模糊测试 on Jiayun's Bloghttps://xiejiayun.github.io/tags/%E6%A8%A1%E7%B3%8A%E6%B5%8B%E8%AF%95/Recent content in 模糊测试 on Jiayun's BlogHugozh-cnMon, 18 May 2026 00:00:00 +0000【好文共赏】HCF 考古:Scott Robinson 把 1977 年 BYTE 上的那个玩笑指令,一路追到 2019 年的示波器和今天的 x86 模糊测试https://xiejiayun.github.io/post/good-read-hcf-halt-and-catch-fire-history/Mon, 18 May 2026 00:00:00 +0000https://xiejiayun.github.io/post/good-read-hcf-halt-and-catch-fire-history/<blockquote> <p>📌 <strong>好文共赏 | Editor&rsquo;s Pick</strong> 原文:<a href="https://unstack.io/halt-and-catch-fire">Halt and Catch Fire</a> | 作者:Scott Robinson(unstack.io) | 发布:2026-05-15 | 阅读时长:约 8 分钟 多模评分:Opus 8.7 / Sonnet 8.6 / Gemini 8.5(综合 <strong>8.6 / 10</strong>) 一句话推荐:当一句车间黑话穿过 IBM 大型机、Motorola 6800 的硅片缺陷、Pentium 的 F00F 危机,最终被 2019 年的示波器证实是一条 500 kHz 方波——这就是软件世界写不出来的硬件史诗。</p>底层三连击:Copy.Fail、YellowKey、Pixel 10 0-click — 2026 年 5 月这三个洞,把『AI 时代安全乐观主义』钉在了内核地板上https://xiejiayun.github.io/post/kernel-lpe-bitlocker-pixel10-trinity-2026/Mon, 18 May 2026 00:00:00 +0000https://xiejiayun.github.io/post/kernel-lpe-bitlocker-pixel10-trinity-2026/<blockquote> <p>📌 <strong>前沿科技 · 安全深度 | Security Deep Dive</strong></p> <p>同一周(2026-05-12 到 05-18),三个分属不同栈层的高危漏洞被公开:</p> <ul> <li><strong>Copy.Fail</strong>(Theori, 04-29 disclosure / 05-12 详细公开):Linux 内核 <code>copy_from_user_iter</code> 边界条件竞态 → 本地提权到 root,PoC 在所有主流发行版的 stock kernel ≥ 6.6 上一次成功</li> <li><strong>YellowKey</strong>(Nightmare-Eclipse, 05-18 公开):BitLocker 在 TPM-only / Modern Standby 模式下被物理接触者 6 秒解锁,影响 Windows 11 24H2 之后的所有 OEM 配置</li> <li><strong>Pixel 10 0-click</strong>(Project Zero, 05-13):通过 Dolby 解码器漏洞链,攻击者向手机发一条 RCS 即可远程 root,无需任何用户交互</li> </ul> <p>三个洞分布在 <strong>kernel / firmware-bootchain / baseband-codec</strong> 三个最难审计的角落。它们出现得这么集中,并不是巧合。</p>工具链战争 2026:Trail of Bits 分叉 Go、rust-lang 拒收 LLM 代码、Prusa 状告 Bambu 撕毁 AGPL — 开源治理被 AI 时代拖向三场临界仗https://xiejiayun.github.io/post/toolchain-wars-go-fuzz-rust-llm-bambu-2026/Mon, 18 May 2026 00:00:00 +0000https://xiejiayun.github.io/post/toolchain-wars-go-fuzz-rust-llm-bambu-2026/<blockquote> <p>📌 <strong>前沿科技 · 开源治理深度 | Open Source Governance Deep Dive</strong></p> <p>这一周(2026-05-11 → 05-18),开源世界三件大事,发生在三个完全不同的栈层:</p> <ul> <li><strong>2026-05-12</strong>:<a href="https://blog.trailofbits.com/2026/05/12/go-fuzzing-was-missing-half-the-toolkit.-we-forked-the-toolchain-to-fix-it./">Trail of Bits 宣布 fork Go 工具链</a> — 因为 Go 团队 8 年来对原生 fuzzing 的功能请求&quot;礼貌性忽视&quot;</li> <li><strong>2026-05-15</strong>:<a href="https://lists.sr.ht/~drewdevault/">Drew DeVault 在 rust-lang/rust 仓库提议禁止 LLM 生成代码</a> — 引爆 Rust 社区数百条讨论</li> <li><strong>2026-05-17</strong>:<a href="https://www.tomshardware.com/">Josef Prusa 公开指控 Bambu Lab 用『不可审计的网络黑盒』违反 AGPL</a> — 涉及全球出货量 #2 的 FDM 3D 打印机厂商</li> </ul> <p>这三件事单独看,分别是「测试工具」「贡献政策」「许可证执法」三个不同领域的新闻。<strong>串起来看,它们都是『开源治理在 AI 时代失效』的具体表现 — 而且失效的方向各不相同。</strong></p>