Netfence 如何将 Envoy xDS 范式引入 eBPF 网络过滤
剖析 Netfence 如何将 Envoy 的声明式 xDS 控制平面模式迁移至 eBPF 网络过滤,对比 iptables/nftables 的手动配置范式,阐述策略下发机制的架构转变与工程实践要点。
阅读全文 →
←所有分类
security
安全与隐私
Fence 原理与安全边界:轻量级 CLI 沙箱的工程实践
深入解析 Fence 如何通过 bubblewrap、sandbox-exec 与代理层实现 CLI 命令的网络与文件系统隔离,分析其安全模型、配置策略与工程权衡。
阅读全文 →
Netfence eBPF 过滤器的 DNS 解析与 IP 同步机制
解析 Netfence 如何将域名规则转换为 eBPF IP 过滤策略,聚焦增量更新闭环、TTL 过期机制与 specificity 匹配的工程实践。
阅读全文 →
用 Fence 实现无容器 CLI 沙箱:网络与文件系统权限控制
面向半可信 CLI 命令(包安装、构建脚本、AI 代理),给出 Fence 的无容器沙箱架构与网络/文件系统权限控制的工程化配置参数。
阅读全文 →
Netfence:类 Envoy xDS 的 eBPF 过滤控制平面设计
解析 Netfence 如何通过 gRPC 双向流实现 eBPF TC 与 cgroup 过滤器的声明式配置,涵盖 DNS 自动解析、IP 允许列表填充及策略同步机制。
阅读全文 →
微软 BitLocker 密钥交出与苹果拒绝 FBI:两种加密架构的安全哲学分野
剖析微软应 FBI 请求交出 BitLocker 密钥的政策背景,对比苹果 2016 年拒绝解锁 iPhone 的技术立场差异,解读两种加密架构背后的安全哲学分野。
阅读全文 →
波兰能源基础设施遭 Sandworm 定向打击:DynoWiper 破坏性恶意软件攻击链还原
深度剖析针对波兰电网的全新 wiper 恶意软件 DynoWiper,解析 Sandworm/APT28 的持久化策略、破坏机制与国家级关键基础设施防御要点。
阅读全文 →
波兰电网遭 Sandworm 的 DynoWiper 攻击:归因分析与工控系统防护策略
剖析 2025 年底波兰能源基础设施遭前所未有 wiper 恶意软件攻击的归因方法、攻击技术细节与工控系统防护策略。
阅读全文 →
微软向FBI提供BitLocker恢复密钥的技术剖析:密钥托管架构与执法披露机制
深入分析微软向FBI提供BitLocker恢复密钥的技术机制:云端密钥备份架构、执法配合流程、企业级加密产品的信任边界设计,以及与端到端加密理念的根本冲突。
阅读全文 →
Microsoft Autodiscover 配置错误引发的 example.com DNS 区域误处理与凭据泄露风险分析
分析 Microsoft Autodiscover 服务配置错误导致的 DNS 区域管理问题,聚焦凭据传输机制与 FBI 取证协作中的密钥暴露风险,提供可落地的安全配置参数与监控清单。
阅读全文 →
将 AI 使用策略编码为可执行规则:Ghostty 的实践与工程落地参数
解析 Ghostty 终端项目的 AI 使用披露策略,探讨如何将政策声明转化为可审计的代码规则,并给出 PR 模板、CI 检查与合规监控的工程化参数。
阅读全文 →
Proton 隐私悖论:AI 营销与用户明确拒绝的边界冲突
以 Proton 隐私服务向已明确拒绝 AI 营销的用户发送 Lumo 邮件为例,剖析隐私导向型产品的 Consent 边界工程设计与合规治理要点。
阅读全文 →
通过 SPI Flash 指令追踪提取 UART 密码的硬件安全分析
当传统调试接口被禁用时,如何利用 SPI Flash 在 XIP 模式下的地址读取特性,通过逻辑分析仪捕获流量差异来定位并提取 UART 密码的工程技术详解。
阅读全文 →
eBay用户协议对AI采购代理的技术约束边界解析
深入解析eBay用户协议对AI采购代理的约束机制,从最终价值费率商业模式、robots.txt协议层、用户协议法律层三个维度分析平台如何构建AI代理访问边界。
阅读全文 →
VSCode扩展供应链攻击演进:从单次投毒到自我复制蠕虫
以GlassWorm和Evelyn Stealer为案例,拆解VSCode扩展供应链的攻击演进路径,并给出面向安全团队的工程化防御清单。
阅读全文 →
AdGuard VPN 协议开源解析:TrustTunnel 的安全审计与工程实践
深入分析 TrustTunnel 协议的设计安全考量、工程实现细节,探讨 TLS 标准化加密与 Rust 性能优化策略。
阅读全文 →
PDF 安全转换工程:像素隔离与 gVisor 容器加固
解析 Dangerzone 的工程化 PDF 净化流水线:像素渲染消除攻击面、gVisor 应用内核拦截系统调用、双层容器隔离配置参数与生产部署要点。
阅读全文 →
Reticulum Mesh网络加密密钥交换协议与匿名路由算法实现分析
深入分析Reticulum mesh网络中的X25519 ECDH密钥交换协议实现、前向安全性机制、抗量子攻击特性以及基于目的哈希的匿名路由算法设计。
阅读全文 →
Claude Code代理层拦截与重写:动态注入环境变量的工程实现
通过HTTP/HTTPS代理层拦截Claude Code请求,实现请求/响应重写技术,动态注入环境变量防止敏感信息泄露的工程化实现细节。
阅读全文 →
Singularity Linux内核Rootkit:Ftrace Hook实现架构深度分析
深入分析开源Linux内核rootkit Singularity的ftrace hooking实现机制,涵盖进程隐藏、文件隐藏、网络隐身等关键技术点。
阅读全文 →
zapret-discord-youtube:基于WinDivert的Windows DPI绕过工程实现
深入分析zapret-discord-youtube的架构设计,探讨基于WinDivert驱动的Windows平台DPI绕过策略与工程实现细节。
阅读全文 →
Singularity:基于Ftrace Hook的现代Linux内核Rootkit技术解析
深入分析Singularity开源Linux内核rootkit的ftrace hook机制、多维度隐藏技术与对抗性防御策略,探讨现代内核安全防护的工程实现。
阅读全文 →
CUPP密码分析工具的词表生成算法与分布式彩虹表内存优化策略
深入分析CUPP密码分析工具的词表生成算法、模式识别引擎,探讨leet模式转换与组合算法的实现细节,并提出分布式彩虹表生成的内存优化策略。
阅读全文 →
Moxie Marlinspike的Confer:为AI对话构建Signal级隐私保护架构
Signal创始人Moxie Marlinspike推出Confer,将端到端加密理念引入AI领域,通过passkeys、TEE和远程认证构建不可窥探的AI对话系统。
阅读全文 →
AWS CodeBuild IAM角色权限边界设计与最小权限原则实施
针对CodeBreach供应链漏洞暴露的权限过度问题,设计AWS CodeBuild IAM角色的权限边界策略与最小权限原则工程实现。
阅读全文 →
Cilium eBPF安全策略实施:身份感知访问控制与运行时威胁检测
深入分析Cilium如何利用eBPF实现细粒度安全策略实施,包括网络策略执行、身份感知访问控制和运行时威胁检测的工程实现细节。
阅读全文 →
SvelteKit CVE-2025-32388 XSS漏洞分析与安全实践
深入分析SvelteKit框架中的CVE-2025-32388 XSS漏洞技术细节,提供修复方案与前端框架安全审计最佳实践。
阅读全文 →
Palantir ELITE系统架构分析:ICE目标定位的数据管道与置信度评分
深入分析Palantir为ICE开发的ELITE目标定位系统架构,包括多源数据集成、置信度评分算法、地理空间分析引擎与实时监控管道的技术实现。
阅读全文 →
Windows AI 功能强制移除:系统级 Hook 机制、注册表清理与恢复保障
深入分析 RemoveWindowsAI 工具的系统级 Hook 机制、注册表清理策略与 EOL 技巧,实现安全可控的 Windows AI 功能禁用与系统恢复保障。
阅读全文 →
基于bubblewrap的AI代理.env文件保护:命名空间隔离与权限控制实践
针对AI开发代理的.env文件安全风险,详细解析基于bubblewrap的命名空间隔离实现方案,提供可落地的配置参数与监控要点。
阅读全文 →
数字艺术指纹系统:基于区块链与计算机视觉的画作追踪架构
针对Jackson Pollock画作被盗案暴露的艺术品追踪难题,提出结合计算机视觉特征提取与区块链不可篡改记录的数字指纹系统技术架构与实施参数。
阅读全文 →
去中心化数字身份验证系统架构设计:零知识证明集成与工程实现差异
深入分析去中心化数字身份验证系统的架构设计,对比集中式与分布式方案的工程实现差异,探讨零知识证明集成与安全权衡,提供可落地的技术参数与实施清单。
阅读全文 →
Windows 11 AI功能强制移除工具的安全分析与逆向工程实现
深入分析RemoveWindowsAI工具如何通过注册表操作、服务禁用、文件删除等多层技术手段强制移除Windows Copilot、Recall等AI组件,探讨其安全清理机制与逆向工程方法。
阅读全文 →
VoidLink Linux恶意软件分析:高级规避技术与eBPF实时检测架构
深入分析2026年新型Linux云原生恶意软件VoidLink的高级规避技术,探讨基于eBPF的实时检测系统架构与可落地监控参数。
阅读全文 →
Confer:端到端加密AI聊天的TEE架构与远程证明实现
深入分析Signal创始人Moxie Marlinspike的Confer项目,探讨端到端加密AI聊天中的可信执行环境、远程证明与可验证构建系统。
阅读全文 →
构建分布式互联网审查检测系统:从伊朗118小时断网事件看实时监控架构
基于whisper.security与OONI的技术框架,设计可检测大规模网络中断的分布式探针系统,提供工程化参数与告警机制。
阅读全文 →
开源项目在对抗性AI时代的防御机制:从幻影代码到实时威胁检测
面对战争、资源稀缺和对抗性AI的三重挑战,开源社区如何构建轻量级、可落地的防御体系,保护软件供应链免受幻影代码和AI驱动的攻击。
阅读全文 →
OpenCode未授权RCE漏洞利用链深度分析:从payload构造到权限提升的完整技术拆解
深入剖析CVE-2026-22812漏洞的完整利用链,包括未认证HTTP服务器的攻击面、payload构造技术、内存安全考量、权限提升路径,以及现代AI应用的安全防护工程实践。
阅读全文 →
基于Linux namespaces与cgroups的FUSE文件系统安全沙盒:为AI代理提供资源隔离与访问控制
针对AI代理通过FUSE文件系统访问外部资源的安全风险,提出基于Linux namespaces与cgroups的多层隔离方案,包括进程、网络、用户命名空间隔离与资源限制配置。
阅读全文 →
GrapheneOS 独立全安全补丁实践:内核驱动更新与无延迟利用缓解
详解 GrapheneOS 如何绕过 OEM 延迟,实现 Pixel 设备内核/驱动全补丁与高级缓解措施的工程参数与部署。
阅读全文 →
第 4 / 4 页 · 共 307 篇