Infinite's journey

随着 AI Agent 从“会回答”走向“会执行”，Skill 正在成为新的攻击面。OWASP 新发布的 Agentic Skills Top 10（AST10），尝试系统梳理各类 Agent Skill 在安装、执行、更新和治理过程中的核心安全风险。 原始资料： OWASP 项目页：https://owasp.org/www-project-agentic-skills-top-10/ GitHub 仓库：https://github.com/OWASP/www-project-agentic-skills-top-10 原文许可为 CC BY-SA 4.0。本文为基于原始资料的整理与改写。 一图看懂：MCP、模型、Skill 的关系OWASP 在项目页里给出一个很重要的判断： MCP 解决的是“模型如何调用工具” Skill 解决的是“这些工具被怎样编排起来完成任务” 也就是说，Skill 并不只是权限声明，而是把 计划、工具调用顺序、文件访问、网络访问、持久化状态 组合成一套可执行行为。 graph LR A[LLM / Agen...

随着 AI Agent 与外部工具、企业系统和软件供应链深度耦合，MCP（Model Context Protocol） 正在从“方便集成的协议层”变成“必须重点审计的攻击面”。OWASP 最新的 MCP Top 10 项目，正是试图把这层风险系统化地讲清楚。 本文基于 OWASP MCP Top 10 项目页内容整理，面向中文读者提炼其中的核心风险、路线图和落地建议，并排版为适合 Hexo Butterfly 主题阅读的 Markdown 版本。 原始资料： OWASP 项目页：https://owasp.org/www-project-mcp-top-10/ GitHub 仓库：https://github.com/OWASP/www-project-mcp-top-10 当前项目页显示该项目仍处于 Beta / v0.1 阶段，文档会继续演进。原文许可为 CC BY-NC-SA 4.0。 MCP 为什么值得单独做一个 Top 10OWASP 对 MCP Top 10 的出发点很明确：当 AI 系统越来越多地接入企业应用、供应链和安全基础设施之后，模型与...

在安全运营工作中，我们常常面临一个棘手的问题：多个安全扫描工具产生的数据格式五花八门，难以统一管理。本文将介绍我们如何利用 OCSF（Open Cybersecurity Schema Framework） 来解决这一痛点，并详细解析 OCSF 的架构设计。 背景：多工具时代的数据碎片化在我们的代码安全审计体系中，为了最大化漏洞检测能力与覆盖广度，同时引入了多种自研与商采的 静态应用安全测试（SAST） 工具。 这种「多工具」策略虽然增强了技术上的检出能力，但也直接导致了一个核心挑战：扫描结果数据的严重碎片化。 核心痛点 痛点 影响 高昂的整合成本 每引入新工具都需编写专用解析脚本，耗时且易出错 低效的漏洞研判 跨工具告警关联与去重难以自动化 缺失的统一度量 难以横向对比工具效能、追踪 MTTR 等关键指标 什么是 OCSFOCSF（Open Cybersecurity Schema Framework，开放网络安全架构框架） 是由 AWS、Splunk、IBM 等多家科技巨头于 2022 年 8 月联合发起的开源项目，旨在为各类安全事件提供 通用...

Butterfly 高级语法测试本文展示 Butterfly 主题支持的各类高级语法效果。 Note 高亮块这是一条主要提示信息，用于强调重要内容。 操作成功！任务已顺利完成。 ⚠️ 警告信息，请注意操作步骤。 ❌ 危险操作，可能导致数据丢失！ 这是一般信息提示。 浅色样式的提示块。 不带图标的成功提示。 Label 标签普通段落中可以添加彩色标签：标签一、成功、警告、危险、信息。 也可以这样使用：项目状态包括 进行中 和 已完成 两种。 Tabs 标签页代码块行内代码无高亮代码块使用三个反引号包围，记得指定语言： 12def hello(): print("Hello, World!")行内代码用单个反引号 print() 包围，适合在段落中使用。不想高亮可以用 nohighlight 标记： 1这是纯文本内容 Button 按钮基础按钮： GitHub 仓库 访问链接 蓝色按钮 多彩按钮： Purple Red Orange Green Folding 折叠面板默认折叠块： 点击展开查看更多这是折叠的内容支...

记录使用 Docker Compose 部署的 Cloudreve 从 V3 升级到 V4 时遇到的配置文件丢失、HashIDSalt 错误、数据库约束冲突等问题的解决方案

这篇文章介绍了作者将个人博客从Wordpress迁移到Hexo的全过程。作者选择了阿里云服务器作为国内访问主机，说明了在阿里云上搭建Git服务器和使用Nginx进行静态HTML文件的反向代理来展示博客内容的步骤。接着，作者介绍了配置HTTPS访问的流程，包括从阿里云获取免费证书和部署SSL证书的操作。此外，还提到了使用阿里云OSS存储博客图片等资源，并通过CDN加速访问。对于国外访问，作者描述了通过GitHub Pages部署Hexo博客的方法，包括创建所需仓库、生成部署密钥、配置部署密钥以及编写GitHub Actions以实现自动部署。最后，作者还提到了使用jsDelivr作为GitHub仓库的CDN来加速图片资源访问的方法，并给出了相关参考链接。

这篇文章介绍了在Ubuntu系统上安装Docker引擎和Docker Compose插件的详细步骤。首先，需要通过APT存储库更新软件包索引并添加Docker的官方GPG密钥，然后设置Docker的APT存储库。接着，通过更新包索引并运行安装命令来安装Docker Engine，包括containerd和Docker Compose。安装完成后，通过运行hello-world映像来验证Docker引擎是否安装成功。对于Docker Compose的安装，文章提供了两种方式：通过设置Docker的存储库进行安装，或者手动下载并安装Compose CLI插件。此外，文章还提到了在Windows上使用Dockerfile时应注意的文件行尾序列问题，以及在Ubuntu上安装和保护MySQL数据库的步骤，包括运行mysql_secure_installation脚本来提高安全性，创建新用户以实现远程访问，并确保服务器安全组开放3306端口。

这篇文章介绍了JWT（JSON Web Token）的认证方式，它是一种用于安全传输信息的开放标准。JWT通过加密生成token，使得服务端无需保存session数据即可验证用户信息，从而实现无状态的服务端扩展。文章还比较了基于session的传统认证和基于token的认证方式，解释了JWT的结构，包括Header、Payload和Signature三部分，并讨论了使用JWT的场景，如授权和信息交换。此外，文章还介绍了JWT的工作流程，以及它与基于服务器的身份认证方式相比的优势。最后，文章简要提到了Spring Boot中使用JWT的方法。

这篇文章介绍了R-CNN及其发展系列算法的详细流程和原理。R-CNN通过Selective Search生成候选区域，用AlexNet提取特征，SVM分类器进行类别判断，并使用NMS去除冗余候选框。Fast R-CNN改进了特征提取过程，实现了对整张图片的特征提取，并引入ROI Pooling层。Faster R-CNN进一步引入了区域建议网络（RPN），用于自动生成候选区域，并通过anchor机制和bounding box regression提高候选区域的准确性。文章还解释了1x1卷积核的作用，包括降维、增加非线性和跨通道信息交互，以及在Inception和ResNet网络中的应用。

这篇文章介绍了数据增强（DATA-AUGMENTATION）在机器学习中的应用，它通过创造新的训练样本来增加数据集的多样性，从而帮助控制模型的复杂度，减少过拟合。文章解释了数据增强不仅仅是增加训练样本数量，而是通过生成与原始数据分布不同的样本来增强模型对特定变换的不变性，这实际上是一种正则化手段。特别地，文章讨论了mixup技术，它通过混合两个样本的图像和标签来生成新的训练数据，促使模型趋向线性，从而简化模型结构，提高泛化能力。