レム・咲く夜

LemuSakuya的个人博客网站堂堂登场

这一天终于来到了！！经过长期的策划以及愚蠢的大创项目策划书的拖延，我终于部署好了我的个人博客，真的很感谢Mizuki，用这么好的模版让我舒爽一整天！！！

標籤

レム・咲く夜

LemuSakuya的个人博客网站堂堂登场

这一天终于来到了！！经过长期的策划以及愚蠢的大创项目策划书的拖延，我终于部署好了我的个人博客，真的很感谢Mizuki，用这么好的模版让我舒爽一整天！！！

標籤

Blogging Customization Demo Encryption Example Markdown Mermaid Mizuki Test Video 单片机开发学习笔记数字图像处理网络安全

レム・咲く夜

LemuSakuya的个人博客网站堂堂登场

这一天终于来到了！！经过长期的策划以及愚蠢的大创项目策划书的拖延，我终于部署好了我的个人博客，真的很感谢Mizuki，用这么好的模版让我舒爽一整天！！！

標籤

Blogging Customization Demo Encryption Example Markdown Mermaid Mizuki Test Video 单片机开发学习笔记数字图像处理网络安全

站點統計

文章

38

分類

6

標籤

14

總字數

136,758

運行天數

0 天

最後活動

0 天前

5431 字

17 分鐘

云安全、移动安全、AI安全专题

2026-04-27

网络安全

学习笔记

/

网络安全

AI 安全专题#

12.1 学习目标#

建立 云原生安全 的全貌：IAM / 计算 / 网络 / 数据 / 容器 / 服务网格。
理解 移动端（Android / iOS） 的威胁模型与防护体系。
认识 AI / LLM 安全 新战场：对抗样本、模型窃取、Prompt Injection。
打通”攻击面思维 → 新兴技术栈”，避免思路停留在传统 Web / 网络层。

12.2 云安全（Cloud Security）#

12.2.1 责任共担模型（Shared Responsibility）#

层	IaaS (EC2)	PaaS (RDS)	SaaS (O365)
物理 / 网络	云厂商	云厂商	云厂商
虚拟化 / OS	你 / 云厂商	云厂商	云厂商
中间件	你	云厂商	云厂商
应用 / 数据	你	你	你（含配置）
身份与访问	你	你	你

金句：云迁移 ≠ 安全外包，配置错误 是云事故第一死因。

12.2.2 CSA Top Threats#

Insecure Identities
Misconfiguration
Insecure Interfaces & APIs
Insufficient Logging / Monitoring
Supply Chain Attacks
Unauthorized Access
Data Exfiltration
Insider Threats

12.3 云平台攻击面（AWS 示例）#

12.3.1 常见错配#

S3：桶 ACL 为 Public Read/Write → 数据泄露。
IAM：*:* / iam:PassRole 滥用 → 权限提升。
EC2 Metadata v1 (IMDSv1)：SSRF → 偷 AssumeRole 凭证。
Security Group：0.0.0.0/0 → 22/3389/3306。
Public AMI / Snapshot：包含凭证。
Cross-account Trust Policy：信任了陌生 Account。

12.3.2 一次典型云渗透链#

1
1. SSRF (Web)  → http://169.254.169.254/latest/meta-data/iam/security-credentials/role
2
2. 获得 STS 临时凭证
3
3. aws sts get-caller-identity
4
4. aws s3 ls / aws dynamodb list-tables
5
5. 提权：iam:PassRole + lambda:CreateFunction → 以更高角色执行代码
6
6. 持久化：创建新 IAM user + AccessKey

12.3.3 审计与攻防工具#

工具	场景
Prowler	AWS / Azure / GCP 合规扫描（CIS / PCI-DSS / HIPAA）
ScoutSuite	多云审计
Pacu	AWS 进攻模拟框架
CloudFox	快速掌握 AWS 账户攻击面
enumerate-iam	IAM 权限枚举
Steampipe / CloudQuery	SQL 查询云资源

12.4 容器与 Kubernetes 安全#

12.4.1 容器逃逸#

特权容器：--privileged → 挂载宿主 /dev、加载内核模块。
挂载 Docker Socket：容器内 docker run -it --rm -v /:/mnt alpine，直接访问宿主根。
CAP_SYS_ADMIN / CAP_NET_ADMIN：可挂文件系统、抓包。
已知漏洞：CVE-2019-5736 (runC)、CVE-2022-0185 (fsconfig)、Dirty Pipe (CVE-2022-0847)。

12.4.2 Kubernetes 风险点#

1
API Server 匿名访问            → 接管集群
2
Kubelet 10250 未授权            → 任意 Pod exec
3
弱 RBAC（cluster-admin 滥发）   → 权限爆炸
4
挂载宿主 /proc /var/run/docker  → 容器逃逸
5
Secrets 明文（etcd 未加密）     → 泄露凭证
6
镜像仓库公开                    → Supply chain

12.4.3 工具链#

1
# 静态
2
trivy image myapp:1.0                        # 镜像漏洞
3
trivy fs ./chart                             # Helm / Dockerfile / K8s YAML
4
kube-bench run --targets master,node         # CIS Kubernetes Benchmark
5
kube-hunter --remote cluster.example.com     # 主动攻击模拟
6
checkov -f k8s.yaml                          # IaC 静态扫描
7

8
# 运行时
9
falco                                        # 内核级异常检测
10
tracee                                       # eBPF 事件追踪

12.4.4 最佳实践#

Pod Security Standards：restricted 基线 → 拒绝 privileged、hostPath、hostNetwork。
NetworkPolicy：默认 deny all，按需放通。
镜像：来源签名（cosign）+ SBOM（syft）+ 漏洞扫（trivy）。
RBAC：cluster-admin 限人；Namespace 级隔离。
秘密：外部 KMS（Vault、AWS KMS、GCP KMS）+ 自动轮换。

12.5 Serverless / IaC / 供应链#

12.5.1 Serverless 风险#

事件注入（Event Injection）：S3 事件、SQS 消息里埋 payload。
权限过度：Lambda 绑定的 Role 拥有 s3:* / dynamodb:*。
冷启动时间差异 → 侧信道探测。

12.5.2 IaC (Terraform / CloudFormation)#

工具：tfsec、checkov、kics、terrascan。
关键规则：禁止 0.0.0.0/0、强制加密、MFA Delete、KMS CMK。
GitOps：每次 PR 跑 IaC 扫描 + terraform plan，阻止高危变更合入。

12.5.3 软件供应链攻击（Supply Chain）#

SolarWinds / 3CX / xz-utils (2024) 等典型事件。
控制点：
- 代码签名 / 提交签名（GPG、Sigstore）
- SBOM（SPDX / CycloneDX）
- 依赖 Pin + 定期升级（Dependabot / Renovate）
- CI/CD 密钥管理、Runner 隔离
- 镜像仓库的内容信任（Docker Content Trust / Cosign）

12.6 移动端安全#

12.6.1 Android 威胁模型#

1
攻击面：
2
  - APK 逆向（反编译 + 重签名）
3
  - 动态注入（Frida / Xposed）
4
  - 中间人（SSL Pinning 绕过）
5
  - WebView 漏洞（addJavascriptInterface）
6
  - 组件暴露（exported Activity / Service）
7
  - 存储泄露（/data/data/<pkg> / SharedPreferences）

工具#

1
# 静态
2
apktool d app.apk                 # 反编译
3
jadx-gui app.apk                  # 查看 Java 代码
4
MobSF                             # 自动化静态/动态报告
5

6
# 动态
7
frida-server + frida -U -l hook.js com.example.app
8
objection -g com.example.app explore
9
drozer console connect
10

11
# 流量
12
mitmproxy -p 8080
13
SSL Pinning 绕过：Frida Universal Hook、Magisk + LSPosed + TrustMeAlready

典型防护#

代码混淆（R8 / ProGuard）+ 字符串加密
反调试 / 反 root / 反注入（如 DetectMagisk）
SSL Pinning（OKHttp CertificatePinner）
完整性校验（Play Integrity API）
敏感信息仅放 Android Keystore

12.6.2 iOS 威胁模型#

越狱（checkra1n / Palera1n / Dopamine）→ 可安装任意动态库。
Frida + Hopper/IDA：动态注入 & 反汇编。
Keychain、App Sandbox、Code Signing、Entitlements。
常见评估：MASVS（Mobile AppSec Verification Standard）+ MSTG。

12.7 无线与 IoT 安全（概览）#

Wi-Fi：WPA2 KRACK、WPA3 Dragonblood、Evil Twin、PMKID 攻击（hashcat 破解）。
蓝牙 / BLE：BlueBorne、KNOB、配对密钥弱。
ZigBee / LoRa：固件固定密钥、回放攻击。
IoT 固件分析：binwalk → unsquashfs → 找硬编码凭证 / Web 后台漏洞。
车联网 / CAN 总线：can-utils、candump、cansend；关注 OTA 升级签名。

12.8 AI / LLM 安全#

12.8.1 OWASP LLM Top 10（2023）#

Prompt Injection
Insecure Output Handling
Training Data Poisoning
Model Denial of Service
Supply Chain Vulnerabilities
Sensitive Information Disclosure
Insecure Plugin Design
Excessive Agency
Overreliance
Model Theft

12.8.2 常见攻击#

攻击	说明	防御思路
Prompt Injection	通过用户输入改变系统 prompt	输入分层、最小能力原则、工具白名单
Jailbreak	绕过内容安全	多轮对抗训练、Guard 模型
越权 / SSRF	LLM Agent 任意调用内部接口	工具签名、FGA 权限控制
数据投毒	改训练数据让模型产生特定后门	数据清洗 + 来源签名
成员推断 / 属性推断	判断数据是否在训练集中	DP-SGD、差分隐私
对抗样本	视觉 / 语音 / 文本的细微扰动	对抗训练、认证鲁棒性
模型窃取	反复查询复原参数 / 蒸馏	查询限速、水印、API 身份
Supply Chain	使用被篡改的 HuggingFace 模型	签名验证、SBOM、私有镜像

12.8.3 LLM 应用安全清单（RAG / Agent）#

1
输入侧：
2
  [ ] 区分 system / user / tool 消息，严格模板
3
  [ ] 检测 prompt injection（如 Lakera / Rebuff / Guardrails）
4
  [ ] 对外部文档（RAG 源）打标注"untrusted"
5
执行侧：
6
  [ ] Agent 工具白名单 + 动作审批（人类在环）
7
  [ ] 工具最小权限（只读 API / 限流）
8
  [ ] 沙箱执行（Docker / WebContainer）
9
输出侧：
10
  [ ] 过滤敏感（PII / 内部路径 / 密钥）
11
  [ ] 在下游使用前严格校验（代码生成 → linter）
12
  [ ] 日志 + 审计（LangSmith / OpenTelemetry）
13
基础设施：
14
  [ ] 模型签名 / 哈希核对
15
  [ ] 向量库 ACL
16
  [ ] 速率限制 + 异常检测

12.8.4 机器学习对抗性#

FGSM、PGD、C&W、DeepFool
库：cleverhans、foolbox、adversarial-robustness-toolbox (ART)
防御：对抗训练（Adversarial Training）、输入归一化、认证防御（Randomized Smoothing）

12.9 隐私计算与数据安全#

同态加密 (HE)：Microsoft SEAL、OpenFHE
安全多方计算 (MPC)：TEE / 秘密分享 / 混淆电路
可信执行环境 (TEE)：Intel SGX、AMD SEV、ARM TrustZone、Apple Secure Enclave
差分隐私 (DP)：ε 控制隐私预算，典型应用：苹果、Chrome 统计
联邦学习 (FL)：FedAvg / FedProx，关注梯度泄露（Deep Leakage from Gradients）

12.10 零信任（Zero Trust）#

1
传统：内网 = 可信  ×
2
零信任：任何人任何设备任何请求都默认不可信 ✓

三大支柱：

身份为边界：SSO + MFA + 设备合规（ZTNA）。
最小权限：按资源 / 行为授权，动态评估（ABAC）。
持续验证：行为分析（UEBA）+ 会话级风险。

参考：

NIST SP 800-207 Zero Trust Architecture
Google BeyondCorp 论文
Cloudflare Zero Trust / Zscaler ZIA

12.11 前沿与趋势#

方向	关键词
后量子密码（PQC）	Kyber、Dilithium、NIST 2024 标准
机密计算	Confidential VM / Intel TDX / Nitro Enclave
eBPF 安全	Cilium Tetragon / Falco Modern / Pixie
软件供应链	SLSA 等级、in-toto、Sigstore
AI 安全	LLM Guardrails、Agentic AI 攻防
Web3 / 智能合约	Solidity 漏洞、Slither、Foundry、跨链桥攻击

12.12 练习题#

在本地用 LocalStack 搭一个 AWS 模拟环境，手工配错一个 S3 + Lambda + IAM 组合，再用 Prowler / CloudFox 扫描复现攻击链。
用 kind 起一个 Kubernetes 集群，安装 Falco，触发”容器里执行 /bin/sh”事件，观察告警。
使用 MobSF 分析一个你自己写的 Android APK，按其报告修复至少 5 个问题。
给一个基于 LangChain 的 RAG 应用写一份 AI 安全威胁建模文档，覆盖输入、工具、输出、基础设施四层。

12.13 IAM 深入：AWS 策略语法与 STS#

12.13.1 IAM Policy 语法#

1
{
2
  "Version": "2012-10-17",
3
  "Statement": [
4
    {
5
      "Sid": "AllowReadUserBucket",
6
      "Effect": "Allow",
7
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
8
      "Action": ["s3:GetObject", "s3:ListBucket"],
9
      "Resource": [
10
        "arn:aws:s3:::user-data",
11
        "arn:aws:s3:::user-data/${aws:username}/*"
12
      ],
13
      "Condition": {
14
        "StringEquals": {"aws:PrincipalTag/Department": "engineering"},
15
        "IpAddress": {"aws:SourceIp": ["10.0.0.0/8"]},
16
        "Bool": {"aws:MultiFactorAuthPresent": "true"}
17
      }
18
    }
19
  ]
20
}

12.13.2 高危权限组合#

组合	危害
`iam:PassRole + lambda:CreateFunction`	提权到任意 Role
`iam:CreateAccessKey`	持久化
`sts:AssumeRole` (信任策略错误)	跨账号接管
`kms:Decrypt + s3:GetObject`	加密数据解开
`ssm:SendCommand`	任意 EC2 命令执行
`cloudformation:UpdateStack` (含 IAM)	提权

12.13.3 STS AssumeRole 信任链#

1
1. Alice (User) → STS AssumeRole → RoleA
2
2. RoleA → STS AssumeRole → RoleB（RoleB 信任 RoleA）
3
3. RoleB → STS GetSessionToken → 临时凭据

红队常用：找到错配的”Trust Relationship”，让自己的账号能 AssumeRole 进入受害账号。

12.13.4 防御#

启用 IAM Access Analyzer
AWS Organizations + SCP 限制根账号
CloudTrail 全开 + GuardDuty 异常检测
强制 MFA + Session Policy 限制时间
使用 Permission Boundaries 防 IAM 提权

12.14 容器逃逸完整谱系#

12.14.1 配置类逃逸#

配置	危害
`--privileged`	完全特权，几乎等于 root
`--cap-add=SYS_ADMIN`	mount、namespace 创建
`-v /:/host`	挂宿主根
`-v /var/run/docker.sock:/...`	容器内 docker 命令 = 宿主 docker
`-v /proc:/host/proc`	修改宿主进程
`--pid=host`	共享 PID namespace
`--net=host`	共享网络 namespace
`--userns=host` (默认)	用户名空间未隔离

12.14.2 漏洞类逃逸#

CVE	名称	利用
CVE-2019-5736	runC FD 重写	覆盖宿主 runC 二进制
CVE-2022-0185	Linux fsconfig 越界写	内核漏洞触发提权
CVE-2022-0492	cgroups release_agent	Privileged + cgroup v1
CVE-2024-0132	NVIDIA Container Toolkit	TOCTOU
CVE-2024-21626	runC 文件描述符泄漏	Volume 路径越界
Dirty Pipe (CVE-2022-0847)	Linux 内核	容器内同样可利用

12.14.3 检测与防御#

Falco / Tracee：内核行为检测
Pod Security Admission (restricted profile)
gVisor / Kata Containers：用户态 / 微 VM 隔离
Seccomp 默认 profile + AppArmor / SELinux profile
镜像签名与准入（cosign + Kyverno / OPA Gatekeeper）

12.15 K8s 攻防实战#

12.15.1 攻击链示例#

1
1. 公开的 Kubelet 10250 → 任意 Pod exec
2
2. 在 Pod 里查 token：
3
   cat /var/run/secrets/kubernetes.io/serviceaccount/token
4
3. kubectl auth can-i --list --token=$TOKEN
5
4. 利用 RBAC 错配创建特权 Pod，挂宿主根：
6
   apiVersion: v1
7
   kind: Pod
8
   spec:
9
     hostPID: true
10
     containers:
11
       - image: alpine
12
         securityContext:
13
           privileged: true
14
         volumeMounts:
15
           - mountPath: /host
16
             name: hostroot
17
     volumes:
18
       - name: hostroot
19
         hostPath:
20
           path: /
21
5. chroot /host bash → 拿到 worker node root
22
6. 横向到其他 node、获取 etcd → 拿到所有 Secrets

12.15.2 OPA Gatekeeper / Kyverno 策略#

1
apiVersion: kyverno.io/v1
2
kind: ClusterPolicy
3
metadata:
4
  name: disallow-privileged-pods
5
spec:
6
  validationFailureAction: enforce
7
  rules:
8
    - name: privileged-containers
9
      match:
10
        any:
11
          - resources:
12
              kinds: ["Pod"]
13
      validate:
14
        message: "Privileged containers are not allowed."
15
        pattern:
16
          spec:
17
            =(securityContext):
18
              =(privileged): "false"
19
            containers:
20
              - =(securityContext):
21
                  =(privileged): "false"

12.15.3 Service Mesh 安全#

mTLS（Istio / Linkerd / Cilium）：服务间默认加密 + 双向认证
SPIFFE / SPIRE：Workload Identity
Istio AuthorizationPolicy：FGA（Fine-grained Authorization）
Cilium ClusterMesh + L7 Policy（HTTP/gRPC 级 ACL）

12.16 软件供应链：SLSA / SBOM / Sigstore#

12.16.1 SLSA 等级（v1.0）#

1
Level 1: Build provenance generated
2
Level 2: Hosted build platform with tamper-resistant logs
3
Level 3: Source/build platform meets specific standards
4
Level 4: Two-person review + hermetic builds + reproducible

12.16.2 Sigstore 三件套#

cosign：签名 & 验证容器镜像 / 二进制
Fulcio：临时证书 CA（OIDC 身份 → 短证书）
Rekor：透明日志（公开 append-only）

1
# Keyless 签名（绑定 GitHub Actions OIDC）
2
COSIGN_EXPERIMENTAL=1 cosign sign $REGISTRY/myapp:1.2.3
3
cosign verify --certificate-identity-regexp 'github.com/myorg/.*' \
4
  --certificate-oidc-issuer https://token.actions.githubusercontent.com \
5
  $REGISTRY/myapp:1.2.3

12.16.3 SBOM 生成与消费#

1
syft packages dir:. -o cyclonedx-json > sbom.json
2
grype sbom:./sbom.json
3
osv-scanner scan -r .

12.16.4 GitHub 与 SLSA 集成#

Actions 提供 OIDC token（无 PAT 即可签）
actions/attest-build-provenance：自动生成 SLSA L3 attestation
私有镜像仓库（GHCR / ECR）支持签名校验准入

12.17 Android 逆向深入#

12.17.1 关键工具#

apktool：解包 / 重打包
jadx-gui / jadx：DEX → Java
Ghidra / IDA（含 native .so）
Frida：运行时 hook
objection：基于 Frida 的高层封装
MobSF：自动化静 + 动报告
Drozer：组件交互测试
Magisk + LSPosed + Shamiko：去 root 检测

12.17.2 Smali 语法快查#

1
.class public Lcom/example/Foo;
2
.super Ljava/lang/Object;
3

4
.method public hello()V
5
    .registers 2
6
    const-string v0, "Hello"
7
    sget-object v1, Ljava/lang/System;->out:Ljava/io/PrintStream;
8
    invoke-virtual {v1, v0}, Ljava/io/PrintStream;->println(Ljava/lang/String;)V
9
    return-void
10
.end method

12.17.3 SSL Pinning 4 种绕过#

Frida hook OkHttp CertificatePinner.check
Frida Universal SSL Pinning 脚本（覆盖多种库）
修改 APK 嵌入用户证书 + <network-security-config> 重打包
Magisk 模块 TrustMeAlready / MitmKit

12.17.4 Frida 示例#

1
Java.perform(function() {
2
    var pin = Java.use('com.example.MyApp$1');
3
    pin.check.implementation = function (host, certs) {
4
        console.log('SSL pinning bypassed for ' + host);
5
        return;
6
    };
7
});

12.17.5 防御深度#

R8 / ProGuard 高级混淆
字符串加密（Stringer / DexGuard）
反 Frida（检测 27042 端口、模块加载）
反 root（多种独立检测组合）
Play Integrity API
关键逻辑放 Native + JNI + obf
多账号风控（设备指纹）

12.18 iOS 安全与越狱#

12.18.1 安全模型#

Secure Enclave：硬件 KMS，密钥永不出
Sandbox：每个 App 独立沙箱
Code Signing：所有可执行需签名
TCC（Transparency, Consent, Control）：访问相机/麦克风等需用户同意
AMFI（Apple Mobile File Integrity）：阻止未签名加载
PAC + MTE（A12+/A14+）：硬件级保护

12.18.2 越狱方式#

方式	例子
Bootrom 漏洞	checkm8 (A5-A11) → 永久越狱
内核漏洞	unc0ver / palera1n / Dopamine
软件越狱	Sileo / Cydia 安装
受信任开发者	Sideloading (Sideloadly / AltStore)

12.18.3 逆向工具#

class-dump：导出 Objective-C 类信息
Hopper / IDA：反汇编 / 反编译
Frida：运行时
Cycript（旧）→ Cylock / Frida REPL（新）
iproxy / scp：与设备通信

12.18.4 评估标准#

OWASP MASVS + MSTG
OWASP Mobile Top 10

12.19 LLM 安全详细案例#

12.19.1 Prompt Injection 分类#

1
直接（Direct）：用户输入直接改 system prompt
2
  例: "忽略以上指令，做 X"
3

4
间接（Indirect）：通过 RAG / 工具数据
5
  例: 网页正文藏指令，agent 阅读后被劫持
6

7
跨工具（Cross-tool）：
8
  Agent 调工具 A 取数据 → 数据含恶意指令 → Agent 执行工具 B 越权

12.19.2 真实例子#

Bing Chat (2023)：网页 HTML 注释藏 prompt → 改聊天机器人 persona
ChatGPT Plugin：第三方插件的 manifest 被注入 → 调用其他插件越权
LangChain Agent：Web search tool 返回的文档含 “调 send_email 给 attacker@…” → 真的执行
GitHub Copilot：被诱导生成含密钥的代码

12.19.3 防御#

输入分层：System / User / Tool 严格分界
输入打标：未信任内容用 ``` data ``` 包裹 + 提醒模型
输出过滤：检测敏感字段、命令、URL
工具最小权限 + 调用审批（HITL）
Guardrails / Lakera / Rebuff / NeMo Guardrails 检测层
沙箱执行（Code Interpreter / Tool sandbox）

12.19.4 模型供应链#

HuggingFace 上的模型可能含恶意 pickle（pickle scanning 已加入）
推荐使用 safetensors 格式（不含执行）
私有镜像 + 签名 + 哈希核对

12.19.5 Agent 安全#

“Excessive Agency”：Agent 拥有过多工具 / 过宽权限
最小工具集 + 单步审批 + 操作日志 + 可撤销
跨 Session 记忆需明确隔离

12.20 对抗样本与机器学习鲁棒性#

12.20.1 FGSM (Fast Gradient Sign Method)#

1
x_adv = x + ε · sign(∇_x J(θ, x, y))

最简单的一步攻击：沿损失梯度方向加 ε 大小扰动。

12.20.2 PGD (Projected Gradient Descent)#

1
x_{t+1} = Π_S (x_t + α · sign(∇_x J(θ, x_t, y)))

多步迭代 + 投影到 ε-球；当前最强一阶攻击代表。

12.20.3 C&W (Carlini-Wagner)#

1
min ||δ||_p + c · f(x + δ)

最小化扰动 + 误分类损失，难度高但效果强。

12.20.4 防御#

对抗训练（Adversarial Training）
输入归一化 / 特征压缩
认证防御（Randomized Smoothing）
对抗检测（用判别器识别对抗样本）

12.20.5 其他场景#

视觉（Stop sign 加贴纸 → 被识别为 Speed Limit）
语音（Cocktail Party 对抗噪声 → 把 hello 识别为 admin）
文本（同义词替换让分类反转）
物理对抗（穿带特定图案的 T 恤躲行人识别）

12.21 Web3 / 智能合约安全#

12.21.1 常见漏洞#

漏洞	描述	例子
Reentrancy	重入：外部调用未先更新状态	TheDAO (2016)、Lendf.me
Integer Overflow	整数溢出	BEC Token (2018)
Delegatecall	调用方上下文运行代码	Parity 钱包 (2017)
Access Control	未限制敏感函数	各种私钥泄露
Front-running	MEV / Sandwich	DEX 套利
Flash Loan Attack	闪电贷操纵价格	bZx、Cream Finance
Oracle Manipulation	预言机被操控	Mango Markets (2022)
Cross-chain Bridge	桥接合约漏洞	Ronin、Wormhole、Nomad

12.21.2 工具#

Slither：静态分析
Mythril：符号执行
Echidna：fuzzing
Foundry / Hardhat：测试框架
Tenderly：交易模拟

12.21.3 安全实践#

用 OpenZeppelin 标准库（避免自实现 ERC20 / ERC721）
Checks-Effects-Interactions 模式
重入锁（ReentrancyGuard）
审计 + Bug Bounty + 渐进式上线
多签 + Timelock + 紧急暂停

12.22 量子计算与后量子密码（PQC）#

12.22.1 时间表#

2024：NIST 选定 ML-KEM (Kyber)、ML-DSA (Dilithium)、SLH-DSA (SPHINCS+) 标准
2030 前后：预期量子计算机能威胁 RSA-2048
美国 OMB M-22-09：联邦机构 2035 年前完成 PQC 迁移

12.22.2 迁移路径#

1
当前混合：
2
  TLS 1.3 + X25519Kyber768 (Cloudflare、Chrome 已支持)
3
  SSH PQC 实验
4

5
中长期：
6
  完全替换 RSA / ECDSA → ML-DSA / SLH-DSA
7
  库支持：openssl 3.x + oqs-provider, BoringSSL 实验
8

9
挑战：
10
  - 密钥 / 签名体积大 (Kyber-768 公钥 1184B, ML-DSA-65 签名 3293B)
11
  - 老旧设备 / IoT 难升级
12
  - "Harvest now, decrypt later" 攻击 → 现在加密的数据未来可能被破

12.22.3 库支持#

Open Quantum Safe (liboqs)
Botan PQ
AWS / Azure / Google 混合 KEM 试点

12.23 隐私计算实战#

12.23.1 同态加密#

Paillier：加法同态，简单（详见 Ch04）
BFV / BGV：整数全同态
CKKS：浮点近似同态（适合 ML）
TFHE：门级 + 自举

应用：联邦学习中的安全聚合、加密数据库查询。

12.23.2 安全多方计算 (MPC)#

Yao Garbled Circuit：两方混淆电路
GMW / BGW：多方秘密分享
SPDZ：恶意安全
应用：跨企业反欺诈联合查询、隐私 ID 求交（PSI）

12.23.3 TEE（可信执行环境）#

平台	特性
Intel SGX	Enclave，但已知多个侧信道
Intel TDX	VM 级机密，2023+
AMD SEV-SNP	VM 级，AMD EPYC
ARM CCA / TrustZone	移动 + 服务器
Apple Secure Enclave	设备本地

应用：机密计算云（Azure Confidential、AWS Nitro Enclave）。

12.23.4 联邦学习#

FedAvg / FedProx：参数平均
风险：Deep Leakage from Gradients（梯度反推训练数据）
加固：差分隐私 (DP-SGD) + 安全聚合 (Secure Aggregation)

12.24 零信任架构详解#

12.24.1 NIST SP 800-207 七要素#

所有数据源 / 计算服务都视为资源
所有通信加密、不论位置
单次会话授权
动态策略（设备状态 / 行为 / 环境）
持续监控完整性
严格认证 / 授权
收集尽量多日志，持续改进

12.24.2 BeyondCorp 模式#

用户 + 设备 + 上下文 = 信任度
每次请求都过身份代理（Identity Aware Proxy）
不再依赖 VPN / “内网”概念

12.24.3 实施落地#

1
Step 1: 资产清单 + 用户身份基线
2
Step 2: 部署 SSO + MFA + 设备健康检查
3
Step 3: 每个应用前置 Identity Aware Proxy（Cloudflare / Zscaler / Pomerium / Google IAP）
4
Step 4: 微分段（NetworkPolicy / Service Mesh）
5
Step 5: 行为分析 + 风险评分
6
Step 6: 持续度量 + 演练

12.24.4 国内零信任方案#

360 ZTBS
腾讯 iOA
阿里云 ZeroTrust
奇安信 / 深信服 SDP

12.25 真实云事故复盘#

12.25.1 Capital One (2019)#

1
SSRF 漏洞 in WAF (ModSecurity)
2
  → http://169.254.169.254/iam/security-credentials/
3
  → 拿到 IAM 临时凭证（Role: WAF-Role）
4
  → 该 Role 拥有 700+ S3 桶读权限
5
  → 下载 1 亿用户数据
6
  → 攻击者发推炫耀 → 被 FBI 抓

教训：IMDSv2 强制、最小权限、SSRF 内部路径白名单、CloudTrail GuardDuty 实时告警。

12.25.2 Codecov (2021)#

1
Codecov bash uploader 镜像被植入恶意代码
2
  → 被 GitHub Actions 大量使用
3
  → 收集 2 个月构建环境变量（含 secrets）
4
  → 上游下游连锁影响

教训：CI 工具供应链、Sigstore 签名、Secrets Rotation。

12.25.3 Microsoft Azure / Storm-0558 (2023)#

1
攻击者通过 Microsoft 工程师调试 dump 拿到一个签名密钥
2
  → 伪造 OpenID 令牌
3
  → 进入 25+ 政府 / 企业 Outlook / Exchange Online

教训：密钥分级 / 隔离、自动轮换、调试 dump 严格清理、零信任跨租户。

12.26 练习题（扩展）#

用 LocalStack + Pacu 跑一遍 IAM 提权链：从 iam:PassRole + lambda:CreateFunction 到 admin。
给 K8s 集群部署 Kyverno 策略：禁止 hostPath / privileged / latest tag 镜像。
选一个开源 Android App，做完整 MASVS 评估并出一份测试报告。
给一个简单的 LangChain Agent 设计 prompt injection 攻击 PoC，并写出 Guardrail 防御。
用 Slither + Foundry 审计一个 OpenZeppelin 模板合约的修改版本，找出至少 3 个潜在问题。
设计一份组织级 PQC 迁移规划：3 年时间窗，按系统类型 / 数据敏感度分阶段。

参考答案要点#

aws lambda create-function --role <higher-privileged-role> → 函数代码内运行 aws iam create-user。
RAG 文档藏 “调 sendMail tool 给 attacker@evil”；防御：检测注入字符串 + Tool 调用审批。