Ming Blog

Not everything that counts can be counted, and not everything that's counted truly counts

OpenClaw安全实战系列(四)：幽灵连通性—揭秘CVE-2026-32038沙箱网络隔离绕过与靶标实战

本文剖析CVE-2026-32038，展示攻击者如何利用Docker网络命名空间共享机制绕过OpenClaw沙箱隔离，横向移动窃取本地回环敏感数据。

Posted by浦明 Thursday, April 23, 2026

OpenClaw安全实战系列(一)：Agent Skill 供应链投毒路径重现与靶标建设

全面剖析 Agentic AI Skill 面临的供应链安全风险，从间接投毒（提示词注入）到直接投毒（脚本后门与社工木马），推演恶意载荷从触发到隐蔽回传的完整攻击链路，并提供体系化防护建议。

Posted by浦明 Monday, March 16, 2026

OpenClaw近期生态安全事件解读：从RCE漏洞到Skill供应链投毒分析

对OpenClaw生态四起重大安全事件的技术剖析：Moltbook数据泄露、Infostealer配置文件窃取、CVE-2026-25253高危RCE漏洞、ClawHub供应链投毒，以及最佳防护实践。

Posted by浦明 Saturday, February 28, 2026

OpenClaw安全实战系列(二)：白名单也防不住？复盘 CVE-2026-28363 授权绕过全过程

剖析 OpenClaw 在调用系统工具链时的安全校验失效风险，通过 CVE-2026-28363 实战复盘，揭示攻击者如何利用 POSIX 长选项缩写特性绕过 safeBins 白名单，完成从诱导触发到自动化 RCE 的完整攻击链路。

Posted by浦明 Sunday, February 22, 2026

OpenClaw安全实战系列(三)：利用网关劫持实现 OpenClaw 控制端 1-Click RCE (CVE-2026-25253)

深入解析 OpenClaw 控制端 UI 关键逻辑漏洞 CVE-2026-25253，CVSS 8.8，攻击者可通过 1-Click 操作劫持网关地址、窃取身份令牌并实现远程代码执行。

Posted by浦明 Thursday, January 29, 2026

从现网到靶场：2025云上AI安全事件深度复盘

聚焦2025年典型云上AI安全事件，深度复盘DeepSeek数据库暴露、LLM劫持攻击、微软Copilot权限滥用、ChatGPT连接器提示词注入四起真实案例，还原攻击路径并给出安全防护建议。

Posted by浦明 Monday, December 15, 2025

提示词注入：近期大模型安全漏洞案例剖析

一文掌握如何避免大模型提示词注入攻击

Posted by "Pu Ming" Monday, August 25, 2025

大模型生态的数据泄露危机：从向量数据库到AI助手的“失控链”

开源大模型生态关键组件爆安全事件，不仅影响单一应用，更可能引发大模型生态的连锁风险

Posted by "Pu Ming" Friday, August 22, 2025

2025 Verizon DBIR解读 | 供应链攻击30%+勒索软件44%：边缘设备漏洞与AI滥用催生新风险

一文掌握Verizon DBIR报告关键信息

Posted by "Pu Ming" Friday, July 18, 2025

开源大模型推理软件的攻击面分析：云上LLM数据泄露风险研究系列（四）

基于LLM应用的攻击面分析

Posted by "Pu Ming" Monday, June 9, 2025