嵌入式系统中 c-sigma 实现的轻量级 ZK 证明验证
针对内存和周期受限的嵌入式设备,集成 c-sigma 库进行高效 Sigma 协议零知识验证,提供内存优化和实时参数配置。
2025-09-29ai-security2025-09
Category
ai-security
共 825 篇文章。
通过 JTAG 逆向 ASPEED AST2500 BMC 固件感染:EEPROM 转储与安全重刷流程
针对 Supermicro 服务器 ASPEED AST2500 BMC 的不可移除 rootkit,提供 JTAG 逆向工程、EEPROM 转储、签名检测及安全重刷的工程化指南,确保数据中心固件安全恢复。
2025-09-29ai-security2025-09
使用 c-sigma 和 libsodium 在 C 中构建高效 Sigma 零知识证明
面向高效零知识证明,给出 c-sigma 库与 libsodium 集成的工程化实现、参数配置与应用要点。
2025-09-28ai-security2025-09
Metasploit 中 Ruby 模块化开发:动态载荷生成、规避绕过与链式后渗透
探讨 Metasploit 框架下 Ruby 模块的开发,聚焦动态 payload 生成、检测规避技术及异构环境下的后渗透链式操作,提供代码示例和工程参数。
2025-09-28ai-security2025-09
SSH3 over HTTP/3 中的安全密钥交换与认证:利用 QUIC 实现前向保密
在高延迟网络中,SSH3 通过 QUIC 头实现高效的安全密钥交换和认证,利用 TLS 1.3 提供前向保密,无需额外 RTT。工程化参数包括握手超时阈值和认证令牌管理要点。
2025-09-28ai-security2025-09
Postmark 邮件后门中恶意 MCP 的运行时扫描工程实践
针对 Postmark 邮件服务中的 MCP 后门风险,提供运行时扫描策略、负载提取方法及协议钩子下的凭证保护参数配置。
2025-09-27ai-security2025-09
通过增量更新和对象流不一致检测PDF伪造:数字取证工作流中的自动化链式保管验证
PDF增量更新易被用于伪造签名,本文提供对象流分析检测方法及自动化验证参数,实现数字取证链式保管。
2025-09-27ai-security2025-09
实现 GriffonAD 在 Active Directory 配置利用中的模块化部署
探讨 GriffonAD 工具在 AD 渗透测试中的应用,包括枚举、利用路径搜索与命令生成,提供工程化参数与检测规避策略。
2025-09-26ai-security2025-09
使用 Valgrind 客户端请求检测加密代码的时序侧信道
通过 Valgrind 的客户端请求机制,跟踪条件分支和内存访问模式,实现加密代码的常时执行安全审计。提供工程化参数和监控要点。
2025-09-26ai-security2025-09
Cloudflare Workers 中的 WebAssembly 沙箱:能力隔离实现安全边缘计算
利用 WebAssembly 和 WASI 在 Cloudflare Workers 中实现沙箱隔离,缓解代码注入风险,提供最小特权执行的工程参数与监控要点。
2025-09-26ai-security2025-09
OpenZeppelin 可升级代理与基于角色的访问控制在 Solidity 中的工程实践
面向 DeFi 合约,给出 OpenZeppelin 可升级代理结合 RBAC 的安全实现参数与升级清单。
2025-09-26ai-security2025-09
Cisco IOS XE 零日管理员绕过漏洞防护:零信任认证与运行时监控工程实践
针对 Cisco IOS XE 管理员接口零日认证绕过漏洞,提供零信任认证机制和运行时监控策略的工程实现指南,包括可落地参数和规模化部署要点。
2025-09-25ai-security2025-09
GrapheneOS 中 hardened_malloc 的每堆隔离设计:守卫区域、完整性检查与分配器分区
在 GrapheneOS 中,hardened_malloc 通过每堆隔离设计防范堆基攻击,给出守卫区域配置、完整性检查机制与分配器分区参数。
2025-09-24ai-security2025-09
利用 MCP 认证绕过实现 AI CLI 中的 RCE:Claude Code 的 token 验证与沙箱防护
探讨 MCP 协议在 Claude Code 等 AI CLI 中的认证绕过漏洞如何导致 RCE,并提供 token 验证、沙箱隔离的工程化参数与实施清单。
2025-09-24ai-security2025-09
在 GrapheneOS 中实现 hardened_malloc 的每堆隔离、防护区和完整性检查
探讨 GrapheneOS 中 hardened_malloc 的实现,包括每堆隔离、防护区和完整性检查机制,以缓解资源受限移动设备上的堆利用攻击。提供工程化参数和监控要点。
2025-09-24ai-security2025-09
MCP 协议的安全令牌验证与沙箱隔离:防范 AI CLI RCE
基于能力的认证机制和沙箱会话隔离在 MCP 协议中的工程实现,针对 AI CLI 如 Claude Code 和 Gemini 的 RCE 风险提供防御策略。
2025-09-24ai-security2025-09
使用SEAL库在Python中实现基础BGV同态加密:简单加乘电路的参数选择
通过SEAL的Python绑定,介绍BGV方案在简单加法和乘法电路上的参数配置与实现,避免噪声深度分析,提供工程化入门指南。
2025-09-23ai-security2025-09
使用SEAL构建最小BGV全同态加密原型
基于FHE初学者教材,介绍BGV方案核心概念,并使用SEAL库实现加密算术运算的简单原型。
2025-09-23ai-security2025-09
实现Claude Code的细粒度HTTP过滤:精确控制AI代理的网络访问权限与目标域名
面向Claude Code AI代理,提供细粒度HTTP过滤的工程化实现方案,涵盖方法、扩展名、头信息与签名的精确控制。
2025-09-23ai-security2025-09
LWE硬度证明与基础FHE加密方案的逐步推导
逐步推导LWE硬度证明和基础全同态加密方案,用于AI管道中无 bootstrapping 开销的隐私保护计算。
2025-09-23ai-security2025-09
开发者视角:全同态加密核心概念与工程实现路径指南
避开纯数学推导,为开发者梳理FHE四大主流方案选型、噪声管理参数与硬件加速落地要点。
2025-09-23ai-security2025-09
高危场所IMSI捕手干扰缓解协议:联合国安全保障工程剖析
针对IMSI捕手设备在联合国等高影响力场所的蜂窝网络干扰风险,提供工程化取证分析与缓解策略,包括信号异常检测、运营商级监控参数及终端防护清单。
2025-09-23ai-security2025-09
Python 中 CKKS 方案的实际实现:噪声管理和密钥切换
面向初学者,给出 CKKS 方案在 Python 中的步步实现,应对噪声管理和密钥切换的工程挑战。
2025-09-23ai-security2025-09
Python中CKKS方案的逐步实现:噪声管理和密钥切换
为初学者FHE开发者提供CKKS方案在Python中的实用实现指南,重点处理噪声管理和密钥切换挑战,包括TenSEAL库的使用和参数调优。
2025-09-23ai-security2025-09
实施防御性 NPM 包管理:审计、锁定与最小权限策略
通过 lockfile-lint、--ignore-scripts 与最小权限 CI 配置,构建可落地的 NPM 供应链防御体系。
2025-09-22ai-security2025-09
eSIM隐私与安全风险剖析:运营商与设备商的工程化防护清单
聚焦eSIM芯片级漏洞、空口传输风险与国家级攻击面,给出运营商双重认证、端到端加密、配置清理等可落地工程策略。
2025-09-22ai-security2025-09
构建支持后台代理与权限委托的安全 GUI 运行时:基于 Tauri 的进程沙箱与 IPC 通信隔离
面向多代理并发场景,给出基于 Tauri 框架实现 GUI 运行时进程隔离、IPC 安全通信与细粒度权限委托的工程化配置清单与监控要点。
2025-09-21ai-security2025-09
为 Claude Code 代理设计安全运行时:进程隔离与权限控制四层防护
详解 Claude Code 代理的四层安全运行时机制:进程隔离、细粒度权限、沙箱执行与资源限制,提供可落地的配置参数与监控清单。
2025-09-21ai-security2025-09
在通用CPU上实现Scream流密码的常数时间版本:规避缓存侧信道攻击的工程实践
聚焦Scream流密码在x86通用CPU上的常数时间工程实现,详解如何通过消除数据依赖分支与统一内存访问模式,构建物理安全的密码学原语。
2025-09-21ai-security2025-09
流密码恒定时间实现:规避侧信道的工程化三原则与检查清单
剖析流密码软件实现中恒定时间的核心原则,提供无分支、无数据依赖查表、恒定比较三原则及工程检查清单,有效防御时序与缓存侧信道攻击。
2025-09-21ai-security2025-09
利用DNS TXT记录实现图像隐写:编码方案、传输参数与隐蔽信道监控
详解如何利用DNS TXT记录的宽松限制,通过Base64或十六进制编码传输图像,提供可落地的分块策略、超时参数与隐蔽信道检测清单。
2025-09-21ai-security2025-09
剖析Scream流密码:轻量级设计与抗侧信道攻击实现
解析Scream流密码的核心设计,包括其轮函数、密钥调度与S盒构造,提供可落地的实现参数与安全监控要点。
2025-09-21ai-security2025-09
为 Claude Code GUI 代理实现进程隔离与权限控制:opcode 实践指南
结合 opcode 的 Tauri/Rust 架构与 Claude Code 的 6 层安全模型,提供一份可落地的 GUI 代理安全配置清单,防止数据泄露与越权操作。
2025-09-21ai-security2025-09
流密码常数时间实现工程指南:规避侧信道攻击的参数与清单
提供一套可操作的工程化清单与参数阈值,指导开发者为流密码实现恒定时间特性,有效防御计时侧信道攻击。
2025-09-21ai-security2025-09
剖析 Unicode 组合字符混淆:原理、检测与防御实战指南
深入解析利用 Unicode 组合字符实现文本混淆的技术原理,提供可落地的检测方法与防御策略清单。
2025-09-21ai-security2025-09
Android 构建管道中的开发者 ID 验证工程化:签名强制与恶意软件扫描
针对 Android 新开发者验证政策,在构建管道中集成 ID 验证、应用签名强制执行及恶意软件扫描,降低侧载风险,提供工程化参数与监控清单。
2025-09-20ai-security2025-09
部署 WebGoat 作为 Spring Boot 漏洞应用模拟 OWASP Top 10 攻击,并在 CI/CD 中集成安全编码培训
介绍如何部署 WebGoat 故意漏洞 Spring Boot 应用,用于模拟 OWASP Top 10 攻击,并集成到 CI/CD 管道中实现自动化漏洞扫描和安全培训。
2025-09-20ai-security2025-09
基于 Ruby Central 攻击的 RubyGems 事件响应:自动化篡改检测与 CI/CD 签名验证
针对 Ruby Central 攻击后的 RubyGems 供应链事件,提供工程化响应管道设计,包括自动化 gem 篡改检测、CI/CD 签名验证及审计跟踪策略,确保快速恢复与威胁缓解。
2025-09-20ai-security2025-09
实现 RubyGems Gem 签名验证与审计管道:防范供应链攻击的工程实践
面向 RubyGems 生态,详细给出 gem 签名验证的配置步骤、审计工具集成与监控参数,帮助开发者构建安全的依赖管理流程。
2025-09-20ai-security2025-09
在 Notion 类系统中实现运行时监控和输入验证,防范 AI 代理的网络搜索工具滥用导致数据外泄
针对类似 Notion 的 AI 代理系统,给出运行时监控和输入验证的工程化实现参数与防范要点,确保网络搜索工具不被滥用导致数据外泄。
2025-09-20ai-security2025-09
为 Notion AI 代理构建运行时防护:输入验证与数据防泄露参数清单
面向 Notion AI 代理的 MCP 工具调用,提供一套可立即部署的运行时监控参数与验证清单,防止恶意指令导致的数据外泄。
2025-09-20ai-security2025-09
通过本地优先与最小插件原则,构筑 Obsidian 供应链攻击防御体系
详解如何利用 Obsidian 本地优先架构与安全模式,通过插件最小化、网络隔离与审计验证,系统性降低软件供应链攻击风险。
2025-09-20ai-security2025-09
为Claude Code后台代理设计进程隔离与细粒度权限控制
面向Claude Code后台代理,提供进程隔离、权限控制、资源限制与审计日志的工程化参数与安全检查清单,防止工具滥用与数据泄露。
2025-09-20ai-security2025-09
为 Notion 类 AI 代理设计运行时防护层:拦截恶意提示注入与数据外泄路径
面向 Notion 类 AI 代理,设计运行时防护层,实现输入验证与工具调用审计,拦截恶意提示注入与数据外泄路径。
2025-09-20ai-security2025-09
用 Rust 开发内核模块实现运行时信任度量:IMA 集成与 eBPF 钩子
利用 Rust 内核模块结合 IMA 和 eBPF,实现高效的运行时信任跟踪与安全引导验证,提供工程化参数与实现要点。
2025-09-19ai-security2025-09
通过恢复密钥工程化 macOS FileVault 加密卷的 SSH 远程访问
探讨在 macOS 恢复模式下启用 SSH 访问,使用恢复密钥解锁 FileVault 加密卷,实现安全与可用性的平衡,而无需完全解密。
2025-09-19ai-security2025-09
在Rust内核模块中实现Landlock:基于能力的文件系统沙盒化
使用Rust内核模块集成Landlock,实现多进程文件系统隔离的工程参数与监控要点。
2025-09-19ai-security2025-09
集成 pnpm 新严格设置:安装时包篡改检测,结合 npm audit 和 Sigstore 阻挡 monorepo 供应链攻击
探讨 pnpm v10 新增的严格构建设置,用于安装时检测包篡改,结合 npm audit 漏洞扫描和 Sigstore 溯源验证,在 monorepo 中构建多层供应链安全防护。
2025-09-19ai-security2025-09
RubyGems 供应链安全:漏洞利用与缓解策略
分析 RubyGems 的供应链风险,聚焦漏洞利用方式、缓解措施以及通过 gem 签名提升依赖管理的安全性。
2025-09-19ai-security2025-09
tinycolor NPM 包入侵分析:实施 Sigstore 签名、NPM Audit 自动化与依赖来源检查
针对 tinycolor 维护者账户接管事件,分析供应链攻击 postmortem,并提供 Sigstore 签名、NPM Audit 自动化及依赖来源检查的工程化实现。
2025-09-18ai-security2025-09
基于 Canvas 的文本渲染与 JavaScript 截图检测:实现动态内容擦除的安全文档分享
使用 Canvas 渲染敏感内容,通过像素轮询检测截图,并在检测到时擦除内容,提供安全文档分享的实现参数。
2025-09-18ai-security2025-09
使用最小权限应用注册实现 OAuth 令牌内省,检测并阻挡 Entra ID 跨租户全局管理员冒充攻击
在 Entra ID 环境中部署 OAuth 令牌内省机制,以最小权限应用注册方式检测并阻挡跨租户全局管理员冒充攻击,提供工程化参数和监控要点。
2025-09-18ai-security2025-09
pnpm 运行时包完整性检查:阻挡恶意注入与多包工作区自动回滚
利用 pnpm 的 verify-store-integrity 设置,实现运行时包完整性验证,阻挡供应链攻击,并在多包工作区中配置自动回滚机制。
2025-09-18ai-security2025-09
集成 pnpm 新运行时包验证设置:在多工作区安装中检测并阻断篡改依赖
利用 pnpm 的 verify-store 机制,在多工作区设置中实现依赖包运行时验证,防范供应链攻击。
2025-09-18ai-security2025-09
检测 Shai-Hulud 蠕虫在 NPM 中的传播:CI/CD 中的运行时扫描器与沙箱构建
探讨构建运行时扫描器和沙箱化构建来检测 Shai-Hulud 通过 NPM 的蠕虫传播,重点关注依赖图遍历和基于异常的隔离策略。
2025-09-17ai-security2025-09
LavaMoat:JavaScript依赖图沙盒化的供应链安全防护
深入解析LavaMoat如何通过三层防护机制实现JavaScript依赖图的运行时沙盒隔离,防御恶意NPM包的供应链攻击,并提供实际部署配置指南。
2025-09-17ai-security2025-09
Shai-Hulud蠕虫Payload剖析:NPM自传播链路与沙箱隔离策略
剖析Shai-Hulud蠕虫在NPM包中的自传播注入与payload执行,构建沙箱隔离与动态行为监控机制,提供可落地参数与监控要点。
2025-09-17ai-security2025-09
模拟Shai-Hulud蠕虫在NPM生态的自传播机制
面向NPM供应链安全,探讨蠕虫通过依赖链注入、横向移动和沙箱逃逸的模拟工程,实现传播路径重现与防御参数优化。
2025-09-17ai-security2025-09
工程运行时检测与安全依赖扫描:缓解 Tinycolor NPM 供应链攻击
针对 Tinycolor NPM 包供应链妥协事件,介绍构建运行时检测和依赖扫描管道的工程实践,覆盖 40 个受影响包的缓解策略。
2025-09-16ai-security2025-09
工程化自传播 NPM 恶意软件注入链路追踪与沙箱隔离
针对自传播 NPM 恶意软件,介绍注入链路追踪技术、沙箱隔离策略,以及供应链实时审计和自动回滚的工程实现。
2025-09-16ai-security2025-09
逆向工程 TP-Link 相机固件:揭示远程监视风险并部署本地加密防火墙缓解
通过逆向工程 TP-Link IoT 相机固件,发现潜在远程监视漏洞,并提供本地加密和防火墙配置的实用指南,确保家庭监控安全。
2025-09-16ai-security2025-09
浏览器端 OCSP Stapling 支持:可靠撤销验证的工程实践
探讨浏览器如何利用 OCSP Stapling 实现高效的证书撤销验证,减少延迟和隐私风险,包括验证参数和监控要点。
2025-09-15ai-security2025-09
工程化 GrapheneOS 强化内存分配器:利用缓解和验证引导链加强 Android 运行时安全
探讨 GrapheneOS hardened_malloc 的工程实现,包括利用缓解机制如保护页和随机化,以及与验证引导的集成,提供可落地参数和监控要点。
2025-09-15ai-security2025-09
工程化应对 Let's Encrypt OCSP 停用:CRL 缓存与预取实现无延迟 TLS 验证
针对 Let's Encrypt OCSP 服务结束,提供分布式 TLS 基础设施中 CRL 缓存、stapling 替代方案和预取策略的工程实现指南,确保证书验证无缝无延迟峰值。
2025-09-15ai-security2025-09
浏览器AI代理的能力-based沙箱化实现:使用Web Workers和权限检查
面向浏览器AI代理,给出基于Web Workers的沙箱化和权限检查的工程化参数与安全要点。
2025-09-15ai-security2025-09
浏览器AI代理运行时隔离:使用Web Workers和基于能力的セキュリティ实现
探讨如何利用Web Workers和能力-based安全机制为浏览器中的AI代理提供运行时隔离,防止未授权DOM访问和数据外泄,提供工程化参数和监控要点。
2025-09-15ai-security2025-09
浏览器中AI代理的能力隔离:使用Web Workers、CSP策略与运行时权限检查
面向浏览器AI代理的安全隔离,给出Web Workers执行环境、CSP策略配置及运行时权限检查的工程化参数与实现清单。
2025-09-15ai-security2025-09
使用 Pass 工程化 GPG 加密的 Unix 密码存储:实现 Git 同步的安全凭证管理
面向 Unix 系统,给出 Pass 工具的 GPG 加密存储、Git 同步管理与审计参数的工程化实践。
2025-09-14ai-security2025-09
使用 GPG 加密文本文件实现分层密码存储,并通过 Git 同步实现安全离线多设备访问
pass 密码管理器利用 GPG 加密文件构建层次化存储,支持 Git 同步,实现无需中心服务器的多设备安全访问。
2025-09-14ai-security2025-09
pass:GPG 加密文件实现的 Unix 密码存储与 Git 跨设备同步
通过 pass 工具,利用 GPG 加密纯文本文件和 Git 版本控制,实现去中心化的密码管理,支持多设备同步,避免云服务依赖。
2025-09-14ai-security2025-09
在 garak 中开发自定义漏洞检测器插件:针对新型 LLM 风险的模块化探测
探讨 garak 框架中自定义 detector 插件的开发,用于探测间接提示注入和数据提取攻击,提供实现参数与测试指南。
2025-09-13ai-security2025-09
通过 Kyverno CRD 实现 Kubernetes 策略准入控制:动态生成网络策略
利用 Kyverno 的 CRD 机制,通过 validate、mutate 和 generate 规则实现资源变异、配置验证以及无代理动态网络策略生成,确保 Kubernetes 集群安全合规。
2025-09-13ai-security2025-09
自动化检测隐藏DOM事件监听器:防范窃听风险与合规审计
面向web应用的安全审计,给出检测隐藏事件监听器的自动化工具实现、运行时监控参数及法律合规检查要点。
2025-09-12ai-security2025-09
Engineering Modular Red-Teaming Pipelines in Garak with Built-in Detectors
利用 garak 的内置探测器、评估指标和自动化报告,构建模块化红队测试管道,对 LLM 进行安全探测。
2025-09-12ai-security2025-09
使用 garak 构建模块化红队测试管道:LLM 漏洞探测与安全部署
面向 LLM 安全工程,探讨 garak 工具的插件式红队管道构建,实现提示注入、偏见和幻觉检测,支持多模型评估与自动化报告。
2025-09-12ai-security2025-09
金融科技API端点安全工程:通过限流、令牌轮换和审计日志防止OAuth令牌泄露
在金融科技应用中,工程化设计安全的API端点,防范OAuth令牌泄露风险,同时确保用户体验不中断。
2025-09-12ai-security2025-09
工程化实时 Kerberos 票据监控以防御 Kerberoasting 攻击
在企业 Active Directory 环境中,通过实时监控 Kerberos 票据请求、自动化密码轮换和异常检测,有效防御离线密码破解攻击,提供可落地参数和监控要点。
2025-09-11ai-security2025-09
在自定义 Android ROM 中实现 GrapheneOS 的取证提取抵抗:verified boot、文件加密与作用域存储
基于 GrapheneOS 特性,探讨如何集成 verified boot、文件级加密和作用域存储,阻挡冷启动与芯片脱焊取证攻击,提供工程参数与落地清单。
2025-09-11ai-security2025-09
使用 DuckDB 构建 NPM 供应链攻击事后取证管道
基于 DuckDB 的工程化 forensics 管道,实现 NPM 供应链攻击的日志聚合、恶意负载逆向与自动化恢复,提升响应速度与系统完整性验证。
2025-09-10ai-security2025-09
在 Apple Silicon 上实现硬件强制内存完整性:通过指针认证和控制流检查防止代码注入
探讨 Apple Memory Integrity Enforcement 的硬件实现,利用指针认证和控制流检查防范 iOS/macOS 应用中的代码注入攻击,提供开发者落地参数与检查清单。
2025-09-10ai-security2025-09