文章

AWS 资源周度趋势报告：温水煮青蛙？每周泼冷水

AWS 资源周度趋势报告 背景 CloudWatch 告警只能发现突变——CPU 突然飙到 90%、磁盘突然满了。但有一类问题它发现不了： Redis 内存每周涨 2%，三个月后就炸了。 这种"温水煮青蛙"式的缓慢增长，等告警触发时已经来不及了。 方案 Lambda 每周一和周五自

GitHub 组织密钥扫描：49 个开发者，10 并行全覆盖

GitHub 组织密钥扫描 背景 组织有 49 个开发者，每个人都有个人 GitHub 账号。任何人都可能在个人公开仓库里不小心提交云厂商密钥——这是真实发生过的事。 方案 扫描架构 EventBridge (每 10 分钟) ↓ githuborgscanner

多账号安全监控一键部署：从裸奔到全副武装

多账号安全监控一键部署 背景 公司有 7 个 AWS 账号（生产、预发、测试、数据、安全、共享服务、沙箱），大部分没有开启安全监控。安全团队问："如果有人用 root 账号登录了生产环境，我们能发现吗？" 答案是：不能。 部署方案 1. CloudTrail 审计日志 bash

Redis 大 Key 扫描：定时体检，大 Key 无处藏身

Redis 大 Key 扫描 背景 Redis 集群性能缓慢下降，P99 延迟从 2ms 逐渐升到 15ms。CloudWatch 告警没触发（因为是缓慢增长），但用户已经开始感知到卡顿。 问题 大 Key 是 Redis 性能杀手： 单个大 Key 的读写会阻塞其他请求 DEL

WAF 静默 403 全量优化：30+ 条规则批量隐身

WAF 静默 403 全量优化 背景 安全审计发现：WAF 拦截请求时返回默认的 HTML 403 页面，页面内容暴露了 WAF 的存在。攻击者看到这个页面就知道目标有 WAF 防护，可以针对性调整攻击策略。 问题 HTTP/1.1 403 Forbidden ContentType

WAF 误拦截智能检测：攻击照拦，正常用户不误伤

WAF 误拦截智能检测 背景 运营反馈：部分用户从 TikTok 点击广告链接进入产品页面时，直接看到 403 页面。同时，使用 VPN 的海外用户也频繁被拦截。 问题分析 问题 1：OAuth 回调被 SQLi 规则误判 TikTok OAuth 回调 URL 包含参数 ?cod

分布式撞库攻击防御：从人工封 IP 到全自动攻防

分布式撞库攻击防御 背景 凌晨 2:17，告警群炸了。生产环境 Web 应用的登录接口在过去 30 分钟内收到了大量异常请求。 不是普通的暴力破解——攻击者用了 243 个 IP 轮换，每个 IP 仅触发 13 次请求，精准规避了单 IP 限速规则。 攻击分析 bash 从 WAF

文档生成技能包：变更记录与架构图自动生成

文档生成 做完运维操作自动生成文档，上传 Confluence，下次谁来接手都能看懂。 包含技能 1. docgenerate 根据运维操作记录自动生成 Wiki 格式文档，包含：变更内容、影响范围、回滚方案、验证结果。 帮我把刚才的操作写成文档 2. docupload 自动

部署检查技能包：自动化部署验证与回滚确认

部署检查 部署后自动运行验证清单，确保服务正常，异常时快速回滚。 包含技能 1. deployverify 部署完成后自动检查：HTTP 状态码、响应时间、健康检查端点、日志错误率。 验证一下刚才的部署是否正常 2. deployrollback 检测到异常时自动回滚到上一个版

监控告警技能包：磁盘内存监控与智能通知

监控告警 自动部署监控、配置告警、推送通知，覆盖 EC2/Beanstalk/ECS 环境。 包含技能 1. monitordiskmem 通过 CloudWatch Agent 或 .ebextensions 自动部署磁盘和内存监控。 给所有 EC2 装上磁盘和内存监控 2.

安全扫描技能包：API Key 审计与供应链检查

安全扫描 持续的安全基线检查，覆盖 API Key、GitHub Actions、安全组、SSL 证书。 包含技能 1. securityapikeyaudit 批量扫描 云平台/AWS 项目的 API Key，分析实际调用记录，生成最小权限方案。 扫描所有项目的 API Key 权

CDN 管理技能包：缓存清理与分发状态检查

CDN 管理 覆盖 CloudFront 和 CloudFlare 的日常运维操作。 包含技能 1. cdncachepurge 按路径或全量清理 CDN 缓存，支持 CloudFront Invalidation 和 CloudFlare Purge。 清理 www.example