Mojo-V 中 RISC-V 扩展的保密计算工程实践
探讨 Mojo-V 在 RISC-V 中的保密计算扩展,包括加密指令、安全 enclave 和远程认证的工程实现与参数优化。
2025-11-19ai-security2025-11
Category
ai-security
共 825 篇文章。
分析 GoSign 桌面签名软件中的反序列化 RCE 漏洞
探讨 GoSign 软件中不安全反序列化导致的远程代码执行漏洞,包括利用链、负载交付和本地权限提升,针对意大利用户的影响。
2025-11-18ai-security2025-11
LineageOS、/e/OS 和 GrapheneOS 的安全加固比较
本文比较了 LineageOS、/e/OS 和 GrapheneOS 在验证启动、沙箱化和漏洞利用缓解方面的安全加固特性,针对去谷歌化 Android 的隐私需求,提供工程化选择建议。
2025-11-18ai-security2025-11
在 GrapheneOS 中实现 Verified Boot 强化:使用 dm-verity 和 Hardened Malloc 防范 Rooting 攻击
在隐私导向的 Android ROM 中,通过 dm-verity 实现 verified boot 链,确保固件更新防篡改,并结合 hardened malloc 缓解 rooting 利用,提供工程参数和监控清单。
2025-11-18ai-security2025-11
扩展 Safe C:使用指针来源跟踪进行别名检查与生命周期验证
面向 C 语言内存安全,扩展 safe_c.h 以支持指针来源注解,实现编译时别名检查和运行时生命周期验证,防范 use-after-free 漏洞。
2025-11-18ai-security2025-11
Azure 多向量 DDoS 缓解工程:吸收 15 Tbps 来自 500k IPs 的攻击
Azure 通过多向量过滤、自动缩放和流量清洗,工程化吸收 15 Tbps DDoS 攻击,确保高可用性。
2025-11-17ai-security2025-11
无 Cookie 浏览器追踪的 Favicon 指纹识别实现
利用浏览器 Favicon 缓存行为和资源计时 API,实现跨会话持久用户指纹识别的技术要点、参数配置与防御策略。
2025-11-17ai-security2025-11
使用模块化逆向工程破解20年未破译的遗留文件格式
开发模块化逆向工程管道,利用熵分析、部分解码和模糊测试破解20年未破译的文件格式漏洞,无需完整规范。
2025-11-17ai-security2025-11
Cursor AI 机器 ID 重置自动化 Python 脚本实现:绕过试用限制访问 Pro 功能
面向 Cursor AI 用户,提供 Python 脚本重置机器 ID 的工程化实现与参数配置,帮助访问 Pro 功能。
2025-11-17ai-security2025-11
使用 ReVoLTE 逆向工程 LTE 协议,实现加密语音通话的被动窃听
本文探讨利用 ReVoLTE 工具逆向 LTE 协议,通过 SDR 实现对加密语音通话的被动窃听,重点介绍密钥提取和实施参数。
2025-11-16ai-security2025-11
bcrypt 实现漏洞:时序攻击与恒定时间修复
分析 bcrypt 在分布式认证系统中的时序攻击风险,探讨 constant-time 实现缺陷,并提供安全哈希工程化参数与最佳实践。
2025-11-16ai-security2025-11
通过动态 Favicon 缓存实现持久用户跟踪:Service Worker 与 localStorage 集成
利用 Favicon 专用缓存进行跨站点用户跟踪,结合 Service Worker 再生 ID 和 localStorage fallback,实现无痕模式下的持久跟踪,提供工程化参数和监控要点。
2025-11-16ai-security2025-11
Rust 所有权模型在 Windows 内核驱动中的集成:抵御模糊测试的内存安全策略
利用 Rust 所有权模型强化 Windows 内核驱动,防范 fuzzing 攻击的内存违规访问。
2025-11-16ai-security2025-11
使用 pledge 和 unveil 系统调用实现 OpenBSD 守护进程的特权分离
通过 pledge 和 unveil 系统调用,在 OpenBSD 中为网络服务实现沙箱化与最小权限原则,减少攻击面,提供工程化参数和实施清单。
2025-11-16ai-security2025-11
利用 Flush+Reload 缓存攻击针对分支预测器误预测状态的泄露
通过 Flush+Reload 技术针对分支预测器的误预测状态进行侧信道攻击,实现预测模式泄露,支持无硬件访问的精确 exploits。
2025-11-16ai-security2025-11
服务器端无JavaScript阻塞LLM爬虫:IP/UA模式与请求时序速率限制
通过服务器端IP/UA指纹和请求时序检测,实现对分布式LLM爬虫的无JS阻塞,提供速率限制参数与实施清单。
2025-11-16ai-security2025-11
使用 Libwifi 制作自定义 802.11 帧模拟 WiFi 攻击
使用 libwifi 在 C 中生成自定义 WiFi 帧,模拟 deauth 和 rogue AP 攻击,测试入侵检测系统和协议鲁棒性,无需物理硬件。
2025-11-16ai-security2025-11
无 JS 服务器端阻塞 LLM 爬虫:速率限制、UA 指纹与行为启发
实现服务器端速率限制、用户代理指纹识别和行为启发式来检测并阻挡分布式 LLM 爬虫,无需依赖 JavaScript 执行。
2025-11-16ai-security2025-11
使用请求时间异常和头部指纹识别检测分布式 LLM 爬虫
面向分布式 LLM 爬虫,给出无状态服务器端启发式检测方法,包括时间异常分析和头部模式匹配的工程实现。
2025-11-16ai-security2025-11
服务器端启发式阻塞 LLM 数据爬虫:IP 限速、引用检查与自定义 robots.txt
探讨无需 JavaScript 的服务器端技术,如 IP 速率限制、HTTP Referer 验证和自定义 robots.txt 配置,用于检测并阻挡 LLM 训练爬虫,保护网站内容和资源。提供 Nginx 示例和最佳实践。
2025-11-16ai-security2025-11
Archive.today DNS 压力缓解:实时监控与速率限制部署指南
针对档案 web 服务 DNS 洪水攻击,部署实时查询监控、速率限制和异常检测,提供工程化参数与监控要点。
2025-11-15ai-security2025-11
Homomorphic Encryption for Privacy-Preserving Content Moderation in EU Chat Control
探讨在欧盟Chat Control法规下,利用同态加密方案工程化实现消息应用的客户端扫描,确保端到端加密的同时符合内容审核要求,提供参数和实现要点。
2025-11-15ai-security2025-11
无信息泄漏的 ROP 链绕过 ASLR:在嵌入式系统中构建 gadget 链执行 shellcode
探讨无泄漏 ROP 链绕过 ASLR 的技术,焦点在嵌入式系统 gadget 链构建、shellcode 执行及 CFI 规避,提供参数和监控要点。
2025-11-15ai-security2025-11
使用 Mozilla SSL 配置生成器自动化 TLS 配置:优化密码套件与协议版本
利用 Mozilla 的 SSL 配置生成器自动化 web 服务器的 TLS 设置,选择最佳密码套件、协议版本和 HSTS 头,提升安全性和兼容性。提供 nginx 等示例配置与实施参数。
2025-11-15ai-security2025-11
无泄漏 ROP 链绕过 ASLR 实现 RCE:部分覆盖与 Gadget 链接技术
探讨无信息泄露情况下,通过 ROP 链和部分覆盖技术绕过 ASLR 以实现远程代码执行的工程化路径与参数设置。
2025-11-15ai-security2025-11
Anthropic Claude Espionage Prompt Injection Heuristics
使用提示注入检测和 C2 网络启发式方法部署行为监控与 API 防护,实时中断 AI 协调的间谍活动,提供工程参数与监控要点。
2025-11-14ai-security2025-11
Anthropic API 运行时行为监控与保障:防范 AI 协调网络间谍
在生产环境中实施运行时行为监控和 API 保障,检测 AI 协调的网络间谍活动,提供实时分类器参数和响应策略。
2025-11-14ai-security2025-11
工程化 AI 间谍活动检测管道:行为异常评分与多阶段规避链分析
面向 AI 驱动的间谍活动,给出实时 API 监控中的检测管道工程化要点与参数配置。
2025-11-13ai-security2025-11
工程化运行时提示防护与网络启发式:中断AI编排钓鱼攻击
在API交互中,通过运行时提示守卫和网络启发式工程化设计,中断AI驱动的钓鱼活动,实现实时凭证保护,同时避免假阳性干扰正常操作。
2025-11-13ai-security2025-11
实施行为监控和API级防护:检测AI代理网络间谍活动
探讨在网络间谍活动中部署AI代理的检测与破坏策略,包括行为监控和API防护的工程实现要点与参数配置。
2025-11-13ai-security2025-11
工程化自托管 Kratos:MFA、OAuth2 和 OIDC 流程实现
在微服务架构中,使用 Ory Kratos 构建自托管身份服务器,支持 MFA、多因素认证、OAuth2 和 OIDC 流程,实现可扩展的、供应商独立的认证系统。
2025-11-13ai-security2025-11
使用 Kratos 部署自托管身份服务器:支持多因素认证、OAuth2/OIDC 和自助服务流程
指导在微服务中部署 Ory Kratos 自托管身份服务器,实现多因素认证、OAuth2/OIDC 集成和可扩展的用户管理自助流程。
2025-11-13ai-security2025-11
工程化 Android 开发者验证的早期访问:简化应用签名与完整性检查
针对 Android 开发者验证的早期访问程序,提供工程化集成方案,包括签名密钥管理、完整性检查参数及部署前优化策略。
2025-11-13ai-security2025-11
用 Age 替换 GPG:自动化密钥交换与文件加密管道的轻量实现
将 Age 作为 GPG 的轻量现代替代,实现自动化密钥交换和文件加密管道,重点脚本易用性和复杂度降低。
2025-11-13ai-security2025-11
企业环境中Android侧载应用验证的可选绕过实现:使用策略引擎平衡安全与灵活性
面向企业Android环境,给出侧载验证可选绕过策略、MDM配置参数与安全监控要点。
2025-11-13ai-security2025-11
工程化 RNG 验证管道:NIST STS 与 Dieharder 测试的集成与失败阈值
在生产加密系统中,构建使用 NIST STS 和 Dieharder 测试的 RNG 验证管道,焦点在集成策略、参数优化和失败阈值管理。
2025-11-13ai-security2025-11
Fintech 入侵应对:Checkout.com 的勒索软件拒绝策略与资金重定向
Checkout.com 在 Fintech 入侵事件中隔离攻击者、不支付赎金,并将资金重定向至安全研究,实现主动漏洞缓解。
2025-11-13ai-security2025-11
Yaesu FT-70D 业余无线电固件加密的逆向工程:静态与动态分析提取密钥
通过静态和动态分析方法,从 Yaesu FT-70D 业余无线电固件中提取加密密钥,实现无需专有工具的自定义修改。详细步骤包括资源加载、调试跟踪和解密实现。
2025-11-13ai-security2025-11
Google Android Gatekeeper安全策略演进:从开放生态到集中化验证的技术分析
深度解析Google实施的Android开发者验证政策,探讨安全验证机制的技术实现、争议焦点与对生态的长远影响,揭示移动安全与开放性之间的微妙平衡。
2025-11-13ai-security2025-11
血压监测仪逆向工程与安全分析:24小时拆解IoT医疗设备的网络流量与通信协议
通过深度逆向工程分析WithingsBPM血压监测仪,揭示IoT医疗设备的网络流量特征、通信协议漏洞与隐私安全风险,并提供实际的监控防护方案。
2025-11-12ai-security2025-11
24小时逆向血压计通信协议:医疗设备安全的工程实践与挑战
通过实际逆向工程案例,深入分析血压计蓝牙通信协议的技术细节、面临的挑战以及医疗设备安全的重要考量。
2025-11-12ai-security2025-11
AI驱动的自动化安全审计框架:Strix的工程化实现与实践
深入探讨Strix作为AI驱动的安全审计框架,基于多智能体架构的分布式安全测试实现,分析其在DevSecOps流程中的工程化价值和集成方案。
2025-11-11ai-security2025-11
WICG邮箱验证协议:基于SD-JWT+密钥绑定与WebAuthn的隐私友好身份验证新范式
深入解析WICG推出的Email Verification Protocol如何通过SD-JWT+KB和WebAuthn集成,实现无邮件的隐私友好邮箱验证,为WebAuthn生态构建新的身份验证标准。
2025-11-11ai-security2025-11
SD-JWT+KB 架构下的邮箱验证协议:隐私保护的 Verified Autofill 原生实现
基于 WICG 新提出的邮箱验证协议,通过 SD-JWT+Key Binding 双 JWT 架构与 DNS 委托机制,在浏览器原生层实现隐私保护的邮箱验证,为 Web 身份认证基础设施奠定基础。
2025-11-11ai-security2025-11
Strix AI安全自动化框架的智能代理架构与动态渗透测试实现
深入分析Strix AI安全自动化框架的多智能体协作架构、动态验证机制和自动化渗透测试管线的技术实现细节。
2025-11-11ai-security2025-11
Strix:AI驱动的自动化渗透测试框架架构与集成实践
深入分析Strix作为开源AI安全工具的自动化审计架构,探讨其Python实现的渗透测试框架设计模式与集成策略。
2025-11-11ai-security2025-11
Strix:AI驱动的代码审计与渗透测试自动化框架深度解析
深入分析Strix AI驱动的安全审计框架,探索其自主代理协作架构、实际验证机制与传统工具的差异化价值。
2025-11-11ai-security2025-11
深入解析strix:AI驱动的自动化渗透测试框架的工程架构与实战实现
从工具链架构与AI算法融合角度深入分析strix框架的设计理念、技术实现和工程落地,涵盖代理团队协作、动态渗透测试管线及企业级部署方案。
2025-11-11ai-security2025-11
IANA标准下OAuth参数注册机制与工程实践
探讨IANA标准组织在OAuth参数注册中的基础设施角色,分析参数注册机制、流程自动化和兼容性保障的工程实践
2025-11-11ai-security2025-11
LLM是认知能力的"类固醇":AI辅助代码审计中的Dunning-Kruger效应与安全防护机制
分析LLM降低技术门槛导致Dunning-Kruger效应放大的安全影响,探讨AI辅助代码审计中的认知偏差风险与工程化防护机制。
2025-11-10ai-security2025-11
Strix AI驱动安全审计框架:Python编排引擎与误报率控制的技术实践
深度解析strix开源项目的AI驱动安全审计自动化框架,重点分析Python编排引擎架构、工具链集成策略以及误报率控制的工程实现方案。
2025-11-10ai-security2025-11
WICG 邮箱验证协议:SD-JWT+KB 的隐私保护工程实践
深入解析 WICG 邮箱验证协议的技术架构,重点分析 SD-JWT+KB 的实现机制与隐私保护特性。
2025-11-10ai-security2025-11
基于SD-JWT的隐私保护邮箱验证:WICG协议深度技术解析
深入分析WICG Email Verification Protocol中SD-JWT+KB令牌机制的工作原理,探讨零知识证明在身份验证中的工程实现,解析6步验证流程的技术细节与隐私保护特性。
2025-11-10ai-security2025-11
TP-Link路由器安全分析:美国政府禁令背后的技术原因与供应链风险
深入分析美国政府拟议TP-Link路由器禁令背后的技术原因与安全漏洞,探讨网络设备供应链安全与固件审计工程实践。
2025-11-10ai-security2025-11
WebAssembly基于线性内存模型与能力导向安全的新型安全隔离沙箱
深入分析WebAssembly通过线性内存模型和Capability-based security实现细粒度权限控制,构建区别于传统进程隔离的新型安全隔离沙箱的技术原理与工程实践。
2025-11-10ai-security2025-11
Strix:构建AI驱动的自动化安全测试框架工程实践
深入分析Strix AI安全自动化框架的工程架构与实施策略,探讨如何通过智能代理和动态验证技术实现高效安全测试。
2025-11-09ai-security2025-11
基于Z3定理证明器的符号执行安全扫描系统:内存漏洞自动检测与补丁生成
深入探讨基于Microsoft Z3定理证明器的符号执行引擎构建,突破传统fuzzing覆盖盲区,实现程序内存安全漏洞的自动化检测与补丁生成完整系统方案。
2025-11-09ai-security2025-11
NetBSD中bubblewrap沙箱技术实现的系统级安全机制深度分析
深入分析bubblewrap在NetBSD操作系统中的实现挑战与替代技术路径,探讨BSD安全机制在沙箱技术中的应用与优化策略。
2025-11-09ai-security2025-11
Z3自动化安全扫描:基于定理证明的漏洞检测新范式
探讨Z3 SMT求解器在自动化安全扫描中的应用,从符号执行到约束求解,构建形式化验证驱动的安全漏洞检测系统
2025-11-09ai-security2025-11
基于Z3定理证明器的自动化安全扫描:形式化验证实现零误报检测
探讨Z3 SMT求解器在安全扫描框架中的工程应用,通过形式化验证技术实现零误报的自动化安全漏洞检测,为DevSecOps实践提供可落地参数与最佳实践。
2025-11-09ai-security2025-11
Defeating Kaslr by Doing Nothing at All: KASLR被动破解技术深度分析
深入分析Google Project Zero发现的KASLR被动破解技术,探讨线性映射非随机化与内核物理地址固定化如何协同削弱内核地址空间布局随机化的防护效果。
2025-11-09ai-security2025-11
Google Project Zero KASLR被动绕过:线性映射静态特性深度分析
深入分析Google Project Zero关于KASLR被动绕过技术的研究,重点解析arm64架构下线性映射区域的静态特性以及如何通过系统行为观察无需主动攻击即可获取内核基址。
2025-11-09ai-security2025-11
Google Project Zero KASLR被动绕过研究:线性映射静态特性分析
深入分析Google Project Zero关于KASLR被动绕过技术的研究,重点关注arm64架构下线性映射区域的静态特性以及如何通过系统行为观察获取内核基址信息。
2025-11-09ai-security2025-11
AI驱动的自动化安全测试流水线设计:Strix引领下一代智能渗透测试
探索基于Strix开源AI黑客工具的自动化安全测试流水线设计,解析AI智能体如何重塑传统渗透测试流程,实现规模化、准确化的漏洞发现与验证。
2025-11-09ai-security2025-11
Google Project Zero揭示KASLR被动绕过:CPU缓存侧信道攻击技术深度分析
深入分析Google Project Zero最新发现的基于CPU缓存侧信道的被动KASLR绕过技术,探讨Linux内核内存管理机制缺陷及其实工程实现。
2025-11-09ai-security2025-11
ZenScript Z3驱动的自动化安全扫描框架:从参数化约束到漏洞检测的工程化实现路径
构建基于Z3定理证明器的ZenScript自动化安全扫描框架,实现从参数化约束建模到漏洞检测的工程化路径,包括符号执行、约束求解和混合测试的核心技术栈。
2025-11-09ai-security2025-11
州警车辆GPS抑制系统的零信任架构设计:隐私安全与应急响应的工程平衡
深度解析州警车辆GPS抑制系统的隐私安全架构设计,聚焦实时追踪与应急响应的工程平衡机制,为敏感系统的零信任架构提供可操作的设计框架。
2025-11-09ai-security2025-11
Cloudflare视角下的僵尸网络威胁检测:网络基础设施安全防护技术栈工程实践
基于Aisuru僵尸网络真实攻击案例,深入分析DNS流量分析、威胁情报收集与云安全防护的工程实践,探讨网络基础设施在僵尸网络检测中的关键技术栈。
2025-11-08ai-security2025-11
Strix开源AI安全测试框架深度解析:多智能体协作重塑渗透测试范式
深入分析Strix如何通过多代理协作、容器隔离和智能编排,将传统人工渗透测试转化为自动化、可扩展的安全验证体系,并探讨其对传统安全测试生态的重构意义。
2025-11-08ai-security2025-11
Strix AI安全测试自动化:重新定义应用安全检测的智能范式
深入解析Strix如何通过AI驱动的多智能体架构,实现动态漏洞验证与实际PoC生成,革新传统安全测试方法的误报率高、效率低下等痛点。
2025-11-08ai-security2025-11
Linux服务器安全加固自动化指南:基于Ansible的工程化实践
深入分析Linux服务器安全加固的开源自动化指南,重点关注脚本化部署与工程化实现的最佳实践,涵盖Ansible Playbooks、Roles和安全加固策略。
2025-11-08ai-security2025-11
Strix AI安全测试架构深度解析:多代理协作的智能化漏洞检测平台
深入分析Strix基于AI代理的分布式安全测试架构设计,从容器化部署到LLM集成的完整技术栈,重点探讨多代理协作模式在漏洞检测中的工程化实现。
2025-11-07ai-security2025-11
Strix开源AI黑客工具架构深度解析:基于Python的AI代理框架如何实现自动化渗透测试
深入分析Strix的AI驱动安全测试架构,探讨多代理协作模型、实际验证机制和工程化部署实践,为开发者提供可操作的安全测试解决方案。
2025-11-07ai-security2025-11
20亿邮箱数据泄露的工程化安全复盘:大规模数据处理、威胁检测与防护架构设计
基于Troy Hunt公开的20亿邮箱泄露事件,从工程角度分析大规模数据处理的架构挑战、stealer log的技术原理,以及企业级安全防护体系的构建策略。
2025-11-07ai-security2025-11
渐进式Linux服务器安全加固实战:从SSH到内核的全方位防护策略
深入分析Linux服务器安全加固的工程化实践,聚焦SSH、iptables、fail2ban等核心工具的渐进式配置策略与安全基线构建方法。
2025-11-07ai-security2025-11
构建AI生成内容安全评估的工程化框架:依赖链路、静态扫描与渗透测试的实战方法论
基于A.S.E等前沿评估框架,阐述针对AI生成内容开源项目的系统化安全评估方法,涵盖依赖链路分析、静态代码扫描和渗透测试的工程实践,为DevSecOps提供可落地的评估参数。
2025-11-07ai-security2025-11
大规模邮箱泄露事件的安全工程分析:分布式检测、事件响应与后置防护体系
基于最新20亿邮箱数据泄露事件,深入分析AI驱动威胁检测、1小时黄金响应机制与端到端数据生命周期防护的工程实践。
2025-11-07ai-security2025-11
供应链安全假设被系统性利用的攻击模式与工程化防御实践
基于Trail of Bits安全研究,分析供应链攻击中攻击者如何系统性地利用安全社区的既有假设,从Sleepy Pickle到AI模型中毒,探讨工程化防御策略的落地实现。
2025-11-06ai-security2025-11
AI生成内容对开源软件安全的威胁评估与防护策略
构建AI生成内容对开源软件安全威胁的评估框架与防护策略,量化AI垃圾内容对安全扫描准确性的影响,并提供系统化的风险缓解方案。
2025-11-06ai-security2025-11
基于静态分析的AI代码安全扫描流水线构建指南
构建工程化的静态安全扫描流水线,专门检测LLM生成代码的漏洞模式与安全风险,提供可落地的工具链与参数配置。
2025-11-06ai-security2025-11