AU PlusAU Plus

课程笔记 (36)
  • assets-threats-and-vulnerabilities
    • 4 种 Brute Force 攻击 — 听到 credential stuffing 时它们在说什么
    • IAM 是什么 — 把"谁能干什么"从聊天群拉回到系统里
    • Malware 全家福 — 11 种恶意软件一张图分清
    • OWASP Top 10 是什么 — vibe-coder 给 AI 代码做 code review 的 10 条铁律
    • Pen Test 是什么 — 花钱请人打自己,在真坏人打来之前
    • PII 4 条铁律 — Google VP 给 vibe-coder 的敏感数据保护清单
    • Social Engineering 和 Phishing — 攻击者不破代码,他骗人
    • SSO 和 MFA 到底在解什么问题 — vibe-coder 的认证两件套
  • automate-cybersecurity-tasks-with-python
    • Python 内置函数 — max / min / sorted 加一个函数嵌套技巧,处理数据更省事
    • Python 条件语句是什么 — if / elif / else 加 and/or/not,让脚本自己做判断
    • Python 数据类型是什么 — 8 种类型一张表看完,再逐个拆
    • Python 调试 — 三类错误怎么认,加一条 vibe-coder 最该警惕的"沉默 bug"
    • Python 函数和变量 — parameter / argument / return / 全局局部,4 个最容易混的概念一次理清
    • Python 库 — 标准库 + 必认第三方库,加一条 vibe-coder 必看的供应链安全铁律
    • Python 循环是什么 — for / while 让脚本重复干活,break / continue 控制节奏
    • Python 正则表达式 — 用一个 pattern 从一堆日志里捞出 IP、邮箱、失败登录
  • Foundations of Cybersecurity 网络安全基础
    • CIA Triad 实战 — 从能说到能用
    • PII vs SPII vs 澳洲 Privacy Act — 在澳洲做 SaaS 该懂的隐私分级
  • introduction-to-agent-skills
    • skill 进阶 — 四个让它更强更省的技巧,以及别自己手写(用 skill-creator 建)
    • skill 是怎么被加载和匹配的 — AI 启动只读"门牌",撞名按四级优先级决胜
    • skill 不工作怎么办 — 一份排查 FAQ(不触发 / 不加载 / 用错 / 跑挂)
    • 该用 skill,还是 CLAUDE.md / 斜杠命令 / subagent / hook / MCP? — 一张表选对工具
    • 什么是 skill — Claude 的可复用"专项说明书",以及它和 CLAUDE.md、斜杠命令的区别
  • Networks and Network Security 看得懂 AI 给你做的网络配置
    • 云共担责任 — 哪些是云厂商的事,哪些是你必须做的
    • 防火墙 / VPN / 代理 — AI 给你做的"中间层"在防什么
    • 网络攻击识别 — AI 让你套 WAF / 加限流时它在防什么
    • TCP/IP 4 层和数据包 — AI 网络词汇的底座
  • Play It Safe Manage Security Risks 风险管理实战
    • CISSP 8 域 — 一张能在工作中用的安全活动定位地图
    • OWASP 6 原则 — 不是清单,是决策框架
  • sound-the-alarm
    • tcpdump 是什么 — 在命令行里把网络流量"拍下来"看
  • Tools of the Trade Linux and SQL 看得懂 AI 写的命令
    • Linux 28 命令速查 — 6 个动词看懂 AI 在 terminal 干啥
    • SQL 入门速查 — 4 个 slot 看懂 AI 给你写的查询
  • 课程笔记
  • 书籍
  • 概念
  • 博客
  • 提示词
  • 教程
  • 标签
  • 关于我
Home

❯

课程笔记

课程笔记

2026年5月18日1分钟阅读

我学过的课程的笔记。按字母排序。

  • 2026年6月05日

    introduction-to-agent-skills

    • 2026年5月28日

      automate-cybersecurity-tasks-with-python

      • 2026年5月26日

        sound-the-alarm

        • 2026年5月22日

          assets-threats-and-vulnerabilities

          • 2026年5月20日

            Networks and Network Security 看得懂 AI 给你做的网络配置

            • cybersecurity
            • source-type/course
            • source/coursera-networks-and-network-security
          • 2026年5月20日

            Tools of the Trade Linux and SQL 看得懂 AI 写的命令

            • cybersecurity
            • source-type/course
            • source/coursera-tools-of-the-trade
          • 2026年5月19日

            Play It Safe Manage Security Risks 风险管理实战

            • cybersecurity
            • source-type/course
            • source/coursera-play-it-safe
          • 2026年5月18日

            Foundations of Cybersecurity 网络安全基础

            • cybersecurity
            • source-type/course
            • source/coursera-foundations-of-cybersecurity

          按标签筛选
          全部 36 篇 · 显示中 36
          • 4 种 Brute Force 攻击 — 听到 credential stuffing 时它们在说什么

            新闻里"撞库"、"凭证填充"、"pass the hash"这些词,本质都是穷举密码——但路数不一样。一篇讲清 4 种 brute force 攻击的玩法、为什么 hash 存密码救不了你、以及 vibe-coder 在登录系统里该放哪几道闸。

            #cybersecurity#source-type/course#source/coursera-assets-threats-and-vulnerabilities
          • 防火墙 / VPN / 代理 — AI 给你做的"中间层"在防什么

            AI 让你"在 Vultr 上配 UFW"、"用 WireGuard 连服务器"、"在 nginx 上加 reverse proxy"——三件事看起来都是"在数据流中插一刀",目的完全不一样。这一篇把防火墙、VPN、代理三大"中间层"工具讲清楚,看完你审 AI 的每一条网络规则,知道它在防谁、放谁、改谁。

            #cybersecurity#source-type/course#source/coursera-networks-and-network-security
          • 该用 skill,还是 CLAUDE.md / 斜杠命令 / subagent / hook / MCP? — 一张表选对工具

            Claude Code 有一堆定制方式,选错就是给自己找复杂。这一篇用一张主表把六个选项摆平:CLAUDE.md(永远在场的项目规范)、skill(按需加载的任务专长)、斜杠命令(你手动触发)、subagent(隔离上下文里的委派)、hook(事件触发,如存文件跑 linter)、MCP(接外部工具)。核心是按"谁触发它、在哪运行、什么时候在场"区分,不要把什么都硬塞进 skill。

            #ai#skills#source-type/course#source/anthropic-intro-to-agent-skills
          • 什么是 skill — Claude 的可复用"专项说明书",以及它和 CLAUDE.md、斜杠命令的区别

            skill 是把"这件事该怎么做"写一次、AI 之后自动套用的可复用说明书。这一篇讲清:一个 skill 长什么样(SKILL.md + name/description)、AI 凭什么决定用它(description 匹配)、该放哪(个人 ~/.claude/skills vs 项目 .claude/skills)、以及它和 CLAUDE.md、斜杠命令的关键区别——自动 + 按需加载。

            #ai#skills#source-type/course#source/anthropic-intro-to-agent-skills
          • 网络攻击识别 — AI 让你套 WAF / 加限流时它在防什么

            AI 让你"在 Cloudflare 启 WAF"、"加 rate limit"、"装 fail2ban"、"强制 HTTPS"——每条都在防一类具体攻击。看懂三大类网络攻击(DoS/嗅探/欺骗),你才看懂为什么 AI 这样配你的服务器。这一篇把攻击和防御对上号。

            #cybersecurity#source-type/course#source/coursera-networks-and-network-security
          • 云共担责任 — 哪些是云厂商的事,哪些是你必须做的

            云厂商负责 "of the cloud" — 机房、硬件、虚拟化、基础网络;你负责 "in the cloud" — 配置、数据、身份、应用。AI 帮你跑通的是前者,后者它不会替你做。这一篇把分界讲清楚,顺便是学 AWS 之前必看的一张图——AWS 的所有 IAM / VPC / Security Group / 加密都落在"你的那一半"里。

            #cybersecurity#source-type/course#source/coursera-networks-and-network-security
          • CIA Triad 实战 — 从能说到能用

            课程教 CIA Triad 像在教语法,但它真正的价值是把它当成你的安全母语。本文用 6 个真实场景演示怎么用 CIA 拆问题。

            #cybersecurity#source-type/course#source/coursera-foundations-of-cybersecurity
          • CISSP 8 域 — 一张能在工作中用的安全活动定位地图

            CISSP 八大域不是给考试背的列表,是一张定位地图。看到任何安全活动,要能立刻定位到对应的域 — 它在战略层、构建层,还是运营层。

            #cybersecurity#source-type/course#source/coursera-play-it-safe
          • Foundations of Cybersecurity 网络安全基础

            Coursera × Google Cybersecurity Certificate 第 1 门。给完全不懂安全的技术人科普,概念扎实、偏纯理论。我打 8/10。

            #cybersecurity#source-type/course#source/coursera-foundations-of-cybersecurity
          • IAM 是什么 — 把"谁能干什么"从聊天群拉回到系统里

            IAM 不是一个软件,是一整套"谁是谁 / 能干啥 / 什么时候被收回"的工程化方案。这篇讲清楚 IAM 和 AAA 的关系、两大底层原则(最小权限 + 职责分离)、三种授权模型(MAC/DAC/RBAC)、以及 vibe-coder 让 AI 接入权限系统时该看什么。

            #cybersecurity#source-type/course#source/coursera-assets-threats-and-vulnerabilities
          • Linux 28 命令速查 — 6 个动词看懂 AI 在 terminal 干啥

            AI 在你服务器的 terminal 里跑命令,你需要的不是会自己敲,是看一眼知道它在做哪类事。这是一张速查表,按 6 件事分组(目录导航/读文件/改文件/搜索/权限/查帮助),每条命令一行——它叫什么、干什么用、怎么用。卡住时打开来查。

            #cybersecurity#source-type/course#source/coursera-tools-of-the-trade#basic-commands
          • Malware 全家福 — 11 种恶意软件一张图分清

            virus、worm、trojan、ransomware、rootkit、botnet、fileless malware…新闻里这些词混着用,但它们是按"怎么传播 / 装在哪 / 干啥"分类的。一篇拉一张对比表,把 11 种恶意软件放到同一个坐标系里,顺便讲 vibe-coder 在 AI 时代该警惕的两条新传播路径。

            #cybersecurity#source-type/course#source/coursera-assets-threats-and-vulnerabilities
          • Networks and Network Security 看得懂 AI 给你做的网络配置

            Coursera × Google Cybersecurity Certificate 第 3 门。AI 让你"在 nginx 加 reverse proxy"、"Vultr 上开 2222 端口"、"把 Supabase 放进 VPC"——你想知道它在做什么、防什么、出错会怎样。这门课给你这套词汇和心智地图,顺便是学 AWS 的最佳前导。我打 9 / 10。

            #cybersecurity#source-type/course#source/coursera-networks-and-network-security
          • OWASP 6 原则 — 不是清单,是决策框架

            OWASP 6 原则是一份设计决策框架。任何新功能设计前过一遍,6 条都过得了才能上线;任何 1 条 no,那里就有漏洞。

            #cybersecurity#source-type/course#source/coursera-play-it-safe
          • OWASP Top 10 是什么 — vibe-coder 给 AI 代码做 code review 的 10 条铁律

            OWASP 是全球最有名的应用安全非营利组织,出品的 Top 10 是 web 安全圣经。它不是教你怎么攻击,是告诉你"99% 的网站都是死在这 10 类错误上的"。这一篇逐条讲,每条给一个 AI 容易踩的现场和你该如何反查。

            #cybersecurity#source-type/course#source/coursera-assets-threats-and-vulnerabilities
          • Pen Test 是什么 — 花钱请人打自己,在真坏人打来之前

            Pen test 不是扫漏洞,是模拟真实攻击——同一套工具、同一套技巧,只是合法。这一篇讲清 pen test 和 vulnerability assessment 的本质差别、red/blue/purple team 谁负责什么、三种信息盒子(黑/灰/白)怎么选、以及 vibe-coder 用 bug bounty 平台薅羊毛的入口。

            #cybersecurity#source-type/course#source/coursera-assets-threats-and-vulnerabilities
          • PII 4 条铁律 — Google VP 给 vibe-coder 的敏感数据保护清单

            Heather 是 Google 安全工程 VP,她给 PII 处理只立了 4 条铁律——静态加密、传输加密、最小访问、审计记录。看起来朴素,但你让 AI 替你处理用户数据时,每一条都是踩坑现场。这一篇逐条讲它在防什么、AI 容易写错在哪、正确做法是什么。

            #cybersecurity#source-type/course#source/coursera-assets-threats-and-vulnerabilities
          • PII vs SPII vs 澳洲 Privacy Act — 在澳洲做 SaaS 该懂的隐私分级

            美国课程讲 PII / SPII,但你在澳洲做 SaaS 真正要对照的是 Privacy Act。本文对比三套术语,给在澳洲运营的人一份实操清单。

            #cybersecurity#source-type/course#source/coursera-foundations-of-cybersecurity
          • Play It Safe Manage Security Risks 风险管理实战

            Coursera × Google Cybersecurity Certificate 第 2 门。比 Course 1 多了三个能直接落地的 framework(NIST RMF / OWASP 6 / 事件响应 6 阶段),拿到手就能用。我打 7.5/10。

            #cybersecurity#source-type/course#source/coursera-play-it-safe
          • Python 调试 — 三类错误怎么认,加一条 vibe-coder 最该警惕的"沉默 bug"

            代码报错是常态,关键是会修。这一篇讲清三类错误:语法错误(报错且告诉你行号)、异常(语法对但跑不动,如 NameError/IndexError/TypeError)、逻辑错误(不报错但结果是错的——最危险)。配错误对照表 + 三种调试策略(读报错、print 大法、调试器/断点),最后讲为什么 AI 生成的代码最容易藏"沉默的逻辑 bug",你必须自己验。

            #cybersecurity#source-type/course#source/coursera-automate-cybersecurity-tasks-with-python
          • Python 函数和变量 — parameter / argument / return / 全局局部,4 个最容易混的概念一次理清

            函数是把重复逻辑打包成可复用单元的工具。这一篇讲清 parameter(定义时的占位)vs argument(调用时的实参)的区别、return 怎么把结果传出来、以及全局变量和局部变量为什么不能同名。全程用"剩余登录次数"这个安全场景举例,最后给一条铁律:别让函数依赖全局变量,要什么用参数传。

            #cybersecurity#source-type/course#source/coursera-automate-cybersecurity-tasks-with-python
          • Python 库 — 标准库 + 必认第三方库,加一条 vibe-coder 必看的供应链安全铁律

            AI 给的代码顶部总有一堆 import,这一篇讲清三件事:(1) import 语法 5 行学完,(2) Python 标准库按用途分类的重点模块 + 安全分析师必认的第三方库(requests/pandas/bs4/scapy 等),(3) pip install 背后的供应链风险——typosquatting、PyPI 投毒、xz-utils 事件,以及验证一个包到底能不能装的 4 道关。

            #cybersecurity#source-type/course#source/coursera-automate-cybersecurity-tasks-with-python
          • Python 内置函数 — max / min / sorted 加一个函数嵌套技巧,处理数据更省事

            Python 自带一堆开箱即用的"内置函数",不用写就能用。print/type 已在数据类型篇讲过,这一篇聚焦 max / min(找最大最小)、sorted(排序)三个最常用的,加一个关键技巧:把一个函数的输出直接当另一个函数的参数传。重点点出 sorted 的两个坑——不会改原列表 + 不能混类型。

            #cybersecurity#source-type/course#source/coursera-automate-cybersecurity-tasks-with-python
          • Python 数据类型是什么 — 8 种类型一张表看完,再逐个拆

            Python 里数据分 8 种类型:字符串、整数、浮点、布尔、列表、元组、字典、集合。这一篇先用一张表给全景(怎么写、能不能改、有没有序),再逐个拆解,重点讲它们在网络安全脚本里各自派什么用——比如为什么软件标识符要用元组而不是列表;最后补上 print()/type()/注释 三个天天用的配套工具。

            #cybersecurity#source-type/course#source/coursera-automate-cybersecurity-tasks-with-python
          • Python 条件语句是什么 — if / elif / else 加 and/or/not,让脚本自己做判断

            条件语句是脚本"自己做决定"的开关:满足条件(评估为 True)就执行动作,否则跳过。这一篇先讲清 if / elif / else 三个关键字的分工和最容易踩的语法坑(冒号、缩进),再讲 6 个比较运算符和 and / or / not 三个逻辑运算符,全程用 HTTP 状态码这个安全分析师天天遇到的例子。

            #cybersecurity#source-type/course#source/coursera-automate-cybersecurity-tasks-with-python
          • Python 循环是什么 — for / while 让脚本重复干活,break / continue 控制节奏

            循环就是让一段代码重复执行的开关:已知要遍历一个序列用 for,要根据条件反复跑用 while。这一篇讲清两种循环的语法、range() 怎么生成数字序列、break(直接退出)和 continue(跳过这一轮)的区别,以及什么是无限循环。全程用计算机资产清单、登录次数限制这类安全场景举例。

            #cybersecurity#source-type/course#source/coursera-automate-cybersecurity-tasks-with-python
          • Python 正则表达式 — 用一个 pattern 从一堆日志里捞出 IP、邮箱、失败登录

            正则(regex)是一段描述"长什么样"的模式,用来从字符串里批量捞出 IP、邮箱、设备 ID、登录记录。这一篇讲清 re.findall() 怎么用、字符类符号(\w \d \s . \.)和数量符号(+ * {n} {n,n})两张速查表、Python 左到右的匹配机制,最后手把手拆解一个从混合日志里提取"用户名+登录次数"的真实 pattern。

            #cybersecurity#source-type/course#source/coursera-automate-cybersecurity-tasks-with-python
          • skill 不工作怎么办 — 一份排查 FAQ(不触发 / 不加载 / 用错 / 跑挂)

            skill 不工作时,毛病几乎总落在几个可预测的类别里:不触发、不加载、用错了、被同名高优先级盖住、插件 skill 不出现、或运行时报错。这一篇给你一张症状对照表 + 逐项修法:先跑 skills 验证器排结构、用 claude --debug 看加载错误、不触发八成是 description、不加载查目录和文件名(必须叫 SKILL.md)、运行报错查依赖/权限/路径(Windows 一律用正斜杠)。

            #ai#skills#source-type/course#source/anthropic-intro-to-agent-skills
          • skill 进阶 — 四个让它更强更省的技巧,以及别自己手写(用 skill-creator 建)

            基础 skill 只要 name + description,但四个进阶技巧能让它强很多:用全套 metadata 字段(加上可选的 allowed-tools、model)、把 description 写到能可靠触发、用 allowed-tools 给安全敏感场景上"只读保险"、用渐进式披露(SKILL.md 控制在 500 行内 + references/scripts/assets 分文件按需加载)。脚本只跑不读、只有输出耗 token。最后:Claude 自带 skill-creator,别自己手写;建完一定要验证它真被加载出来。

            #ai#skills#source-type/course#source/anthropic-intro-to-agent-skills
          • skill 是怎么被加载和匹配的 — AI 启动只读"门牌",撞名按四级优先级决胜

            装了几十个 skill 会不会拖慢 AI?不会。这一篇钻进引擎盖:Claude 启动时只读每个 skill 的 name+description(省 context),用语义匹配你的请求,加载完整内容前会告知你;命名冲突按 企业→个人→项目→插件 决定谁赢,并教你用描述性命名避开冲突;改或删 skill 后必须重启才生效。

            #ai#skills#source-type/course#source/anthropic-intro-to-agent-skills
          • Social Engineering 和 Phishing — 攻击者不破代码,他骗人

            99% 的真实入侵不是从破代码开始的,是从骗人开始。social engineering 是一族攻击的总称,phishing 是其中最常用的子集。这一篇讲清 5 种社工套路 + 5 种 phishing 变体,以及 AI 时代为什么 vishing 突然变得危险——和 vibe-coder 用 AI 写自动回复时该立的安全护栏。

            #cybersecurity#source-type/course#source/coursera-assets-threats-and-vulnerabilities
          • SQL 入门速查 — 4 个 slot 看懂 AI 给你写的查询

            AI 写 SQL,你需要的不是从零写一句,是看懂它写的那一句。任何 SQL 查询都只在 4 个 slot 里填东西——挑哪几列、从哪张表、什么条件、怎么排序。看懂这 4 个 slot 加 4 个 silent bug 信号,90% 的 AI 输出你都能审。

            #cybersecurity#source-type/course#source/coursera-tools-of-the-trade#basic-commands
          • SSO 和 MFA 到底在解什么问题 — vibe-coder 的认证两件套

            密码本身不够安全,所以现代系统几乎都叠了两层:SSO 解决"密码太多记不住所以人人都用 123456"的问题,MFA 解决"密码迟早会泄露"的问题。一篇讲清两者怎么配合、AI 给你接 SSO/MFA 时在做什么、以及你只需要审计哪几个点。

            #cybersecurity#source-type/course#source/coursera-assets-threats-and-vulnerabilities
          • TCP/IP 4 层和数据包 — AI 网络词汇的底座

            AI 说"443 端口走 TLS"、"DNS 解析"、"包丢了"——所有网络配置词汇都落在 TCP/IP 4 层中的某一层。先认层,再认词,你看 AI 的网络配置就有了脚手架。这一篇把 4 层 + 数据包 + IP/MAC + 端口讲清楚,后面所有网络相关的话题都从这里铺开。

            #cybersecurity#source-type/course#source/coursera-networks-and-network-security
          • tcpdump 是什么 — 在命令行里把网络流量"拍下来"看

            tcpdump 是命令行版的抓包工具,一条命令把流经网卡的数据包录下来、存成 pcap、再回放分析。这一篇讲清楚抓包语法、6 个必会选项(-i/-w/-r/-v/-c/-n)、过滤表达式、以及怎么读懂那行以时间戳开头的输出——附速查表。对 vibe-coder:当你想知道"我的应用到底往外发了什么"时,这是最直接的工具。

            #cybersecurity#source-type/course#source/coursera-sound-the-alarm
          • Tools of the Trade Linux and SQL 看得懂 AI 写的命令

            Coursera × Google Cybersecurity Certificate 第 4 门。教 Linux 命令和 SQL——不是让你自己敲,AI 会敲;是让你看一眼就知道 AI 在 terminal 里做了什么、在数据库里挑了什么。我打 8 / 10。

            #cybersecurity#source-type/course#source/coursera-tools-of-the-trade

          Created with Quartz v4.5.2 © 2026

          • Fordexa(企业版)
          • GitHub
          • LinkedIn
          • 小红书