AI 时代的防备
该标签下有 12 篇文章
AI 时代的安全防护|个人开发者现在就该夯实的基本功(按优先级排序的清单)
AI 强化的不是『新弱点』,而是『自动、大规模地利用既有弱点』那一侧。所以比起特别的新对策,按正确的顺序夯实基本功才是最好的准备。CVE 立即打补丁+依赖监控、杜绝复用+MFA、清除暴露的机密、最小权限、收缩公开面、日志/IOC 的准备、备份——全都用一份按优先级排序的清单讲清楚。
AI 时代真正有效的安全对策与「无效」的那些|小站为何也会被盯上
纠正 AI 时代的 4 个神话。①太小不会被盯上→自动化抹掉了『人来挑目标』这一步②需要特别的新对策→基本功才最强③装个产品就安心→比起检测,先做到『不让它发生』的设计④AI 生成代码又快又安全→连漏洞一起出货、上线前必须复查。真正有效的,是按正确顺序把不起眼的基本功做扎实。
收到了『冒充自己域名』的邮件——它和被入侵的区别,以及如何止住
即使收到自称来自自己域名的可疑邮件,多数也不是『服务器被入侵』,而是『发件人(From)被伪造』。因为 SMTP 允许任意填写 From。读懂邮件头里的 Authentication-Results、Received、Reply-To,就能分辨是入侵还是冒充。它能进到收件箱的主因是没有配置 DMARC。用 SPF→DKIM→DMARC(p=none→reject) 的分阶段引入来止住它。
双因素认证(MFA)如何正确选择:比 SMS 更强的「抗钓鱼」是什么
MFA 是『即使密码泄露也进不来』的双重锁,但你配了什么会让强度差三档。SMS/邮件会被钓鱼中继、SIM 交换攻破,属于弱方式;验证器 App(TOTP)居中;passkey/物理密钥(FIDO2)因为『无法对假站点出示』的抗钓鱼特性而属另一档。最优先的是给王国之钥(邮箱、域名、支付)配上抗钓鱼 MFA。再加上妥善保管恢复码、准备好备用手段,才算正确的运维。
备份基础:3-2-1 规则与抵御 ransomware 的恢复计划
备份只是「有做」还不够,只有「已确认可以恢复」才算数。基础=3-2-1 规则(3 份副本、2 种介质、1 份异地)。要防 ransomware,还需要至少 1 份不是长期连接的「离线/不可变(immutable)」副本——长期连着的备份会连同本体一起被加密。云同步不是备份(误删和加密也会被同步)。多版本管理和定期恢复测试才算完整的运维。
密码管理器安全吗?工作原理与云端、本地的区别,以及如何选择
密码管理器比重复使用、明文保存更确实地安全。关键在于零知识加密=凭主密码只有端侧能解密,提供方只持有密文,所以提供方被攻破内容也不会泄露。真正的单点故障是主密码和金库的 MFA。云端型(Bitwarden/1Password)与本地型(KeePass)按用途选择。
个人开发 / 小规模运营的安全底线:把行业标准的对策一次配齐
最低限度的对策并非『全都一样重』。本站的优先级 = ①王国之钥(多因素认证 / 域名 / 邮箱)②密钥与代码 ③应用本体 ④补丁 / 检测 / 恢复。资源有限的个人,按这个顺序从上往下填才是正解。多数事故并非新型攻击,而是这块地基的缺口造成的。
漏洞(CVE)处置实务:彻底修复,并持续监控复发
漏洞处置不是『修了』就完事。完成=①扫描②修复③隔离/移交④监控四点齐备才算数。尤其在加上监控(每日变化检测)之前都算未完成——因为依赖明天又可能变得脆弱。修复内容哪怕100分,只要下一次部署就被覆盖,也等于0分。越是小团队,越能靠自动变化检测和『local→push→deploy』的纪律守得出奇地稳。
osv-scanner 的安装与使用:用机器找出依赖包里的 CVE
osv-scanner 是一款免费工具,扫描锁文件或容器以排查依赖中的 CVE。本文把安装、运行、CI 集成做成步骤,并理清它与 npm/pnpm audit、Dependabot 的取舍。本站的观点=选工具的正确答案由『你的架构』决定。多语言混用或不依赖 GitHub 就用 osv-scanner,单一 npm 用自带的 pnpm audit 就够了。
是否把密钥文件遗忘在了公开目录里:webroot 盘点
放进 webroot(公开目录)的文件,只要访问 URL 任何人都能取走。令牌或认证凭据的 JSON、.env、备份一旦遗忘在那里,立刻造成实害。再加上若源自共用模板,同一个洞会横向扩散到所有站点。对策=公开目录只放可以公开的东西,密钥放在 webroot 之外+权限 600,并且盘点自己的服务器、一处发现就全机排查。
不要把 root 密钥交给可能被入侵的环境:SSH 密钥的最小权限
从临时且可能被入侵的环境(GPU pod、CI runner、一次性 VM)向生产登记 root 密钥,那个环境一旦被入侵,生产就会连带被人以 root 权限抽走。对策=不在临时环境放 root 密钥/不用了就删掉/再次需要时用非 root 用户+command 限制密钥(command=「...」 restrict)把操作限定为一个。复用密钥是最重要资产,别搭出『漏一把就全完』的结构。
用 AI 写的代码泄露了 API key,被人盗刷——真正的祸根是放着不管的 CVSS 10.0
账单暴涨只是冰山一角。真正的祸根是放任不管、公开已久的 CVSS 10.0 RCE。本文从隐去专有名词的案例中,提炼出防御的教训。