随着LLM即服务等机密云工作负载的兴起，用户数据必须在可信且未被篡改的环境中处理，这需要密码学证明。现有的解决方案，特别是Confidential Containers (CoCo)，强制采用严格的“每个Pod一个虚拟机”模型，仅证明客户操作系统栈，而忽略了容器级别的身份验证，并且每个虚拟机带来巨大的资源开销。本文提出了dstack-capsule，一个基于Kubernetes的平台，在Intel TDX上实现了Pod级别的远程证明。其核心思想是两层证明架构：静态平台测量通过不可逆的特权熔断机制冻结在RTMR[3]中，而动态Pod身份（pod_uid、pod_spec_hash、workload_id）嵌入在TDX Quote的report_data字段中，每次请求由硬件签名。dstack-capsule引入了以下主要贡献：(1) Pod级别证明协议，将Pod规范摘要绑定到硬件签名的Quote上；(2) 特权熔断机制，将节点从设置模式原子性地转换到安全模式；(3) 多层沙箱，涵盖存储、运行时、准入、API和网络隔离层；(4) 基于Kubernetes 1.32、Intel TDX和Sysbox的完整开源实现。实验评估了安全属性、证明正确性和性能特征，表明dstack-capsule实现了Pod粒度的验证，而无需每个虚拟机隔离的资源开销。该工作适合对机密计算、Kubernetes安全以及硬件辅助信任执行环境感兴趣的安全工程师和研究人员。

本文首次系统性地研究了Kubernetes Operator中的跨命名空间引用漏洞。Kubernetes Operator是用于自动化管理应用生命周期的工具，它们通常需要高权限并跨多个命名空间操作，这引入了新的安全风险。Kubernetes通过命名空间隔离来限制用户访问，但Operator可能因为声明的资源范围与实际逻辑范围不匹配，导致命名空间隔离被绕过。攻击者利用这种漏洞，即使只在一个授权命名空间内拥有有限权限，也能通过Operator影响其他未授权命名空间，实现权限提升等危害。作者提出了跨命名空间引用漏洞的两种攻击策略，并通过大规模测量发现超过14%的公开Operator存在潜在漏洞。研究结果已报告给相关开发者，获得8个确认和7个CVE（涉及Red Hat、NVIDIA等厂商）。作者开源了静态分析套件并提出了缓解措施，以增强Kubernetes Operator的安全性。本文适合Kubernetes安全研究人员、云原生安全工程师、Operator开发者以及Kubernetes管理员阅读。