Tag: 安全
All the articles with the tag "安全".
-
GLM 5.2 在安全基准超 Claude:中国大模型的「场景特化超越」是不是新拐点
Updated:智谱 GLM 5.2 在 Semgrep IDOR 漏洞检测基准 F1 拿 39%,超过 Claude Code 全部 Opus 版本,单个漏洞发现成本约 1/6;但综合榜仍差约 2 分。Kimi、Qwen 同期复现同样格局。本文拆"场景特化超越"是不是 2026 中国模型的新拐点。
-
Electron 桌面钱包怎么存私钥:safeStorage 不够用,看看 MetaMask 和 Phantom 怎么做
前几天写过一篇拆解 safeStorage 的文章——结论是它适合存普通 API key。但如果你要存的是几万美元价值的钱包私钥呢?safeStorage 就不够了。这篇看 MetaMask、Phantom 这些真正的桌面钱包怎么做,以及为什么"加密 + 主密码 + 短期解锁"是绕不开的三件套。
-
让 Claude Code 改我的真金白银交易代码:我守住的几条界线
我用 Claude Code 在一个真金白银的合约量化项目上写了 10 个月代码。这篇是诚实的复盘:AI 没有直接动钱(我没那么大胆),但它确实在写下单/止损/平仓的关键路径。讲讲我守住的几条界线,以及哪些 AI 真的有用、哪些时刻我必须接管。
-
拆开 Electron safeStorage 黑盒:AES-128-CBC、硬编码 IV,和那些没人告诉你的事
safeStorage 是 Electron 推荐的密钥存储 API,但实现细节少被讨论。本文拆开它的源码黑盒:约 100 行 C++ 包装 Chromium OSCrypt,AES-128-CBC、IV 硬编码 16 空格、PBKDF2 只迭代 1 轮。配合 VS Code 凭据被扩展直接读、VoidStealer 用硬件断点抢 master key 的案例,给一份基于威胁模型的存储决策表。
-
AI 工具供应链安全清单:从 Vercel、Nx Console 两起事件提炼的 8 条防御原则
Vercel 入侵和 Nx Console 事件都不是协议漏洞,是凭证治理漏洞。本文把这两起 AI 工具供应链攻击提炼成 8 条防御原则 + 1 小时审计 checklist,覆盖 OAuth 最小权限、密钥分级、托管设备隔离、IDE 扩展凭证隔离,给独立开发者和小团队一份能立刻照做的安全模板。
-
AI 工具链供应链安全:Vercel 入侵事件的完整复盘
复盘 2026 年 4 月 Vercel 遭入侵事件的完整攻击链:Roblox 外挂脚本 → Lumma Stealer → OAuth 过度授权 → SSO 横向移动 → 环境变量泄露,拆解每一环背后的安全盲点和开发者防御实践。
-
Axios 投毒事件全解析:朝鲜 APT 如何在 3 小时内感染百万开发者环境
2026 年 3 月,axios npm 包被朝鲜国家级 APT 劫持,3 小时内向百万开发者环境植入 RAT。本文拆解两件独立但关联事件:供应链投毒的完整攻击链,以及 CVE-2026-40175(CVSS 10.0)的技术原理与实际可利用性争议。
-
AI Agent 安全防护全景:从 ClawHavoc 投毒到 Cisco DefenseClaw 与微软 Governance Toolkit
ClawHavoc 供应链攻击污染 1184 个 Agent 技能、波及 30 万用户,随后两周内 Cisco 和微软相继发布 Agent 安全工具。本文拆解威胁模型、对比两套防护体系的设计思路,并给出实际集成代码。