最新

我开发了一个名为 PGDN.ai 的工具，旨在分析 DeFi/L1 网络中的配置错误、CVE（公共漏洞和暴露）、暴露的服务等。我从 Sui 开始，因为我在那儿有一个联系人。我对这个大型链并没有太高的期望，但我发现的情况却是<i>惊人</i>。 - 几乎 40% 的验证者存在严重的配置错误：开放的 SSH、CVE、默认服务、没有防火墙。 - 大多数验证者暴露了确切的 Ubuntu 版本，他们对此毫不在意。 - 我发现多个验证者在 80 端口上使用默认的 Apache 登陆页面，且都有 CVE。他们却说：“这是设计使然！” - 他们无法区分 RPC 和 HTTP。 - 2375 端口（通常用于 Docker）是开放的，他们实际上对此进行了否认。 为了提供一些背景信息：我曾担任一家加密交易所的首席技术官 4 年，并在安全领域工作了 20 年。正如人们所说，这并不是我第一次经历这样的事情。 当我负责任地披露这些问题时，他们的反应却很奇怪： “CVE 只有在你知道如何利用它时才会被利用。” 他们把这当作一个“漏洞奖励计划”来处理。我并不是在寻找快速获利的机会，而是想帮助他们。 在我与一位记者交谈后，他们的公关团队甚至告诉我的联系人不要再讨论此事。 最终，我撰写了一份模拟攻击文档： 完整报告（技术性）：https://github.com/pgdn-network/sui-network-report-250819 博客（概述）：https://paragraph.com/@pgdn/40percent-of-sui-validators-exposed 对我来说，这显示出一个在保护数十亿美元资产的网络中系统性缺乏安全意识的问题。只要有合适的工具，一个有组织的团体就可以轻易地让 Sui 离线。（因此我个人决定出售我所有的 Sui。） 所以我的问题是：这是对安全操作缺乏理解、缺乏真正的关心，还是其他什么原因？我在用我有限的公众“追随者”传播这些信息时遇到了很大困难。任何反馈都将不胜感激！

作为一名分析师，我需要对市场进行研究并相应地工作。在ChatGPT、Perplexity和Gemini的帮助下，我完成了70%的研究工作。剩下的30%则主要是纯粹的头脑风暴。如果我需要一些图形设计，我会使用Canva来制作。我从中获取图像。有时，我也会用它来制作PPT。如果需要视频，我通常会使用像Fliki、Lunabloom AI或InVideo这样的工具来生成视频。这些工具能为我提供高质量的AI生成视频。如今，AI也在社交媒体上广泛应用，这使我的工作变得更加轻松。因此，基本上，我的大部分工作都是由AI完成的。我唯一需要做好的就是给它们提供正确的指令。你是怎么做的呢？