Skip to content
所有標籤

#security

8 篇文章
ai guide

從實戰整理:AI Native 團隊該做好的事

不是每個人都該直接用 coding agent 改 code。AI Native 團隊要搞定 interface 規格、測試先行、monorepo、security guardrail、human-in-the-loop 與 token 預算管控,在 coding agent 上面再建一層 agent platform 並明確開發者角色轉型才是正途。

#ai-native#coding-agent#spec-driven-development#monorepo#ci-cd#code-review#agent-platform#security#observability#git-worktree#adr#human-in-the-loop#cost-management#model-selection#developer-role#failure-handling
ai guide

OpenClaw 存取控制:Authentication、Secrets 與 OAuth

API Key 最穩、OAuth 用 PKCE + token sink 模式、SecretRef 支援 env/file/exec 三種來源、Trusted Proxy 可以委託 reverse proxy 做認證。

#openclaw#authentication#secrets#oauth#trusted-proxy#secretref#security
ai guide

OpenClaw 沙箱機制:Docker、SSH 與 OpenShell

OpenClaw 沙箱有三層控制:Sandbox 決定在哪跑(Docker/SSH/OpenShell)、Tool Policy 決定能用什麼工具、Elevated 是 exec 的主機逃生門。

#openclaw#sandbox#docker#ssh#openshell#security#tool-policy#elevated
ai guide

OpenClaw 威脅模型:MITRE ATLAS 安全分析與形式驗證

OpenClaw 用 MITRE ATLAS 框架分析 AI 系統威脅,有三個 Critical 風險(prompt injection、惡意 skill、憑證竊取),並用 TLA+ 形式驗證安全屬性。

#openclaw#security#mitre-atlas#threat-model#formal-verification#tla-plus
tech guide

Node.js image 弱掃誤判?先分 app 套件與 npm 內建套件

Node.js image 的弱掃結果不能只看套件名稱,先分清楚是專案依賴,還是 base image 內建 npm 自己帶的相依套件,才不會修錯地方。

#docker#security#vulnerability-scan#npm#nodejs
tech guide

弱掃是什麼?用 Trivy 快速建立 Docker 與套件掃描觀念

弱掃不是只為了交報告,而是幫你提早知道系統裡有哪些已知風險。這篇用 Trivy 當例子,快速介紹弱掃在掃什麼、常見結果怎麼看,以及該怎麼開始。

#security#vulnerability-scan#trivy#docker#devsecops
tech guide

Claude Code Permission Modes 全解析:從預設到 Auto Mode 的五種權限模式

Claude Code 有五種權限模式:default(逐步確認)、acceptEdits(自動接受編輯)、plan(唯讀規劃)、auto(AI classifier 背景審查)、bypassPermissions(YOLO 全跳過)。用 Shift+Tab 切換,搭配 settings.json 精細控制。auto mode 是最佳平衡點——既不用每步確認,又有安全防護。

#claude-code#ai-tools#automation#cli#permissions#auto-mode#security
ai guide

RAG Guardrails:在輸入和輸出加一道防線

RAG 系統面對的攻擊不只是技術層面的,Prompt Injection 和 Jailbreak 是真實威脅。輸入輸出都需要獨立的防護層。

#rag#guardrails#security#prompt-injection#safety#llm