Tag: 安全
All the articles with the tag "安全".
-
AI 工具供应链安全清单:从 Vercel、Nx Console 两起事件提炼的 8 条防御原则
Vercel 入侵和 Nx Console 事件都不是协议漏洞,是凭证治理漏洞。本文把这两起 AI 工具供应链攻击提炼成 8 条防御原则 + 1 小时审计 checklist,覆盖 OAuth 最小权限、密钥分级、托管设备隔离、IDE 扩展凭证隔离,给独立开发者和小团队一份能立刻照做的安全模板。
-
AI 工具链供应链安全:Vercel 入侵事件的完整复盘
复盘 2026 年 4 月 Vercel 遭入侵事件的完整攻击链:Roblox 外挂脚本 → Lumma Stealer → OAuth 过度授权 → SSO 横向移动 → 环境变量泄露,拆解每一环背后的安全盲点和开发者防御实践。
-
Axios 投毒事件全解析:朝鲜 APT 如何在 3 小时内感染百万开发者环境
2026 年 3 月,axios npm 包被朝鲜国家级 APT 劫持,3 小时内向百万开发者环境植入 RAT。本文拆解两件独立但关联事件:供应链投毒的完整攻击链,以及 CVE-2026-40175(CVSS 10.0)的技术原理与实际可利用性争议。
-
AI Agent 安全防护全景:从 ClawHavoc 投毒到 Cisco DefenseClaw 与微软 Governance Toolkit
ClawHavoc 供应链攻击污染 1184 个 Agent 技能、波及 30 万用户,随后两周内 Cisco 和微软相继发布 Agent 安全工具。本文拆解威胁模型、对比两套防护体系的设计思路,并给出实际集成代码。
-
Apifox 供应链投毒事件复盘:你的 SSH Key 可能已经泄露了
2026 年 3 月,Apifox 桌面客户端遭遇供应链投毒攻击,官方 CDN 上的 JS 文件被替换为恶意版本,窃取用户 SSH Key、Git 凭证等敏感信息。从攻击原理、影响范围到自查方法,拆解这次事件的技术细节。
-
本地 AI 助手如何安全暴露到公网?SSH 反向隧道实战
通过 SSH 反向隧道 + Nginx 反向代理,将本地运行的 OpenClaw Gateway 安全暴露到公网,实现域名访问。数据完全本地化,多层安全防护,成本为零。