在 FreeBSD 上部署 FRR BGP:GRE 隧道与策略路由实现多宿主网络
介绍在 FreeBSD 系统上使用 FRR 路由套件部署 BGP,通过 GRE 隧道建立连接,并利用 PF 实现策略路由,构建多宿主网络的完整方案。
2026-02-08systems2026-02
Latest Essays
最新见解 · 第 315 页
继续沿着时间线阅读近期的工程实践与技术观察。
最新见解
近期的思考与工程笔记。
Rabbit Ear:浏览器中实时折纸的工程化实现
深入解析 Rabbit Ear 库如何利用 FOLD 图结构数据模型与混合渲染管线,实现浏览器环境下的可编程折纸几何约束求解与实时交互。
2026-02-08web2026-02
LiteBox 硬件隔离层与零信任内存安全深度解析
深入分析 LiteBox 如何利用 SEV-SNP 等硬件特性构建零信任内存隔离层,并探讨其防御性 API 设计在侧信道攻击防护中的工程实践。
2026-02-08zero-trust-security2026-02
Monty安全沙箱:基于参数白名单的AI代码注入防御实践
深入解析Monty Python解释器的安全架构,探讨基于参数白名单的系统调用过滤与模块访问控制机制,为AI生成的代码提供细粒度安全防护。
2026-02-08security2026-02
Shannon 确定性状态机设计:如何实现 96.15% 成功率与零误报控制
深入解析 Shannon AI 渗透测试工具的五状态确定性状态机设计,探讨状态转换规则、证据链验证机制与 No Exploit-No-Report 策略的工程实现。
2026-02-08security2026-02
Matchlock:为AI Agent构建细粒度可配置的Linux原生沙箱隔离层
分析Matchlock如何利用Firecracker微VM、Linux命名空间、seccomp-BPF和cgroups等技术栈,为AI Agent工作负载构建一个细粒度、可配置的沙箱隔离层,并给出工程实践中的配置参数与监控要点。
2026-02-08ai-systems-security2026-02
浏览器内可编程折纸的JS引擎实现
介绍如何使用 Rabbit Ear JS 库在浏览器中构建可编程折纸交互引擎,涵盖 FOLD 数据模型、几何约束求解与 SVG/WebGL 渲染管线,并提供可落地的集成参数与性能要点。
2026-02-08creative-coding2026-02
基于微虚拟机的 AI 代理沙箱:Matchlock 的隔离架构解析
剖析 Matchlock 如何利用 Firecracker 微虚拟机与透明代理技术实现 AI 代理的硬件级沙箱隔离,并设计资源配额与逃逸检测机制。
2026-02-08security2026-02
基于Linux命名空间、Seccomp-BPF与Cgroups的AI Agent沙箱细粒度隔离实现
本文深入探讨如何组合Linux内核的命名空间、Seccomp-BPF系统调用过滤与控制组(cgroups)技术,为AI Agent构建一个强隔离、资源可控的沙箱环境。内容涵盖技术原理、具体配置参数、潜在风险与工程实践要点。
2026-02-08security2026-02
设计 OpenAI Skills Catalog 运行时加载器:基于索引模式与依赖解析
本文深入解析 OpenAI Skills Catalog 的技能索引模式(YAML frontmatter),设计一个支持动态注册、依赖拓扑排序与隔离执行的运行时加载器,并提供可落地的配置参数与安全监控要点。
2026-02-08ai-systems2026-02
LikeC4 DSL增量计算与实时视图同步的工程实现
深入解析LikeC4基于DSL的增量计算引擎,实现代码变更到架构图的毫秒级更新,涵盖模型图构建、变更检测、依赖跟踪与响应式管道等核心机制。
2026-02-08systems2026-02
OpenCiv3:跨平台与模块化的文明 III 重构
分析 OpenCiv3 如何将 Civilization III 的专有引擎重构为跨平台、模块化架构,并保持回合制策略游戏的确定性模拟与 AI 对手行为兼容性。
2026-02-08ai-systems2026-02
状态机驱动的误报控制:Shannon如何实现96.15%成功率的自动化漏洞挖掘
深入解析Shannon自动化渗透测试工具中状态机工作流的工程实现,以及如何通过严格的状态转换条件将误报率控制在极低水平。
2026-02-08security2026-02
Matchlock深度解析:Linux沙箱化AI代理的底层机制与实战配置
本文深入分析了Matchlock如何组合Linux命名空间、cgroup与seccomp-bpf构建细粒度执行沙箱,并给出资源配额与网络白名单的实战配置策略。
2026-02-08security2026-02
基于生物力学的声带负荷监测与高音训练系统
深入解析Belting技术的生物力学特征,探讨声带负荷的量化模型,设计基于实时音频反馈的监测算法,并提出姿势矫正策略。
2026-02-08systems2026-02
用 Matchlock 实现 AI 代理的 Linux 沙箱化:微虚拟机与安全隔离实战
分析 Matchlock 如何利用 Linux 命名空间、控制组与 seccomp-bpf 构建细粒度沙箱,实现 AI 代理的资源隔离、机密注入与网络管控。
2026-02-08security2026-02
Linux 沙箱隔离 AI 代理:命名空间、cgroups 与 seccomp 实战
基于 Linux 命名空间、cgroup 和 seccomp 的轻量级沙箱设计,详解如何隔离 AI 代理的系统调用与资源访问,防止逃逸与横向移动。
2026-02-08security2026-02
DoNotNotify 开源通知策略引擎的工程实现解析
深入分析 DoNotNotify 如何在 Android 平台上实现本地化的通知策略引擎,涵盖规则匹配算法、数据存储架构与隐私保护机制。
2026-02-08systems2026-02
设计企业级通知策略引擎:从 DoNotNotify 开源项目吸取架构经验
以 DoNotNotify 这款开源 Android 通知管理工具为切入点,分析其本地策略执行机制,并探讨如何借鉴其设计理念,构建具备高可用、规则引擎与去重能力的企业级通知治理系统。
2026-02-08systems2026-02
Trivy CI/CD增量缓存机制设计:实现快速安全报告
本文深入探讨Trivy在CI/CD流水线中的增量缓存机制设计,涵盖缓存键计算、多后端支持、过期策略与分布式同步,提供可落地的集成参数与监控清单,以实现扫描开销大幅降低与报告生成加速。
2026-02-08devsecops2026-02