作者分享了将Claude Code集成到Docker容器中,并在VSCode的Dev Container功能下安全运行的经验。他指出,直接在本地运行AI Agent存在安全风险,而Docker容器则提供隔离环境,限制了Claude Code对系统文件的访问权限,从而降低了安全隐患。文章还提供了详细的设置指南,包括创建devcontainer.json文件以及使用Fine-Grained access token进行GitHub代码管理,方便读者快速上手。
阅读更多
作者在之前的文章中揭露了手机应用通过广告共享位置数据的行为,这次他分享了一个利用mitmproxy和Python进行更快速、可扩展的追踪方法。该方法允许用户记录手机应用流量,并通过自定义关键词筛选出包含位置信息等敏感数据的请求。作者还提供了一个GitHub仓库,包含详细指南和Python notebook,方便大家参与。此外,他还创建了一个表格,收集用户对不同应用的数据共享行为的观察,鼓励大家参与公民科学项目,共同揭露应用数据隐私问题。
阅读更多
一个安全研究人员发现了一个利用GitHub传播恶意软件的惊人骗局。骗子们创建了数千个GitHub代码库,伪装成游戏修改、破解软件等,诱骗用户下载。一旦运行,这些恶意软件就会窃取用户的敏感数据,包括加密货币钱包密钥、银行账户信息和社交媒体凭证,并将这些数据发送到Discord服务器。研究人员通过分析一个详细的诈骗指南,找到了1115个基于该指南创建的恶意代码库,其中大部分看起来正常运行,只有不到10%的代码库有用户举报。该恶意软件名为Redox,它会收集受害者电脑上的各种信息,并将其发送到Discord服务器。这个案例揭示了网络犯罪的规模和狡猾程度,也突显了GitHub等平台需要加强安全措施的重要性。
阅读更多
最近爆出的Gravy Analytics地理位置数据泄露事件,暴露了超过2000个App偷偷收集用户位置数据,甚至开发者自己都不知道。作者为了验证数据泄露的真实性,进行了一次追踪实验:安装一个游戏,然后用Charles Proxy抓包分析。结果发现,即使关闭了定位服务,游戏仍然通过Unity Ads、Facebook等第三方广告平台泄露了作者的IP地址和大概位置信息,甚至包括屏幕亮度、内存等设备信息。更令人震惊的是,作者发现可以通过数据经纪商购买到包含其个人信息的数据库,从而实现精准定位。这篇文章揭示了移动应用广告生态中数据泄露的严重性,以及个人隐私面临的巨大风险。
阅读更多