德国eIDAS 2.0实施中的平台绑定与隐私风险:技术绑定如何影响数字身份主权
深入分析欧盟数字身份框架在德国落地时的平台依赖争议,揭示Apple与Google在硬件安全层面的技术锁定如何与隐私保护产生冲突。
2026-04-04security2026-04
Category
security
共 656 篇文章。
开源用户名溯源工具 Sherlock 实战:批量查询跨平台账号存活性
深入分析开源 OSINT 工具 Sherlock 的技术架构、批量查询跨平台账号存活性的工程参数与实战侦察要点。
2026-04-04security2026-04
csp-toolkit:规模化 CSP 策略分析与自动化绕过检测实战
深入解析 csp-toolkit Python 库,探讨如何通过自动化工具检测 Content Security Policy 绕过向量,为 bug bounty 与 CI 管道提供可落地的安全检测方案。
2026-04-04security2026-04
Claude Code发现23年Linux内核漏洞:AI辅助漏洞挖掘的工程实践
分析Claude Code在Linux内核中发现存在23年之久的CVE漏洞的代码审计过程与检测机制,探讨AI辅助漏洞挖掘的工程实践。
2026-04-04security2026-04
LLM 生成密码的结构脆弱性:熵值不足与工程级缓解方案
深度解析大语言模型生成密码的低熵值根源,给出工程级安全评估参数与生产环境部署建议。
2026-04-04security2026-04
开源许可证合规自动化扫描:Fossology 与 ScanCode 部署对比与 CI 集成实践
对比 Fossology 与 ScanCode 两大主流开源许可证扫描工具的检测精度、依赖图谱构建与 CI 流水线集成方案,为初创团队提供可落地的合规检测参数配置。
2026-04-04security2026-04
OpenClaw 权限提升漏洞 CVE-2026-25253:gatewayUrl 验证缺失与攻击链分析
分析 OpenClaw 权限提升漏洞的根因、攻击链与缓解措施,对比直接 RCE 漏洞的防护差异。
2026-04-04security2026-04
GitHub DMCA 大规模下架 Claude Code Fork 仓库:开源生态的系统性风险
2026年4月,GitHub 因 DMCA 投诉大规模下架 Claude Code 仓库的近万个 fork,引发对开源 fork 策略与 AI 工具链依赖脆弱性的深度反思。
2026-04-04security2026-04
Axios 供应链攻击事件响应复盘:内部工作流与工程改进措施
从 Axios 官方事故复盘报告提取内部响应流程、根因分析与供应链安全工程改进措施,提供可复用的事件响应清单。
2026-04-04security2026-04
Anthropic 禁用 Claude Code 订阅访问 OpenClaw:厂商锁定与开源生态的冲突分析
分析 Anthropic 对第三方工具的订阅访问限制决策,探讨 AI 厂商锁定与开源代理框架生态之间的深层矛盾。
2026-04-04security2026-04
构建 npm lockfile 完整性校验与依赖审计的 CI/CD 自动化流水线
以 2026 年 Axios 供应链攻击为切入点,详解如何通过 CI/CD 流水线实现 lockfile 完整性校验、依赖审计自动化与供应链攻击的预防性检测。
2026-04-04security2026-04
FAA 无人机限制与 ICE 执法追踪:RF 指纹识别、广播协议与隐私合规的工程交叉
深入解析 FAA 如何利用 Remote ID 与 RF 指纹识别技术实现对 DHS/ICE 设施周边无人机的追踪与执法,探讨技术实现与隐私争议的边界。
2026-04-04security2026-04
OpenClaw CVE-2026-25253 披露协调流程分析:从漏洞发现到修复的全流程时间线
深入分析 OpenClaw 高危漏洞 CVE-2026-25253 的协调披露流程、时间线、漏洞赏金、供应商响应机制及安全社区协同修复过程,为运维团队提供可复用的漏洞响应清单。
2026-04-04security2026-04
Systemd用户记录中的年龄验证机制:birthDate字段与沙箱权限模型
深入解析Systemd新增的birthDate字段实现机制,探讨其在JSON用户记录中的权限模型与Flatpak沙箱集成的工程参数。
2026-04-04security2026-04
PIGuard过防护缓解:MOF策略与工程实践指南
深度解析PIGuard如何通过MOF训练策略解决prompt injection guardrail的over-defense问题,提供工程落地参数与监控建议。
2026-04-03security2026-04
Drift Protocol 遭攻击深度分析:Durable Nonce 与预签名交易的权限劫持根因
深度剖析 Solana 链上 Drift Protocol 遭 $285M 攻击的技术根因,聚焦 Durable Nonce 机制与预签名交易被恶意利用的权限劫持逻辑。
2026-04-03security2026-04
OpenClaw 服务器 RCE 漏洞分析与防御检测规则
分析 OpenClaw CVE-2026-25253 漏洞的攻击向量与代码注入点,提供可落地的检测规则与修复方案。
2026-04-03security2026-04
FAA 无人机 Remote ID 技术与执法追踪:RF 指纹识别与广播协议工程解析
针对 FAA 无人机 Remote ID 规范的技术细节,探讨 RF 指纹识别如何增强执法追踪能力,分析广播协议实现及工程部署要点。
2026-04-03security2026-04
用 SSH 证书替代公钥认证:建立 CA 实现自动过期撤销与密钥分发
深入探讨 SSH 证书认证的架构设计、CA 密钥管理策略,以及自动过期与撤销机制的工程实践。
2026-04-03security2026-04
GPU Rowhammer 攻击深度剖析:从 GDDR 内存冲突到主机特权提升
深度剖析 GDDRHammer 与 GeForge 两种新型 Rowhammer 攻击如何利用 GPU 显存位翻转实现主机 root 权限提权,并给出可落地的防御参数与检测阈值。
2026-04-03security2026-04
网站如何检测浏览器扩展:扩展ID枚举、manifest探测与内容脚本检测的工程实现
基于BrowserGate调查案例,深入解析网站通过扩展API枚举、manifest.json探测及内容脚本行为检测等技术手段识别浏览器扩展的工程化实现机制。
2026-04-03security2026-04
浏览器扩展安全沙箱与恶意行为检测:技术实现与防御参数
针对 LinkedIn 等平台对浏览器扩展的隐蔽扫描行为,提出基于敏感 API 监控、跨域访问限制和沙箱隔离的完整防御体系,并给出可落地的工程化参数。
2026-04-03security2026-04
浏览器扩展读取 LinkedIn 数据的隐私风险与权限模型评估
以 LinkedIn 扫描用户浏览器扩展的隐私争议为切入点,分析浏览器扩展的权限模型与敏感 API 调用链,给出用户与开发者的可操作安全指南。
2026-04-03security2026-04
Sherlock 高并发用户名枚举:异步调度与反爬策略实战
深入解析 Sherlock 在 400+ 社交平台实现高并发用户名搜索的异步调度机制,以及 Tor、代理、超时等反爬策略的配置参数与监控要点。
2026-04-03security2026-04
Axios NPM 供应链攻击事件分析:从泄露事件到企业防御机制的完整技术复盘
深度解析Axios NPM供应链 compromise 事件的技术细节、攻击链路、企业检测与防御策略,以及供应链安全工程化实践。
2026-04-03security2026-04
Delve开源fork商业化违规分析:许可证合规检测与防御策略
以 Delve 事件为切入点,剖析开源许可证合规性检测技术与防御策略,为企业提供可落地的参数与监控清单。
2026-04-03security2026-04
系统提示泄漏的安全影响分析
分析ChatGPT、Claude、Gemini等系统提示泄漏的安全影响:从提示注入防御、越狱风险到企业AI治理的工程实践。
2026-04-02security2026-04
系统提示词泄露工具与提取方法论:护城河攻防实况
从 system_prompts_leaks 项目分析主流 LLM 系统提示词的提取方法,评估当前 Prompt 保护机制的有效性边界。
2026-04-02security2026-04
Sherlock 异步并发控制与社交网络用户名枚举速率限制规避策略
深入分析 Sherlock 项目的 Python asyncio 并发模型,探讨大规模用户名枚举中的速率限制规避、代理轮换与网站指纹识别工程实现。
2026-04-02security2026-04
从泄露系统提示词提取防护模式:注入检测规则库构建与红队测试用例设计
基于主流大模型泄露的system prompt分析防御机制,构建可落地的prompt注入检测规则库与红队测试用例。
2026-04-02security2026-04
LinkedIn 非法浏览器指纹采集技术分析:Canvas 指纹、WebGL 与硬件信号识别机制
深度解析 LinkedIn 浏览器指纹采集的技术实现机制,包括 Canvas 指纹渲染、硬件特征识别与第三方数据流向。
2026-04-02security2026-04
2026年钓鱼攻击技术演进:AI生成钓鱼与实时欺骗防御策略
深度解析2026年钓鱼攻击的技术演进路径,涵盖AI生成钓鱼邮件、实时欺骗技术与基于FIDO2/WebAuthn的多层防御工程实现。
2026-04-02security2026-04
Mercor 遭网络攻击事件中的 LiteLLM 供应链漏洞利用链与企业 IR 流程分析
深入分析 Mercor 遭供应链攻击事件中 LiteLLM 漏洞的利用链,探讨企业 incident response 流程的关键节点与检测策略。
2026-04-02security2026-04
从Mercor攻击事件看LiteLLM供应链漏洞与企业纵深防御
深度剖析Mercor网络攻击事件与LiteLLM供应链漏洞的关联,揭示开源依赖链的攻击面并给出企业级防御参数与监控清单。
2026-04-02security2026-04
订阅炸弹攻击防御:基于IP邮箱哈希的动态限速与行为验证码工程实践
详解实现基于IP邮箱哈希的动态限速机制,结合行为验证码栈构建多层防护体系,抵御批量订阅攻击的工程实践与关键参数配置。
2026-04-02security2026-04
2026年邮件混淆技术实测:哪种方案阻挡爬虫最有效
基于318个垃圾邮件爬虫的真实测试数据,分析HTML实体、CSS反向书写、JS加密与AI模型识别等技术在2026年的实际防护效果。
2026-04-02security2026-04
注册表单安全:客户端验证绕过、CSRF缺陷与恶意输入防护联动机制
从订阅炸弹攻击实战出发,剖析注册表单的客户端验证绕过、CSRF token缺陷、恶意输入向量与后端防护联动机制,给出可落地的工程参数与监控阈值。
2026-04-02security2026-04
从 ZomboCom 被黑到 AI 重建:互联网遗产的安全审计与防护实践
分析经典互联网遗产 ZomboCom 被黑客攻击出售的全过程,以及 AI 生成前端重建的安全审计与防护机制,为互联网遗产保护提供工程化实践方案。
2026-04-02security2026-04
AI 时代 JavaScript 混淆已失效:前端保护转向运行时防护与代码分割策略
分析 AI 驱动的 JavaScript 反混淆技术如何破解传统混淆方案,并给出运行时保护与代码分割的工程化参数。
2026-04-02security2026-04
AI代码生成的边界与安全风险——从FreeBSD内核RCE实战说起
通过分析Claude Code在数小时内生成FreeBSD远程内核RCE漏洞利用程序的过程,探讨AI代码生成的能力边界与安全风险防控要点。
2026-04-01security2026-04
Is BGP Safe Yet 技术解析:多源安全数据聚合与状态评分实现
深入解析 Cloudflare 的 isbgpsafeyet.com 项目如何聚合 RPKI 与 ASPA 数据并生成统一的 BGP 安全状态评分。
2026-04-01security2026-04
签名数据结构时的常见密码学错误与正确实现模式
深入分析签名数据结构和加密验证时的常见密码学错误,并给出基于签名链与默克尔树的正确实现模式与工程参数。
2026-04-01security2026-04
CVE-2026-4747 FreeBSD 内核远程代码执行漏洞分析与 AI 安全边界启示
深度剖析 FreeBSD 内核 RPCSEC_GSS 栈溢出漏洞的技术细节与利用链,探讨 AI 自主生成内核漏洞利用代码的安全边界与防御策略。
2026-04-01security2026-04
Zerobox 命令沙箱隔离:Linux Namespace 与 Seccomp 工程落地参数
深入解析 Zerobox 如何基于 Linux namespace + seccomp 实现命令级沙箱,提供文件、网络与凭证控制的工程化配置参数。
2026-04-01security2026-04
EmDash 插件沙箱安全架构:面向 WordPress 替代方案的 Capability 权限模型
详解 Cloudflare EmDash 如何通过 Dynamic Worker 隔离与清单声明式 Capability 模型,解决 WordPress 插件安全根本缺陷。
2026-04-01security2026-04
Claude Code 源码泄漏中的伪造工具、反感测正则与隐蔽模式技术剖析
深入分析 Claude Code 源码泄漏中的伪造工具注入机制、用户反感测正则模式及 Undercover 隐蔽模式的技术实现细节。
2026-04-01security2026-04
企业级 NPM 供应链攻击检测:YARA 规则编写与 SIEM 告警关联实战
基于 Axios 供应链攻击事件,提供 YARA 规则编写、Sigma 检测规则及 Splunk/ELK 告警关联的工程化落地方案。
2026-04-01security2026-04
AI 辅助开发内核级漏洞利用:Claude Code 实现 FreeBSD RCE 的技术复盘与防御演进
以 CVE-2026-4747 为案例,分析 AI 代理如何跨越漏洞发现与利用开发之间的鸿沟,给出内核级 RCE 的检测参数与防御架构。
2026-04-01security2026-04
白宫官方应用流量拦截技术分析:网络层捕获与隐私暴露面评估
深入剖析针对政府官方应用的网络流量拦截手段、证书 pinning 机制绕过的技术路径,以及隐私数据的暴露面审计方法。
2026-04-01security2026-04
椭圆曲线密码系统的后量子迁移:工程权衡与实现路径
从椭圆曲线密码学视角分析ECDH与ECDSA向后量子算法的迁移路径,聚焦混合部署、密钥管理与性能工程化挑战。
2026-03-31security2026-04
RubyGems AWS 根账户访问事件的技术根因与工程恢复方案
深度解析 2025 年 9 月 RubyGems.org AWS 根账户未授权访问事件的技术根因、人员离职流程缺陷及工程恢复方案。
2026-03-31security2026-04
从「领域已死」到「价值重塑」:漏洞研究者的 AI 增强转型之路
当 AI 能低成本挖掘真实漏洞时,手工安全研究的价值锚点在哪里?本文从 Thomas Ptacek 的「漏洞研究已完」论断出发,探讨从业者如何从存在性危机转向 AI 增强型分析师的工程化路径。
2026-03-31security2026-03
漏洞研究入行成本分析:经济壁垒如何导致人才断层
从经济视角剖析安全研究员入行门槛:工具成本、培训费用、认证投入与外包服务冲击如何共同构成新人壁垒。
2026-03-31security2026-03
2025年勒索软件行业与地区风险矩阵:7,655条Claims深度分析
基于7,655条勒索软件Claims的行业Sector与地区分布细粒度数据,输出可操作的风险评估矩阵与防御优先级建议。
2026-03-31security2026-03
漏洞研究经济崩塌:AI commoditization 如何终结独立安全研究者
从经济视角剖析 AI 工具 commoditization 如何压低漏洞价格,导致独立研究者入不敷出被迫离场,分析这场供需失衡的本质与行业未来。
2026-03-31security2026-03
2025年勒索软件威胁态势:7,655例索赔背后的攻击组织、行业与国家画像
基于7,655例年度勒索软件索赔数据,从攻击组织活跃度、行业受害分布与地理区域三个维度量化分析勒索软件威胁全景,为企业安全建设提供防御优先级参考。
2026-03-31security2026-03
NPM 包 Source Map 泄漏风险:从 Claude Code 事件看供应链安全
解析 NPM 包中 Source Map 文件意外暴露导致的内部实现泄漏问题,提供工程化审计与防护参数。
2026-03-31security2026-03
加密货币量子漏洞的负责任披露框架:零知识证明验证与生态协同
解析 Google 量子研究团队如何通过零知识证明实现漏洞可验证而不泄露攻击细节,并构建政府、矿圈与安全社区的协同响应机制。
2026-03-31security2026-03
加密货币后量子安全迁移:NIST标准下的工程实践与密钥生命周期管理
基于Google最新量子资源评估,解析ECDLP-256脆弱性本质,给出NIST后量子密码算法的选型参数与渐进式迁移工程路线。
2026-03-31security2026-03
Axios NPM 供应链 RATT 攻击防御指南
分析近期 NPM 包供应链攻击中恶意版本植入远程访问木马(RATT)的技术路径,并给出依赖审计与 CI 门禁的工程化防御参数。
2026-03-31security2026-03
Apple Keychain 密钥恢复的工程实现:加密存储与同步冲突全解析
深入分析 Apple Keychain 本地加密存储提取机制与 iCloud 密钥同步冲突的工程化解决方案,提供可落地的参数配置与监控阈值。
2026-03-31security2026-03
Google Play 开发者验证机制深度解析:APK 签名链与账户信誉评分工程实现
聚焦 APK 签名验证技术细节与开发者账户风险评估模型,解析 Google 验证机制从 Play Store 扩展到侧载场景的工程参数与实施阈值。
2026-03-31security2026-03
CVE 时代的手工代码审计复兴:自动化瓶颈与分层审查实践
随着 CVE 数量爆发式增长,自动化扫描工具面临效率瓶颈。本文分析手工代码审计在复杂逻辑漏洞发现中的不可替代价值,并给出组织级分层审查策略与资源分配建议。
2026-03-31security2026-03
Sherlock 多平台用户名枚举的工程实践:异步调度与限流策略深度解析
深入剖析开源用户名枚举工具 Sherlock 在多平台场景下的异步请求协调、平台限流规避、API 指纹识别与批量查询调度的工程化实现与关键参数配置。
2026-03-31security2026-03
基于物理建模的轮盘预测算法:工程约束与实现要点
分析轮盘物理预测算法的核心架构、工程实现约束与防守方博弈要点。
2026-03-30security2026-03
FTC 执法视角下的 OkCupid 数据共享违规:检测机制与合规审计落地方案
从 FTC 对 Match Group/OkCupid 数据共享违规的执法行动出发,剖析其检测技术与合规审计的实现路径,提供可落地的工程参数与审计清单。
2026-03-30security2026-03
Google Play 开发者身份验证机制解析:Account Defender 与风险评分技术内幕
深入解析 Google Play 开发者身份验证的技术实现,涵盖 Account Defender 风险评分引擎、自动化审核 pipeline 参数与工程实践要点。
2026-03-30security2026-03
自动化漏洞挖掘的工程瓶颈:为何手工审计仍不可替代
深入分析模糊测试、符号执行等自动化工具的内在局限,探讨手工代码审计在复杂漏洞发现中的不可替代价值与工程实践路径。
2026-03-30security2026-03
政府应用隐私审查:对比被禁应用与联邦级工具的数据收集行为
通过静态分析、动态检测与流量审计等技术手段,系统性对比政府官方应用与被禁应用的数据收集差异,并给出可落地的隐私检查参数。
2026-03-30security2026-03
Bitwarden与OneCLI Agent Vault集成:AI Agent安全访问控制与凭据注入机制
解析密码管理器与CLI vault的垂直集成方案,实现AI Agent对密码库的安全访问控制与动态凭据注入。
2026-03-30security2026-03
F5 BIG-IP APM 关键 RCE 漏洞分析与紧急修复指南
深入分析 CVE-2025-53521 漏洞的技术根因、攻击链与紧急修复方案,帮助企业应对正在被活跃利用的 F5 BIG-IP APM 认证绕过威胁。
2026-03-30security2026-03
异步用户名枚举的工程实践:以 Sherlock 为例解析多平台并发请求架构
深入解析开源工具 Sherlock 的异步架构设计,探讨多平台并发请求、速率限制规避与结果聚合的工程实现细节。
2026-03-30security2026-03
Cloudflare JavaScript 挑战拦截 AI 爬虫:React 状态检测的工程机制与应对策略
深度解析 Cloudflare 如何通过 JavaScript 挑战检测客户端 React 状态,探讨前端检测规避与反检测的技术路径。
2026-03-30security2026-03
智能眼镜禁令的技术执行与检测机制分析
费城法院智能眼镜禁令背后的IoT设备政策执行、检测技术与隐私安全平衡分析。
2026-03-30security2026-03
人脸识别误报率工程分析:特征提取偏差、阈值设定与跨域分布偏移
从工程视角解析人脸识别系统误识率根源,提供特征提取偏差、阈值设定失当与跨地域数据分布偏移的量化指标与对抗策略。
2026-03-29security2026-03
Cloudflare 客户端挑战机制与 React 状态追踪:前端状态如何触发边缘安全验证
解析 Cloudflare JavaScript Challenge 在 React 单页应用中的触发机制,探讨前端状态指纹与边缘安全系统的交互原理。
2026-03-29security2026-03
认知黑暗森林:AI 模型的认知偏差检测与对抗性提示注入防御框架
解析 Cognitive Dark Forest 安全框架的核心机制,提供 AI 模型认知偏差检测、提示注入防御与安全红队实战参数的完整技术路径。
2026-03-29security2026-03
用 Miasma 构建 AI 爬虫蜜罐:无限毒化与代理识别实战
深入解析 Miasma 项目的蜜罐工程实现,通过隐藏链接与自引用循环构建 AI 爬虫陷阱,并给出关键配置参数与反爬对抗策略。
2026-03-29security2026-03
Miasma 实战:构建 AI 爬虫陷阱与毒坑系统
深入解析 Miasma 工程实现,通过隐藏链接诱导与毒坑内容生成,消耗 AI 爬虫计算资源并污染其训练数据。
2026-03-29security2026-03
iOS二进制逆向实战:白宫应用的安全审计与技术细节
从ipa提取到Hermes字节码反编译,深入剖析白宫iOS应用的二进制安全缺陷与隐私问题。
2026-03-29security2026-03