最近在项目中遇到了一个奇怪的 coredump 问题，排查过程并不顺利。经过不断分析，找到了一个复现的步骤，经过合理猜测和谨慎验证，最终才定位到原因。

C++ coredump bazel依赖缺失

复盘下来，发现这类 coredump 问题确实比较罕见，排查起来也不是很容易。只有项目代码编译依赖管理不是很合理的时候，才可能出现。另外，在复盘过程中，对这里的 coredump 以及 C++ 对象内存分布也有了更多理解。于是整理一篇文章，如有错误，欢迎指正。

很多年以后，当人们回忆起 2023 年，或许只会记得这是 ChatGPT 和各种大语言模型诞生的一年，这是人工智能元年！

一定要尽快用 ChatGPT 等大语言模型

安全问题通常滞后于技术的普及，而人工智能 (AI) 领域亦是如此。

四个月前，我和 Adnan Khan 利用了 PyTorch 的一个严重 CI/CD 漏洞，PyTorch 是全球领先的机器学习平台之一。它不仅被谷歌、Meta、波音和洛克希德·马丁等行业巨擘所使用，也因此成为黑客和各国政府的重点攻击对象。

幸运的是，我们在不法分子之前发现并利用了这个漏洞。

接下来是我们的操作过程。

原文地址：PLAYING WITH FIRE – HOW WE EXECUTED A CRITICAL SUPPLY CHAIN ATTACK ON PYTORCH