/
Broadcom强化Spring安全体系,全力防御AI驱动的网络攻击
Broadcom宣布对Spring和Java生态系统进行重大安全投入,发布了Spring历史上规模最大的安全更新,并将清洁室构建架构扩展至整个Spring生态的Java依赖项。该公司还利用AI工具大规模识别漏洞、评估修复路径。企业客户可通过Spring Enterprise Repository抢先获取零日CVE补丁。分析师对此总体持正面态度,但对将零日补丁限于付费客户的做法表示批评。
Fortinet修复关键SQL注入漏洞防止未授权代码执行
Fortinet发布安全更新,修复FortiClientEMS中可导致任意代码执行的关键漏洞CVE-2026-21643,CVSS评分9.1。该SQL注入漏洞允许未经身份验证的攻击者通过特制HTTP请求执行未授权代码。受影响版本为FortiClientEMS 7.4.4,需升级至7.4.5或更高版本。此外,公司还修复了另一个影响FortiOS等产品的严重漏洞,该漏洞已被恶意行为者积极利用。
Docker修复Ask Gordon AI的关键漏洞 可通过镜像元数据执行代码
Docker在4.50.0版本修复了Ask Gordon AI助手的严重漏洞DockerDash。攻击者可通过在Docker镜像元数据标签中嵌入恶意指令,利用AI助手无法区分合法元数据和可执行命令的缺陷,实现代码执行或数据窃取。该漏洞涉及三阶段攻击:Gordon AI读取恶意指令,转发至MCP网关,后者执行相应工具。问题根源在于缺乏元数据验证和信任边界隔离。
热门Python库存在元数据投毒攻击漏洞
Hugging Face模型中使用的热门AI和机器学习Python库存在漏洞,允许远程攻击者在元数据中隐藏恶意代码。这些开源库包括英伟达的NeMo、Salesforce的Uni2TS和苹果与瑞士联邦理工学院合作开发的FlexTok。漏洞涉及Meta维护的Hydra库的instantiate()函数。当加载包含恶意元数据的文件时,恶意代码会自动执行。虽然目前尚未发现野外利用案例,但攻击面广泛,存在被滥用的风险。
英伟达确认新的安全漏洞,建议立即更新
英伟达Triton推理服务器被发现两个高严重性安全漏洞CVE-2025-33211和CVE-2025-33201,影响Linux版本r25.10之前的所有版本。这两个漏洞均获得7.5分的严重性评分,可能导致拒绝服务攻击。由于Triton服务器广泛用于AI应用与大语言模型通信和AI模型规模化部署,英伟达敦促用户立即从GitHub更新到最新版本以保护系统安全。
京公网安备 11010802021500号
