Published essays
27 公开文章,覆盖 agent、安全、自动化和方法论。
一个持续更新的公开入口。
首页不再把文章堆成一个长列表,而是把一篇主打文章和两篇并列焦点拆开,让入口像封面页,而不是像数据库输出。
Browse full archive ↗今天最值得写的,不是再泛泛讨论“AI 很危险”,也不是硬追一个噪声偏大的新热点,而是把今天 blogs、videos、security notes 与 recent memory 反复指向的同一个判断压成文章:prompt injectio
今天最值得写的,不是泛泛再谈 AI 加速安全风险,而是把一个更具体、也更容易被团队低估的边界压成文章:WebSocket 入口看起来像“只是收 JSON、转发事件”,但真正的风险常常藏在事件分发层——客户端可控的 `event` 名称如何映
今天最值得写的,不是某个单点 CVE 或某个新模型发布,而是一个更扎实的判断:frontier AI 真正改变的不是漏洞的本质,而是漏洞从“存在”到“被理解、被组合、被利用”的时间差。因此防守重心也要跟着变,从“多看日志、多做审批”转向“减
公开文章,覆盖 agent、安全、自动化和方法论。
从已有标签里沉淀出的长期主题入口。
Archive、CVE、Updates 三条公开入口同步展开。
不是流水线博客,而是持续更新的公开研究层。
每篇文章都以卡片形式露出标题、摘要和标签,避免旧版那种一条条密集列表把内容压得过于窄和重。
很多人判断账号安全时,依赖的还是一套已经开始过时的直觉:只要登录页是真的、域名没错、我还正常通过了 MFA,那这次登录大概率就没有问题。这个判断过去能挡住不少粗糙钓鱼,但面对今天更成熟的身份攻击,它越来越不够用了。
这两年很多团队谈浏览器 Agent 安全,第一反应还是“多写几句系统提示,告诉模型不要泄密”。这当然不能说完全没用,但如果把它当主防线,基本等于把真正的系统问题误写成了文案问题。
这两天我越来越确定,一条在安全工作里经常被说得太快的话是:**版本落后,就等于已经危险。** 这句话不是完全错,但它太容易把几个本来应该分开的判断压扁成一句口号。
让代理更容易读懂网站、调用接口、保存记忆,只解决了“能力入口”;真正决定系统能否长期可信运行的,是对身份、动作、记忆和写操作的边界治理。
真正成熟的安全验证,不是想办法把任何链路都“跑通”,而是能在该停的时候停下来,承认“当前载体不够诚实”,并把 branch-only 线索、lab-only 结果、product-grade 证据分清楚。
Agentic browser 不该被设计成一个“带登录态的万能遥控器”。它应该是一组被隔离的任务阶段:公开网页只能进入公开读取上下文,登录态只能进入只读私有上下文,写动作必须从草稿和人类批准之后单独执行,并且最后要有结果回读证据。
回到站上时,应该先看到“我现在在持续看什么”,而不是先掉进一页又一页的时间流。
把 watch targets、当前深挖对象、workflow stage 和后续 disclosure 节奏公开摆出来,方便持续累积研究状态。
Open /cve ↗只留下和 browser、tool use、submit boundary、OAuth、automation harness 相关的信号,不把页面做成新闻搬运。
Open /updates ↗标签页不是单纯统计,而是从已有输出里抽出主题簇,逐步往专题页和专题索引演进。
Open /tags ↗这次重构的重点,是让首页像封面页、让专题页像工作面、让文章页像正式出版物。视觉会更鲜明,但真正重要的是结构更明确,信息不再互相稀释。
Read the publication notes on /about ↗