https://shengxu.pages.dev/categories/security/Shengxu 的云架构 & DevOps 技术博客：Kubernetes、Cilium、可观测性、LLM 基础设施、Agent 工程化等。Hugo 0.153.2 & FixIt v0.4.0-alpha.3-20251225101113-8ffb9a95zh-CNSat, 21 Mar 2026 14:31:56 +0800https://shengxu.pages.dev/posts/cilium-2026-part-2-unified-dataplane/Sat, 21 Mar 2026 14:31:56 +0800https://shengxu.pages.dev/posts/cilium-2026-part-2-unified-dataplane/KubernetesDevOpsObservabilitySecurityAI<p>在<a href="https://shengxu.pages.dev/posts/cilium-2026/">上一篇关于 Cilium 的文章</a>中，我们探讨了 2026 年迁移潮背后的真实原因：它不再仅仅是“一个更快的 CNI”，而是将 Kubernetes 网络、安全、可观测与多集群能力，重新组织成了一套更统一的基础设施底座，并理清了它与 Istio 的分工协作边界。</p>https://shengxu.pages.dev/posts/kubernetes-security-before-llm/Sat, 14 Mar 2026 10:00:00 +0800https://shengxu.pages.dev/posts/kubernetes-security-before-llm/SecurityKubernetesDevOps<p>大模型（LLM）与 AI Agent 的爆发不仅带来了业务模式的革命，也引入了诸如提示词注入、数据投毒等全新的应用层安全挑战。当大家的目光都被这些前沿漏洞所吸引时，我们不妨先停下来，问自己一个直击灵魂的问题：<strong>在探讨这些复杂的 AI 安全之前，承载所有业务的云原生底座及格了吗？</strong></p>https://shengxu.pages.dev/posts/fantasy-novel-agent-security/Wed, 04 Feb 2026 10:00:00 +0800https://shengxu.pages.dev/posts/fantasy-novel-agent-security/AISecurityDevOpsObservability<p>在前面2.5篇里，我已经把 <a href="https://shengxu.pages.dev/posts/fantasy-novel-agent-architecture-evolution/">FantasyNovelAgent</a> 的主干讲清楚了：</p> <ul> <li><strong><a href="https://shengxu.pages.dev/posts/fantasy-novel-agent-architecture-evolution/">实战 · 打造会记忆的AI 写作搭档（一）：多 Agent 架构进化</a></strong></li> <li><strong><a href="https://shengxu.pages.dev/posts/fantasy-novel-agent-database-evolution/">实战 · 打造会记忆的AI 写作搭档（二）：数据库篇</a></strong></li> <li><strong><a href="https://shengxu.pages.dev/posts/fantasy-novel-agent-retrieval-evolution/">实战 · 打造会记忆的AI 写作搭档（坤）：检索系统篇</a></strong></li> </ul> <p>这一篇我们深入探讨 AI 系统最容易被忽视、但至关重要的环节：<strong>安全性（Security）</strong>。</p>https://shengxu.pages.dev/posts/owasp-llm-top-10-2026/Fri, 23 Jan 2026 10:00:00 +0800https://shengxu.pages.dev/posts/owasp-llm-top-10-2026/SecurityAIKubernetes<p>昨天有幸参加了 Acronis 公司的 Sergey Saburov 的关于 &ldquo;Agentic Engineering &amp; LLM Security&rdquo; 的分享。Sergey 深入剖析了现代 LLM 应用面临的安全威胁，并结合 OWASP LLM Top 10 框架提供了大量实战案例。</p> <p>现结合 <strong>OWASP LLM Top 10 v2.0 (2025)</strong> 最新官方标准，对分享内容进行了梳理与总结。针对原分享中部分术语的偏差（如 LLM06、LLM10 等）做了必要的修正，并整理了面向 Kubernetes 平台工程师的 Python 代码 PoC（概念验证）与防御脚本，希望能为大家构建安全的 AI 系统提供参考。</p>https://shengxu.pages.dev/posts/mcp-security-risks-guide/Tue, 20 Jan 2026 00:00:00 +0000https://shengxu.pages.dev/posts/mcp-security-risks-guide/SecurityAI<p>去年有个典型场景在安全社区引发热议：开发者在Cursor里装了Supabase的MCP插件，为了让AI能直接查数据库，配置了<code>service_role</code>密钥（数据库超级管理员权限）。某天客户在工单里随口问&quot;能看看我们的集成配置吗&quot;，AI把这句话当成了指令，直接在回复里打印出了Token。</p>https://shengxu.pages.dev/posts/kubernetes-1-34-1-35-certificates/Sat, 03 Jan 2026 19:00:00 +0800https://shengxu.pages.dev/posts/kubernetes-1-34-1-35-certificates/KubernetesCloudSecurity<p>最近升级到1.35，发现<strong>证书管理</strong>的变化堪称革命性——特别是对自管K8s用户来说，运维负担直接腰斩。</p> <p>过去证书问题是安全事件的&quot;隐形杀手&quot;：过期中断、token泄露、手动轮转占运维30%时间。1.34/1.35带来<strong>原生自动化mTLS</strong>，让零信任不再是Istio的专利。今天咱们聊聊这些新特性，然后按<strong>自管K8s vs 云K8s</strong>实战对比。</p>https://shengxu.pages.dev/posts/kubernetes-v1-33-v1-35-updates/Fri, 02 Jan 2026 09:50:00 +0800https://shengxu.pages.dev/posts/kubernetes-v1-33-v1-35-updates/KubernetesCloudSecurity<h2 class="heading-element" id="时间线概览"><span>时间线概览</span> <a href="#%e6%97%b6%e9%97%b4%e7%ba%bf%e6%a6%82%e8%a7%88" class="heading-mark"> <svg class="octicon octicon-link" viewBox="0 0 16 16" version="1.1" width="16" height="16" aria-hidden="true"><path d="m7.775 3.275 1.25-1.25a3.5 3.5 0 1 1 4.95 4.95l-2.5 2.5a3.5 3.5 0 0 1-4.95 0 .751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018 1.998 1.998 0 0 0 2.83 0l2.5-2.5a2.002 2.002 0 0 0-2.83-2.83l-1.25 1.25a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042Zm-4.69 9.64a1.998 1.998 0 0 0 2.83 0l1.25-1.25a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042l-1.25 1.25a3.5 3.5 0 1 1-4.95-4.95l2.5-2.5a3.5 3.5 0 0 1 4.95 0 .751.751 0 0 1-.018 1.042.751.751 0 0 1-1.042.018 1.998 1.998 0 0 0-2.83 0l-2.5 2.5a1.998 1.998 0 0 0 0 2.83Z"></path></svg> </a> </h2><ul> <li><strong>v1.33 (Octarine)</strong>：2025 年 4 月发布，原生 Sidecar GA、安全特性默认启用。</li> <li><strong>v1.34 (Of Wind &amp; Will)</strong>：2025 年 8 月发布，DRA GA，标志着 AI/GPU 调度进入原生时代。</li> <li><strong>v1.35 (Timbernetes)</strong>：2025 年 12 月发布，In-Place Pod Resize GA，零中断弹性成为现实。</li> </ul> <hr> <h2 class="heading-element" id="1-v133-octarinesidecar-转正与默认安全"><span>1. v1.33 “Octarine”：Sidecar 转正与默认安全</span> <a href="#1-v133-octarinesidecar-%e8%bd%ac%e6%ad%a3%e4%b8%8e%e9%bb%98%e8%ae%a4%e5%ae%89%e5%85%a8" class="heading-mark"> <svg class="octicon octicon-link" viewBox="0 0 16 16" version="1.1" width="16" height="16" aria-hidden="true"><path d="m7.775 3.275 1.25-1.25a3.5 3.5 0 1 1 4.95 4.95l-2.5 2.5a3.5 3.5 0 0 1-4.95 0 .751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018 1.998 1.998 0 0 0 2.83 0l2.5-2.5a2.002 2.002 0 0 0-2.83-2.83l-1.25 1.25a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042Zm-4.69 9.64a1.998 1.998 0 0 0 2.83 0l1.25-1.25a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042l-1.25 1.25a3.5 3.5 0 1 1-4.95-4.95l2.5-2.5a3.5 3.5 0 0 1 4.95 0 .751.751 0 0 1-.018 1.042.751.751 0 0 1-1.042.018 1.998 1.998 0 0 0-2.83 0l-2.5 2.5a1.998 1.998 0 0 0 0 2.83Z"></path></svg> </a> </h2><p>v1.33 的关键词是“<strong>原生 Sidecar</strong>”和“<strong>安全默认开启</strong>”。这一版把长期实验的能力变成了日常工程可依赖的基础设施。</p>https://shengxu.pages.dev/posts/ingress-nightmare-gateway-api-migration/Sat, 27 Dec 2025 10:00:00 +0800https://shengxu.pages.dev/posts/ingress-nightmare-gateway-api-migration/KubernetesSecurity<p>最近曝光的 Ingress-NGINX <strong>“IngressNightmare”</strong> 漏洞，把 nginx‑ingress 再次推上风口浪尖，也给还停留在传统 Ingress 的集群敲了警钟。</p> <p>下面从漏洞回顾、风险分析、短期修补，到如何借机迁移到 Gateway API，以及迁移前后的优劣对比，做一篇面向工程实践的技术梳理。</p>