AI 時代的防備
該標籤下有 12 篇文章
AI 時代的安全防護|個人開發者現在就該夯實的基本功(按優先級排序的清單)
AI 強化的不是『新弱點』,而是『自動、大規模地利用既有弱點』那一側。所以比起特別的新對策,按正確的順序夯實基本功才是最好的準備。CVE 立即打修補程式+相依套件監控、杜絕重複使用+MFA、清除暴露的機密、最小權限、收縮公開面、記錄/IOC 的準備、備份——全都用一份按優先級排序的清單講清楚。
AI 時代真正有效的安全對策與「無效」的那些|小站為何也會被盯上
糾正 AI 時代的 4 個迷思。①太小不會被盯上→自動化抹掉了『人來挑目標』這一步②需要特別的新對策→基本功才最強③裝個產品就安心→比起偵測,先做到『不讓它發生』的設計④AI 生成程式碼又快又安全→連漏洞一起出貨、上線前必須複查。真正有效的,是按正確順序把不起眼的基本功做紮實。
收到了『冒充自己網域』的郵件——它和被入侵的區別,以及如何止住
即使收到自稱來自自己網域的可疑郵件,多數也不是『伺服器被入侵』,而是『寄件人(From)被偽造』。因為 SMTP 允許任意填寫 From。讀懂郵件標頭裡的 Authentication-Results、Received、Reply-To,就能分辨是入侵還是冒充。它能進到收件匣的主因是沒有設定 DMARC。用 SPF→DKIM→DMARC(p=none→reject) 的分階段引入來止住它。
雙因素認證(MFA)如何正確選擇:比 SMS 更強的「抗釣魚」是什麼
MFA 是『即使密碼洩漏也進不來』的雙重鎖,但你配了什麼會讓強度差三檔。SMS/郵件會被釣魚中繼、SIM 交換攻破,屬於弱方式;驗證器 App(TOTP)居中;passkey/實體金鑰(FIDO2)因為『無法對假站點出示』的抗釣魚特性而屬另一檔。最優先的是給王國之鑰(信箱、網域、支付)配上抗釣魚 MFA。再加上妥善保管復原碼、準備好備用手段,才算正確的維運。
備份基礎:3-2-1 原則與抵禦 ransomware 的還原計畫
備份只是「有做」還不夠,只有「已確認可以還原」才算數。基礎=3-2-1 原則(3 份副本、2 種媒介、1 份異地)。要防 ransomware,還需要至少 1 份不是長期連接的「離線/不可變(immutable)」副本——長期連著的備份會連同本體一起被加密。雲端同步不是備份(誤刪和加密也會被同步)。多版本管理和定期還原測試才算完整的維運。
密碼管理器安全嗎?運作原理與雲端、本機的區別,以及如何選擇
密碼管理器比重複使用、明文保存更確實地安全。關鍵在於零知識加密=憑主密碼只有端側能解密,提供方只持有密文,所以提供方被攻破內容也不會外洩。真正的單點故障是主密碼和保險庫的 MFA。雲端型(Bitwarden/1Password)與本機型(KeePass)按用途選擇。
個人開發 / 小規模維運的安全底線:把業界標準的對策一次配齊
最低限度的對策並非『全都一樣重』。本站的優先順序 = ①王國之鑰(多因素驗證 / 網域 / 郵件)②金鑰與程式碼 ③應用程式本體 ④修補 / 偵測 / 還原。資源有限的個人,按這個順序從上往下填才是正解。多數事故並非新型攻擊,而是這塊地基的缺口造成的。
漏洞(CVE)處置實務:徹底修復,並持續監控復發
漏洞處置不是『修了』就完事。完成=①掃描②修復③隔離/移交④監控四點齊備才算數。尤其在加上監控(每日變化偵測)之前都算未完成——因為相依套件明天又可能變得脆弱。修復內容哪怕100分,只要下一次部署就被覆蓋,也等於0分。越是小團隊,越能靠自動變化偵測和『local→push→deploy』的紀律守得出奇地穩。
osv-scanner 的安裝與使用:用機器找出相依套件裡的 CVE
osv-scanner 是一款免費工具,掃描鎖定檔或容器以排查相依套件中的 CVE。本文把安裝、執行、CI 整合做成步驟,並理清它與 npm/pnpm audit、Dependabot 的取捨。本站的觀點=選工具的正確答案由『你的架構』決定。多語言混用或不依賴 GitHub 就用 osv-scanner,單一 npm 用內建的 pnpm audit 就夠了。
是否把金鑰檔案遺忘在了公開目錄裡:webroot 盤點
放進 webroot(公開目錄)的檔案,只要存取 URL 任何人都能取走。權杖或驗證憑證的 JSON、.env、備份一旦遺忘在那裡,立刻造成實害。再加上若源自共用範本,同一個洞會橫向擴散到所有站點。對策=公開目錄只放可以公開的東西,金鑰放在 webroot 之外+權限 600,並且盤點自己的伺服器、一處發現就全機排查。
不要把 root 金鑰交給可能被入侵的環境:SSH 金鑰的最小權限
從臨時且可能被入侵的環境(GPU pod、CI runner、一次性 VM)向生產登記 root 金鑰,那個環境一旦被入侵,生產就會連帶被人以 root 權限抽走。對策=不在臨時環境放 root 金鑰/不用了就刪掉/再次需要時用非 root 使用者+command 限制金鑰(command=「...」 restrict)把操作限定為一個。重複使用金鑰是最重要資產,別搭出『漏一把就全完』的結構。
用 AI 寫的程式碼洩漏了 API key,被人盜刷——真正的禍根是放著不管的 CVSS 10.0
帳單暴漲只是冰山一角。真正的禍根是放任不管、公開已久的 CVSS 10.0 RCE。本文從隱去專有名詞的案例中,提煉出防禦的教訓。