策展精選

AIO Sandbox 是一個整合瀏覽器、終端、檔案管理、VSCode、Jupyter 等多項功能的統一沙箱環境，專為 AI Agent 的安全執行而設計。該專案直指無限制 AI 自主權的風險，主張應對 Agent 的系統權限進行嚴格管控，...

我找到了在網路上保護 API keys 的完美方法 我最近將 BoltAI 移植到網路平台，並立即遇到一個技術挑戰：如何安全地儲存 API keys？ 如果您不熟悉我的工作，BoltAI 是一個 BYOK (bring-your-own-k...

Claude Code auto mode 透過模型式分類器自動化許可決策，在完全開放與手動審核之間尋求平衡，既能減少使用者的批准疲勞，也能維持安全性。 核心問題與設計動機 Claude Code 預設會在執行指令或修改檔案前要求使用者批准...

Google 威脅情報小組在 2025 年 11 月以來發現名為「DarkSword」的 iOS 完整漏洞鏈遭多個威脅行為體採用。該漏洞鏈利用六個零日漏洞完全破壞設備，已在沙烏地阿拉伯、土耳其、馬來西亞和烏克蘭等地針對目標發起攻擊，反映出單...

我們如何建立沙盒化的 Claude Agent 而不洩漏其 API Keys 現在大家都在建立 Agent，但大多數的框架都是為「本地優先」的世界而設計。它們假設操作鍵盤的人就是 API keys 的擁有者。 在生產環境中，這個假設會成為一...

Andrej Karpathy 警示了一起供應鏈攻擊事件，揭露現代軟體依賴管理的根本風險。一次簡單的套件安裝足以竊取系統中的所有敏感憑證，而攻擊者可能透過深層依賴關係影響數百萬使用者。 攻擊規模與影響 LiteLLM 遭到 PyPI 供應鏈...

技能（Skills）作為 Agent 功能擴展的流行方式，已成為一個嚴重的安全攻擊面向。作者 Greg Pstrucha 通過系統實驗發現，惡意技能能夠透過多種隱蔽方式植入指令來欺騙人工智慧 Agent，而現有掃描工具未能有效檢測這些威脅。...

SlowMist 發佈了「SlowMist Agent Security Skill」，這是一套為 AI Agent 在對抗性環境中運作所設計的全面安全審查框架。其核心原則為「每一個外部輸入都是不可信的，直到被驗證為止」。該框架涵蓋六大安全...

Claude Code 推出「自動模式」，允許 AI 自行判斷並執行權限操作，但仍需在隔離環境下使用。 Claude Code 新增「自動模式 (auto mode)」，讓 AI 不再需要使用者逐一批准每個檔案寫入或 Bash 指令，...

隨著人工智慧採用速度加快，開發人員正將 LLM 模型集成到 Agent、內部工具、CI 管道和自動化工作流中，卻往往透過傳遞 LLM 供應商的 API 金鑰來實現。Tailscale 推出的 Aperture 正是為解決由此引發的「金鑰蔓延...

Gen Z 世代對檔案系統的陌生反映了蘋果在行動設備上的設計選擇—該公司對資料儲存的高度抽象化造成了對真實檔案結構的認知斷層。實際上，iOS 的檔案系統複雜度遠超一般使用者想像，這正凸顯了專業逆向工程工具的重要性。 抽象化帶來的認知落差 蘋...