/
OpenClaw AI智能体存在安全漏洞,可能导致提示注入和数据泄露
中国国家计算机网络应急技术处理协调中心发布警告,指出开源自主AI代理OpenClaw存在严重安全风险。该平台默认安全配置薄弱,加上系统特权访问权限,可能被恶意攻击者利用控制终端。主要风险包括提示注入攻击、误删关键信息、恶意技能上传和系统漏洞利用等,可能导致敏感数据泄露。中国当局已限制政府机构在办公电脑上运行OpenClaw应用。
超过13.5万个OpenClaw实例暴露于互联网面临网络安全威胁
SecurityScorecard威胁情报团队发现超过135,000个OpenClaw AI助手平台实例暴露在互联网上,存在严重安全风险。这个开源AI代理平台此前已被发现存在多个高危漏洞,技能商店充斥恶意软件,容易泄露API密钥、信用卡号等敏感数据。平台默认绑定所有网络接口而非本地主机,加剧了安全问题。专家警告,妥协一个OpenClaw实例意味着攻击者可访问该代理能够接触的所有资源,建议用户谨慎部署并限制访问权限。
研究发现:新版大语言模型虽基准测试分数更高,但代码漏洞更严重
SonarSource研究发现,尽管最新大语言模型在编程基准测试中表现更佳,但同时引入了更多严重漏洞和安全风险。研究测试了Claude、GPT-4o、Llama等模型的4400多个Java编程任务,发现所有模型都存在系统性安全意识缺陷。其中Llama 3.2 90B有超过70%的漏洞被评为最高危险等级,Claude Sonnet 4虽功能测试得分最高,但严重漏洞比例比前代增加93%。研究建议对AI生成代码采用"信任但验证"方法。
微软12月补丁日修复71个新漏洞,CLFS和LDAP漏洞最为突出
微软在 2025 年最后一个 Patch Tuesday 中修复了 71 个新漏洞,其中 Windows 公共日志文件系统驱动程序的特权提升零日漏洞最为突出。此外还修复了多个远程代码执行高危漏洞,包括 Windows LDAP 的严重漏洞。专家建议企业尽快修复这些漏洞,特别是 LDAP 漏洞可能被黑客利用获取域控制器完全控制权。
思科收购漏洞分析初创公司Kenna Security 强化SecureX产品组合
近日思科宣布计划收购Kenna Security,其是一家可以帮助企业修复系统安全漏洞的公司,这也是思科在一周内公布的第三笔针对初创公司的收购。
京公网安备 11010802021500号
