-
我给 Agent 写了个清理 N 天前数据的工具,模型某次把 N 填成了 0,工具没校验就照单执行,把全部数据都删了:一次 Agent 工具参数未校验、把模型输出当可信输入的深度复盘
我给 AI Agent 写了个工具 cleanup_old_data(days) 清理 days 天前的数据,描述写得清清楚楚、平时用得也好。可某次 Agent 处理一个模糊的清理请求时把 days 填成了 0,而我的工具拿到 days=0 没做任何校验,直接执行 DELETE WHERE created_at < 此刻——删除了全部数据。查清才明白:我把模型填进工具的参数当成了绝对可信合法…- 0
- 0
-
Prompt 注入完全指南:从一次"用户一句忽略以上所有指令、AI 就被策反"看懂大模型安全
2024 年我做一个公司官网的 AI 客服。逻辑很简单有一段我写好的系统指令规定它只回答和我们产品有关的问题语气友好不准谈论竞品用户问什么我就把用户的问题拼在这段指令后面一起发给大模型。第一版我做得很直接系统指令加用户输入拼成一个字符串发出去。本地一测很好问产品答产品问竞品它礼貌地拒绝。我心里很踏实指令我都写死了它能翻出什么花样。可上线没几天同事丢给我一张截图我当场后背发凉有个用户在对话框里输入的…- 0
- 0
-
SSH 报 REMOTE HOST IDENTIFICATION HAS CHANGED:一次主机密钥与中间人警告的复盘
重装一台服务器系统后 IP 没变再 SSH 连它,屏幕炸出一整屏 @@@ 警告 WARNING REMOTE HOST IDENTIFICATION HAS CHANGED 还说有人可能正在窃听你这是中间人攻击,连接被直接拒绝。排查梳理:重装系统时 /etc/ssh/ 下的主机密钥被重新生成,IP 还是这个 IP 但这台机器的主机密钥已是全新一把和 known_hosts 里的旧存根对不上;这个吓…- 5
- 0
-
JWT 双 Token 续期 + 多设备登录 + 强制撤销:生产级 Spring Boot 实现
JWT 真做生产级登录态时坑特别多:Access/Refresh 双 token 续期、RT 轮转、复用检测、强制登出、改密码失效、多设备管理。本文给完整 Spring Boot + Redis 方案,附拦截器 + 黑名单 + user_version 双保险 + 前端拦截 + 8 条反模式。- 2
- 0
-
TLS 1.3 完全指南:从握手流程到 Let's Encrypt 实战
"为什么 HTTPS 比 HTTP 安全?""TLS 握手到底在做什么?""TLS 1.3 比 1.2 快在哪?" —— TLS 是当代互联网的基石,但大多数工程师对它的认识停留在"加个证书就行"。这篇文章把 TLS 握手讲透,涵盖密钥交换、证书验证、性能优化、生产配置。 TLS 解决什么 HTTP 在明文 TCP 上…- 3
- 0
-
密码哈希完全指南:从 bcrypt 到 Argon2 的现代选型
"为什么不能用 MD5 存密码?""bcrypt、scrypt、argon2 选哪个?""salt 是干嘛的?" —— 密码哈希是 Web 应用最常被做错的安全设计。这篇文章把密码哈希的原理、攻击手段、现代算法选型一次讲透。所有结论都配可运行代码。 为什么不能用 MD5 / SHA1 / SHA256 它们是通用哈希算法,设计目标是&qu…- 0
- 0
-
OWASP Top 10 完全指南:Web 应用最重要的 10 类安全威胁
OWASP Top 10 是 Web 安全的"必读清单",每 3-4 年更新一次,反映当下最严重的应用层安全问题。但很多团队对它的认识停留在"听说过",真到了开发中并没系统防护。这篇文章把 2021 版 OWASP Top 10 完整讲透,所有威胁配真实代码示例和修复方案,2024 年新趋势也会提到。 A01 Broken Access Control(失效…- 0
- 0
-
JWT 完全指南:从结构到 RS256 与 Refresh Token 的生产实战
JWT(JSON Web Token)是当代 API 鉴权的事实标准。微服务之间互信、单点登录、API Key、OAuth2 的 access_token —— 全是 JWT 或其变种。它的"无状态、自包含"特性让分布式鉴权变得简单。但 JWT 也是被误用最严重的技术之一,"把 JWT 当 Session 用" / "用 none 算法"…- 0
- 0
-
OAuth2 与 OIDC 完全指南:从授权码模式到 PKCE 的安全实战
"用户用 GitHub 登录我的网站,这是怎么工作的?""我能不能自己实现微信扫码登录?" —— 这类需求背后都是 OAuth2 / OIDC。看似简单的"第三方登录",实际涉及一套精密的授权流程和安全设计。这篇文章把 OAuth2 / OIDC 从概念讲到完整时序图,覆盖所有 grant type 和真实场景。 OAuth2 解决什么问…- 8
- 0
-
RSA 加密算法详解:从数学原理到生产级代码
RSA 是非对称加密的代表算法,几乎所有 HTTPS、SSH、签名场景都直接或间接用到它。但很多教程要么把它说成"两个大质数相乘",要么直接堆数学公式 —— 都不解决"它到底怎么工作、为什么安全、怎么用"的问题。这篇文章用具体数字 + 完整代码把 RSA 走一遍,然后讲清楚生产场景里怎么用、容易踩什么坑。 RSA 的核心思路:单向函数 RSA 建立在一个数论…- 0
- 0
安全
-
¥优惠劵使用时效:无法使用使用时效:
之前
使用时效:永久有效优惠劵ID:×