ai-security
机器智能
电磁侧信道攻击突破Rivain-Prouff掩码AES:从物理泄露到密钥恢复
首次实现对理论安全的Rivain-Prouff掩码AES的远距离电磁攻击,揭示混合信号芯片中深度学习驱动的侧信道威胁,为物联网硬件安全提供工程级解决方案。
X.Org X Server安全通告深度分析:供应链攻击防御与应急响应
深入分析2025年2月披露的8个X.Org X Server和Xwayland关键漏洞,探讨现代显示服务器的供应链安全风险与企业级应急响应策略。
蓝牙芯片电磁泄漏工程化分析:侧信道攻击机理与防护架构
深入分析蓝牙芯片在加密运算时的电磁辐射泄漏机制,详述相关性电磁分析攻击方法、实测数据处理技术,以及基于Secure Vault的工程化防护架构。
Claude Code在密码学调试中的实战案例:AI工具如何协助发现底层实现缺陷
通过分析知名密码学专家Filippo Valsorda的真实案例,探讨AI编程助手Claude Code在专业密码学调试场景中的应用价值与技术突破。
Cloudflare匿名凭证:隐私保护下的机器人防护与速率限制技术方案
探讨如何在不泄露用户身份信息的前提下,实现有效的机器人检测、账户接管防护和动态速率限制,构建兼顾隐私保护与安全防护的现代Web应用架构。
Cloudflare 后量子匿名凭证工程化实践:从密码学基础设施到企业级应用
深入解析 Cloudflare 如何在后量子密码学领域实现工程化突破,从35%流量的实际部署到 Zero Trust 集成的完整生态构建。
nuclei-templates 社区驱动安全检测引擎的工程化设计
深入分析 nuclei-templates 如何通过社区协作模式构建安全漏洞检测生态,探讨 YAML 模板语言设计对检测准确性的影响与插件架构的扩展性工程实践。
nuclei-templates:社区驱动的安全漏洞检测模板引擎架构深度解析
深入分析ProjectDiscovery的nuclei-templates如何通过YAML DSL实现安全检测模板引擎,探讨插件化架构、多协议支持和社区协作模式的工程实践。
NPM恶意包检测的工程实践:PhantomRaven供应链攻击防护方案
基于86k+下载量的PhantomRaven攻击分析,构建涵盖静态分析、动态监控和机器学习的恶意包检测技术栈,给出可操作的检测参数和供应链安全防护清单。
GitHub Actions中的gVisor沙箱:零信任CI/CD流水线安全隔离技术
深入解析gVisor在GitHub Actions中的零信任安全隔离实现,通过用户空间内核与系统调用拦截技术,为CI/CD流水线提供企业级安全防护。
nuclei-templates:社区驱动的安全漏洞检测模板引擎架构设计
深入解析nuclei-templates社区驱动的安全检测模板引擎,探讨YAML模板语言、多协议支持、版本管理和企业级部署实践,揭示安全工程自动化的核心机制。
基于Social Analyzer的多平台OSINT用户画像检测与评分算法工程实践
深入剖析跨1000个社交平台的OSINT检测评分机制,从多层检测架构到worker并发调优,提供面向执法与企业安全的工程化实践方案。
像素化文本恢复的逆向工程实践:Depix算法的技术原理与工程局限
深度解析Depix从像素化截图中恢复明文的技术原理、算法实现与安全启示,重点阐述线性方框滤波器的可逆性机制、德布鲁因序列匹配策略以及工程应用中的技术边界。
深度解析:为什么 BinaryFormatter 是 .NET 历史上最危险的组件
从 BinaryFormatter 的设计缺陷到 Json.Net 反序列化攻击,揭示 .NET 生态系统中最严重的反序列化风险类型,并提供完整的防护策略。
Cisco MCP-Scanner企业安全框架深度分析:三层扫描引擎的工程化实践
深入剖析Cisco MCP-Scanner的企业级安全扫描框架,探讨YARA规则、LLM-as-judge和AI Defense API的协同机制,以及在企业环境中的最佳部署策略。
fnox 秘密管理器:与 mise 深度集成的类型安全密钥管理方案
深入解析 fnox 如何通过与 mise 的集成提供统一的秘密管理体验,涵盖加密存储、云端集成和自动化密钥管理的工程实践。
卫星网络监听内部通信:800美元设备暴露50%未加密链路的工程安全分析
从UCSD研究数据出发,分析地球同步卫星链路的工程脆弱性,给出针对企业内部网络通过卫星通信被窃听的检测方法和防护策略。
针对M365 Copilot的Mermaid图表数据窃取:SVG载荷与修复方案
解析Microsoft 365 Copilot中Mermaid图表渲染漏洞,通过构造SVG载荷实现敏感数据窃取的技术细节与防御策略。
利用Mermaid图表在Microsoft 365 Copilot中实现数据外泄:SVG载荷攻击详解
解析Mermaid图表渲染漏洞如何通过SVG载荷触发敏感数据外泄,提供可落地的输入过滤规则与监控阈值建议。
Copilot Mermaid渗出:SVG载荷的十六进制编码与防御参数
解析Microsoft 365 Copilot中通过Mermaid SVG载荷进行数据渗出的技术细节,提供十六进制流量检测与WAF规则配置方案。
无需原图的盲水印提取:DCT域冗余编码与抗 distortion 实践
详解基于DCT的盲水印技术如何在无需原图条件下提取水印,通过冗余编码与阈值策略抵御图像 distortion,附工程参数与攻击测试数据。
可并行Keccak-based哈希:KangarooTwelve与TurboSHAKE在嵌入式加密应用中的高效海绵构造
介绍KangarooTwelve和TurboSHAKE的并行化哈希机制,针对嵌入式系统的变长输出和高效海绵构造,提供工程参数。
Secure AGPL-Compliant Docker Builds for MinIO: Resolving CVE-2025-62506
通过修补基础镜像和 CI/CD 管道中的漏洞扫描,实现 MinIO 的安全 Docker 构建,针对 CVE-2025-62506 提供工程化解决方案。
高风险API中实施RBAC和IDOR缓解措施:以FIA运动员PII泄露为例
基于FIA数据库漏洞事件,探讨在高风险API中部署RBAC和IDOR防护策略,保护运动员等敏感PII,包含工程参数和监控要点。
Web 后端中工程化 RBAC 和 IDOR 缓解措施:保护高风险事件数据库的 PII 端点免受遍历攻击
面向高风险事件数据库的 PII 端点,给出 RBAC 实现与 IDOR/遍历攻击的工程化缓解参数与清单。
Immich 自托管照片应用中 TLS 固定与域名验证:对抗 Google Safe Browsing 误报
针对自托管照片应用如 Immich,介绍工程化 TLS 证书固定与域名验证策略,缓解 Google Safe Browsing 对合法站点的误报阻挡,提供配置参数与监控要点。
剖析 Circl FourQ 阶梯实现中的时序泄漏并部署无分支标量乘法
针对 Cloudflare Circl 库中 FourQ 阶梯的时序漏洞(CVE-2025-8556),剖析分支依赖操作的泄漏机制,并提供无分支标量乘法的工程化参数与 ECDH 部署清单。
Rails 参数中实现嵌套白名单和审计日志以阻挡 mass assignment 导致的 PII 未授权更新
在高风险 Web 应用中,通过 Strong Parameters 实现嵌套白名单过滤,并集成审计日志,防止 mass assignment 漏洞导致 PII 数据暴露,提供工程化参数和监控要点。
Mitigating Security Paradox in Local LLMs: Isolation, Injection Defenses, and Hardware Trust Verification
探讨本地大型语言模型部署中隐私与安全悖论的缓解策略,包括模型隔离技术、提示注入防御机制以及硬件信任验证方法,以实现风险平衡。
FourQ 椭圆曲线加密中缓解时序和缓存侧信道攻击:Go 实现的恒时算术与输入净化
探讨 Cloudflare Circl 中 FourQ 实现的侧信道漏洞,重点介绍通过恒时算术和输入净化来缓解时序与缓存攻击的策略,提供 Go 开发中的实用参数和清单。
使用 Linux Capabilities 实现细粒度特权控制的工程实践
利用 Linux capabilities 进行进程特权分离,聚焦 syscall 过滤与 bounding sets 配置,实现无 root 安全部署。
使用 Knocker 实现轻量级敲门序列认证保护 Homelab 服务
Knocker 提供基于 HTTP 的单包授权网关,通过简单敲门操作临时白名单 IP,实现 homelab 服务的安全远程访问。集成 Caddy 反向代理和 Firewalld 防火墙,支持低开销状态跟踪,无需复杂密钥轮换。适用于静态家庭实验室环境。
Evaluating Argon2 Adoption and Effectiveness
评估 Argon2 在开源项目中的实现、对 GPU 攻击的抵抗力,并为 Web 应用推导安全性能平衡的参数指南。
实现动态端口敲门序列:密钥轮换、iptables集成与fail2ban钩子,用于零信任家庭实验室入口
探讨在家庭实验室中通过动态端口敲门实现零信任访问,结合密钥轮换、iptables规则和fail2ban防护,避免静态端口暴露。提供工程参数和监控要点。
工程化自动化 IAM 审计与异常检测:AWS 宕机后安全响应
在 AWS 宕机后防范账户 compromise,通过自动化 IAM 审计、凭证轮换管道和行为异常检测,防止横向移动和数据外泄。提供工程参数和监控要点。
Optimizing ReBAC Tuple Queries in pgFGA with Postgres Partitioning, GIN Indexes, and Materialized Views for Sub-Millisecond Multi-Tenant Authorization
在 pgFGA 中,通过 Postgres 的分区、GIN 索引和物化视图优化 ReBAC 元组查询,实现多租户环境下的高性能授权检查,响应时间控制在亚毫秒级。
纯 Postgres 实现细粒度授权:基于关系代数、视图和触发器的 pgFGA
使用 Postgres 原生功能重写 OpenFGA,实现高效的 ReBAC 授权系统,支持多租户场景下的细粒度访问控制。
iOS 锁定模式中行为启发式与 ML 异常检测的实现:针对高风险用户的实时政府间谍软件警报
面向高风险用户,在 iOS 锁定模式下集成行为启发式和机器学习异常检测,实现对国家赞助间谍软件的实时警报与响应工程化。
仿真器驱动的 JIT 引擎:执行非执行内存以规避 NX 保护
探讨如何构建基于仿真器的 JIT 引擎,从只读内存加载并执行代码,通过内存映射和动态反汇编技巧规避 NX 保护,用于安全测试场景。
x86 内存标记的 ABI 兼容性:ChkTag 跨厂商实现
针对 Intel-AMD x86 平台的 ChkTag 内存标记 ABI 设计,提供编译器集成参数与无缝兼容策略,确保边界检查与指针完整性。
Intel and AMD Joint ChkTag Specification: Cross-Vendor Memory Tagging Standardization and ABI Compatibility on x86
Intel 和 AMD 联合推出的 ChkTag 规范实现 x86 平台的内存标签互操作,支持 ABI 兼容性和从 Arm MTE 的平滑迁移,提供硬件加速的边界检查机制,助力开发者提升软件安全。
UUID v4 的低熵风险与高熵替代:随机盐结合 BLAKE3 哈希的安全 API 标识符生成
分析 UUID v4 低熵隐患,介绍随机盐 + BLAKE3 的高熵生成方法,提供 API 标识符工程参数与监控要点。
UUID v4 碰撞概率分析与加盐 BLAKE3 哈希的 API 秘密保护
探讨 UUID v4 在 API 秘密中的碰撞与暴力枚举风险,并提供使用加盐 BLAKE3 哈希生成碰撞抵抗唯一标识符的工程实现参数。
防范供应链攻击:Git 与 Deb 打包实践确保 Tarball 完整性
基于 XZ 后门事件,分析 Git 工作流和 Deb 打包协议中识别 tarball 不一致的机制,强调自动化验证和维护者保障以保护压缩工具供应链。