logo
publist
写文章

简介

该用户还未填写简介

擅长的技术栈

可提供的服务

暂无可提供的服务

UniApp JS运行时安全:Frida视角下的明文捕获与防御实践

JavaScript代码混淆是前端安全的基础概念,但其本质属于构建时防护,无法抵御运行时动态分析。在UniApp等基于WebView的混合应用中,JSBundle加载至V8引擎后,加密逻辑解密完成、尚未被垃圾回收的短暂窗口,成为敏感信息暴露的关键临界点。Frida通过Hook eval、Function构造器及WebView接口,可高效捕获明文JS逻辑与API密钥,揭示所谓‘JS加密’实为拖延战术

利用Claude进行免费网站预发布审计:框架、流程与实战技巧

网站审计是确保产品上线质量、优化用户体验和提升搜索引擎可见性的关键环节。传统审计依赖自动化工具分析技术指标,而大型语言模型(LLM)凭借其强大的情境理解和推理能力,为审计工作提供了新的视角。通过模拟人类专家的阅读与判断,LLM能够深入评估内容质量、信息结构与商业意图的匹配度,弥补了纯工具在软性评估上的不足。在工程实践中,结合自动化工具的数据与LLM的定性洞察,可以形成更完整的审计闭环。本文聚焦于如

AI智能体安全运行时:内核级网络管控与HTTPS流量审查实践

在AI智能体(Agent)和自动化程序日益普及的背景下,确保其网络行为安全可控成为关键挑战。传统应用层安全方案(如提示词工程、API限制)存在信任鸿沟,一旦智能体获得执行任意代码的能力,便可绕过这些规则。因此,安全治理的边界需要下沉到更底层的运行时和网络层。通过利用Linux内核提供的Network Namespace、iptables等基础设施,可以实现对智能体网络行为的强制管控,将所有出站流量

#AI智能体
ARM TrustZone数据访问漏洞:基于身份认证的TEE私有数据保护增强方案

在嵌入式安全领域,可信执行环境通过硬件隔离为敏感数据提供保护,其核心原理是在处理器层面划分安全世界与普通世界,实现代码与数据的物理隔离。然而,仅依赖加密存储无法解决访问控制层面的身份验证问题,导致数据泄露风险。本文聚焦于ARM TrustZone架构下的数据访问安全,针对TEE中常见的“只认对象ID、不验证请求者身份”漏洞,提出了一套基于进程代码哈希的身份认证增强机制。该方案通过引入身份获取守护进

自主AI智能体风险治理:构建三层控制体系与实战部署指南

随着人工智能从被动响应迈向主动执行,自主AI智能体(AI Agent)成为技术演进的关键方向。其核心原理在于通过大语言模型理解指令、规划任务并调用工具完成复杂目标,这带来了显著的效率提升潜力。然而,自主性也引入了传统软件所不具备的新型风险,如目标漂移、权限漏洞和不可预测行为,使得有效的风险治理成为技术价值落地的关键前提。在应用场景上,无论是金融交易、代码巡检还是智能助理,确保智能体行为安全、可靠、

AI智能体安全攻防实战:从MCP Attack Atlas看LLM应用安全纵深防御

在人工智能工程化实践中,大语言模型(LLM)与外部工具的交互能力催生了智能体(Agent)这一重要应用范式。其核心原理在于,智能体通过自然语言理解用户意图,并调用预设工具执行具体操作,从而扩展了AI的实践边界。这一架构的技术价值在于实现了任务的自动化与复杂决策的辅助,广泛应用于客服、编程助手、数据分析等场景。然而,智能体在工具调用与数据检索过程中,面临着传统应用安全模型难以覆盖的新型风险,例如**

AI智能体生产级安全:三层执行保障架构设计与实战

在软件工程与系统架构中,权限控制与行为审计是保障服务安全稳定运行的基石。其核心原理在于通过策略引擎对操作请求进行验证与拦截,并结合密码学技术确保日志的完整性与不可否认性。这一技术价值在于构建可信的执行环境,防止越权操作与数据篡改,是金融、电商、数据管理等关键业务场景的必备能力。本文聚焦于AI智能体(AI Agent)这一新兴领域,针对其因提示词注入(Prompt Injection)和工具调用(T

#AI智能体
你的密码真的安全吗?用Python模拟黑客的‘撞库’攻击,看完我立刻改了密码

本文通过Python代码模拟黑客的‘撞库’攻击,揭示弱密码的安全风险。详细解析了MD5哈希、密码字典和彩虹表等黑客常用工具,并提供构建强密码的实用建议,帮助读者提升密码安全意识。

AI智能体安全盲区:传统安全分析为何失效及应对策略

在数字化转型和自动化浪潮中,AI智能体(AI Agent)正被广泛应用于数据处理、客户服务等关键业务场景。其核心原理在于通过感知、规划、决策与执行的自主循环,实现对复杂任务的自动化处理。然而,这种自主性带来了新的安全挑战:传统围绕人类用户和标准进程设计的安全信息与事件管理(SIEM)及用户与实体行为分析(UEBA)系统,在面对AI智能体时出现了“语义断层”。这些系统擅长采集低阶事件日志,却难以捕捉

#AI智能体
从一次HTTPS调用失败讲起:我是如何用keytool排查并修复Java证书信任链的

本文详细记录了如何通过keytool工具排查和修复Java HTTPS调用中的证书信任链问题。从PKIX路径构建失败的错误现象出发,逐步分析证书链完整性,最终通过导入缺失的中间CA证书解决问题,并分享了证书管理的最佳实践和常见问题排查方法。

    共 99 条
  • 1
  • 2
  • 3
  • 10
  • 请选择