/
AI智能體漏洞挖掘成本驟降,Anthropic呼吁AI防御
Anthropic發布SCONE-bench智能合約漏洞利用基準測試,評估AI代理發現和利用區塊鏈智能合約缺陷的能力。研究顯示Claude Opus 4.5等模型可從漏洞中獲得460萬美元收益。測試2849個合約僅需3476美元成本,發現兩個零日漏洞并創造3694美元利潤。研究表明AI代理利用安全漏洞的能力快速提升,每1.3個月翻倍增長,強調需要主動采用AI防御技術應對AI攻擊威脅。
CISA發布SharePoint服務器攻擊惡意軟件分析報告
CISA發布了針對"ToolShell"攻擊的惡意軟件分析報告,該攻擊利用CVE-2025-49704和CVE-2025-49706漏洞鏈攻擊特定版本的Microsoft SharePoint服務器。報告分析了6個惡意文件,包括DLL文件、加密密鑰竊取器和Web Shell。攻擊者可利用這些惡意軟件竊取加密密鑰并執行PowerShell命令進行系統指紋識別和數據竊取,已有400多個組織受影響。
Citrix Bleed 2漏洞正遭受攻擊
新發現的Citrix NetScaler ADC和Gateway設備關鍵漏洞CVE-2025-5777正遭受攻擊。該漏洞CVSS評分9.3分,被稱為Citrix Bleed 2,類似于2023年的Citrix Bleed漏洞,可讓攻擊者劫持認證會話并繞過多因素認證。ReliaQuest威脅研究團隊觀察到多個劫持的Citrix網絡會話證據,包括未經用戶知情的身份驗證、跨多個IP的會話重用等攻擊跡象,建議用戶立即更新至最新版本并終止活動會話。
Ingress-Nginx 漏洞使公開的 Kubernetes 集群面臨被接管風險
安全公司 Wiz 發現 Ingress-Nginx Controller 的準入控制器組件存在嚴重漏洞,可能導致 Kubernetes 集群被完全接管。研究顯示,超過 6,000 個部署在互聯網上的實例正面臨風險。這些漏洞允許攻擊者通過發送惡意 ingress 對象來執行遠程代碼,獲取集群所有命名空間的機密信息。
新漏洞利用提示詞注入破壞 Gemini 的長期記憶功能
在人工智能黑客的初步領域,間接提示注入已成為誘導聊天機器人泄露敏感數據或執行其他惡意行為的基本構件。盡管Google的Gemini和OpenAI的ChatGPT等平臺的開發者通常能夠修補這些安全漏洞,但黑客們不斷找到新的方法來突破這些防線。研究人員Johann Rehberger展示了一種新方法,能夠覆蓋Google開發者為Gemini構建的提示注入防御,導致長期記憶的永久植入,使聊天機器人可能在未來的會話中基于錯誤信息或指令進行操作。
ChatGPT 爬蟲可被誘導執行 DDoS 攻擊并回答查詢
OpenAI 的 ChatGPT 爬蟲存在安全漏洞,可被利用對任意網站發起分布式拒絕服務攻擊。攻擊者只需向 ChatGPT API 發送一個包含大量重復 URL 的請求,就能觸發爬蟲對目標網站進行大量訪問。此外,該漏洞還可能被用于繞過限制,讓爬蟲回答查詢。這些問題凸顯了 AI 系統在安全性方面的潛在風險。
京公網安備 11010802021500號
