云产品使用了开源组件和框架,而由于代码安全审计工具没有支持这些框架,未覆盖潜在的“Source”(用户可控的输入点)和“Sink”(敏感函数或漏洞触发点),导致数据流分析中断,从而引发漏报
哦~原来用一下开源组件就能打断污点分析啊~
也就是说只要用开源组件计算部分逻辑就能免杀啊~学会了
https://mp.weixin.qq.com/s/_X1b8A5b5MQjsCxPRHmFvQ
Weixin Official Accounts Platform
从人工困局到智能破局 - 大模型在代码安全审计的探索与实践
Forwarded from 今天abc看了啥🤔 (asfr | abc1763613206🤔)
最近出于与某 Vue2 陈年老项目打架的需要,试用了 Cursor 和 Trae 这两个带 Agent 模式的 AI 辅助编程产品。
几天使用下来,结果比较悲观:
1. 两边都比较喜欢用 OKR 来 PUA 自己,让他针对大项目进行优化或者重构的时候,会创建一个 Markdown 文件记自己要干啥,但是每次新请求都会生成一个新的,于是项目根目录就容易产出一车怪文件。(配图1)
2. 尽管能猜到 Prompt 里有类似分步规划的字眼,但是对于一个中型项目而言,上下文窗口不足是最大的问题。两家 AI 一个比一个惜字如金,即使重构一个小组件也要手动说好几次「继续」,生出来的代码也通常左右手互搏(配图2),前面改过来后面又改回去,对着同一个地方浪费好多 tokens。因此即使有分步规划,也没见所谓的规划体现在了哪些地方,生出来的代码质量也通常不是开箱即用,没有起到 Agent 的作用。
3. 也正因为这个原因,用 AI 的时候仍然需要带着脑子。一个有编程基础的人,仅仅通过看 AI 的代码就想了解一个新语言所谓的运行逻辑和最佳实践大约是不大可能,该啃的一些基础文档还是得啃。要想在无托管的情况下完成一个中型项目代码的平滑迁移更是不大可能,除非你一直愿意对 AI 喊「继续」然后看着他反复试错。
以上评价基于两家内置的 Claude-3.7-Sonnet .
几天使用下来,结果比较悲观:
1. 两边都比较喜欢用 OKR 来 PUA 自己,让他针对大项目进行优化或者重构的时候,会创建一个 Markdown 文件记自己要干啥,但是每次新请求都会生成一个新的,于是项目根目录就容易产出一车怪文件。(配图1)
2. 尽管能猜到 Prompt 里有类似分步规划的字眼,但是对于一个中型项目而言,上下文窗口不足是最大的问题。两家 AI 一个比一个惜字如金,即使重构一个小组件也要手动说好几次「继续」,生出来的代码也通常左右手互搏(配图2),前面改过来后面又改回去,对着同一个地方浪费好多 tokens。因此即使有分步规划,也没见所谓的规划体现在了哪些地方,生出来的代码质量也通常不是开箱即用,没有起到 Agent 的作用。
3. 也正因为这个原因,用 AI 的时候仍然需要带着脑子。一个有编程基础的人,仅仅通过看 AI 的代码就想了解一个新语言所谓的运行逻辑和最佳实践大约是不大可能,该啃的一些基础文档还是得啃。要想在无托管的情况下完成一个中型项目代码的平滑迁移更是不大可能,除非你一直愿意对 AI 喊「继续」然后看着他反复试错。
以上评价基于两家内置的 Claude-3.7-Sonnet .
正则领域大神
(?i)((access_key|access_token|admin_pass|admin_user|algolia_admin_key|algolia_api_key|alias_pass|alicloud_access_key|amazon_secret_access_key|amazonaws|ansible_vault_password|aos_key|api_key|api_key_secret|api_key_sid|api_secret|api.googlemaps AIza|apidocs|apikey|apiSecret|app_debug|app_id|app_key|app_log_level|app_secret|appkey|appkeysecret|application_key|appsecret|appspot|auth_token|authorizationToken|authsecret|aws_access|aws_access_key_id|aws_bucket|aws_key|aws_secret|aws_secret_key|aws_token|AWSSecretKey|b2_app_key|bashrc password|bintray_apikey|bintray_gpg_password|bintray_key|bintraykey|bluemix_api_key|bluemix_pass|browserstack_access_key|bucket_password|bucketeer_aws_access_key_id|bucketeer_aws_secret_access_key|built_branch_deploy_key|bx_password|cache_driver|cache_s3_secret_key|cattle_access_key|cattle_secret_key|certificate_password|ci_deploy_password|client_secret|client_zpk_secret_key|clojars_password|cloud_api_key|cloud_watch_aws_access_key|cloudant_password|cloudflare_api_key|cloudflare_auth_key|cloudinary_api_secret|cloudinary_name|codecov_token|config|conn.login|connectionstring|consumer_key|consumer_secret|credentials|cypress_record_key|database_password|database_schema_test|datadog_api_key|datadog_app_key|db_password|db_server|db_username|dbpasswd|dbpassword|dbuser|deploy_password|digitalocean_ssh_key_body|digitalocean_ssh_key_ids|docker_hub_password|docker_key|docker_pass|docker_passwd|docker_password|dockerhub_password|dockerhubpassword|dot-files|dotfiles|droplet_travis_password|dynamoaccesskeyid|dynamosecretaccesskey|elastica_host|elastica_port|elasticsearch_password|encryption_key|encryption_password|env.heroku_api_key|env.sonatype_password|eureka.awssecretkey)[a-z0-9_ .\-,]{0,25})(=|>|:=|\|\|:|<=|=>|:).{0,5}['\"]([0-9a-zA-Z\-_=]{8,64})['\"]
Forwarded from 科技圈🎗在花频道📮
举报者揭露Facebook曾开发审查工具以试图进入中国市场
《华盛顿邮报》报道了举报人Sarah Wynn-Williams在去年4月向美国证券交易委员会提交的78页投诉中的指控,包括Facebook在2014年开发了审查系统以期在中国运营,代号为"阿尔德林计划",并考虑允许中国政府访问该国用户数据。除了构建审查系统外,在与中国官员的谈判中还提议允许中国私募股权公司审查中国用户发布的内容,并雇佣数百名审核员专门负责限制内容。Facebook开发内容审查工具以讨好中国(自2009年起被封锁)的说法最早于2016年被《纽约时报》报道。
Facebook发言人Andy Stone回应称,公司过去对中国市场的兴趣"不是秘密",CEO马克·扎克伯格在2019年宣布放弃这些努力。但Wynn-Williams的投诉更全面地描述了Facebook(Meta前身)为获取中国用户群而愿意走多远。
华盛顿邮报
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
《华盛顿邮报》报道了举报人Sarah Wynn-Williams在去年4月向美国证券交易委员会提交的78页投诉中的指控,包括Facebook在2014年开发了审查系统以期在中国运营,代号为"阿尔德林计划",并考虑允许中国政府访问该国用户数据。除了构建审查系统外,在与中国官员的谈判中还提议允许中国私募股权公司审查中国用户发布的内容,并雇佣数百名审核员专门负责限制内容。Facebook开发内容审查工具以讨好中国(自2009年起被封锁)的说法最早于2016年被《纽约时报》报道。
Facebook发言人Andy Stone回应称,公司过去对中国市场的兴趣"不是秘密",CEO马克·扎克伯格在2019年宣布放弃这些努力。但Wynn-Williams的投诉更全面地描述了Facebook(Meta前身)为获取中国用户群而愿意走多远。
华盛顿邮报
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
Forwarded from 科技圈🎗在花频道📮
马斯克X平台被打瘫三次 奇安信:与春节攻击DeepSeek的主力僵尸网络相同
奇安信Xlab实验室发现,本次攻击者和春节期间攻击DeepSeek的为同一主力僵尸网络,属于名副其实的“职业打手”,而且攻击时间与X平台宕机时间完全吻合,其攻击规模之大、烈度之猛,直接导致X平台三次瘫痪。具体的:
1. 此次攻击所使用的僵尸网络为Mirai变种僵尸网络RapperBot,与2025年春节期间攻击DeepSeek的属于同一组僵尸网络。RapperBot以高强度的流量攻击闻名,能够迅速瘫痪目标服务器。
2. XLab监控数据显示,此次攻击的时间与X平台服务中断的时间完全吻合,这进一步证实了攻击的直接关联性。
3. RapperBot僵尸网络并非普通黑客组织,而是对外提供有偿攻击服务的“职业打手”。其攻击规模和资源投入远超普通网络攻击,可能涉及大型组织甚至国家层面的支持。
奇安信
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
奇安信Xlab实验室发现,本次攻击者和春节期间攻击DeepSeek的为同一主力僵尸网络,属于名副其实的“职业打手”,而且攻击时间与X平台宕机时间完全吻合,其攻击规模之大、烈度之猛,直接导致X平台三次瘫痪。具体的:
1. 此次攻击所使用的僵尸网络为Mirai变种僵尸网络RapperBot,与2025年春节期间攻击DeepSeek的属于同一组僵尸网络。RapperBot以高强度的流量攻击闻名,能够迅速瘫痪目标服务器。
2. XLab监控数据显示,此次攻击的时间与X平台服务中断的时间完全吻合,这进一步证实了攻击的直接关联性。
3. RapperBot僵尸网络并非普通黑客组织,而是对外提供有偿攻击服务的“职业打手”。其攻击规模和资源投入远超普通网络攻击,可能涉及大型组织甚至国家层面的支持。
奇安信
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
Forwarded from LoopDNS资讯播报
中国加大反诈力度,监控体系引发隐私讨论
在接到一通来自海外的电话后,上海零售员工郭先生很快收到警方的联系,并被要求面谈。十分钟后,警察上门核实其是否向陌生人转账,并要求他签署声明,证明未遭受诈骗。郭先生对此迅速的警务反应感到惊讶,同时也对反诈行动的人力成本表示疑虑。
自2021年以来,中国当局已拦截近70亿通电话和同等数量的短信,并进行了超过1800万次面对面劝阻。全国范围内的“反诈防火墙”由警方、电信运营商、银行等多方合作构建,甚至在部分地区,警方会暂时冻结市民的银行账户以防诈骗。
这一措施与美国的做法形成鲜明对比,后者因未能有效保护消费者而遭批评。然而,中国大规模的监控引发了一定的隐私担忧。一些专家认为,政府的反诈行动既展现了保护公民的意图,也暴露了高强度监视的现实。
面对复杂多变的诈骗手法,中国政府持续强化技术手段,以大数据监测交易异常,警方可第一时间介入调查。同时,国家反诈中心推出的官方反诈APP已安装超过25亿次,协助用户识别风险电话和应用。
习近平主席自2021年指示全国打击电信诈骗以来,政府宣称已成功挽回超过1.1万亿元人民币的潜在损失。随着诈骗技术不断升级,如何在个人隐私和公共安全之间找到平衡,成为社会持续关注的问题。
来源:彭博社
在接到一通来自海外的电话后,上海零售员工郭先生很快收到警方的联系,并被要求面谈。十分钟后,警察上门核实其是否向陌生人转账,并要求他签署声明,证明未遭受诈骗。郭先生对此迅速的警务反应感到惊讶,同时也对反诈行动的人力成本表示疑虑。
自2021年以来,中国当局已拦截近70亿通电话和同等数量的短信,并进行了超过1800万次面对面劝阻。全国范围内的“反诈防火墙”由警方、电信运营商、银行等多方合作构建,甚至在部分地区,警方会暂时冻结市民的银行账户以防诈骗。
这一措施与美国的做法形成鲜明对比,后者因未能有效保护消费者而遭批评。然而,中国大规模的监控引发了一定的隐私担忧。一些专家认为,政府的反诈行动既展现了保护公民的意图,也暴露了高强度监视的现实。
面对复杂多变的诈骗手法,中国政府持续强化技术手段,以大数据监测交易异常,警方可第一时间介入调查。同时,国家反诈中心推出的官方反诈APP已安装超过25亿次,协助用户识别风险电话和应用。
习近平主席自2021年指示全国打击电信诈骗以来,政府宣称已成功挽回超过1.1万亿元人民币的潜在损失。随着诈骗技术不断升级,如何在个人隐私和公共安全之间找到平衡,成为社会持续关注的问题。
来源:彭博社
Forwarded from 每日消费电子观察 (无羽の翼 (「 • ̀ω•́ )「)
国产 ESP32 芯片被发现攻击隐患,影响超10亿设备
https://zhidx.com/~
https://bleepingcomputer.com/~
乐鑫科技:ESP32 芯片不存在后门,属于内部调试命令
https://www.stcn.com/~
https://www.tarlogic.com/~
https://zhidx.com/~
https://bleepingcomputer.com/~
乐鑫科技:ESP32 芯片不存在后门,属于内部调试命令
https://www.stcn.com/~
https://www.tarlogic.com/~
Zhidx
10亿设备采用的国产芯片,被发现攻击隐患 - 智东西
风险包括OEM级别的恶意实现和供应链攻击。