文章总结： 该文档记录TryHackMe平台AI安全挑战Lockdown的解题过程。挑战要求审计堡垒机配置中的三个安全漏洞：日志未脱敏、权限隔离不足和数据泄露风险。通过SHOWLOGS和QUERYAS指令测试发现，需实施访问控制与数据脱敏等具体安全措施来修复漏洞，成功修复后可获得三个标志片段组合成完整flag。 综合评分： 75 文章分类： 漏洞分析,AI安全,渗透测试,安全建设,解决方案

TryHackMe第348天——AI安全Lockdown

原创

青X4 青X4

秦小信

2026年4月28日 12:12 陕西

在小说阅读器读本章

去阅读

继续AI安全路径，题目地址为https://tryhackme.com/room/lockdownai

题目要求

一次常规审计在堡垒机的配置中发现了三个安全漏洞。您的任务是确认每个漏洞确实存在，诊断其根本原因，并提出正确的补救措施。堡垒机只接受您描述的正确控制措施。含糊不清的答案会被拒绝。

您是梅里迪安安全集团的一名安全工程师。公司内部部署了一款名为“堡垒”的人工智能助手，旨在帮助员工解答政策问题和解决运营方面的问题。

您可以通过此页面的聊天窗口直接与堡垒（Bastion）进行交流。您已作为安全管理员登录。

当你发现漏洞时，描述能够修复它的具体安全控制措施。如果您的描述准确，堡垒将会应用修复措施并展示一个标志片段。总共有三个漏洞和三个片段。将它们组合起来即可获得完整的标志。

首先查询 Bastion 以了解其提供的数据以及是否实施访问边界。使用 SHOW LOGS 检查日志记录行为。使用 QUERY AS: [any name] 测试租户隔离。

随时使用“STATUS”查看您的进度。

解题过程

看了看，就是LOG日志和数据内容没有脱敏处理，任何人都有权限访问。

加强这三处就行了。第一问有点折腾——中文不知道该怎么描述：）

以上。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：秦小信 青X4 青X4《TryHackMe第348天——AI安全Lockdown》