沙盒技术 on 办公AI智能小助手

深入解析Firejail、Landlock与bubblewrap：Linux安全沙盒技术的演进与应用

Sun, 07 Dec 2025 17:56:50 +0800

最近我一直在研究如何加强笔记本电脑的安全性。默认情况下，每个程序都可以访问所有资源：文件系统、网络以及其他程序。

首先，我开始研究Firejail。它允许指定程序可以访问的路径，以及网络和其他特殊权限。这个工具还不错，我使用了一段时间。

Python依赖项沙盒化：保护代码安全的创新方案

Sun, 16 Nov 2025 16:29:08 +0800

在代码中沙盒化Python依赖项

运行来自不可信来源的代码仍然是一个未解决的问题，特别是在Python和Javascript这样的动态语言中。

我将从两个未解决的问题开始：

如果你导入requests用于HTTP，为什么requests能够打开终端并切换到sudo？
如果你导入logging，为什么它能够在只需要向特定目录写入文件的情况下进行网络（或像Log4Shell中的LDAP）操作？

这就是我如何为Python导入编写沙盒的故事：创建一个生产就绪的解决方案并针对不同用例进行测试。

Firejail沙盒技术详解：Linux应用程序安全隔离实战

Sun, 16 Nov 2025 15:55:39 +0800

firejail命令 - Linux审计

工具概述

Firejail是一个用于沙盒化其他程序的工具，其主要目的是通过限制进程及其子进程能够查看或执行的操作来约束程序运行。

技术架构

为了实现沙盒功能，Firejail使用以下Linux安全特性：

Python依赖项沙盒化：保护代码安全的实用指南

Tue, 21 Oct 2025 20:55:12 +0800

在代码中沙盒化Python依赖项

运行来自不受信任来源的代码仍然是一个未解决的问题，特别是在Python和JavaScript这样的动态语言中。

我将从两个未解决的问题开始：

如果你导入requests用于HTTP请求，为什么requests应该能够打开终端并切换到sudo？
如果你导入logging，为什么它应该能够进行网络访问（或像Log4Shell中的LDAP），而你只需要将文件写入特定目录？

这就是我如何为Python导入编写沙盒的故事：创建生产就绪的解决方案并针对不同用例进行测试。

模糊测试器开发实战：系统调用沙盒化技术解析

Thu, 18 Sep 2025 10:59:44 +0800

模糊测试器开发实战：系统调用沙盒化技术解析

引言

近期我们正在博客上开发一个模糊测试器。严格来说，“模糊测试器"可能不是最准确的描述——我们构建的更像是一个执行引擎，能够暴露各种钩子函数。如果你错过了第一期内容，可以在此查看。我们正在创建一个模糊测试器，它将静态构建的Bochs模拟器加载到自身中，在执行Bochs逻辑的同时为其维护一个沙盒环境。可以这样理解：我们懒得从头实现自己的x86_64模拟器，所以直接拿了一个完整的模拟器塞进自己的进程中使用。

微软未沙盒化Windows Defender？我来实现安全隔离技术

Wed, 17 Sep 2025 18:54:11 +0800

微软未沙盒化Windows Defender，所以我来实现 - Trail of Bits博客

微软在发布Windows Defender时未采用沙盒技术，这让用户面临巨大风险。这令我感到惊讶。沙盒化是最有效的安全加固技术之一。为何微软对Microsoft Edge中的JIT代码等高价值攻击面进行了沙盒化，却让Windows Defender毫无防护？

为Windows Defender构建沙盒：Flying Sandbox Monster的技术实现

Wed, 17 Sep 2025 16:59:45 +0800

Microsoft未给Windows Defender沙盒化，所以我做了 - The Trail of Bits博客

Microsoft在发布Windows Defender时未采用沙盒技术，这让用户面临巨大风险。这令我感到惊讶，因为沙盒是最有效的安全加固技术之一。为何Microsoft沙盒化了其他高价值攻击面（如Microsoft Edge中的JIT代码），却让Windows Defender毫无防护？

Office安全工程：回顾BlueHat v9演讲中的防护技术与SDL实践

Wed, 17 Sep 2025 00:01:14 +0800

Office安全工程：BlueHat v9演讲回顾

大家好，我是Office可信计算团队的Tom Gallagher。在BlueHat v9上，David Conger和我介绍了我们为确保Office 2010安全所进行的一些安全工程工作。我们不希望解析代码中的任何一个漏洞导致任意代码危害客户机器，例如安装rootkit。虽然模糊测试仍然是我们安全工作的关键部分，但我们采取了分层方法来防护可能遗漏的漏洞。我们的关键防护层包括Office文件验证和一种沙盒查看模式，称为Word、PowerPoint和Excel的“保护视图”。

微软未沙盒化Windows Defender？我来实现它！

Wed, 10 Sep 2025 08:59:00 +0800

微软未沙盒化Windows Defender，所以我来实现 - The Trail of Bits博客

Trail of Bits
2017年8月2日
mitigations, rust

微软在发布Windows Defender时未采用沙盒技术，使其用户面临大量风险。这令我感到惊讶。沙盒化是最有效的安全加固技术之一。为何微软沙盒化了其他高价值攻击面（如Microsoft Edge中的JIT代码），却让Windows Defender毫无防护？

用Rust为Windows Defender构建沙盒防护系统

Tue, 09 Sep 2025 04:47:04 +0800

Microsoft没有为Windows Defender沙盒化，所以我做了 - Trail of Bits博客

Microsoft在发布Windows Defender时没有采用沙盒技术，这让他们的用户面临大量风险。这让我感到惊讶。沙盒化是最有效的安全加固技术之一。为什么Microsoft沙盒化了其他高价值攻击面（如Microsoft Edge中的JIT代码），却让Windows Defender毫无防护？