# 分类：security

> 该分类下的文章按时间倒序排列，便于按主题继续深挖。

## 页面摘要
- 路径: /categories/security/page/5/
- 当前页: 5 / 7
- 文章总数: 526
- 当前页文章数: 80

## 快速导航
- [首页](/)
- [分类索引](/categories/)
- [归档索引](/archive/)

## 本页文章
### [Monty 安全沙箱：Rust 实现的导入限制与参数白名单工程实践](/posts/2026/02/10/monty-secure-sandbox-engineering-import-restrictions-parameter-whitelisting-rust/)
- 日期: 2026-02-10T17:16:05+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Pydantic Monty 安全沙箱中导入限制与参数白名单的工程实现，探讨其 Rust 隔离机制如何为 AI 生成代码提供微秒级安全执行环境。

### [LiteBox中ARM MPK/MTE硬件隔离原语的参数配置与工程实现](/posts/2026/02/10/parameter-configuration-and-engineering-implementation-of-arm-mpk-mte-hardware-isolation-primitives-in-litebox/)
- 日期: 2026-02-10T17:04:58+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析微软LiteBox安全库OS中集成ARM内存保护密钥(MPK)与内存标签扩展(MTE)的硬件隔离参数配置、性能开销量化及零信任内存保护的工程实现细节。

### [Monty 安全沙箱的参数白名单与导入限制机制](/posts/2026/02/10/monty-secure-sandbox-parameter-whitelist/)
- 日期: 2026-02-10T14:16:02+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Pydantic Monty 的安全沙箱设计，探讨参数白名单与导入限制在 Rust 实现的 Python 子集解释器中的工程权衡与安全边界。

### [Shannon 确定性状态机：约束 AI 自主攻击行为的工程实践](/posts/2026/02/10/shannon-deterministic-state-machine-exploit-discovery/)
- 日期: 2026-02-10T12:16:00+08:00
- 分类: [security](/categories/security/)
- 摘要: 剖析 Shannon 如何通过四阶段确定性状态机约束 AI 自主渗透测试行为，实现可重现的漏洞利用发现与零误报报告。

### [Shannon AI渗透测试中的确定性状态机：如何通过状态转换与证据链验证实现96.15%成功率与极低误报](/posts/2026/02/10/deterministic-state-machine-in-shannon-ai-penetration-testing/)
- 日期: 2026-02-10T09:16:02+08:00
- 分类: [security](/categories/security/)
- 摘要: 本文深入剖析Shannon AI渗透测试工具内部的核心机制——隐式确定性状态机，解析其如何通过严格的状态转换规则与证据链验证流程，将误报率控制在5%以下，并在XBOW Benchmark中实现96.15%的成功率。

### [Pydantic Monty 安全沙箱：参数白名单与导入限制的工程实现](/posts/2026/02/10/pydantic-monty-secure-sandbox-parameter-whitelist-import-restrictions-implementation/)
- 日期: 2026-02-10T09:01:03+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析Pydantic Monty安全沙箱的参数白名单机制与导入限制实现，包括双重白名单设计、Rust静态分析与运行时检查技术，以及可落地的安全参数配置。

### [Pydantic Monty 安全沙箱：参数白名单与导入限制的 Rust 工程实现](/posts/2026/02/10/pydantic-monty-secure-sandbox-parameter-whitelist-and-import-restrictions/)
- 日期: 2026-02-10T08:46:01+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Pydantic Monty 如何通过 Rust 实现的参数白名单（inputs/external_functions）与硬编码导入限制，为 AI 代码执行构建细粒度安全沙箱，并提供可落地的配置参数与监控清单。

### [Monty 安全沙箱：参数白名单与导入限制的工程实现与零信任设计](/posts/2026/02/10/monty-secure-sandbox-parameter-whitelist-import-restrictions-engineering/)
- 日期: 2026-02-10T07:02:21+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Monty 安全沙箱中参数白名单与导入限制的工程实现细节，对比传统 Python 沙箱的权限逃逸风险，提供可落地的防御性编码实践与监控参数。

### [钨供应链安全：半导体与国防工业的工程‘断点’与多元化路径](/posts/2026/02/10/tungsten-supply-chain-semiconductor-defense-engineering-impacts-diversification/)
- 日期: 2026-02-10T05:46:44+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析中国主导的钨供应链如何成为美国半导体与国防工业的单一故障点，探讨WF6依赖、生产中断风险，以及从库存管理、材料替代到产能重建的工程化应对策略。

### [Let's Encrypt EKU 变更对 XMPP 服务器联邦互通的影响与应对策略](/posts/2026/02/10/lets-encrypt-eku-changes-xmpp-s2s-compatibility/)
- 日期: 2026-02-10T05:16:03+08:00
- 分类: [security](/categories/security/)
- 摘要: Let's Encrypt 2026 年 2 月起移除 TLS Client Authentication EKU，导致 XMPP 服务器间连接面临兼容性危机。本文分析影响范围、服务器软件兼容性及自动化证书管理方案。

### [Discord 强制面部扫描/ID 验证：隐私与安全的工程权衡](/posts/2026/02/10/discord-age-verification-privacy-security/)
- 日期: 2026-02-10T04:31:04+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 Discord 2026年3月推出的全球年龄验证系统，探讨面部年龄估计、设备端数据处理、零信任架构实践及可落地的技术监控要点。

### [剖析Ivanti EPMM休眠后门：持久化机制与零信任检测盲区](/posts/2026/02/10/ivanti-epmm-sleeper-backdoors-persistence-zero-trust-detection/)
- 日期: 2026-02-10T04:16:02+08:00
- 分类: [security](/categories/security/)
- 摘要: 深度解析Ivanti EPMM CVE-2025-4427/4428漏洞利用链，揭示攻击者如何在Tomcat中植入休眠监听器后门，以及在零信任架构下的隐蔽检测挑战与可落地检测参数。

### [Linux命名空间、seccomp-bpf与cgroups构建AI代理沙箱的工程实践](/posts/2026/02/09/linux-namespaces-seccomp-cgroups-ai-agent-sandbox/)
- 日期: 2026-02-09T22:08:20+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析如何使用Linux三大原生隔离机制为AI代理构建轻量级沙箱，包含可落地的配置参数、防御策略与监控要点。

### [Monty 安全沙箱工程实践：参数白名单与导入限制防御 AI 代码注入](/posts/2026/02/09/monty-secure-sandbox-parameter-whitelist-import-restrictions-engineering/)
- 日期: 2026-02-09T21:30:47+08:00
- 分类: [security](/categories/security/)
- 摘要: 本文深入剖析 Pydantic Monty 安全沙箱中参数白名单与导入限制机制的具体实现，提供可落地的配置参数与监控清单，帮助开发者构建防御 AI 生成代码注入的可靠屏障。

### [基于Linux命名空间、seccomp BPF和cgroups的AI Agent沙箱隔离实战](/posts/2026/02/09/linux-namespaces-seccomp-cgroups-ai-agent-sandbox-isolation/)
- 日期: 2026-02-09T20:26:50+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析Linux内核隔离技术栈（namespaces、seccomp BPF、cgroups v2）与matchlock microVM沙箱的结合，为AI Agent提供多层次安全执行环境。

### [Vouch Proxy 零信任身份联邦：OIDC/JWT 实现深度解析](/posts/2026/02/09/zero-trust-identity-federation-vouch-proxy-oidc/)
- 日期: 2026-02-09T20:26:50+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Vouch Proxy 如何通过 OIDC/JWT 实现零信任身份联邦，探讨代理验证、令牌刷新和安全传输的工程实现细节。

### [Shannon自主漏洞发现工作流编排引擎：多阶段管道化设计与状态管理](/posts/2026/02/09/shannon-autonomous-exploit-discovery-workflow/)
- 日期: 2026-02-09T20:17:51+08:00
- 分类: [security](/categories/security/)
- 摘要: 解析Shannon如何利用Temporal构建自主AI渗透测试的编排引擎，涵盖5阶段管道化工作流、Git状态隔离、错误分类重试与可观测性设计。

### [Vouch Proxy 零信任身份联邦网关的 OIDC 与 JWT 实现解析](/posts/2026/02/09/vouch-proxy-zero-trust-identity-federation-oidc-jwt-implementation/)
- 日期: 2026-02-09T18:45:47+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 Vouch Proxy 作为零信任架构身份联邦网关的核心实现，涵盖 JWT 验证流程、OIDC 集成机制与跨域安全传输的工程实践。

### [Roundcube SVG feImage绕过：邮件追踪防护的技术盲点与检测方案](/posts/2026/02/09/roundcube-svg-feimage-bypass-email-tracking-protection/)
- 日期: 2026-02-09T15:01:18+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析Roundcube SVG feImage漏洞绕过邮件追踪防护的技术原理，提供实时检测规则与防护参数配置

### [跨域JWT令牌的安全代理传输与轮换策略](/posts/2026/02/09/jwt-cross-domain-validation-security/)
- 日期: 2026-02-09T11:15:34+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析Vouch Proxy与Nginx代理层的JWT跨域验证、刷新与密钥轮换机制，提供工程化的安全配置参数与实战代码。

### [确定性状态机驱动的误报控制：Shannon安全扫描的核心算法](/posts/2026/02/09/deterministic-state-machine-false-positive-control-shannon/)
- 日期: 2026-02-09T11:00:44+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析Shannon项目如何通过确定性状态机模型控制误报率，涵盖状态转换规则、验证链路设计与工程化参数配置。

### [JWT 跨域验证与自动刷新代理的工程化实现](/posts/2026/02/09/jwt-cross-domain-validation-refresh-proxy-implementation/)
- 日期: 2026-02-09T08:05:38+08:00
- 分类: [security](/categories/security/)
- 摘要: 围绕 JWT 跨域场景，设计代理层处理 CORS 预检、自动刷新令牌生命周期，并给出可落地的安全传输参数与监控阈值。

### [Litebox 硬件隔离实战：ARM POE/MTE 参数配置指南](/posts/2026/02/09/litebox-arm-poe-mte-hardware-isolation/)
- 日期: 2026-02-09T08:00:38+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 ARM 平台的 Permission Overlay Extension (POE) 与 Memory Tagging Extension (MTE) 的硬件参数，并探讨 Litebox 库操作系统在零信任内存隔离场景下的配置策略。

### [LiteBox的零信任内存隔离：ARM MPK与MTE硬件原语工程实践](/posts/2026/02/09/litebox-zero-trust-memory-isolation-arm-mpk-mte-hardware-primitives/)
- 日期: 2026-02-09T07:15:42+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析微软LiteBox如何利用ARM MPK内存保护密钥和MTE内存标签扩展，构建硬件强制的零信任内存隔离层。从南北向架构设计到密钥分配、标签管理，提供可落地的工程参数与监控要点。

### [Vouch Proxy 的 JWT 令牌跨域验证、刷新策略与安全传输机制](/posts/2026/02/09/vouch-proxy-jwt-cross-domain-validation-refresh-and-security-transmission/)
- 日期: 2026-02-09T06:45:42+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Vouch Proxy 如何通过 OIDC/JWT 实现零信任身份联邦，重点设计 JWT 令牌的跨域验证、刷新策略与安全传输机制，提供可落地的工程参数与监控清单。

### [VS Code Copilot 子代理计费绕过漏洞：攻击路径与修复方案](/posts/2026/02/09/vs-code-copilot-subagent-billing-bypass/)
- 日期: 2026-02-09T06:15:41+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Microsoft VS Code Copilot Chat 中通过子代理组合绕过计费的攻击路径，并探讨权限边界与资源配额隔离的工程化修复策略。

### [Vouch Proxy 零信任身份联邦：OIDC/JWT 签发验证与多租户配置](/posts/2026/02/09/vouch-proxy-zero-trust-identity-federation-oidc-jwt/)
- 日期: 2026-02-09T05:15:45+08:00
- 分类: [security](/categories/security/)
- 摘要: 拆解 Vouch Proxy 的 OIDC/JWT 零信任身份联邦实现，深入分析 JWT 签发验证链、会话管理策略以及多租户场景下的密钥轮换配置。

### [利用 Linux 原语构建 AI Agent 沙箱：Matchlock 隔离机制深度剖析](/posts/2026/02/09/matchlock-linux-sandbox-isolation-ai-agents/)
- 日期: 2026-02-09T02:45:46+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Matchlock 如何利用 Linux 命名空间、seccomp-bpf 和 cgroups 为 AI Agent 工作负载构建细粒度、可配置的沙箱隔离层，并探讨其资源配额与安全策略的动态调整机制。

### [Matchlock 沙箱对 AI Agent 工作负载的细粒度隔离方案](/posts/2026/02/09/matchlock-sandbox-ai-agent-isolation/)
- 日期: 2026-02-09T02:00:40+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入探讨 Matchlock 如何利用 Linux 命名空间、seccomp-bpf 和 cgroups 技术，为 AI Agent 工作负载构建防御纵深的细粒度隔离方案。

### [Shannon 确定性状态机的误报控制机制：状态转换、证据链与阈值调优工程实践](/posts/2026/02/09/shannon-deterministic-state-machine-false-positive-control/)
- 日期: 2026-02-09T01:30:44+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Shannon AI 渗透测试工具中确定性状态机的实现机制，涵盖状态转换规则、证据链追踪与决策阈值调优的工程实践。

### [Matchlock：利用 Linux 命名空间与 seccomp 构建 AI 代理轻量级沙箱](/posts/2026/02/09/matchlock-linux-sandbox-ai-agents/)
- 日期: 2026-02-09T00:45:27+08:00
- 分类: [security](/categories/security/)
- 摘要: 面向 AI 代理工作负载，Matchlock 如何利用 Linux 命名空间、seccomp 与 Firecracker microVM 构建轻量级、安全的沙箱环境，提供秒级启动、密钥注入与网络隔离。

### [探索 Litebox 与硬件级内存隔离：MPK 与 MTE 的协同防御](/posts/2026/02/09/litebox-hardware-memory-isolation-mpk-mte/)
- 日期: 2026-02-09T00:26:24+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Microsoft Litebox 如何利用 Intel MPK 与 ARM MTE 硬件特性，构建内核态与用户态之间的零信任内存隔离屏障，探讨其工程实现策略。

### [剖析微软Litebox利用MPK与MTE构建零信任内存隔离层的工程实践](/posts/2026/02/09/litebox-hardware-isolation-mpk-mte-parameters/)
- 日期: 2026-02-09T00:05:48+08:00
- 分类: [security](/categories/security/)
- 摘要: 剖析微软Litebox如何利用MPK与MTE硬件特性构建零信任内存隔离层，并给出内核态与用户态安全执行环境的工程参数与监控要点。

### [Matchlock 与 Linux 原生隔离：AI 代理沙箱的性能与安全权衡](/posts/2026/02/09/matchlock-linux-sandbox-isolation-ai-agent/)
- 日期: 2026-02-09T00:00:48+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 Matchlock 如何在 Linux 命名空间、seccomp-bpf 和 cgroups 上构建细粒度沙箱，并与 Firecracker 等微虚拟机方案进行工程权衡与性能开销的量化对比。

### [Monty安全沙箱：基于参数白名单的AI代码注入防御实践](/posts/2026/02/08/monty-secure-sandbox-parameter-whitelist-ai-code-injection-defense/)
- 日期: 2026-02-08T22:36:52+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析Monty Python解释器的安全架构，探讨基于参数白名单的系统调用过滤与模块访问控制机制，为AI生成的代码提供细粒度安全防护。

### [Shannon 确定性状态机设计：如何实现 96.15% 成功率与零误报控制](/posts/2026/02/08/shannon-deterministic-state-machine-false-positive-control/)
- 日期: 2026-02-08T22:00:46+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Shannon AI 渗透测试工具的五状态确定性状态机设计，探讨状态转换规则、证据链验证机制与 No Exploit-No-Report 策略的工程实现。

### [基于微虚拟机的 AI 代理沙箱：Matchlock 的隔离架构解析](/posts/2026/02/08/matchlock-microvm-ai-agent-sandbox-isolation/)
- 日期: 2026-02-08T20:45:39+08:00
- 分类: [security](/categories/security/)
- 摘要: 剖析 Matchlock 如何利用 Firecracker 微虚拟机与透明代理技术实现 AI 代理的硬件级沙箱隔离，并设计资源配额与逃逸检测机制。

### [基于Linux命名空间、Seccomp-BPF与Cgroups的AI Agent沙箱细粒度隔离实现](/posts/2026/02/08/fine-grained-isolation-for-ai-agent-sandbox-with-linux-namespaces-seccomp-bpf-and-cgroups/)
- 日期: 2026-02-08T20:30:41+08:00
- 分类: [security](/categories/security/)
- 摘要: 本文深入探讨如何组合Linux内核的命名空间、Seccomp-BPF系统调用过滤与控制组（cgroups）技术，为AI Agent构建一个强隔离、资源可控的沙箱环境。内容涵盖技术原理、具体配置参数、潜在风险与工程实践要点。

### [状态机驱动的误报控制：Shannon如何实现96.15%成功率的自动化漏洞挖掘](/posts/2026/02/08/shannon-state-machine-false-positive-control/)
- 日期: 2026-02-08T20:26:50+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析Shannon自动化渗透测试工具中状态机工作流的工程实现，以及如何通过严格的状态转换条件将误报率控制在极低水平。

### [Matchlock深度解析：Linux沙箱化AI代理的底层机制与实战配置](/posts/2026/02/08/matchlock-linux-sandbox-ai-agents/)
- 日期: 2026-02-08T19:45:51+08:00
- 分类: [security](/categories/security/)
- 摘要: 本文深入分析了Matchlock如何组合Linux命名空间、cgroup与seccomp-bpf构建细粒度执行沙箱，并给出资源配额与网络白名单的实战配置策略。

### [用 Matchlock 实现 AI 代理的 Linux 沙箱化：微虚拟机与安全隔离实战](/posts/2026/02/08/matchlock-ai-agent-linux-sandbox/)
- 日期: 2026-02-08T19:00:43+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 Matchlock 如何利用 Linux 命名空间、控制组与 seccomp-bpf 构建细粒度沙箱，实现 AI 代理的资源隔离、机密注入与网络管控。

### [Linux 沙箱隔离 AI 代理：命名空间、cgroups 与 seccomp 实战](/posts/2026/02/08/linux-sandboxing-ai-agents/)
- 日期: 2026-02-08T18:30:41+08:00
- 分类: [security](/categories/security/)
- 摘要: 基于 Linux 命名空间、cgroup 和 seccomp 的轻量级沙箱设计，详解如何隔离 AI 代理的系统调用与资源访问，防止逃逸与横向移动。

### [Trivy CI/CD缓存策略与增量报告生成机制优化](/posts/2026/02/08/trivy-ci-cd-cache-incremental-report-optimization/)
- 日期: 2026-02-08T17:15:43+08:00
- 分类: [security](/categories/security/)
- 摘要: 针对大规模容器镜像扫描场景，深入解析Trivy在CI/CD流水线中的缓存策略设计与增量报告生成机制，提供可落地的工程参数与监控清单。

### [用 Vouch Proxy、OIDC 与 JWT 实现零信任身份联邦工程化](/posts/2026/02/08/vouch-proxy-zero-trust-identity-federation-oidc-jwt/)
- 日期: 2026-02-08T16:45:48+08:00
- 分类: [security](/categories/security/)
- 摘要: 面向 Nginx 部署，详解如何通过 Vouch Proxy 实现基于 OIDC 与 JWT 的零信任身份联邦代理，涵盖配置、细粒度访问控制与跨域会话管理。

### [Vouch Proxy 零信任身份联邦：基于 OIDC 的 JWT 令牌交换与跨域会话同步机制](/posts/2026/02/08/vouch-proxy-zero-trust-identity-federation-oidc-jwt-implementation/)
- 日期: 2026-02-08T16:30:39+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Vouch Proxy 的零信任身份联邦架构，聚焦 OIDC JWT 令牌交换流程、跨域会话同步机制与策略引擎的工程实现细节。

### [LineageOS OTA 更新签名验证与密钥轮换机制深度解析](/posts/2026/02/08/lineageos-ota-signing-verification/)
- 日期: 2026-02-08T16:16:06+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 LineageOS OTA 更新包的签名验证流程、密钥管理体系以及安全启动链的工程权衡，揭示第三方 ROM 更新的完整性与来源可信度。

### [Litebox零信任内存隔离：MPK与MTE硬件特性的融合艺术](/posts/2026/02/08/litebox-mpk-mte-hardware-isolation-zero-trust-memory/)
- 日期: 2026-02-08T14:30:44+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析微软Litebox库操作系统如何通过模块化架构融合x86 MPK与ARM MTE硬件特性，构建零信任内存隔离层，并探讨其防御性API设计模式与工程实践。

### [Microsoft Litebox 中 MPK 与 MTE 硬件隔离层的深度解析](/posts/2026/02/08/microsoft-litebox-mpk-mte-hardware-isolation/)
- 日期: 2026-02-08T09:00:39+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Microsoft Litebox 如何利用 MPK 与 MTE 实现零信任架构下的硬件级隔离，探讨其防御性 API 设计。

### [LiteBox 隔离层设计：基于 MPK 与 MTE 的硬件信任根](/posts/2026/02/08/litebox-mpk-mte-isolation-layer/)
- 日期: 2026-02-08T05:36:17+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 LiteBox 如何利用 MPK（内存保护键）与 MTE（内存标记扩展）硬件特性，构建内核态与用户态间的零信任内存隔离层。

### [深入解析 LiteBox 中 MPK 与 MTE 的硬件级内存隔离实现与工程实践](/posts/2026/02/08/litebox-mpk-mte-hardware-isolation-engineering/)
- 日期: 2026-02-08T04:15:43+08:00
- 分类: [security](/categories/security/)
- 摘要: 本文聚焦微软 LiteBox 项目如何协同利用 Intel MPK 与 ARM MTE 硬件特性，构建低开销、纵深防御的内存安全隔离层，并探讨其在生产环境中的部署参数与监控要点。

### [LiteBox 硬件内存隔离：基于 MPK 与 MTE 的零信任架构](/posts/2026/02/08/litebox-mpk-mte-hardware-isolation-zero-trust/)
- 日期: 2026-02-08T00:05:42+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 LiteBox 如何利用 ARM MPK 与 MTE 硬件特性，构建细粒度内存隔离层，实现内核态与用户态的安全执行环境。

### [Shannon 自主 Web 漏洞发现引擎的工程实现与 96.15% 成功率解析](/posts/2026/02/08/shannon-autonomous-web-exploit-discovery/)
- 日期: 2026-02-08T00:00:00+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析基于 TypeScript 的自主 Web 漏洞发现引擎 Shannon 的架构设计，探讨其在无提示、源码感知的 XBOW 基准测试中实现 96.15% 成功率的核心工程挑战与解决方案。

### [LiteBox 零信任内存隔离层：硬件辅助的安全边界设计](/posts/2026/02/07/litebox-zero-trust-memory-isolation/)
- 日期: 2026-02-07T23:00:40+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 LiteBox 如何利用虚拟化硬件与底层平台特性构建零信任内存隔离层，探讨其在用户态与内核态安全边界设计中的工程实践。

### [LiteBox 硬件隔离层与防御性 API 设计实践](/posts/2026/02/07/litebox-mpk-mte-hardware-isolation-layer-zero-trust-security/)
- 日期: 2026-02-07T22:37:25+08:00
- 分类: [security](/categories/security/)
- 摘要: 剖析 LiteBox 如何利用 MPK 与 MTE 硬件特性构建内存隔离层，实现零信任安全基座，并设计防御性 API 以对抗侧信道攻击。

### [基于LLM智能体的自主Web漏洞挖掘系统工程化实现](/posts/2026/02/07/engineering-autonomous-web-exploit-discovery/)
- 日期: 2026-02-07T21:00:44+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入探讨Shannon系统的多智能体架构，解析其如何通过白盒代码分析与黑盒动态验证的闭环设计，实现高置信度的自动化渗透测试。

### [Microsoft LiteBox 安全内存保护机制深度剖析](/posts/2026/02/07/litebox-memory-protection-analysis/)
- 日期: 2026-02-07T20:26:50+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Microsoft LiteBox 的安全内存保护机制，对比其进程隔离设计与传统微内核架构的差异与工程权衡。

### [LiteBox 硬件隔离层之防御性编程接口设计](/posts/2026/02/07/litebox-hardware-isolation-mpk-mte-defensive-api-design/)
- 日期: 2026-02-07T19:45:40+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 MPK 与 MTE 硬件特性在 LiteBox 架构中的应用，探讨如何暴露安全原语并构建开发者友好的隔离抽象层。

### [用 MPK 与 MTE 硬件特性构建 LiteBox 零信任隔离层](/posts/2026/02/07/litebox-mpk-mte-hardware-isolation-layer/)
- 日期: 2026-02-07T13:45:39+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析微软 LiteBox 库操作系统如何协同运用内存保护密钥与内存标签扩展硬件特性，在库级别实现高效、细粒度的内存安全隔离。

### [用 MPK 和 MTE 硬件隔离特性为 LiteBox 构建零信任安全基座](/posts/2026/02/07/building-zero-trust-security-base-litebox-mpk-mte-hardware-isolation/)
- 日期: 2026-02-07T13:00:40+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Microsoft LiteBox 如何利用 MPK 和 MTE 硬件原语实现内存安全隔离，探讨零信任库操作系统安全基座的技术路径。

### [Temporal 掩码命名空间漏洞：跨租户授权绕过技术剖析](/posts/2026/02/07/temporal-masked-namespace-vulnerability/)
- 日期: 2026-02-07T12:00:00+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Temporal 工作流引擎中掩码命名空间机制的授权绕过漏洞，揭示系统.enableCrossNamespaceCommands 配置下的跨命名空间访问控制缺陷与工程修复路径。

### [构建LLM作为漏洞发现者的风险量化评估框架](/posts/2026/02/07/llm-zero-day-risk-quantification-framework/)
- 日期: 2026-02-07T08:36:47+08:00
- 分类: [security](/categories/security/)
- 摘要: 面向LLM驱动的漏洞发现系统，从威胁建模、风险指标定义到缓解策略的工程化实现提供完整的风险管理框架。

### [LiteBox 零信任架构与 MPK 硬件级隔离机制解析](/posts/2026/02/07/litebox-zero-trust-hardware-isolation/)
- 日期: 2026-02-07T07:32:25+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 Microsoft LiteBox 如何通过 Intel MPK 实现进程内沙箱，探讨其在零信任模型中的工程实践与硬件原语选型依据。

### [Anthropic LLM 零日漏洞发现研究：自动化渗透测试的工程实践与双用途风险](/posts/2026/02/07/anthropic-llm-zero-day-vulnerability-discovery/)
- 日期: 2026-02-07T07:20:13+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 Claude Opus 4.6 在零日漏洞发现任务中的推理模式、验证机制与边界约束设计，评估其作为自动化渗透测试工具的工程可行性。

### [Monty：Rust 实现的 AI 安全 Python 解释器与沙箱机制](/posts/2026/02/07/monty-rust-python-interpreter-security/)
- 日期: 2026-02-07T07:02:15+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Monty 如何通过 Rust 的内存安全特性与受限的 Python 子集，为 AI 工具链提供微秒级启动、零信任隔离的代码执行环境。

### [LiteBox 与 MPK/MTE 硬件隔离的零信任实践](/posts/2026/02/07/litebox-mpk-mte-hardware-isolation/)
- 日期: 2026-02-07T06:17:23+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 LiteBox 如何利用 Intel MPK 与 ARM MTE 硬件特性实现进程间零信任内存隔离，并探讨其在微服务安全架构中的工程实现挑战。

### [Microsoft LiteBox：基于库操作系统的零信任安全隔离实践](/posts/2026/02/07/microsoft-litebox-library-os-security/)
- 日期: 2026-02-07T04:47:29+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 Microsoft LiteBox 作为库操作系统（Library OS）如何通过精简主机接口实现零信任隔离，并探讨其 Rust 实现与硬件安全特性的结合点。

### [LiteBox 内存保护键与沙箱机制深度分析](/posts/2026/02/07/litebox-mpk-implementation-analysis/)
- 日期: 2026-02-07T03:43:53+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 LiteBox 如何利用 Intel MPK 实现细粒度内存保护，在用户态实现零信任隔离，并评估其与 Linux seccomp 等现有机制的集成与性能开销。

### [LiteBox 内存保护键架构与零信任隔离实践](/posts/2026/02/07/litebox-mpk-architecture-and-zero-trust-isolation/)
- 日期: 2026-02-07T03:18:01+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入探讨 LiteBox 如何利用 Intel MPK 与 ARM MTE 实现硬件级内存隔离，构建零信任的进程内微隔离体系。

### [利用现代 CPU 硬件能力强化 LiteBox 内存保护：MPK/MTE 工程实践](/posts/2026/02/07/hardware-memory-protection-litebox-mpk-mte-implementation/)
- 日期: 2026-02-07T02:55:46+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 LiteBox 如何利用 Intel MPK 与 ARM MTE 等现代硬件特性实现零信任架构下的细粒度内存隔离，涵盖工程参数、性能阈值与监控策略。

### [Microsoft LiteBox 库操作系统的内存保护与零信任架构实践](/posts/2026/02/07/microsoft-litebox-memory-protection-zero-trust/)
- 日期: 2026-02-07T02:30:44+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析微软研究院开源的 LiteBox 库操作系统，探讨其通过 Rust 语言安全与硬件虚拟化实现的攻击面缩减机制，以及在零信任场景下的工程化参数与性能权衡。

### [LiteBox 进程隔离与内存保护机制深度解析](/posts/2026/02/07/litebox-process-isolation-memory-protection/)
- 日期: 2026-02-07T00:18:04+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 Microsoft LiteBox 如何通过 Rust 安全特性、硬件辅助虚拟化（SEV-SNP/TDX）以及极简接口设计，构建面向机密计算的库操作系统安全基座。

### [LiteBox：基于库操作系统的安全边界重构与攻击面最小化](/posts/2026/02/07/litebox-library-os-security/)
- 日期: 2026-02-07T00:00:00+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 Microsoft LiteBox 的核心架构，探讨其如何通过 Rust 与模块化设计实现内存隔离与进程保护，并解释其在容器安全与机密计算场景中的独特价值。

### [Temporal 命名空间隔离漏洞分析与多租户安全加固指南](/posts/2026/02/07/temporal-namespace-isolation-vulnerability/)
- 日期: 2026-02-07T00:00:00+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 CVE-2023-3485 命名空间掩码逃逸漏洞成因，探讨多租户隔离失效场景下的边界检查策略与权限提升防御机制。

### [LiteBox 库操作系统的进程隔离与内存保护实现机制分析](/posts/2026/02/06/litebox-process-isolation-memory-protection-implementation/)
- 日期: 2026-02-06T23:46:32+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 Microsoft LiteBox 的安全架构，探讨其通过系统调用沙箱化、Rust 内存安全及硬件加密技术实现的进程隔离与内存保护机制，并评估其在性能与安全性之间的工程权衡。

### [微软开源 LiteBox 安全库操作系统架构分析](/posts/2026/02/06/microsoft-litebox-security-library-os-architecture-analysis/)
- 日期: 2026-02-06T23:31:01+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析微软新开源的 LiteBox 安全库操作系统，探讨其通过最小化攻击面、北南架构设计与 AMD SEV SNP 等硬件特性实现强安全保证的工程化路径。

### [构建AI代理抗操纵性量化评估框架与防御机制](/posts/2026/02/06/building-quantitative-framework-ai-agent-anti-manipulation-testing/)
- 日期: 2026-02-06T22:01:05+08:00
- 分类: [security](/categories/security/)
- 摘要: 针对AI代理在对抗性提示下的脆弱性，本文提出一个可扩展的量化测试框架，涵盖攻击成功率指标、动态红队策略及分层防御机制的设计要点。

### [LinkedIn 扩展检测的攻防实战：指纹欺骗与 API Hook 工程方案](/posts/2026/02/06/linkedin-browser-extension-detection-evasion-fingerprint-api-hook/)
- 日期: 2026-02-06T21:01:12+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 LinkedIn 检测 2953 个浏览器扩展的技术机制，并设计基于指纹欺骗与 API Hook 的隐身访问工程方案。

### [LinkedIn 2953 个浏览器扩展检测机制剖析与无痕访问工程对抗](/posts/2026/02/06/linkedin-2953-browser-extension-detection-mechanism-analysis-and-stealth-access-engineering-countermeasures/)
- 日期: 2026-02-06T20:26:50+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 LinkedIn 如何通过 fingerprint.js 探测 2953 个 Chrome 扩展，解析其反爬虫机制与工程对抗方案。

### [Trivy CI/CD 工程化集成：增量扫描、缓存优化与合规报告自动生成](/posts/2026/02/06/trivy-cicd-integration-scanning/)
- 日期: 2026-02-06T19:30:43+08:00
- 分类: [security](/categories/security/)
- 摘要: 面向多平台 CI/CD (Jenkins/GitLab/GitHub Actions)，提供 Trivy 容器镜像扫描的工程化参数配置、性能优化策略及合规报告生成指南。

### [基于 Rust 的 Monty 解释器：AI 代码执行的安全沙箱实践](/posts/2026/02/06/monty-rust-based-python-interpreter-security/)
- 日期: 2026-02-06T16:16:15+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 Monty 作为用 Rust 编写的最小化、安全的 Python 解释器，其内存安全保证、沙箱机制以及如何替代传统 CPython 用于高安全需求场景。