/
智能体发现Linux打印系统CUPS两个严重漏洞
安全研究人员利用AI漏洞搜寻代理在CUPS打印系统中发现两个可链式利用的安全漏洞CVE-2026-34980和CVE-2026-34990。攻击者可通过这些漏洞实现未经身份验证的远程代码执行和root权限文件覆写。第一个漏洞影响网络共享的PostScript队列配置,第二个漏洞可被本地低权限用户利用。两个漏洞链式利用后,远程攻击者可获得root权限。该研究突显了AI在代码漏洞发现方面的强大能力。
微软Azure CTO用Claude分析1986年苹果II代码发现安全漏洞
微软Azure CTO马克·鲁西诺维奇使用Claude AI分析其1986年为Apple II编写的代码,AI成功反向工程机器码并发现了多个安全漏洞。这表明AI能够自动化发现漏洞,将被攻击者和防御者同时利用。全球数十亿遗留微控制器可能存在类似脆弱固件。Anthropic警告称AI能快速发现被忽视数十年的高危漏洞,预计未来大量代码将被AI扫描,但这也给开源项目维护者带来负担。
意外黑客:一人如何获得7000台机器人控制权
软件工程师萨米·阿兹杜法尔在将大疆扫地机器人连接到PS5手柄时,意外发现了后端安全漏洞。他利用AI编程助手逆向工程了机器人与云服务器的通信方式,结果获得了24个国家近7000台设备的访问权限,包括实时摄像头画面、麦克风音频和房屋地图。他将发现报告给媒体,大疆声称已解决问题,但该事件凸显了智能家居设备的安全隐患。
OpenClaw安全漏洞频发:个人信息泄露风险激增
研究人员发现开源AI代理平台OpenClaw存在严重安全漏洞,包括间接提示注入攻击和恶意技能包。Snyk工程师扫描ClawHub市场发现,近4000个技能包中有283个存在敏感凭据泄露问题,占比7.1%。攻击者可通过恶意文档植入后门,窃取用户文件、信用卡信息等敏感数据,甚至部署勒索软件进行长期远程控制。
微软和ServiceNow智能体漏洞暴露日益严重且可预防的AI安全危机
微软和ServiceNow的可利用智能体暴露出不断增长且可预防的AI安全危机。部署在企业网络上的AI智能体具有访问敏感系统的广泛权限,可能使威胁行为者实现跨组织IT资产的横向移动。安全研究人员发现了两个严重漏洞:ServiceNow的"BodySnatcher"漏洞和微软Copilot Studio的连接智能体功能。这些漏洞突显了智能体AI发展初期缺乏完善安全框架的问题。
AI工具存在严重安全脆弱性,治理刻不容缓
网络安全公司Zscaler最新威胁报告显示,企业AI工具极易遭受网络攻击。研究发现AI系统异常脆弱,在25个企业环境的红队测试中,AI系统首次重大故障的中位数时间仅为16分钟,90分钟内90%的系统出现故障。72%的企业环境中,首次测试就发现关键漏洞。同时,2025年AI数据交易量达9893亿次,较2024年增长91%。报告建议企业重点关注可视性、实时防御和一致的治理控制。
Claude代码漏洞可能泄露用户私人数据给攻击者
安全研究员发现了一种通过间接提示注入攻击Claude的方法,可诱使其将私人数据上传至攻击者账户。该攻击利用Claude的网络访问功能和文件API,通过在文档中嵌入恶意指令实现数据窃取。Anthropic回应称已在安全文档中记录了这一风险,建议用户在使用网络功能时监控Claude行为。研究显示,当前多数AI模型在面对网络访问时都存在类似安全漏洞。
图像缩放攻击突破Google Gemini等AI系统安全防护
安全研究人员发现,谷歌Gemini CLI等生产级AI系统容易受到图像缩放攻击。攻击者通过在图像中嵌入恶意提示,利用AI系统的图像缩放算法使隐藏指令在缩放后显现,从而绕过安全机制实现数据窃取。研究团队开发了开源工具Anamorpher来演示此攻击技术。谷歌回应称这并非默认配置下的安全漏洞,只在用户明确信任输入并覆盖默认设置时才可能发生。
京公网安备 11010802021500号
