网络安全笔记

离谱的英语学习指南/英语学习教程 https://github.com/byoungd/English-level-up-tips/tree/master

https://study8677.github.io/awesome-architecture/ Awesome Architecture 像架构师一样思考

用 AI 去找资料，需要花两倍时间对资料真伪进行核对。

五一快乐

用 AI 自动完成渗透测试流程，从发现漏洞到利用漏洞一步到位 github.com/oritera/Cairn Cairn 是 oritera 团队做的自动化渗透测试工具，靠 AI 来跑完整测试流程。在腾讯云黑客松第二届智能渗透挑战赛里拿了线上第四名，而且是唯一全 AK 的战队。代码还没放出来，作者说近期会开源，许可证是 AGPLv3，想商用得单独谈。

长期有价值的事往往是枯燥的。 健身最有效的不是各种花式器械，而是十年如一日的硬拉、卧推、深蹲三大项，看似单调，却是最扎实的积累。 投资也一样，长期持有一只科技革命赢家的股票，枯燥得让人难以坚持，但拉长时间看，恰恰是回报最丰厚的策略。 在某一方向深耕亦如此，数年如一日地观察、分析、积累，才能对趋势洞若观火，最终用独特性捕获到真正的价值。 越是有价值的事，越需要抵抗无聊的能力。

常见的 Entra ID 安全评估结果 – 第 4 部分:弱条件访问策略 https://blog.compass-security.com/2026/04/common-entra-id-security-assessment-findings-part-4-weak-conditional-access-policies/

传统的红队渗透测试将被新一代AI加人工的灰盒与白盒测试所取代。面对AI的攻击，暴露面极致收敛与网络隔离将是防守方下一阶段的重中之重。

Google 推出 Gemini 暗网情报与安全运营 AI 代理，已开放预览 Google 将基于 Gemini 的暗网情报服务接入 Google Threat Intelligence，并以公开预览形式上线。该服务会先为客户建立组织画像，再从每天约 800 万至 1000 万条暗网帖子中筛查与该组织相关的风险，识别初始访问中介活动、数据泄露和内部威胁等信息。Google 向媒体表示，内部测试显示，这套系统可分析数百万条每日外部事件，准确率达到 98 ％。 https://www.theregister.com/2026/03/23/google_dark_web_ai/ https://cloud.google.com/blog/products/identity-security/rsac-26-supercharging-agentic-ai-defense-with-frontline-threat-intelligence

余弦的OpenClaw 极简安全实践指南更新了 | 帖子 | github | #指南 适用于： - OpenClaw 以高权限运行（具备终端/root 权限的环境） - OpenClaw 持续安装并使用Skills / MCPs / scripts / tools - 目标是在风险可控、审计明确的前提下实现能力最大化 指南提供了一套经过实战检验的、极简的 三层防御矩阵： 事前 (Pre-action): 行为黑名单与严格的技能包安装审计协议（防供应链投毒） 事中 (In-action): 权限收窄与跨技能业务风控前置检查 (Pre-flight Checks) 事后 (Post-action): 每晚自动化显性巡检（覆盖 13 项核心指标）与大脑 Git 灾备同步 使用方法：把安全指南直接丢给 OpenClaw，让它自己理解、评估、部署整个防御体系。四步：下载指南 → 发给 Agent → Agent 评估 → 部署。