使用 Infisical 实现自动化 PKI 证书轮换与审计 SSH 访问控制
在自托管的 Infisical secrets vault 中,通过端到端加密实现 PKI 证书的自动化轮换和 SSH 访问的审计控制,提供工程化参数和最佳实践。
阅读全文 →
←所有分类
ai-security
机器智能
RediShell 中 Redis 协议反序列化漏洞分析:LuaJIT FFI 导致 RCE 的防护工程
剖析 RediShell 的 Redis 协议反序列化缺陷,利用 LuaJIT FFI 实现远程代码执行,提供输入验证与沙箱执行的工程化防护策略。
阅读全文 →
Redis RediShell RCE 漏洞分析:Lua 沙箱逃逸与 CONFIG Gadget 链
针对 Redis Lua 沙箱 UAF 漏洞,分析逃逸机制、gadget 链构造及从认证到 RCE 的执行路径。
阅读全文 →
基于 Infisical 的自动化 PKI 轮换、SSH 访问审计工程实践
探讨 Infisical 平台中自动化 PKI 证书轮换、SSH 访问审计以及加密秘密库的工程实现,提供参数配置和安全最佳实践。
阅读全文 →
CodeMender 中多代理架构设计:用于安全审计的并行漏洞扫描与自动补丁
探讨 CodeMender 中的多代理系统架构,聚焦并行漏洞扫描、交叉验证和自动补丁生成,适用于多语言代码仓库,提供工程化参数和监控要点。
阅读全文 →
FHEVM 通过自定义 EVM 操作码实现隐私保护 DeFi:加密订单匹配与收益耕作
利用 FHEVM 框架扩展 EVM,支持机密 DeFi 交易的工程化实现,包括加密订单匹配、收益耕作的参数配置与监控策略。
阅读全文 →
Redis RediShell 模式下 RCE 缓解:安全配置与 Lua 沙箱
通过 ACL 强制执行和 Lua 脚本沙箱化,防范 Redis 中的 shell 命令注入,提供输入验证和配置参数清单。
阅读全文 →
通过自定义 FHE 操作码将同态加密集成到 EVM:隐私保护智能合约的阈值解密与电路编译
本文探讨 FHEVM 如何使用自定义操作码集成全同态加密到 EVM,支持隐私智能合约。重点分析阈值解密机制和符号执行电路编译,提供工程参数和落地指南。
阅读全文 →
将 OSV.dev API 集成到 CI/CD:多语言开源依赖自动化漏洞扫描与 triage
探讨 OSV.dev API 与 OSV Scanner 在 CI/CD 中的集成,实现多语言开源依赖的自动化漏洞扫描,提供 triage 参数、最佳实践和监控要点。
阅读全文 →
Magic Wormhole 中 PAKE 的工程实现:带 out-of-band 验证的临时会话密钥与 TCP 打洞
探讨 Magic Wormhole 如何利用 PAKE 协议实现安全的 P2P 文件传输,包括代码验证、临时密钥管理和 NAT 穿越的 TCP 打洞技术,提供工程参数和最佳实践。
阅读全文 →
FHEVM 中实现自定义 FHE 操作码:阈值解密与隐私 DeFi 计算优化
探讨在 FHEVM 中自定义 FHE 操作码以提升 EVM 兼容性,聚焦阈值解密机制和无需全栈集成的隐私保护 DeFi 计算,提供工程参数和落地清单。
阅读全文 →
使用 pf2json 将 OpenBSD PF 规则解析为 JSON AST:程序化验证与修改
面向 OpenBSD 防火墙管理,给出 pf2json 解析工具的使用与 JSON AST 结构,包含验证、修改的落地参数。
阅读全文 →
FHEVM:全同态加密与 EVM 集成实现隐私保护 DeFi
FHEVM 通过自定义操作码和阈值解密机制,将全同态加密操作集成到 EVM 中,支持加密智能合约在隐私保护 DeFi 中的应用,提供端到端加密和高效计算参数。
阅读全文 →
Magic Wormhole 中 PAKE 实现带外代码验证、临时会话密钥与 TCP 打洞的 NAT 穿越安全 P2P 文件传输
基于 Magic Wormhole 探讨 PAKE 验证、临时密钥生成及 TCP 打洞 NAT 穿越的工程参数与实践要点,实现无服务器安全文件传输。
阅读全文 →
Integrating FHE Operations into EVM with Custom Opcodes for Privacy-Preserving DeFi
面向 EVM 集成 FHE 操作,给出自定义操作码实现与阈值解密参数的工程化指南。
阅读全文 →
Battering RAM:低成本 x86 互连器设计用于绕过 Intel SGX 的内存隔离
介绍 Battering RAM 项目中的低成本互连器原型设计,针对 DDR 总线信号操纵,实现对 Intel SGX 的内存侧信道攻击,焦点在地址别名创建与密钥提取工程实践。
阅读全文 →
Battering RAM 攻击适配 ARM TrustZone:低成本 DDR 总线拦截探针设计与硬件隔离绕过工程实现
基于 Battering RAM 原理,探讨其适配 ARM TrustZone 的可行性,包括 DDR 总线 interposer 设计、内存别名映射机制,以及绕过硬件隔离的工程细节与防护参数。
阅读全文 →
将 Battering RAM 适应于 ARM TrustZone 的插层攻击
面向 ARM TrustZone 的低成本插层器适应,聚焦 AArch64 DDR 总线拦截与电磁侧信道密钥提取,提供 FPGA 重新配置参数与信号隔离要点。
阅读全文 →
低成本插层器工程:拦截 DDR 总线流量提取 enclave 密钥的侧信道攻击
探讨使用低成本自定义插层器拦截 DDR 总线流量,通过侧信道分析从 Intel SGX 和 AMD SEV 等 TEE 中提取 enclave 密钥的工程实践,提供硬件构建参数、实现清单与监控要点。
阅读全文 →
工程 FPGA 基中介板原型用于 TEE 中的 DDR 总线拦截
在机密计算环境中,使用 FPGA 构建中介板原型拦截 DDR 内存总线信号,关注信号完整性、动态重配置及侧信道利用,支持 SGX 和 SEV 等 TEE,提供设计参数和实现指南。
阅读全文 →
CHERI 架构下 Linux 用户空间应用的移植:能力感知系统调用与混合 ABI 翻译
探讨 CHERI 架构中 Linux 用户空间应用的兼容策略,通过能力感知系统调用和混合 ABI 翻译实现细粒度内存保护与二进制移植。
阅读全文 →
在 CHERI 硬件上以纯能力模式引导 Linux 内核:编译挑战与模式切换
探讨 CHERI 纯能力模式下 Linux 内核引导过程,分析编译难点、模式切换机制及工程化参数,实现无混合妥协的硬件内存隔离。
阅读全文 →
Infisical 中自动化 PKI 证书轮换与 SSH 访问审计
利用 Infisical 的 policy-driven workflows 自动化 PKI 证书轮换和 SSH 访问审计,实现安全合规的基础设施秘密管理。涵盖证书模板配置、续期策略、SSH 证书发行及审计日志监控要点。
阅读全文 →
工程化众包 ALPR 摄像头位置映射工具:集成开放数据 API 实现隐私导航与警报
探讨 Deflock 项目如何通过众包和开放 API 工程化 ALPR 摄像头映射,支持隐私保护的导航和实时警报,提供工程参数与最佳实践。
阅读全文 →
在安全关键软件中实现 SPARK 形式验证:使用 GNATprove 的合同开发流程
探讨在安全关键 C/C++ 替换中使用 SPARK 形式验证流程,集成 GNATprove 证明无运行时错误。提供工程参数、监控要点和实施清单,帮助开发者从传统测试转向可证明安全。
阅读全文 →
通过计算机鼠标传感器进行声学侧信道窃听:Mic-E-Mouse 攻击工程化
利用鼠标光学传感器捕获键盘击键诱导的表面振动,实现无麦克风的远程窃听攻击。给出信号处理管道、关键参数阈值与防御策略。
阅读全文 →
DeepSeek 开源 LLM 的合规部署管道:整合 NIST 双重用途风险评估
探讨如何在 DeepSeek 等开源 LLM 部署中融入 NIST 双重用途风险评估,建立安全分发与推理机制,平衡技术创新与全球安全合规。
阅读全文 →
开源大模型运行时护栏实现:应对NIST网络安全风险的DeepSeek工程实践
针对开源权重LLM如DeepSeek的分发与推理,探讨运行时护栏与合规检查的工程参数与监控要点,以缓解NIST识别的网络安全风险。
阅读全文 →
1Password CLI 安全输入验证与进程隔离:防范符号链接路径遍历攻击
针对1Password CLI v2.26.0的符号链接路径遍历和shell注入漏洞,提供工程化输入验证、路径规范化和进程隔离的实用参数与实施清单。
阅读全文 →
CLI 凭证处理器中的安全边界输入验证与沙箱实现:缓解缓冲区溢出导致的任意代码执行
针对密码管理器 CLI 工具的缓冲区溢出风险,介绍边界输入验证和沙箱技术的工程实践,提供可落地参数和检查清单。
阅读全文 →
使用 Infisical 构建自托管秘密库:PKI 和 SSH 管理
Infisical 是一个开源平台,提供端到端秘密管理,包括 E2EE 存储、自动化 PKI 证书轮换和基于角色的 SSH 凭证注入。本文探讨如何在 DevOps 工作流中部署 Infisical,实现安全基础设施访问,包含实用参数和监控建议。
阅读全文 →
Rust 实现的 Libsignal 协议:异步支持下的高效内存安全端到端加密消息传递
Signal 协议向 Rust 移植的工程实践,强调异步集成以实现移动与服务器端的 E2EE 消息安全与效率。
阅读全文 →
在 Rust 中实现双棘轮算法和 X3DH 密钥协商以实现安全的消息加密
面向消息应用,给出在 Rust 中使用 libsignal 实现 Double Ratchet 和 X3DH 的工程化参数与最佳实践。
阅读全文 →
组织协作式汽车红队黑客活动:识别与缓解连接车辆漏洞的实战指南
通过红队演练和安全设计集成,探讨Toyota 2024黑客活动的组织方法,包括模拟测试工具PASTA的使用、漏洞识别流程及实时缓解参数,确保生产规模协作黑客的安全实践。
阅读全文 →
Unity 运行时安全反序列化:输入验证、沙箱与类型白名单防止 RCE 漏洞
针对 Unity 运行时 YAML/JSON 反序列化 RCE 漏洞,提供输入验证、沙箱隔离及类型白名单的工程化实现参数与监控要点。
阅读全文 →
使用 Infisical 实现动态 PKI 生成与 SSH 访问 provisioning 的运行时秘密注入工程
探索 Infisical 如何通过动态 PKI 生成、SSH 证书 provisioning 和审计日志,实现安全微服务部署中的运行时秘密注入,提供工程参数和最佳实践。
阅读全文 →
将 Kyber-512 混合密钥交换集成到 Signal 双棘轮协议中:实现量子抗性前向保密的优化链长与 HKDF 参数调优
将 Kyber-512 集成到 Signal 双棘轮协议,实现量子安全的 forward secrecy。重点优化链长、HKDF 参数,并提供工程参数与监控要点。
阅读全文 →
微服务中动态生成、PKI 与 SSH 的统一秘密管理工程实践
利用 Infisical 实现微服务环境的动态秘密生成、PKI 证书自动化与 SSH 凭证注入,提供安全审计访问的参数配置与监控要点。
阅读全文 →
将 Kyber-512 KEM 集成到 Signal 双棘轮协议中:混合 PQ-经典前向保密优化
在 Signal 双棘轮协议中集成 Kyber-512 密钥封装机制,实现混合后量子-经典前向保密,通过优化链长度和 HKDF 参数,确保移动消息传递延迟开销小于 5ms。
阅读全文 →
Signal 协议中将 X3DH 迁移至 PQXDH 以实现量子安全的群组密钥协商
探讨在 Signal 协议中采用 PQXDH 实现量子安全的群组密钥协商,优化多方棘轮机制与低延迟混合经典-后量子握手,提供工程化参数与监控要点。
阅读全文 →
使用 AI 模糊测试强化 curl 多句柄多协议 DoS 防护
针对 curl 多句柄 API 的 AI 生成模糊测试,暴露 HTTP-FTP 等跨协议交互中的 DoS 向量,提供工程参数与监控要点。
阅读全文 →
Leveraging LLM-Assisted Static Analysis for Detecting Vulnerabilities in Libcurl
本文探讨如何运用 LLM 工具对 libcurl 源代码进行静态分析,识别内存泄漏、竞态条件及协议不一致等问题,提供实用参数和最佳实践指南。
阅读全文 →
将 PQXDH 密钥协商和 PQ 棘轮集成到 Signal 双棘轮协议中,实现量子抗性前向保密
面向量子威胁,集成 PQXDH 和 PQ 棘轮到 Signal 协议,实现高效量子抗性前向保密与去同步抵抗。
阅读全文 →
使用 Fail2Ban 自动阻塞 26M 恶意 curl 请求:自定义日志解析与 IP 白名单实践
针对高流量站点,介绍使用 Fail2Ban 结合自定义日志解析和 IP 白名单,实现自动化阻塞海量恶意 curl 请求的工程实践,包括阈值设置、监控要点和回滚策略。
阅读全文 →
Signal 协议后量子迁移:分阶段混合 PQ-经典密钥交换工程实践
针对消息应用的安全升级,分析 Signal 协议 PQXDH 的混合密钥交换机制,提供分阶段迁移策略、性能参数与兼容性监控要点。
阅读全文 →
Optimizing PQ Ratchet Efficiency in Signal Protocol: Chain Lengths and HKDF Tuning
探讨 Signal 协议中后量子 Ratchet 的链长优化和 HKDF 密钥派生函数调优,以最小化移动消息会话的计算开销,同时确保前向保密性。提供工程参数和监控要点。
阅读全文 →
AI 提示链工程化检测 curl HTTP/2 握手中的竞态条件
利用 LLM 引导的提示链生成针对性测试用例,结合运行时验证检测 curl HTTP/2 多路复用握手中的竞态漏洞,提供工程参数和监控要点。
阅读全文 →
Signal 协议后量子棘轮:PQXDH 集成实现量子抵抗前向保密
在 Signal 的双棘轮协议中集成 PQXDH 混合后量子密钥协商,实现量子抵抗的前向保密,同时保持现有部署的兼容性。提供工程参数和落地指南。
阅读全文 →
Signal 双棘轮协议中集成混合后量子密钥协商:实现量子抵抗前向保密
探讨Signal如何通过PQXDH将后量子Kyber集成到Double Ratchet中,提供量子安全的forward secrecy,同时确保现有部署兼容。包括工程参数和监控要点。
阅读全文 →
工程化自动化 SBOM 生成与漏洞扫描工作流:开源项目网络弹性法案合规实践
针对欧盟网络弹性法案(CRA),开源项目需构建自动化 SBOM 生成、漏洞扫描及报告管道,提供可操作的参数配置与监控策略。
阅读全文 →
工程化 CRDT 同步访问规则与 E2E 加密:离线协作编辑的无中心一致性
探讨 Keyhive 项目中 CRDT 与 E2E 加密的集成,实现离线协作编辑的安全访问控制,确保跨设备一致性而无需中心认证。
阅读全文 →
逆向工程SAP GUI脚本漏洞:JLR与Harrods黑客攻击中的认证绕过与命令注入
剖析SAP GUI脚本漏洞在JLR和Harrods攻击中的应用,包括认证绕过机制、命令注入技巧及规避技术,并给出可落地防护措施。
阅读全文 →
Broadcom VMware零日漏洞披露失败的技术根源与响应机制工程化缺陷
分析CVE-2025-41244零日漏洞的技术成因,揭示Broadcom安全响应机制在漏洞披露延迟、风险评估与公告完整性方面的系统性工程缺陷。
阅读全文 →
Broadcom未及时披露VMware零日漏洞的技术原因与安全响应机制失效分析
分析CVE-2025-41244长达一年的零日利用未被Broadcom及时披露的技术原因,揭示安全响应机制在工程实践层面的系统性失效。
阅读全文 →
Google CDC文件传输协议的零信任安全架构解析
深入分析Google CDC文件传输工具如何实现BeyondCorp零信任安全架构,包括端到端加密、基于身份的访问控制和持续信任评估机制。
阅读全文 →