zfs-encryptionroot-data-recovery-workflow/)
- 日期: 2025-10-01T18:52:15+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 深入分析ZFS encryptionroot加密架构，构建密钥丢失场景下的数据恢复工作流与多层级备份策略，提供具体技术参数与监控要点。

### [Google CDC文件传输协议的零信任安全架构分析](/posts/2025/10/01/google-cdc-file-transfer-zero-trust-security-architecture/)
- 日期: 2025-10-01T17:49:25+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 深入分析Google CDC文件传输协议在零信任原则下的安全架构，包括端到端加密、完整性验证和身份认证机制。

### [Google CDC文件传输协议的安全握手与差分同步机制](/posts/2025/10/01/google-cdc-secure-file-transfer-zero-trust/)
- 日期: 2025-10-01T14:17:45+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 深入分析Google CDC文件传输协议的安全架构，探讨基于FastCDC的差分同步算法和零信任认证机制，为企业级大规模文件传输提供安全最佳实践。

### [Google CDC文件传输工具的安全协议实现分析](/posts/2025/10/01/google-cdc-file-transfer-security-implementation/)
- 日期: 2025-10-01T11:33:16+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 深入分析Google CDC文件传输工具基于SSH/SFTP的安全架构，包括认证机制、加密传输和安全配置实践。

### [zlib Huffman 表畸形利用：触发 deflate 解码器缓冲区溢出实现代码执行](/posts/2025/09/30/zlib-huffman-table-exploit/)
- 日期: 2025-09-30T17:03:14+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨如何通过构造畸形 Huffman 表触发 zlib deflate 解码器的缓冲区溢出，实现代码执行。提供工程参数、监控要点与防护策略。

### [OAuth2 Proxy 中实现令牌内省端点与声明映射：安全头转发与基于角色的微服务访问](/posts/2025/09/30/implementing-token-introspection-and-claims-mapping-in-oauth2-proxy/)
- 日期: 2025-09-30T10:48:12+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 在 OAuth2 Proxy 中配置令牌内省端点和声明映射，实现安全头转发，支持微服务中的基于角色访问控制。提供工程参数和监控要点。

### [使用 Seccomp-BPF 限制 AI Agent 文件 I/O 操作的内核级沙箱](/posts/2025/09/30/implementing-seccomp-bpf-for-ai-agent-file-access-control/)
- 日期: 2025-09-30T08:47:51+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向 AI Agent 的文件访问安全，给出 Seccomp-BPF 配置文件示例、参数调优与监控策略，实现轻量级内核过滤而非完整容器化。

### [构建C2PA清单验证与篡改检测的媒体管道组件](/posts/2025/09/30/building-c2pa-manifest-validation-tamper-detection-components-for-media-pipelines/)
- 日期: 2025-09-30T08:03:41+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向AI生成图像/视频的来源验证，设计解析C2PA清单、验证签名并检测篡改的工程组件与关键参数。

### [Greptile 使用 seccomp 过滤器和命名空间实现 AI 代理的内核级隔离](/posts/2025/09/30/greptile-kernel-level-sandboxing-for-ai-agents/)
- 日期: 2025-09-30T01:18:06+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨 Greptile 在 AI 代理代码执行中采用内核级沙箱的安全实践，包括 seccomp 系统调用过滤和命名空间隔离，以防止权限提升和系统危害。

### [在 Kubernetes 中部署 oauth2-proxy 作为 Sidecar：集成 OIDC 与 Google/Azure 提供者，实现安全会话与 JWT 转发](/posts/2025/09/29/deploy-oauth2-proxy-sidecar-oidc-google-azure-secure-sessions-jwt-forwarding/)
- 日期: 2025-09-29T21:47:56+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 本文探讨如何将 oauth2-proxy 部署为 Kubernetes 应用的 sidecar，支持 OIDC 认证集成 Google 和 Azure 提供者。通过加密 cookies 管理安全会话，向上游服务转发 JWT claims，并处理 token 验证与撤销，提供可落地的配置参数和监控要点。

### [工程化浏览器扩展的启发式跟踪器阻断：以 Privacy Badger 为例](/posts/2025/09/29/engineering-heuristic-tracker-blocking-privacy-badger/)
- 日期: 2025-09-29T17:35:42+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 介绍如何工程化实现浏览器扩展，通过用户交互启发式学习阻断隐藏跟踪器，集成指纹防御和 Do Not Track 执行，避免依赖中心化列表，提供参数配置和监控要点。

### [基于JTAG的Supermicro AST2500 BMC固件提取与恶意软件检测](/posts/2025/09/29/jtag-firmware-extraction-supermicro-ast2500-bmc-malware-mitigation/)
- 日期: 2025-09-29T10:01:56+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对Supermicro AST2500 BMC的供应链感染风险，开发JTAG固件提取和硬件认证协议，实现不可移除恶意软件的检测与隔离，提供工程参数和监控要点。

### [嵌入式系统中 c-sigma 实现的轻量级 ZK 证明验证](/posts/2025/09/29/lightweight-zk-proof-verification-with-c-sigma-in-embedded-systems/)
- 日期: 2025-09-29T09:32:09+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对内存和周期受限的嵌入式设备，集成 c-sigma 库进行高效 Sigma 协议零知识验证，提供内存优化和实时参数配置。

### [通过 JTAG 逆向 ASPEED AST2500 BMC 固件感染：EEPROM 转储与安全重刷流程](/posts/2025/09/29/reverse-engineering-aspeed-ast2500-bmc-rootkit-recovery-via-jtag/)
- 日期: 2025-09-29T08:49:17+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对 Supermicro 服务器 ASPEED AST2500 BMC 的不可移除 rootkit，提供 JTAG 逆向工程、EEPROM 转储、签名检测及安全重刷的工程化指南，确保数据中心固件安全恢复。

### [使用 c-sigma 和 libsodium 在 C 中构建高效 Sigma 零知识证明](/posts/2025/09/29/building-efficient-sigma-zero-knowledge-proofs-c-libsodium/)
- 日期: 2025-09-29T05:31:18+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向高效零知识证明，给出 c-sigma 库与 libsodium 集成的工程化实现、参数配置与应用要点。

### [Metasploit 中 Ruby 模块化开发：动态载荷生成、规避绕过与链式后渗透](/posts/2025/09/29/metasploit-ruby-modular-development-dynamic-payloads-evasion-chaining/)
- 日期: 2025-09-29T04:47:29+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨 Metasploit 框架下 Ruby 模块的开发，聚焦动态 payload 生成、检测规避技术及异构环境下的后渗透链式操作，提供代码示例和工程参数。

### [SSH3 over HTTP/3 中的安全密钥交换与认证：利用 QUIC 实现前向保密](/posts/2025/09/28/secure-key-exchange-authentication-ssh3-http3-quic-forward-secrecy/)
- 日期: 2025-09-28T09:47:56+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 在高延迟网络中，SSH3 通过 QUIC 头实现高效的安全密钥交换和认证，利用 TLS 1.3 提供前向保密，无需额外 RTT。工程化参数包括握手超时阈值和认证令牌管理要点。

### [Postmark 邮件后门中恶意 MCP 的运行时扫描工程实践](/posts/2025/09/27/engineering-runtime-scanning-for-malicious-mcp-in-postmark-email-backdoors/)
- 日期: 2025-09-27T22:47:58+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对 Postmark 邮件服务中的 MCP 后门风险，提供运行时扫描策略、负载提取方法及协议钩子下的凭证保护参数配置。

### [通过增量更新和对象流不一致检测PDF伪造：数字取证工作流中的自动化链式保管验证](/posts/2025/09/27/detecting-pdf-forgeries-incremental-updates-object-streams/)
- 日期: 2025-09-27T12:02:19+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: PDF增量更新易被用于伪造签名，本文提供对象流分析检测方法及自动化验证参数，实现数字取证链式保管。

### [实现 GriffonAD 在 Active Directory 配置利用中的模块化部署](/posts/2025/09/27/implementing-griffonad-for-active-directory-exploitation/)
- 日期: 2025-09-27T06:32:24+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨 GriffonAD 工具在 AD 渗透测试中的应用，包括枚举、利用路径搜索与命令生成，提供工程化参数与检测规避策略。

### [使用 Valgrind 客户端请求检测加密代码的时序侧信道](/posts/2025/09/26/valgrind-client-requests-constant-time-detection/)
- 日期: 2025-09-26T21:17:55+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 通过 Valgrind 的客户端请求机制，跟踪条件分支和内存访问模式，实现加密代码的常时执行安全审计。提供工程化参数和监控要点。

### [Cloudflare Workers 中的 WebAssembly 沙箱：能力隔离实现安全边缘计算](/posts/2025/09/26/webassembly-sandboxing-in-cloudflare-workers-capability-isolation-for-secure-edge-computing/)
- 日期: 2025-09-26T16:46:34+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 利用 WebAssembly 和 WASI 在 Cloudflare Workers 中实现沙箱隔离，缓解代码注入风险，提供最小特权执行的工程参数与监控要点。

### [欧盟 ChatControl 下端到端加密消息应用的客户端 CSAM 扫描管道实现：感知哈希与密钥托管](/posts/2025/09/26/implementing-client-side-scanning-pipelines-for-csam-detection-in-e2ee-messaging-under-eu-chatcontrol/)
- 日期: 2025-09-26T15:46:59+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 在欧盟 ChatControl 法规下，探讨端到端加密消息应用中客户端侧 CSAM 检测管道的工程实现，使用感知哈希与密钥托管机制，提供参数配置与监控要点。

### [Unitree 机器人固件中实现安全的 WiFi 隔离和命令验证以阻挡舰队远程接管漏洞](/posts/2025/09/26/secure-wifi-isolation-and-command-validation-in-unitree-robot-firmware-to-block-fleet-takeover-exploits/)
- 日期: 2025-09-26T11:01:44+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对 Unitree 机器人舰队同步协议的远程接管漏洞，本文探讨固件级 WiFi 隔离与命令验证的安全实施，包括配置参数、验证流程及监控要点，帮助开发者构建更安全的多机器人系统。

### [PDF伪造检测：提取嵌入签名与元数据时间戳交叉验证的取证实践](/posts/2025/09/26/pdf-forgery-detection-extracting-embedded-signatures-and-cross-verifying-metadata-timestamps-in-forensics/)
- 日期: 2025-09-26T10:01:55+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 在数字取证调查中，提取PDF嵌入式数字签名并交叉验证元数据时间戳是检测文档篡改的关键方法。本文提供工程化参数、工具清单和监控要点，帮助识别伪造迹象。

### [OpenZeppelin 可升级代理与基于角色的访问控制在 Solidity 中的工程实践](/posts/2025/09/26/engineering-upgradeable-proxies-with-rbac-in-openzeppelin-for-secure-defi/)
- 日期: 2025-09-26T09:01:58+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向 DeFi 合约，给出 OpenZeppelin 可升级代理结合 RBAC 的安全实现参数与升级清单。

### [Cloudflare Email Routing 中的边缘 DKIM/SPF 签名验证：实现无后端防伪造投递](/posts/2025/09/26/edge-based-dkim-spf-signature-verification-in-cloudflare-email-routing-for-spoofing-resistant-delivery/)
- 日期: 2025-09-26T07:20:06+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨 Cloudflare Email Routing 如何通过边缘计算验证 DKIM 和 SPF 签名，阻挡伪造邮件，实现无需后端认证服务器的安全邮件转发。提供配置参数、监控要点与风险缓解策略。

### [Cisco IOS XE 零日管理员绕过漏洞防护：零信任认证与运行时监控工程实践](/posts/2025/09/25/engineering-zero-trust-for-cisco-ios-xe-zero-day-admin-exploit/)
- 日期: 2025-09-25T22:49:51+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对 Cisco IOS XE 管理员接口零日认证绕过漏洞，提供零信任认证机制和运行时监控策略的工程实现指南，包括可落地参数和规模化部署要点。

### [GrapheneOS 中 hardened_malloc 的每堆隔离设计：守卫区域、完整性检查与分配器分区](/posts/2025/09/24/grapheneos-hardened-malloc-per-heap-isolation/)
- 日期: 2025-09-24T22:02:25+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 在 GrapheneOS 中，hardened_malloc 通过每堆隔离设计防范堆基攻击，给出守卫区域配置、完整性检查机制与分配器分区参数。

### [利用 MCP 认证绕过实现 AI CLI 中的 RCE：Claude Code 的 token 验证与沙箱防护](/posts/2025/09/24/exploiting-mcp-auth-bypass-rce-ai-clis-claude-code/)
- 日期: 2025-09-24T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨 MCP 协议在 Claude Code 等 AI CLI 中的认证绕过漏洞如何导致 RCE，并提供 token 验证、沙箱隔离的工程化参数与实施清单。

### [在 GrapheneOS 中实现 hardened_malloc 的每堆隔离、防护区和完整性检查](/posts/2025/09/24/implementing-per-heap-isolation-guard-regions-integrity-checks-hardened-malloc-grapheneos/)
- 日期: 2025-09-24T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨 GrapheneOS 中 hardened_malloc 的实现，包括每堆隔离、防护区和完整性检查机制，以缓解资源受限移动设备上的堆利用攻击。提供工程化参数和监控要点。

### [MCP 协议的安全令牌验证与沙箱隔离：防范 AI CLI RCE](/posts/2025/09/24/secure-mcp-token-validation-sandboxing/)
- 日期: 2025-09-24T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 基于能力的认证机制和沙箱会话隔离在 MCP 协议中的工程实现，针对 AI CLI 如 Claude Code 和 Gemini 的 RCE 风险提供防御策略。

### [使用SEAL库在Python中实现基础BGV同态加密：简单加乘电路的参数选择](/posts/2025/09/23/basic-bgv-scheme-seal-python-implementation/)
- 日期: 2025-09-23T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 通过SEAL的Python绑定，介绍BGV方案在简单加法和乘法电路上的参数配置与实现，避免噪声深度分析，提供工程化入门指南。

### [使用SEAL构建最小BGV全同态加密原型](/posts/2025/09/23/building-a-minimal-bgv-fhe-prototype-with-seal/)
- 日期: 2025-09-23T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 基于FHE初学者教材，介绍BGV方案核心概念，并使用SEAL库实现加密算术运算的简单原型。

### [实现Claude Code的细粒度HTTP过滤：精确控制AI代理的网络访问权限与目标域名](/posts/2025/09/23/claude-code-http-filtering-fine-grained-control/)
- 日期: 2025-09-23T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向Claude Code AI代理，提供细粒度HTTP过滤的工程化实现方案，涵盖方法、扩展名、头信息与签名的精确控制。

### [Demystifying Lattice-Based FHE: Step-by-Step Simplified Proofs of LWE Hardness and Basic Encryption Schemes](/posts/2025/09/23/demystifying-lattice-based-fhe-step-by-step-simplified-proofs-of-lwe-hardness-and-basic-encryption-schemes/)
- 日期: 2025-09-23T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 通过简化证明和基本方案，介绍LWE硬度与基于格的全同态加密的核心概念，为工程直觉提供基础。

### [LWE硬度证明与基础FHE加密方案的逐步推导](/posts/2025/09/23/deriving-lwe-hardness-proofs-basic-fhe-schemes/)
- 日期: 2025-09-23T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 逐步推导LWE硬度证明和基础全同态加密方案，用于AI管道中无 bootstrapping 开销的隐私保护计算。

### [开发者视角：全同态加密核心概念与工程实现路径指南](/posts/2025/09/23/fhe-developer-guide-concepts-implementation/)
- 日期: 2025-09-23T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 避开纯数学推导，为开发者梳理FHE四大主流方案选型、噪声管理参数与硬件加速落地要点。

### [高危场所IMSI捕手干扰缓解协议：联合国安全保障工程剖析](/posts/2025/09/23/imsi-catcher-jamming-mitigation-protocols-for-high-profile-locations/)
- 日期: 2025-09-23T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对IMSI捕手设备在联合国等高影响力场所的蜂窝网络干扰风险，提供工程化取证分析与缓解策略，包括信号异常检测、运营商级监控参数及终端防护清单。

### [Python 中 CKKS 方案的实际实现：噪声管理和密钥切换](/posts/2025/09/23/practical-ckks-implementation-python-noise-management-key-switching/)
- 日期: 2025-09-23T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向初学者，给出 CKKS 方案在 Python 中的步步实现，应对噪声管理和密钥切换的工程挑战。

### [Python中CKKS方案的逐步实现：噪声管理和密钥切换](/posts/2025/09/23/step-by-step-ckks-implementation-python-noise-management-key-switching/)
- 日期: 2025-09-23T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 为初学者FHE开发者提供CKKS方案在Python中的实用实现指南，重点处理噪声管理和密钥切换挑战，包括TenSEAL库的使用和参数调优。

### [实施防御性 NPM 包管理：审计、锁定与最小权限策略](/posts/2025/09/22/defensive-npm-supply-chain-practices/)
- 日期: 2025-09-22T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 通过 lockfile-lint、--ignore-scripts 与最小权限 CI 配置，构建可落地的 NPM 供应链防御体系。

### [eSIM隐私与安全风险剖析：运营商与设备商的工程化防护清单](/posts/2025/09/22/esim-privacy-security-risks-engineering-mitigations/)
- 日期: 2025-09-22T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 聚焦eSIM芯片级漏洞、空口传输风险与国家级攻击面，给出运营商双重认证、端到端加密、配置清理等可落地工程策略。

### [构建支持后台代理与权限委托的安全 GUI 运行时：基于 Tauri 的进程沙箱与 IPC 通信隔离](/posts/2025/09/21/building-secure-gui-agent-runtime-with-tauri-isolation/)
- 日期: 2025-09-21T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向多代理并发场景，给出基于 Tauri 框架实现 GUI 运行时进程隔离、IPC 安全通信与细粒度权限委托的工程化配置清单与监控要点。

### [为 Claude Code 代理设计安全运行时：进程隔离与权限控制四层防护](/posts/2025/09/21/claude-code-secure-agent-runtime/)
- 日期: 2025-09-21T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 详解 Claude Code 代理的四层安全运行时机制：进程隔离、细粒度权限、沙箱执行与资源限制，提供可落地的配置参数与监控清单。

### [在通用CPU上实现Scream流密码的常数时间版本：规避缓存侧信道攻击的工程实践](/posts/2025/09/21/constant-time-scream-cipher-implementation/)
- 日期: 2025-09-21T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 聚焦Scream流密码在x86通用CPU上的常数时间工程实现，详解如何通过消除数据依赖分支与统一内存访问模式，构建物理安全的密码学原语。

### [流密码恒定时间实现：规避侧信道的工程化三原则与检查清单](/posts/2025/09/21/constant-time-stream-cipher-implementation/)
- 日期: 2025-09-21T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 剖析流密码软件实现中恒定时间的核心原则，提供无分支、无数据依赖查表、恒定比较三原则及工程检查清单，有效防御时序与缓存侧信道攻击。

### [利用DNS TXT记录实现图像隐写：编码方案、传输参数与隐蔽信道监控](/posts/2025/09/21/dns-txt-record-image-steganography-parameters-and-monitoring/)
- 日期: 2025-09-21T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 详解如何利用DNS TXT记录的宽松限制，通过Base64或十六进制编码传输图像，提供可落地的分块策略、超时参数与隐蔽信道检测清单。

### [剖析Scream流密码：轻量级设计与抗侧信道攻击实现](/posts/2025/09/21/scream-efficient-software-stream-cipher/)
- 日期: 2025-09-21T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 解析Scream流密码的核心设计，包括其轮函数、密钥调度与S盒构造，提供可落地的实现参数与安全监控要点。

### [为 Claude Code GUI 代理实现进程隔离与权限控制：opcode 实践指南](/posts/2025/09/21/securing-claude-code-gui-agents-with-opcode/)
- 日期: 2025-09-21T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 结合 opcode 的 Tauri/Rust 架构与 Claude Code 的 6 层安全模型，提供一份可落地的 GUI 代理安全配置清单，防止数据泄露与越权操作。

### [流密码常数时间实现工程指南：规避侧信道攻击的参数与清单](/posts/2025/09/21/stream-cipher-constant-time-implementation-guide/)
- 日期: 2025-09-21T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 提供一套可操作的工程化清单与参数阈值，指导开发者为流密码实现恒定时间特性，有效防御计时侧信道攻击。

### [剖析 Unicode 组合字符混淆：原理、检测与防御实战指南](/posts/2025/09/21/unicode-combining-characters-obfuscation-detection-and-defense/)
- 日期: 2025-09-21T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 深入解析利用 Unicode 组合字符实现文本混淆的技术原理，提供可落地的检测方法与防御策略清单。

### [Android 构建管道中的开发者 ID 验证工程化：签名强制与恶意软件扫描](/posts/2025/09/20/android-developer-id-verification-pipelines/)
- 日期: 2025-09-20T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对 Android 新开发者验证政策，在构建管道中集成 ID 验证、应用签名强制执行及恶意软件扫描，降低侧载风险，提供工程化参数与监控清单。

### [部署 WebGoat 作为 Spring Boot 漏洞应用模拟 OWASP Top 10 攻击，并在 CI/CD 中集成安全编码培训](/posts/2025/09/20/deploy-webgoat-as-spring-boot-vulnerable-app-for-owasp-top-10-simulation-and-ci-cd-integration/)
- 日期: 2025-09-20T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 介绍如何部署 WebGoat 故意漏洞 Spring Boot 应用，用于模拟 OWASP Top 10 攻击，并集成到 CI/CD 管道中实现自动化漏洞扫描和安全培训。

### [基于 Ruby Central 攻击的 RubyGems 事件响应：自动化篡改检测与 CI/CD 签名验证](/posts/2025/09/20/engineering-forensic-pipelines-for-rubygems-incident-response-post-ruby-central-attack/)
- 日期: 2025-09-20T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对 Ruby Central 攻击后的 RubyGems 供应链事件，提供工程化响应管道设计，包括自动化 gem 篡改检测、CI/CD 签名验证及审计跟踪策略，确保快速恢复与威胁缓解。

### [实现 RubyGems Gem 签名验证与审计管道：防范供应链攻击的工程实践](/posts/2025/09/20/implement-gem-signing-verification-audit-pipelines-rubygems-supply-chain-security/)
- 日期: 2025-09-20T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向 RubyGems 生态，详细给出 gem 签名验证的配置步骤、审计工具集成与监控参数，帮助开发者构建安全的依赖管理流程。

### [在 Notion 类系统中实现运行时监控和输入验证，防范 AI 代理的网络搜索工具滥用导致数据外泄](/posts/2025/09/20/implement-runtime-monitoring-input-validation-ai-agents-prevent-data-exfiltration-notion/)
- 日期: 2025-09-20T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 针对类似 Notion 的 AI 代理系统，给出运行时监控和输入验证的工程化实现参数与防范要点，确保网络搜索工具不被滥用导致数据外泄。

### [为 Notion AI 代理构建运行时防护：输入验证与数据防泄露参数清单](/posts/2025/09/20/notion-ai-agent-runtime-guardrails/)
- 日期: 2025-09-20T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向 Notion AI 代理的 MCP 工具调用，提供一套可立即部署的运行时监控参数与验证清单，防止恶意指令导致的数据外泄。

### [通过本地优先与最小插件原则，构筑 Obsidian 供应链攻击防御体系](/posts/2025/09/20/obsidian-local-first-supply-chain-defense/)
- 日期: 2025-09-20T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 详解如何利用 Obsidian 本地优先架构与安全模式，通过插件最小化、网络隔离与审计验证，系统性降低软件供应链攻击风险。

### [为Claude Code后台代理设计进程隔离与细粒度权限控制](/posts/2025/09/20/process-isolation-and-permission-control-for-claude-code-agents/)
- 日期: 2025-09-20T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向Claude Code后台代理，提供进程隔离、权限控制、资源限制与审计日志的工程化参数与安全检查清单，防止工具滥用与数据泄露。

### [为 Notion 类 AI 代理设计运行时防护层：拦截恶意提示注入与数据外泄路径](/posts/2025/09/20/runtime-guardrails-for-notion-ai-agents/)
- 日期: 2025-09-20T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 面向 Notion 类 AI 代理，设计运行时防护层，实现输入验证与工具调用审计，拦截恶意提示注入与数据外泄路径。

### [用 Rust 开发内核模块实现运行时信任度量：IMA 集成与 eBPF 钩子](/posts/2025/09/19/developing-rust-kernel-modules-for-runtime-trust-measurement-ima-integration-and-ebpf-hooks/)
- 日期: 2025-09-19T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 利用 Rust 内核模块结合 IMA 和 eBPF，实现高效的运行时信任跟踪与安全引导验证，提供工程化参数与实现要点。

### [通过恢复密钥工程化 macOS FileVault 加密卷的 SSH 远程访问](/posts/2025/09/19/engineering-remote-ssh-access-to-filevault-encrypted-macos-volumes/)
- 日期: 2025-09-19T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨在 macOS 恢复模式下启用 SSH 访问，使用恢复密钥解锁 FileVault 加密卷，实现安全与可用性的平衡，而无需完全解密。

### [在Rust内核模块中实现Landlock：基于能力的文件系统沙盒化](/posts/2025/09/19/implement-landlock-in-rust-kernel-modules-for-capability-based-filesystem-sandboxing/)
- 日期: 2025-09-19T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 使用Rust内核模块集成Landlock，实现多进程文件系统隔离的工程参数与监控要点。

### [集成 pnpm 新严格设置：安装时包篡改检测，结合 npm audit 和 Sigstore 阻挡 monorepo 供应链攻击](/posts/2025/09/19/integrate-pnpm-new-strict-setting-install-time-package-tampering-detection-monorepos/)
- 日期: 2025-09-19T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 探讨 pnpm v10 新增的严格构建设置，用于安装时检测包篡改，结合 npm audit 漏洞扫描和 Sigstore 溯源验证，在 monorepo 中构建多层供应链安全防护。

### [RubyGems 供应链安全：漏洞利用与缓解策略](/posts/2025/09/19/ruby-gems-supply-chain-security-vulnerability-mitigation/)
- 日期: 2025-09-19T20:46:50+08:00
- 分类: [ai-security](/categories/ai-security/)
- 摘要: 分析 RubyGems 的供应链风险，聚焦漏洞利用方式、缓解措施以及通过 gem 签名提升依赖管理的安全性。