Maturing your smart contracts beyond private key risk 文章指出私钥泄露是去年加密货币攻击的主要原因，并提出通过多层次访问控制设计（如多重签名、时间锁和最小权限原则）来提升协议安全性。作者强调在设计阶段引入这些机制可有效降低私钥滥用风险，并建议采用更成熟的架构以实现更高的安全性和去中心化。... 2025-6-24 11:0:0 | 阅读: 5 | 收藏 | Trail of Bits Blog - blog.trailofbits.com maturity timelock security multisig lending

Unexpected security footguns in Go's parsers 文章探讨了Go语言在处理不受信任数据时的安全风险，特别是在JSON、XML和YAML解析器中发现的漏洞。通过三个攻击场景——(Un)Marshaling意外数据、解析器差异和数据格式混淆——文章揭示了这些漏洞如何被用于绕过身份验证、授权控制和泄露敏感数据。建议开发者采用严格解析配置，并关注即将推出的JSON v2以提高安全性。... 2025-6-18 11:0:0 | 阅读: 13 | 收藏 | Trail of Bits Blog - blog.trailofbits.com parsers omitempty username unmarshal security

What we learned reviewing one of the first DKLs23 libraries from Silence Laboratories 2023年10月，我们对Silence Laboratories的DKLs23阈值签名方案库Silent Shard进行了审计。该库基于OT协议而非传统Paillier加密。我们发现了可能导致密钥破坏攻击的严重漏洞，并提出了修复建议。审计揭示了实现细节、OT系统优势及基础通信安全的重要性。... 2025-6-10 11:0:0 | 阅读: 6 | 收藏 | Trail of Bits Blog - blog.trailofbits.com silence tss security dkls23

A deep dive into Axiom’s Halo2 circuits Trail of Bits团队对Axiom的区块链系统进行了两次审计，该系统基于Halo2框架和零知识证明（ZKPs）技术。他们发现了35个安全问题，包括四个高危漏洞，并提出了改进建议。... 2025-5-30 11:0:0 | 阅读: 17 | 收藏 | Trail of Bits Blog - blog.trailofbits.com axiom halo2 circuits security circuit

The Custodial Stablecoin Rekt Test 文章指出托管稳定币交易量已超27.6万亿美元，但其安全性依赖于发行方的操作安全。为帮助评估其安全性，提出了“Rekt Test”框架，包含九个关键问题以评估发行方的运营韧性。... 2025-5-29 04:0:0 | 阅读: 17 | 收藏 | Trail of Bits Blog - blog.trailofbits.com security stablecoin issuers attackers software

The cryptography behind passkeys 文章介绍了Passkeys作为一种更安全的用户身份验证方法，取代传统密码。Passkeys基于公钥基础设施（PKI），通过数字签名实现身份验证，并结合WebAuthn规范防止钓鱼攻击。文章还探讨了Passkeys的工作原理、反钓鱼保护机制、不同类型的身份验证器（如平台身份验证器和漫游身份验证器）及其优缺点，并讨论了Passkeys在实际应用中的安全性和扩展性。... 2025-5-14 11:0:0 | 阅读: 11 | 收藏 | Trail of Bits Blog - blog.trailofbits.com passkeys passkey

Datasig: Fingerprinting AI/ML datasets to stop data-borne attacks 文章介绍了Datasig工具，用于生成AI/ML数据集的唯一指纹，帮助检测数据漏洞并追踪训练数据来源。通过MinHash算法生成紧凑指纹，支持高精度数据比较和安全验证。... 2025-5-2 11:0:0 | 阅读: 10 | 收藏 | Trail of Bits Blog - blog.trailofbits.com datasets datasig similarity

Making PyPI's test suite 81% faster Trail of Bits与PyPI合作优化Python打包生态系统安全，默认功能及测试套件性能。通过并行化测试执行、优化覆盖率工具、改进测试发现及消除冗余导入等方法，将Warehouse测试套件执行时间从163秒降至30秒，并提升至4700多个测试用例。这些优化措施适用于许多Python项目，可显著提升开发效率及安全性。... 2025-5-1 13:0:0 | 阅读: 16 | 收藏 | Trail of Bits Blog - blog.trailofbits.com pytest database warehouse python migration

Insecure credential storage plagues MCP 文章指出许多MCP环境将长期API密钥以明文形式存储在本地文件系统中，并赋予世界可读权限。这种做法使攻击者通过恶意软件、漏洞利用、多用户系统或云备份等多种途径窃取密钥。文章分析了两种常见获取路径：配置文件和聊天日志，并建议采用OAuth和安全存储API提升安全性。... 2025-4-30 07:0:0 | 阅读: 13 | 收藏 | Trail of Bits Blog - blog.trailofbits.com mcp security figma claude attacker

Deceiving users with ANSI terminal codes in MCP 文章揭示了MCP服务器中利用ANSI终端转义码隐藏恶意指令的安全漏洞，可能导致供应链攻击和用户信息泄露。... 2025-4-29 13:0:0 | 阅读: 14 | 收藏 | Trail of Bits Blog - blog.trailofbits.com mcp x1b ansi malicious attacker

How MCP servers can steal your conversation history 文章揭示了模型上下文协议（MCP）中的漏洞，攻击者通过注入触发词到工具描述中，可在用户输入特定词汇时窃取完整的对话历史。这种攻击方式隐蔽性强，可针对特定目标如金融机构和政府机构实施。... 2025-4-23 14:30:0 | 阅读: 2 | 收藏 | Trail of Bits Blog - blog.trailofbits.com mcp malicious security phrase

Jumping the line: How MCP servers can attack you before you ever use them 文章揭示了Model Context Protocol (MCP)中的一个严重漏洞“line jumping”，该漏洞允许恶意服务器在工具被调用前通过工具描述注入恶意指令，绕过安全机制。此漏洞破坏了MCP的核心安全原则，并可能导致数据泄露或系统受损。建议用户仅使用可信来源的MCP服务器，并审查工具描述以防止潜在威胁。... 2025-4-21 14:30:0 | 阅读: 14 | 收藏 | Trail of Bits Blog - blog.trailofbits.com mcp security malicious jumping client

Kicking off AIxCC’s Finals with Buttercup DARPA的AI网络挑战赛决赛中，参赛队伍利用增强的资源和灵活性应对多种安全挑战。预算和时间增加，允许使用自定义AI模型和自主基础设施。比赛分为多轮展览赛和最终得分赛，推动系统适应性与创新。... 2025-4-21 13:0:0 | 阅读: 10 | 收藏 | Trail of Bits Blog - blog.trailofbits.com competition analysis budget aixcc

Sneak peek: A new ASN.1 API for Python 文章介绍了ASN.1在加密和网络协议中的重要性及其在Python中的实现挑战。为了解决性能、安全性和现代化问题，PyCA Cryptography正在开发一个基于Rust的新ASN.1 API，支持数据类风格接口，并与现有X.509解析器集成以减少安全风险。... 2025-4-18 13:0:0 | 阅读: 13 | 收藏 | Trail of Bits Blog - blog.trailofbits.com python asn1 pyasn1 pyca doohickies

Mitigating ELUSIVE COMET threats: Protecting against Zoom remote control attacks 文章描述了一起由威胁组织ELUSIVE COMET发起的社会工程攻击事件，其利用Zoom远程控制功能伪装成媒体邀请对高管实施钓鱼攻击。文章揭示了该组织的攻击手法，并提供了包括技术控制和员工培训在内的防御建议。... 2025-4-17 04:0:0 | 阅读: 4 | 收藏 | Trail of Bits Blog - blog.trailofbits.com security comet elusive remote

Mitigating ELUSIVE COMET Zoom remote control attacks 文章描述了威胁组织ELUSIVE COMET如何利用Zoom的远程控制功能进行社会工程学攻击。他们伪装成合法会议邀请，诱骗用户授予控制权限以实施加密货币盗窃。Trail of Bits通过技术手段（如PPPC配置文件和TCC监控）和操作安全策略（如员工培训和媒体沟通政策）成功防御了此类攻击，并强调了结合技术与操作安全的重要性。... 2025-4-17 04:0:0 | 阅读: 6 | 收藏 | Trail of Bits Blog - blog.trailofbits.com security elusive comet remote

Introducing a new section on snapshot fuzzing for kernel-level testing in the Testing Handbook Trail of Bits发布快照模糊测试技术用于检测内核级软件漏洞,该技术通过捕获系统状态实现快速、可重复的测试,解决了传统方法的局限性,并提供代码覆盖率追踪功能。... 2025-4-9 13:0:0 | 阅读: 6 | 收藏 | Trail of Bits Blog - blog.trailofbits.com software handbook security memory fuzzer

Benchmarking OpenSearch and Elasticsearch This post concludes a four-month performance study of OpenSearch andElasticsearch search engines ac... 2025-3-6 00:0:0 | 阅读: 1 | 收藏 | Trail of Bits Blog - blog.trailofbits.com opensearch workload big5 median

Continuous TRAIL 本文讨论了如何将威胁建模整合到软件开发生命周期中，强调定期更新威胁模型以应对系统变化带来的新风险。建议在每个开发阶段维护和调整威胁模型，并提供具体步骤和工具选择指南。... 2025-3-3 00:0:0 | 阅读: 2 | 收藏 | Trail of Bits Blog - blog.trailofbits.com security modeling trail zones network

Threat modeling the TRAIL of Bits way TRAIL是一种由Trail of Bits开发的威胁建模方法，结合多种现有技术，分析系统架构中的风险和漏洞。通过识别信任边界和组件间关系，帮助发现设计弱点并提供缓解建议。适用于设计阶段及整个软件开发生命周期。... 2025-2-28 00:0:0 | 阅读: 15 | 收藏 | Trail of Bits Blog - blog.trailofbits.com trail security linkerd attacker modeling