# 分类：security

> 该分类下的文章按时间倒序排列，便于按主题继续深挖。

## 页面摘要
- 路径: /categories/security/page/6/
- 当前页: 6 / 7
- 文章总数: 526
- 当前页文章数: 80

## 快速导航
- [首页](/)
- [分类索引](/categories/)
- [归档索引](/archive/)

## 本页文章
### [终端Unicode同形异义攻击实时检测引擎设计](/posts/2026/02/06/terminal-unicode-homograph-detection-engine/)
- 日期: 2026-02-06T15:46:40+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析终端安全漏洞根源，设计基于字形相似度与上下文分析的实时检测引擎，提供可落地的参数配置与监控清单。

### [AMD未修复RCE漏洞剖析：硬件缓解与临时补丁工程指南](/posts/2026/02/06/amd-unpatched-rce-vulnerability-analysis-hardware-mitigation-and-temporary-patch-engineering-guide/)
- 日期: 2026-02-06T13:31:58+08:00
- 分类: [security](/categories/security/)
- 摘要: 针对AMD AutoUpdate软件中因HTTP下载与缺失签名验证导致的远程代码执行漏洞，本文深入解析其技术机理，并提供基于主机防火墙、网络监控及AMD硬件安全特性的临时缓解方案与工程化参数。

### [LinkedIn 浏览器扩展检测规避工程实战](/posts/2026/02/06/linkedin-browser-extension-detection-evasion-engineering/)
- 日期: 2026-02-06T12:45:44+08:00
- 分类: [security](/categories/security/)
- 摘要: 逆向分析 LinkedIn 检测 1800+ 浏览器扩展的指纹机制，并设计基于 API 拦截、DOM 混淆与动态指纹池的隐身访问工程方案。

### [浏览器扩展反检测工程实践：指纹伪装与 API 混淆策略](/posts/2026/02/06/linkedin-browser-extension-detection-evasion/)
- 日期: 2026-02-06T12:30:46+08:00
- 分类: [security](/categories/security/)
- 摘要: 面向业务合规与隐私保护，深度解析浏览器指纹伪装与 API 调用模式混淆的工程化参数配置与实战策略。

### [LinkedIn 扩展检测机制逆向分析与工程化隐身方案](/posts/2026/02/06/linkedin-browser-extension-detection-stealth-engineering/)
- 日期: 2026-02-06T12:15:44+08:00
- 分类: [security](/categories/security/)
- 摘要: 逆向分析 LinkedIn 的 2953 个浏览器扩展检测机制，从指纹识别原理到工程化隐身访问方案，提供可落地的参数配置与对抗策略。

### [《幻塔》内核反作弊驱动逆向：从未加载的 BYOVD 军火库](/posts/2026/02/06/tower-of-fantasy-byovd-driver-reverse-engineering/)
- 日期: 2026-02-06T12:00:45+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析《幻塔》反作弊驱动 ksophon_x64.sys 的设计缺陷，揭示其硬编码密钥、IOCTL 接口滥用风险与潜在的攻击利用链。

### [LinkedIn 检测 2953 款浏览器扩展的技术机制与工程对抗](/posts/2026/02/06/linkedin-browser-extension-detection-technical-mechanism/)
- 日期: 2026-02-06T10:30:48+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 LinkedIn 基于 web_accessible_resources 的扩展探测机制，探讨指纹收集策略与反检测的工程对抗参数。

### [拆解 OpenClaw 的攻击面与沙箱逃逸防御工程实践](/posts/2026/02/06/openclaw-attack-surface-sandbox-defense/)
- 日期: 2026-02-06T09:30:41+08:00
- 分类: [security](/categories/security/)
- 摘要: 从系统调用、文件系统权限与技能供应链等维度，深入分析 OpenClaw 这类高权限 AI Agent 的安全威胁，并给出基于 Linux 沙箱机制的工程化防御方案与监控清单。

### [OpenClaw Agent 系统访问安全：攻击面建模与沙箱逃逸防御](/posts/2026/02/06/openclaw-agent-system-access-security-attack-surface-sandbox-escape-defense/)
- 日期: 2026-02-06T08:03:15+08:00
- 分类: [security](/categories/security/)
- 摘要: 本文深入分析赋予 AI Agent 系统完全访问权时的安全风险，以 OpenClaw 框架为例，系统化建模其攻击面，并给出基于权限隔离与实时监控的纵深防御机制及可落地的配置参数。

### [Trivy 容器镜像扫描的漏洞数据库同步机制与 CI/CD 集成实践](/posts/2026/02/06/trivy-container-vulnerability-scanning-ci-cd/)
- 日期: 2026-02-06T07:00:41+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Trivy 漏洞数据库的同步原理、扫描策略配置，以及在 CI/CD 流水线中实现高并发、低延迟安全门禁的工程化实践。

### [Linux 内核级沙盒实战：Namespaces 与 Cgroups v2 约束 AI 代理](/posts/2026/02/04/linux-kernel-sandbox-ai-agents/)
- 日期: 2026-02-04T18:15:39+08:00
- 分类: [security](/categories/security/)
- 摘要: 本文深入探讨如何利用 Linux 内核的 Namespaces、Cgroups v2 与 Seccomp-BPF 机制，构建针对 AI 代理的多层沙盒防御体系，并提供具体的资源限制参数与工程落地实践。

### [Notepad++供应链攻击启示：构建代码签名与发布渠道的自动化防御机制](/posts/2026/02/04/notepad-plus-plus-supply-chain-attack-mitigation-code-signing-release-channel-integrity/)
- 日期: 2026-02-04T18:01:50+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析Notepad++更新劫持事件，提出结合代码签名链验证、发布渠道完整性证明（如TUF）和客户端运行时验证的自动化防御机制，并提供可落地的配置参数与监控清单。

### [Linux安全上下文在AI代理沙箱化中的应用](/posts/2026/02/04/linux-security-contexts-ai-agent-sandboxing/)
- 日期: 2026-02-04T04:15:37+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析seccomp、namespaces、cgroups在AI代理沙箱化中的配置权衡与性能开销，提供生产级安全策略。

### [逆向工程视角：Moltbook 安全漏洞剖析与防护加固指南](/posts/2026/02/03/hacking-moltbook-security-analysis/)
- 日期: 2026-02-03T05:03:37+08:00
- 分类: [security](/categories/security/)
- 摘要: 从 Moltbook 的 Supabase 数据库泄露事件出发，逆向剖析其配置错误与密钥暴露根源，并给出 API 安全与运行时监控的工程化参数。

### [Notepad++ 供应链攻击取证：更新机制漏洞与代码注入分析](/posts/2026/02/02/notepad-plus-plus-supply-chain-attack-update-mechanism/)
- 日期: 2026-02-02T12:06:59+08:00
- 分类: [security](/categories/security/)
- 摘要: 从取证视角深入剖析 2025 年 Notepad++ 更新机制供应链攻击，揭示代码注入路径、签名绕过手法，并给出工程化加固方案。

### [构建社区驱动的加固容器镜像供应链：从源码到分发的工程化实践](/posts/2026/02/01/community-driven-hardened-container-images-supply-chain/)
- 日期: 2026-02-01T12:30:37+08:00
- 分类: [security](/categories/security/)
- 摘要: 探讨如何构建社区驱动的加固容器镜像供应链，涵盖从源码构建、CVE扫描、镜像签名到安全分发的完整工程化实现方案。

### [AMLA 沙盒中系统调用拦截与虚拟文件系统隔离的工程实现](/posts/2026/01/31/amla-sandbox-syscall-interception-vfs-isolation/)
- 日期: 2026-01-31T15:30:42+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 WASM Bash 沙盒如何通过 WASI 接口实现系统调用拦截，以及虚拟文件系统的权限控制机制，确保 AI 代理执行环境的安全隔离与资源控制。

### [Ollama公开暴露安全风险：访问控制缺失与自动化扫描威胁分析](/posts/2026/01/31/ollama-public-exposure-security-risks/)
- 日期: 2026-01-31T09:30:58+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析17.5万个Ollama实例公开暴露的安全事件，探讨认证机制缺失、工具调用功能的威胁升级，以及自动化扫描工具的工程实现与防护策略。

### [HashiCorp Vault动态秘密租赁生命周期工程实践](/posts/2026/01/31/vault-dynamic-secrets-lease-lifecycle-engineering/)
- 日期: 2026-01-31T02:16:07+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入探讨Vault动态秘密租赁的精细化生命周期管理策略，包括自动续租机制、过期预警实现、凭据轮换工程实践，以及基于租赁状态的监控告警体系建设。

### [Vault动态密钥租约生命周期管理策略](/posts/2026/01/30/vault-dynamic-secrets-lease-management-strategies/)
- 日期: 2026-01-30T23:16:08+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析HashiCorp Vault动态密钥的租约管理策略，包括续期算法设计、过期回收机制与权限细粒度控制的工程化实现。

### [OpenSSL关键RCE漏洞CVE-2025-15467深度分析：触发条件与工程化补丁部署](/posts/2026/01/30/openssl-critical-rce-vulnerability-analysis-cve-2025-15467/)
- 日期: 2026-01-30T21:46:10+08:00
- 分类: [security](/categories/security/)
- 摘要: 本文深度分析OpenSSL CVE-2025-15467栈溢出漏洞的技术原理、影响范围与触发条件，重点探讨CMS AuthEnvelopedData结构中IV验证缺失导致的RCE风险，并提供工程化的补丁部署实践与检测方案。

### [基于Vault动态密钥租约生命周期管理的工程实践](/posts/2026/01/30/vault-dynamic-secrets-lease-lifecycle-management-engineering-practices/)
- 日期: 2026-01-30T20:26:50+08:00
- 分类: [security](/categories/security/)
- 摘要: 基于Vault动态密钥的租约生命周期管理，实现自动化轮换、吊销与审计跟踪的工程实践，涵盖TTL配置、续期策略、监控要点与风险控制。

### [系统提示泄露：提取攻击模式与防御策略映射](/posts/2026/01/30/system-prompt-leaks-extraction-patterns-and-defense-mappings/)
- 日期: 2026-01-30T11:02:02+08:00
- 分类: [security](/categories/security/)
- 摘要: 基于泄露系统提示仓库，逆向分析常见提取攻击模式，分类技术并映射对应防御策略，构建可复用检测规则库。

### [多平台系统提示泄露：提取技术与防御策略对比分析](/posts/2026/01/30/multi-platform-system-prompt-leaks-comparison/)
- 日期: 2026-01-30T10:46:39+08:00
- 分类: [security](/categories/security/)
- 摘要: 基于 25k+ Star 的泄露样本集合，对比 ChatGPT、Claude、Gemini 等主流 AI 助手的系统提示提取技术与平台特定防御策略。

### [安全测试的法律边界：达拉斯县 60 万美元和解案的合规启示](/posts/2026/01/30/security-testing-legal-risk-lessons/)
- 日期: 2026-01-30T10:32:41+08:00
- 分类: [security](/categories/security/)
- 摘要: 从 Coalfire 安全研究人员被逮捕到 60 万美元和解，分析渗透测试的法律风险与合规实践。

### [三大平台系统提示泄露防御机制对比：协议输出格式与安全阈值分析](/posts/2026/01/30/multi-platform-system-prompt-leakage-defense-comparison/)
- 日期: 2026-01-30T07:46:36+08:00
- 分类: [security](/categories/security/)
- 摘要: 对比 ChatGPT、Claude、 Gemini 在系统提示泄露攻击面的差异，从协议输出格式、JSON Schema 暴露程度、防御机制有效性等维度分析可落地的防护参数与监控阈值。

### [CISA 代理局长 ChatGPT 泄密事件：OAuth 集成中的内部威胁与权限边界](/posts/2026/01/30/chatgpt-oauth-integration-insider-threat/)
- 日期: 2026-01-30T04:46:31+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析美国网络安全主管在 ChatGPT OAuth 集成中的敏感文件泄露路径，探讨企业 AI 工具的权限控制与会话隔离机制。

### [MakuluLinux 后门事件：开发者内置 C2 的供应链攻击分析](/posts/2026/01/30/makululinux-developer-c2-backdoor-analysis/)
- 日期: 2026-01-30T04:31:31+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 MakuluLinux 发行版内置开发者自有 C2 服务器的后门机制，详解持久化、端口映射与检测清除方案。

### [NFC 访问控制与支付协议的密钥安全差异：PKO 在线认证的中继攻击面分析](/posts/2026/01/30/nfc-pko-relay-attacks/)
- 日期: 2026-01-30T03:47:41+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 MIFARE Ultralight C 等 NFC 访问控制系统的部分密钥覆盖攻击，对比 PKO 在线认证与 Apple Pay、Google Pay 离线验证的安全模型差异。

### [NFC 协议中 PKO 与 Relay 攻击的技术分析与防御策略](/posts/2026/01/30/nfc-pko-relay-attacks-3des-aes/)
- 日期: 2026-01-30T01:31:21+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 MIFARE Ultralight 系列芯片在 3DES/AES 保护下的密钥空间缩减攻击，揭示 Relay 攻击与 Partial Key Overwrite 的技术原理及实操参数。

### [LLM 工具流量代理架构深解：证书注入、TLS 解密与隐私隔离](/posts/2026/01/29/llm-tool-mitm-proxy-architecture-deep-dive/)
- 日期: 2026-01-29T23:01:24+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 LLM 工具流量 MitM 代理的核心架构，从证书挂载机制到 TLS 解密流水线，探讨如何在获取可观测性的同时保障数据隐私。

### [LLM 工具层流量拦截与参数校验：部署 MITM 代理的工程实践](/posts/2026/01/29/llm-tool-payload-validation-mitm-inspection/)
- 日期: 2026-01-29T19:31:48+08:00
- 分类: [security](/categories/security/)
- 摘要: 部署 MITM 代理拦截 LLM 工具调用层流量，校验工具参数完整性，检测提示注入与数据泄露路径，给出具体的配置参数与监控阈值。

### [LLM 流量审计代理架构：Sherlock 的工程实现解析](/posts/2026/01/29/llm-traffic-inspection-proxy-architecture/)
- 日期: 2026-01-29T15:19:22+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析用于审计 LLM 工具流量的 HTTP 代理架构：环境变量劫持、实时仪表盘与零证书配置的设计取舍。

### [从泄露项目分析系统提示提取攻击面与防御现状](/posts/2026/01/29/analyzing-system-prompt-leaks-attack-surface/)
- 日期: 2026-01-29T14:31:35+08:00
- 分类: [security](/categories/security/)
- 摘要: 通过 system_prompts_leaks 项目分析主流聊天机器人的系统提示提取技术，探讨提示注入攻击的防御困境与最新应对策略。

### [Vault动态密钥生命周期管理：Lease机制与撤销树设计](/posts/2026/01/29/vault-dynamic-secrets-lease-lifecycle/)
- 日期: 2026-01-29T13:01:39+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析HashiCorp Vault的Lease管理流水线，涵盖Lessor组件、后端轮转机制、前缀撤销策略与生产环境监控参数配置。

### [LLM 工具流量透明代理：Sherlock MITM 架构与协议解析实践](/posts/2026/01/29/sherlock-mitm-proxy-llm-traffic-inspection/)
- 日期: 2026-01-29T08:01:39+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析基于透明代理的 LLM 工具流量拦截方案，涵盖 mitmproxy 集成、OpenAI/Anthropic 协议字段提取与实时监控面板配置。

### [Android 桌面模式接口泄露漏洞分析与加固实践](/posts/2026/01/29/android-desktop-interface-leak-vulnerability-analysis/)
- 日期: 2026-01-29T06:47:14+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 Android 桌面模式接口泄露的技术根因，结合框架层权限校验缺陷给出沙箱隔离与边界验证的工程化加固方案。

### [主流大模型系统提示提取技术与防御架构对比分析](/posts/2026/01/29/system-prompts-extraction-defense-comparison/)
- 日期: 2026-01-29T04:32:46+08:00
- 分类: [security](/categories/security/)
- 摘要: 从 system_prompts_leaks 仓库出发，剖析 ChatGPT、Claude、Gemini 系统提示提取技术机制，对比各平台防御架构差异，输出工程可落地的防护设计要点。

### [系统提示提取攻击与防御工程：从攻击模式到可落地的安全参数](/posts/2026/01/28/system-prompt-extraction-defense-engineering/)
- 日期: 2026-01-28T21:47:49+08:00
- 分类: [security](/categories/security/)
- 摘要: 基于 25,000+ Star 的系统提示泄露仓库与前沿学术研究，剖析 CoT、Few-shot、三明治攻击的提取模式，并给出边界检测、输出过滤、架构隔离三层防御的工程参数与监控清单。

### [批量提取聊天机器人系统提示词的 HTTP 流量解析与模式匹配框架](/posts/2026/01/28/batch-extraction-chatbot-system-prompts/)
- 日期: 2026-01-28T20:32:52+08:00
- 分类: [security](/categories/security/)
- 摘要: 面向 ChatGPT、Claude、Gemini 等主流聊天机器人，系统讲解系统提示词提取框架的 HTTP 流量解析、特征模式匹配与批量采集的工程化实现参数。

### [OpenSSL CMS AuthEnvelopedData IV 长度验证漏洞分析与缓解策略](/posts/2026/01/28/openssl-cms-authenvelopeddata-iv-overflow/)
- 日期: 2026-01-28T20:26:50+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 CVE-2025-15467 漏洞的根因、攻击面与工程化缓解措施，聚焦 AEAD 密码上下文中的栈缓冲区溢出防护。

### [WhatsApp Rust 安全层部署：16 万行 C++ 到 9 万行 Rust 的重构实践](/posts/2026/01/28/whatsapp-rust-security-layer-deployment/)
- 日期: 2026-01-28T17:48:36+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 WhatsApp 如何用 Rust 重构媒体处理库 Kaleidoscope，涵盖差分测试策略、跨平台构建挑战与生产环境验证要点。

### [Signal 加密下的取证盲区：设备镜像与密钥链提取的工程化路径](/posts/2026/01/28/signal-forensic-vulnerability-exposure/)
- 日期: 2026-01-28T17:32:19+08:00
- 分类: [security](/categories/security/)
- 摘要: 剖析 Signal 在全盘镜像与密钥链提取条件下的数据库解密机制，给出取证实战的参数阈值与防护建议。

### [数据泄露通知管道的技术剖析：从 SoundCloud 事件看 HIBP 的聚合与验证机制](/posts/2026/01/28/soundcloud-data-breach-notification-pipeline/)
- 日期: 2026-01-28T17:05:16+08:00
- 分类: [security](/categories/security/)
- 摘要: 以 SoundCloud 近 3000 万账户泄露事件为案例，剖析数据泄露通知管道的核心环节：HIBP 的数据聚合架构、验证流程与自动化触达机制。

### [HashiCorp Vault 动态机密生命周期管理：工程实现与配置参数详解](/posts/2026/01/28/hashicorp-vault-dynamic-secrets-lifecycle/)
- 日期: 2026-01-28T12:08:35+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Vault 动态机密的租约管理机制、TTL 参数调优策略、自动撤销策略配置，以及工程实践中的关键参数阈值与监控要点。

### [Tailscale Aperture 入门：用零信任网关统一 AI 流量管控与可见性](/posts/2026/01/28/tailscale-aperture-ai-gateway-zero-trust/)
- 日期: 2026-01-28T10:32:05+08:00
- 分类: [security](/categories/security/)
- 摘要: 剖析 Tailscale Aperture 如何基于零信任架构实现 AI 流量的细粒度路由、模型访问控制与审计，探讨其与通用 SASE 网关的差异化设计。

### [OpenSSL CMS AuthEnvelopedData 栈溢出漏洞分析与修复指南](/posts/2026/01/28/openssl-cms-authenvelopeddata-overflow/)
- 日期: 2026-01-28T01:47:59+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入剖析 OpenSSL 3.6.1 中修复的 CMS AuthEnvelopedData 栈溢出漏洞，涵盖 AEAD 密码解析风险、S/MIME 影响范围及工程化修复路径。

### [欧盟主权合规审计工具设计与 Lighthouse 自动化实现](/posts/2026/01/27/eu-sovereignty-audit-website-compliance/)
- 日期: 2026-01-27T22:34:06+08:00
- 分类: [security](/categories/security/)
- 摘要: 基于 Lighthouse 引擎构建欧盟主权合规审计系统，实现 GDPR、EUCS、RGS 框架的自动化检测、合规评分与风险标记。

### [HashiCorp Vault 插件系统架构与热重载机制解析](/posts/2026/01/27/hashicorp-vault-plugin-architecture-hot-reload/)
- 日期: 2026-01-27T21:17:00+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Vault 插件的隔离进程模型、RPC 通信机制与热重载参数配置，实现密钥引擎的零停机扩展。

### [HashiCorp Vault 动态机密生命周期管理与策略访问控制解析](/posts/2026/01/27/vault-dynamic-secrets-lifecycle-management/)
- 日期: 2026-01-27T20:10:04+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 HashiCorp Vault 的密钥生命周期管理机制、动态机密生成与撤销策略，以及基于策略的权限访问控制实现架构。

### [基于 eBPF 的浏览器沙箱动态系统调用过滤策略热更新实践](/posts/2026/01/27/ebpf-dynamic-syscall-filtering-browser-sandbox/)
- 日期: 2026-01-27T06:33:18+08:00
- 分类: [security](/categories/security/)
- 摘要: 面向浏览器沙箱安全架构，探讨如何利用 eBPF 技术实现系统调用过滤策略的运行时动态更新，涵盖工程实现方案、关键参数配置与生产环境部署要点。

### [浏览器沙箱 seccomp BPF 过滤策略设计指南](/posts/2026/01/27/browser-sandbox-seccomp-bpf-filter-policy/)
- 日期: 2026-01-27T00:33:51+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析浏览器沙箱中 seccomp BPF 过滤策略的设计模式，涵盖白名单策略配置、性能损耗与安全边界的工程权衡。

### [浏览器即沙箱：Web 安全范式的零信任转变](/posts/2026/01/26/browser-sandbox-security-paradigm-shift/)
- 日期: 2026-01-26T23:48:51+08:00
- 分类: [security](/categories/security/)
- 摘要: 探讨浏览器如何从渲染引擎演变为运行不可信代码的通用沙箱，以及零信任安全模型在 Web 平台的设计哲学与工程实践。

### [浏览器沙箱的系统调用过滤机制与工程实践](/posts/2026/01/26/browser-sandbox-syscall-filtering/)
- 日期: 2026-01-26T17:32:25+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Chrome 如何通过 seccomp-bpf 实现系统调用白名单，结合 namespace 隔离构建多层防御的浏览器沙箱安全模型。

### [浏览器沙箱的系统调用过滤机制与进程隔离架构](/posts/2026/01/26/browser-sandbox-syscall-filtering-isolation/)
- 日期: 2026-01-26T15:31:59+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析现代浏览器沙箱的 OS 级系统调用过滤机制与进程隔离架构，涵盖 Linux seccomp BPF 与 macOS Seatbelt 的工程实现。

### [Netfence eBPF 过滤器动态策略更新与原子性切换机制](/posts/2026/01/26/netfence-ebpf-dynamic-policy-update-atomic-switching/)
- 日期: 2026-01-26T12:35:49+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Netfence 如何在生产环境中实现 eBPF 过滤策略的动态更新，通过版本化 Map 设计确保策略切换的原子性与一致性。

### [Rust eBPF 开发中的类型安全实践：以 Aya 为例](/posts/2026/01/26/rust-ebpf-type-safety-aya/)
- 日期: 2026-01-26T09:17:08+08:00
- 分类: [security](/categories/security/)
- 摘要: 探讨 Rust 类型系统如何解决传统 eBPF 开发的内存安全问题，并通过 Aya 库展示编译时安全保障的工程价值。

### [OnePlus 硬件级反回滚保护机制解析](/posts/2026/01/26/oneplus-hardware-anti-rollback-protection/)
- 日期: 2026-01-26T08:32:27+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 OnePlus 如何通过 Qfprom eFuse 与安全引导链实现不可逆的固件版本锁定，剖析反回滚机制的设计原理与工程边界。

### [AT Protocol 密钥轮换与恢复机制工程实践](/posts/2026/01/26/atproto-key-rotation-recovery-mechanisms/)
- 日期: 2026-01-26T07:46:47+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析 AT Protocol 的密钥管理体系：椭圆曲线选型、PLC 操作类型、DID 文档更新流程，以及轮换密钥与恢复密钥的配置策略。

### [Netfence 如何将 Envoy xDS 范式引入 eBPF 网络过滤](/posts/2026/01/26/netfence-ebpf-filter-envoy-paradigm/)
- 日期: 2026-01-26T07:18:29+08:00
- 分类: [security](/categories/security/)
- 摘要: 剖析 Netfence 如何将 Envoy 的声明式 xDS 控制平面模式迁移至 eBPF 网络过滤，对比 iptables/nftables 的手动配置范式，阐述策略下发机制的架构转变与工程实践要点。

### [Fence 原理与安全边界：轻量级 CLI 沙箱的工程实践](/posts/2026/01/26/fence-cli-sandbox-isolation/)
- 日期: 2026-01-26T05:33:21+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Fence 如何通过 bubblewrap、sandbox-exec 与代理层实现 CLI 命令的网络与文件系统隔离，分析其安全模型、配置策略与工程权衡。

### [Netfence eBPF 过滤器的 DNS 解析与 IP 同步机制](/posts/2026/01/26/netfence-ebpf-filter-dns-ip-sync/)
- 日期: 2026-01-26T04:18:10+08:00
- 分类: [security](/categories/security/)
- 摘要: 解析 Netfence 如何将域名规则转换为 eBPF IP 过滤策略，聚焦增量更新闭环、TTL 过期机制与 specificity 匹配的工程实践。

### [用 Fence 实现无容器 CLI 沙箱：网络与文件系统权限控制](/posts/2026/01/26/fence-cli-sandbox-network-filesystem-restrictions/)
- 日期: 2026-01-26T04:07:05+08:00
- 分类: [security](/categories/security/)
- 摘要: 面向半可信 CLI 命令（包安装、构建脚本、AI 代理），给出 Fence 的无容器沙箱架构与网络/文件系统权限控制的工程化配置参数。

### [Netfence：类 Envoy xDS 的 eBPF 过滤控制平面设计](/posts/2026/01/26/netfence-ebpf-filter-control-plane/)
- 日期: 2026-01-26T01:02:23+08:00
- 分类: [security](/categories/security/)
- 摘要: 解析 Netfence 如何通过 gRPC 双向流实现 eBPF TC 与 cgroup 过滤器的声明式配置，涵盖 DNS 自动解析、IP 允许列表填充及策略同步机制。

### [Android 高摩擦侧载流程：Google 的'问责层'设计与安全博弈](/posts/2026/01/25/android-sideloading-high-friction-accountability/)
- 日期: 2026-01-25T22:31:30+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 Google Android 侧载验证新规的设计逻辑，探讨'高摩擦'流程如何平衡用户自由与安全防护。

### [X射线检测实战：如何识别硬件供应链中的假冒元件](/posts/2026/01/25/xray-inspection-hardware-supply-chain-security/)
- 日期: 2026-01-25T20:17:57+08:00
- 分类: [security](/categories/security/)
- 摘要: 从 FTDI USB 电缆的 X 射线检测案例出发，拆解硬件供应链安全的关键控制点与逆向分析工程方法。

### [微软 BitLocker 密钥交出与苹果拒绝 FBI：两种加密架构的安全哲学分野](/posts/2026/01/25/bitlocker-fbi-key-surrender-apple-encryption-comparison/)
- 日期: 2026-01-25T10:49:25+08:00
- 分类: [security](/categories/security/)
- 摘要: 剖析微软应 FBI 请求交出 BitLocker 密钥的政策背景，对比苹果 2016 年拒绝解锁 iPhone 的技术立场差异，解读两种加密架构背后的安全哲学分野。

### [X 射线无损检测 FTDI 电缆的供应链安全实践](/posts/2026/01/25/xray-ftdi-cable-supply-chain-security/)
- 日期: 2026-01-25T09:33:58+08:00
- 分类: [security](/categories/security/)
- 摘要: 以工业 X 射线技术分析 FTDI USB 电缆为例，揭示假冒芯片的 9 个工艺差异特征，并给出企业级硬件溯源与固件验证的工程化参数。

### [波兰能源基础设施遭 Sandworm 定向打击：DynoWiper 破坏性恶意软件攻击链还原](/posts/2026/01/25/poland-dynowiper-wiper-malware-attack-chain-analysis/)
- 日期: 2026-01-25T09:18:46+08:00
- 分类: [security](/categories/security/)
- 摘要: 深度剖析针对波兰电网的全新 wiper 恶意软件 DynoWiper，解析 Sandworm/APT28 的持久化策略、破坏机制与国家级关键基础设施防御要点。

### [波兰电网遭 Sandworm 的 DynoWiper 攻击：归因分析与工控系统防护策略](/posts/2026/01/25/poland-grid-dynowiper-attack-sandworm-analysis/)
- 日期: 2026-01-25T09:01:37+08:00
- 分类: [security](/categories/security/)
- 摘要: 剖析 2025 年底波兰能源基础设施遭前所未有 wiper 恶意软件攻击的归因方法、攻击技术细节与工控系统防护策略。

### [微软向FBI提供BitLocker恢复密钥的技术剖析：密钥托管架构与执法披露机制](/posts/2026/01/24/microsoft-bitlocker-keys-fbi/)
- 日期: 2026-01-24T12:35:11+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入分析微软向FBI提供BitLocker恢复密钥的技术机制：云端密钥备份架构、执法配合流程、企业级加密产品的信任边界设计，以及与端到端加密理念的根本冲突。

### [Chromium 禁用 C++ 特性的安全工程权衡](/posts/2026/01/24/chromium-banned-cpp-features/)
- 日期: 2026-01-24T12:07:45+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Chromium 项目为提升安全性而禁用特定 C++ 特性的工程决策，涵盖禁用列表、替代方案与遗留代码迁移策略。

### [Chromium 明令禁止的 C++ 特性及其安全考量](/posts/2026/01/24/chromium-banned-cpp-features-security/)
- 日期: 2026-01-24T06:31:00+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 Chromium 项目禁止使用的 C++ 语言特性，剖析每项禁令背后的安全漏洞案例与替代方案设计。

### [Proton 邮件 Consent 追踪与状态机强制执行机制](/posts/2026/01/24/proton-email-consent-state-machine/)
- 日期: 2026-01-24T02:48:25+08:00
- 分类: [security](/categories/security/)
- 摘要: 剖析 Proton 后端 Consent 状态机设计、标记位生命周期与多组件强制同步机制的技术实现。

### [Microsoft Autodiscover 配置错误引发的 example.com DNS 区域误处理与凭据泄露风险分析](/posts/2026/01/24/microsoft-autodiscover-dns-zone-mishandling/)
- 日期: 2026-01-24T02:32:34+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析 Microsoft Autodiscover 服务配置错误导致的 DNS 区域管理问题，聚焦凭据传输机制与 FBI 取证协作中的密钥暴露风险，提供可落地的安全配置参数与监控清单。

### [将 AI 使用策略编码为可执行规则：Ghostty 的实践与工程落地参数](/posts/2026/01/24/ghostty-ai-usage-policy/)
- 日期: 2026-01-24T02:02:15+08:00
- 分类: [security](/categories/security/)
- 摘要: 解析 Ghostty 终端项目的 AI 使用披露策略，探讨如何将政策声明转化为可审计的代码规则，并给出 PR 模板、CI 检查与合规监控的工程化参数。

### [Proton 隐私悖论：AI 营销与用户明确拒绝的边界冲突](/posts/2026/01/23/proton-spam-ai-consent/)
- 日期: 2026-01-23T18:01:49+08:00
- 分类: [security](/categories/security/)
- 摘要: 以 Proton 隐私服务向已明确拒绝 AI 营销的用户发送 Lumo 邮件为例，剖析隐私导向型产品的 Consent 边界工程设计与合规治理要点。

### [苹果漏洞文档化的社区工程实践：从 Radar 到 Bugs Apple Loves](/posts/2026/01/23/apple-bug-documentation-community/)
- 日期: 2026-01-23T17:32:27+08:00
- 分类: [security](/categories/security/)
- 摘要: 分析社区驱动的苹果漏洞文档项目，探讨其分类体系、量化模型与对安全研究协作的启示。

### [stunnel TLS 隧道转发的配置模式与性能调优实践](/posts/2026/01/23/stunnel-tls-tunnel-configuration/)
- 日期: 2026-01-23T15:20:02+08:00
- 分类: [security](/categories/security/)
- 摘要: 深入解析 stunnel 的核心配置模式与性能优化策略，涵盖 buffer 调优、会话恢复、连接数控制等关键参数设置。

### [通过 SPI Flash 指令追踪提取 UART 密码的硬件安全分析](/posts/2026/01/23/extract-uart-password-via-spi-flash-tracing/)
- 日期: 2026-01-23T07:31:53+08:00
- 分类: [security](/categories/security/)
- 摘要: 当传统调试接口被禁用时，如何利用 SPI Flash 在 XIP 模式下的地址读取特性，通过逻辑分析仪捕获流量差异来定位并提取 UART 密码的工程技术详解。