- 博客(3014)
- 收藏
- 关注
RSS订阅转载 cPanel 修复三个新漏洞
CVE-2026-29202(CVSS 8.8):由 “create_user API” 调用中的 “plugin” 参数的输入验证不充分造成的,可导致以已经认证账号的系统用户的名义执行任意 Perl 代码。发布更新,修复了位于 cPanel 和 WHM 中的三个新漏洞(CVE-2026-29201、CVE-2026-29202和CVE-2026-29203),它们可导致攻击者实现提权、代码执行和拒绝服务。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
2026-05-11 17:52:15
29
转载 斯柯达网上商店漏洞遭利用,客户信息遭短暂未授权访问
斯柯达公司提到,截止目前并未有实际的客户数据遭滥用的整局,但鉴于无法完全排除未授权访问,因此作为预防措施正在通知受影响客户。第二,凭据填充攻击,威胁人员试图利用受陷的邮件和密码组合来获得对其它网络账号的未授权访问权限,尤其是当用户复用多种服务使用的同一密码时尤为危险。斯柯达汽车公司披露了一起影响其官方网上商店的重大IT安全事件称,多名未授权个人利用该平台标准商店软件中的一个漏洞,获得对客户信息的临时未授权访问权限。该漏洞已完全修复,斯柯达还聘请一家外部IT取证公司,开展全面的事件后技术分析。
2026-05-11 17:52:15
34
转载 Microsoft 365 Copilot 多个严重漏洞可导致敏感信息暴露
CVE-2026-33111影响嵌入在 Microsoft Edge 中的 Copilot Chat,归类为 CWE-77(命令中使用的特殊元素未正确中和——命令注入)。微软披露了影响微软 Edge 中 Microsoft 365 Copilot 和 Copilot Chat的三个严重信息泄露漏洞(CVE-2026-26129、CVE-2026-26164和CVE-2026-33111),现均已修复,终端用户或管理员均无需任何操作。攻击向量为网络途径,无需权限或用户交互,对机密性影响为高。
2026-05-09 17:50:56
47
转载 Dirty Frag 可被用于获得Linux所有主流发行版本的 root 权限
由于它是一个确定性的逻辑漏洞,不依赖时间窗口,因此不需要竞争条件,利用失败时内核也不会崩溃,且成功率非常高。与此同时,这一新 0day 漏洞披露时,正值 Linux 发行版维护者仍在为“Copy Fail”漏洞推送补丁,后者是另一个可实现 root 权限提升的漏洞,目前已遭活跃利用。据称,5月7日,当时有一个无关的第三方独立发布了该漏洞利用代码,于是Kim经与各发行版维护者协商,打破披露禁令,发布了完整的 Dirty Frag 文档及概念验证(PoC)利用代码。该漏洞没有补丁,也没有CVE编号。
2026-05-09 17:50:56
51
转载 Ivanti 提醒注意已遭利用的 EPMM 高危漏洞
1月份,Ivanti 公司还披露了其它两个严重的EPMM 代码注入漏洞(CVE-2026-1281和CVE-2026-1340)已遭 0day 攻击,不过仅影响“数量非常有限的客户”。今天,Ivanti 公司还修复了其它四个高危 EPMM 漏洞(CVE-2026-5786、CVE-2026-5787、CVE-2026-5788和CVE-2026-7821),它们可导致攻击者获得管理员访问权限、冒充已注册 Sentry 主机来获得有效证书颁发机构签名客户端证书、调用任意方法并获得对受限信息的访问权限。
2026-05-08 17:58:00
49
转载 速修复已存在21年的 FreeBSD RCE 漏洞
攻击者可以通过恶意的 DHCP 回复在这些字段中注入恶意字符,从而突破原有的字段边界,在租约文件中插入伪造的配置指令(例如伪造的介质设置)。这两个错误都不依赖复杂的利用技巧,也无需任何特定于语言本身的漏洞,但合在一起,就为任何能够应答本地网络上 DHCP 请求的攻击者,提供了一条干净利落的 root 提权路径。研究人员提到,该漏洞是一个逻辑漏洞,可导致受攻击者控制的协议数据在未经妥善清理的情况下,被持久化到受信任的类似配置的格式中,随后在特权执行路径中被重新解释。本文由奇安信编译,不代表奇安信观点。
2026-05-08 17:58:00
42
转载 Apache HTTP/2 严重漏洞可导致 DoS 和 RCE
此时,两个 nghttp2 回调函数会依次触发:首先是处理 RST 帧的 on_frame_recv_cb,然后是处理关闭事件的 on_stream_close_cb。随后,当 c1_purge_streams 遍历 spurge 并对每个条目调用 h2_stream_destroy –> apr_pool_destroy 时,第二次调用的内存区域已经被释放,从而引发双重释放。不过,他警告称漏洞的攻击面很大,因为 mod_http2 包含在默认构建中,且 HTTP/2 在生产环境中被广泛启用。
2026-05-07 18:17:18
51
转载 vm2 沙箱严重漏洞可导致在宿主机执行代码
此前影响该库的沙箱逃逸漏洞还包括 CVE-2023-30547、CVE-2023-29017 和 CVE-2022-36067,凸显了在 JavaScript 沙箱环境中安全隔离不受信任代码所面临的挑战。vm2 是一个开源的 Node.js 库,用于在受限的沙箱环境中运行不受信任的 JavaScript 代码。该库的维护人员在安全公告中提到,该漏洞仅影响启用了 WebAssembly 异常处理和 JSTag 支持的Node.js 25的环境(已在Node.js 25.6.1上得到确认)。
2026-05-07 18:17:18
39
转载 Palo Alto 提醒注意严重的 PAN-OS RCE漏洞
PAN-OS 11.1 - 低于11.1.4-h33、低于11.1.6-h32、低于11.1.7-h6、低于11.1.10-h25、低于11.1.13-h5和低于 11.1.15的版本。PAN-OS 10.2 - 低于 10.2.7-h34、低于10.2.10-h36、低于10.2.13-h21、低于10.2.16-h7和低于10.2.18-h6的版本。PAN-OS 11.2 - 低于11.2.4-h17、低于11.2.7-h13、低于11.2.10-h6和低于11.2.12的版本。
2026-05-06 18:13:53
65
转载 Progress 提醒注意严重的 MOVEit 自动化认证绕过漏洞
例如,根据Emsisoft的估计,Clop勒索软件团伙在2023年利用MOVEit Transfer安全文件传输平台中的一个 0day 漏洞,发起了一系列大规模的数据窃取攻击,影响了超过2100个组织和逾6200万个人。MOVEit Automation能够自动处理复杂的数据工作流,无需手动编写脚本,并可作为一个集中的自动化编排工具,用于调度和管理不同系统之间(包括本地服务器、云存储以及外部合作伙伴)的文件传输。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
2026-05-06 18:13:53
33
转载 SAP 官方 npm 包受陷,被用于供应链攻击窃取凭据
Socket 公司的研究人员在报告中解释称:“在 CI 运行器上,该载荷会执行一个嵌入式的 Python 脚本,读取 Runner.Worker 进程的 /proc/<pid>/maps 和 /proc/<pid>/mem,直接从运行器内存中提取所有符合 "key" :{ "value": "...", "isSecret": true} 格式的密钥,从而绕过 CI 平台施加的所有日志脱敏机制。数字化时代,软件无处不在。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
2026-04-30 10:45:13
22
转载 奇安信Qcode Agents亮相数字中国,以多智能体协同守护AI时代代码安全
🚀 未来,奇安信人工智能公司将持续深化技术创新,陆续推出更多以AI对抗AI的系列产品,构建覆盖“AI体检、AI运营、AI预见、AI红队”的自主进化攻防闭环,为数字中国建设筑牢代码安全根基,助力企业在AI时代守住安全底线,释放数字生产力潜能。该智能体通过项目侦查、任务规划分发、漏洞分析、漏洞验证、报告生成五大模块协同,完成从项目画像到漏洞验证的全流程自动化作业,可高效挖掘项目中的隐蔽逻辑漏洞,输出包含攻击路径、修复建议的专业报告。奇安信以Qcode Agents为。,实现“提交即检测、风险即拦截”。
2026-04-30 10:45:13
25
转载 Copy Fail: 仅732字节,通杀所有主流 Linux 发行版,隐藏9年的 root 提权漏洞
Copy Fail(CVE-2026-31431)是 Linux 内核 authencesn 加密模板中的一个逻辑漏洞,可导致非特权本地用户向系统上任意可读文件的页缓存中,触发一次确定性的、可控的 4 字节写入。然而,访问文件时实际读取的是页缓存中的内容,因此受污染的内存版本会立即在整个系统中生效。修改 /usr/bin/su 的缓存副本,就 execve 系统调用的视角而言,等同于修改了二进制文件本身,区别在于磁盘上的内容没有任何变化,inotify 不会被触发,校验和也不会出现不一致。
2026-04-30 10:45:13
223
转载 仅凭一条 git push 命令,即可在 GitHub 实现RCE 并访问数百万仓库
在公开披露时,约 88% 的实例仍受该漏洞影响。对于 GitHub.com 而言,一个企业模式标志(该标志在 GitHub Enterprise Server 中设为“true”)在 GitHub.com 中默认为“false”,这使得自定义钩子路径处于非活跃状态。更严重的是,GitHub 指出鉴于 GitHub 的多租户架构及其共享后端基础设施,一旦在 GitHub.com 上获得代码执行能力,就会导致跨租户数据泄露,攻击者可以有效读取共享存储节点上的数百万个仓库,无论这些仓库属于哪个组织或用户。
2026-04-29 12:01:19
41
转载 刚刚,cPanel紧急修复影响所有受支持版本的认证漏洞
该漏洞涉及的“多种认证路径”,是软件中管理用户及管理员如何访问其托管环境的关键区域。虽然 cPanel 主要用于管理单个托管账户,但与 WebHost Manager (WHM) 的集成意味着,这些认证路径一旦遭到入侵,可能导致攻击者获得对整个服务器的更广泛管理控制权。对于运行 cPanel 旧版(已停止支持)的用户,该公司发出警告称,“如果服务器上运行的并非可获得本次更新的受支持 cPanel 版本,强烈建议尽快升级服务器,因为该版本也可能受影响。该漏洞的核心在于 cPanel 处理认证的方式。
2026-04-29 12:01:19
76
转载 Pipecat 语音代理可遭严重 RCE 漏洞利用劫持
该漏洞出在一个已弃用且无文档记录的组件LivekitFrameSerializer 上,为面向网络的应用中不安全的反序列化操作敲响了警钟。技术摘要解释称该类的 deserialize() 方法对从 WebSocket 客户端接收到的数据直接使用了 Python 的 pickle.loads(),未进行任何验证或清理。一旦该对象被“反序列化”,攻击者就能以 Pipecat 服务所拥有的权限,完全控制宿主系统。有漏洞的类已被弃用,取而代之的是更安全的 LiveKit Transport 方法。
2026-04-28 18:12:22
51
转载 Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险
该漏洞影响 npm 包 @google/gemini-cli 以及 GitHub Action google-github-actions/run-gemini-cli,尤其是当它们在 CI/CD 流水线等无头环境中使用时,从而可能导致供应链风险。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。安全公告提到,该漏洞源于两个相关的弱点:不安全的工作区信任处理和在 --yolo 模式下对工具允许列表的绕过机制。
2026-04-28 18:12:22
23
转载 已存在12年之久的Pack2TheRoot 漏洞可导致攻击者获得 Linux root 访问权限
尽管尚不清楚该漏洞是否已遭利用,但研究人员认为有强有力的迹象表明已遭利用,因为利用可导致 PackageKit 守护进程触发断言失败并崩溃。不过,上述并未列出该漏洞影响的所有版本,任何使用 PackageKit 的 Linux 发行版本均应按照可能已遭攻击来处理。“Pack2TheRoot”漏洞 (CVE-2026-41651,CVSS 8.8) 可用于 PackageKit 守护进程,导致Linux 本地用户安装或删除系统包并获得 root 权限。本文由奇安信编译,不代表奇安信观点。
2026-04-27 18:10:36
72
转载 OpenAI 推出GPT-5.5 生物漏洞奖励计划,最高赏金2.5万美元
涵盖的材料包括所有精心设计的提示词、模型生成的回复、安全发现,以及与 OpenAI 工程团队的直接沟通记录。为了应对这一不断演变的威胁格局,OpenAI 正积极邀请网络安全研究人员、生物安全专家以及 AI 红队测试人员,对最新模型的能力边界进行极限测试。在人工智能安全领域,"越狱"是一种高度专业化的提示词,专门设计用来绕过模型内置的安全过滤器和伦理约束。找出真正的通用越狱方法难度极高,该漏洞奖励计划的奖金数额也反映了这一任务的复杂度。该计划有严格的时间表,并为成功披露漏洞设置了特定的奖励等级。
2026-04-27 18:10:36
49
转载 苹果紧急修复可导致 FBI 恢复已删除 Signal 消息的漏洞
记录中写道:“消息是通过苹果的内部通知存储从 Sharp 的手机中恢复的——Signal 虽然已被卸载,但收到的通知仍保留在内部存储器中。苹果发布非定期安全更新,修复了 iPhone 和 iPad 设备中的通知服务漏洞CVE-2026-28950,它可导致已被标记为删除的通知消息仍然保留在设备上,已于 2026 年 4 月 22 日在 iOS 26.4.2、iPadOS 26.4.2、以及 iOS 18.7.8 和 iPadOS 18.7.8 版本修复。苹果新 0day 漏洞已用于“极其复杂的”攻击。
2026-04-24 18:30:14
63
转载 Bitwarden CLI受陷,被指与Checkmarx 供应链攻击有关
在 Bitwarden 事件中,恶意负载使用了与 Checkmarx 事件中相同的 audit.checkmarx[.]cx/v1/telemetry 端点,还使用了相同的 __decodeScrambled 混淆例程,种子值为 0x3039,并呈现出相同的凭据窃取、基于 GitHub 的数据外传以及供应链传播行为模式。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。为此,我们推出“供应链安全”栏目。
2026-04-24 18:30:14
24
转载 自传播供应链蠕虫劫持 npm 包,窃取开发人员令牌
如果发布令牌在受害系统中以环境变量或 ~/.npmrc 配置文件的形式存在,恶意脚本会识别受害者可发布的包,添加恶意负载,然后以递增的版本号将其重新发布到 npm。SetpSecurity 公司的研究人员表示,该恶意软件“是一个供应链蠕虫”,能够找到可用于在 npm 上发布包的令牌,并将自身注入到该令牌有权发布的每个包中,从而进一步扩大入侵范围。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。数字化时代,软件无处不在。
2026-04-23 18:40:57
23
转载 微软紧急修复严重的 ASP.NET 漏洞
微软在 .NET 10.0.7 的发布说明中表示:“Microsoft.AspNetCore.DataProtection 10.0.0 至 10.0.6 NuGet 包中存在一个回归问题,导致托管认证加密器在对负载的错误字节计算 HMAC 验证标签,并且在某些情况下会丢弃计算出的哈希值。微软在周二发布的安全公告中进一步解释称:“如果攻击者在存在漏洞的时间窗口内,利用伪造的负载以特权用户身份通过身份认证,可能诱使应用程序向自己颁发合法签名的令牌(如会话刷新令牌、API 密钥、密码重置链接等)。
2026-04-23 18:40:57
67
转载 谷歌修复 Antigravity IDE 漏洞,本可导致提示词注入代码执行
AI 代码编辑器 Cursor 被指存在一个名为“NomShub”的严重的“离地 (LotL)”漏洞链,恶意仓库可通过间接提示注入、利用 shell 内置命令(如 export 和 cd)实现的命令解析器沙箱逃逸,以及 Cursor 的内置远程隧道,在开发者于 IDE 中打开该仓库时悄然劫持其机器,授予攻击者持久的、未被检测到的 shell 访问权限。研究人员在 Claude 中发现了三个漏洞,当在名为“Claudy Day”的攻击中组合利用时,攻击者可悄然劫持用户的聊天会话,并通过一次点击窃取敏感数据。
2026-04-22 18:23:03
59
转载 Mythos 疑遭未授权访问,Anthropic 称正在调查
据称,该未经授权的群体尝试了多种不同策略以获取该模型的访问权限,包括利用彭博社采访对象所拥有的“访问权限”。报道称,该群体的成员隶属于致力于搜寻尚未发布的 AI 模型的相关信息的一个 Discord 频道。彭博社报道称,该群体应当在 Mythos 公开发布的当天就获得了访问权限的群体,“基于对 Anthropic 用于其它模型的格式的了解,对该模型的在线位置做出了有根据的推测”。Anthropic 公司在发布之初曾表示,这款面向企业安全设计的 AI 产品若落入不法分子之手,可能会成为一款强大的黑客工具。
2026-04-22 18:23:03
66
转载 因第三方AI工具受陷,Vercel 内部系统遭未授权访问
但其中隐含的风险值得认真对待:如果用于发布 Vercel 所维护包的 NPM 令牌被盗,最坏的情况下,next、@vercel/next、@vercel/analytics 或任何其它由 Vercel 发布包的恶意版本将出现在 npm 上。该攻击的源头并非 Vercel 自身,而是因一名 Vercel 员工使用的第三方 AI 工具 Context.ai触发,随后通过一个被入侵的 Google Workspace OAuth 应用进行传播,最终进入 Vercel 的内部环境以及部分客户的环境变量。
2026-04-21 18:32:43
12
转载 Anthropic MCP 设计漏洞可导致 RCE,威胁 AI 供应链安全
截至目前,已发布至少十个 CVE 编号,覆盖以下平台的关键漏洞:LiteLLM、LangChain、GPT Researcher、Windsurf、DocsGPT 以及 IBM 公司的 LangFlow。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。为此,我们推出“供应链安全”栏目。
2026-04-21 18:32:43
47
转载 因漏洞数量激增,NIST 已停止对低优先级漏洞的评分
对漏洞细节进行丰富的目的是使CVE条目可用于风险管理,包括分配严重性评分、识别受影响的软件版本、对弱点进行分类,以及提供指向安全公告、补丁或相关研究的链接。美国国家漏洞数据库 (NVD) 仍会收录所有提交的漏洞,但那些被视为低优先级的漏洞的严重性评级将仅由评估并提交该漏洞的CVE编号管理机构提供。NIST NVD 是一个公开的、集中式的已知软件与硬件漏洞数据库。因此,NIST接受通过电子邮件(地址为nvd@nist.gov)提交的“针对任何最低优先级CVE”的数据丰富请求。影响美国联邦政府所使用的软件;
2026-04-20 18:13:18
69
转载 思科紧急修复高危 ISE 漏洞
安全公告提到了两个独立漏洞,其中较为严重的是由对用户所提供输入的验证不充分造成的远程代码执行漏洞CVE-2026-20147(CVSS 9.9)。具有有效管理员凭据的攻击者,可向目标设备发送特殊构造的HTTP请求,利用该漏洞。管理员应当注意,思科ISE-IPC 发布版本3.4是最终的受支持版本,因为该产品已达生命周期。思科发布紧急安全公告,提醒用户称其 ISE 和 ISE-IPC 产品中存在多个漏洞,可导致经过身份认证的远程攻击者在受影响设备上执行任意命令。发行版本3.1: 迁移至受支持的已修复版本。
2026-04-17 18:32:35
66
转载 已遭活跃利用的 nginx-ui 漏洞可导致 Nginx 服务器遭完全接管
此前,研究人员在 Atlassian MCP 服务器(“mcp-atlassian”)中发现了两个安全漏洞 CVE-2026-27825(CVSS 9.1)和 CVE-2026-27826(CVSS 8.2),被命名为 MCPwnfluence,可以串联利用以实现远程代码执行。研究人员表示:“当将两个漏洞串联利用时,我们能够从局域网向 MCP 发送请求,将服务器重定向到攻击者控制的机器,上传一个附件,然后从局域网获得一个完全未经身份认证的 RCE。此外,攻击者还可利用这一漏洞拦截所有流量并窃取管理员凭据。
2026-04-16 18:13:42
83
转载 PHP Composer 多个新漏洞可导致任意命令执行
CVE-2026-40175(CVSS评分7.8)是一个输入验证不当漏洞,可导致攻击者利用恶意 composer.json 中的Perforce仓库配置注入任意命令,在运行Composer的用户上下文中执行命令。Composer 表示,作为预防措施,自2026年4月10日(周五)起,Packagist.org已禁用Perforce源元数据的发布。CVE-2026-40261(CVSS评分8.8):因转义不足导致的输入验证漏洞,攻击者可通过包含shell元字符的构造源引用注入任意命令。觉得不错,就点个 “
2026-04-15 18:19:45
46
转载 Apache Tomcat 紧急修复多个漏洞
然而,该补丁引入了一个新的、同等严重的漏洞CVE-2026-34486。这些漏洞影响多个 Apache Tomcat 分支,可导致 EncryptInterceptor 被绕过的有缺陷补丁(CVE-2026-34486)。在这些漏洞中,其中一个是严重的补丁错误,可导致服务器面临拦截绕过的风险,其它问题与影响证书认证和填充预言机攻击有关。运行已停止支持的旧版本Tomcat 的组织机构应立即迁移至仍在支持的分支,因为这些遗留系统不会收到针对填充预言机攻击及后续绕过漏洞的补丁。
2026-04-14 18:16:47
270
转载 Axios 严重漏洞可导致 RCE
当开发者发起一个完全安全的、硬编码的出站请求时,Axios 会无意中将被污染的原型属性(例如x-amz-target)合并到请求头部中。该被走私的请求包含了必需的 X-aws-ec2-metadata-token-ttl-seconds头部,从而成功绕过了 AWS IMDSv2 的会话令牌保护机制。安全公告提到,该漏洞的核心问题存在于该库的头部处理组件中,具体位于 lib/adapters/http.js 文件内,与HTTP 头部完全缺乏净化处理(CWE-113)相关。本文由奇安信编译,不代表奇安信观点。
2026-04-14 18:16:47
145
转载 Marimo 高危预认证 RCE 漏洞已遭活跃利用
研究人员指出,这起攻击背后似乎是一位“有条理的操作者”,手法偏向手动操作而非依赖自动化脚本,目标明确,主要集中在窃取 .env 凭据和 SSH 密钥等高价值资产上。不久之后,攻击者重新连接并开始手动侦查,执行pwd、whoami 和 ls 等基本命令以了解环境,随后尝试进行目录遍历,并检查与 SSH 相关的路径位置。建议 Marimo 用户立即升级到 0.23.0 版本,同时监控指向 ‘/terminal/ws’ 的 WebSocket 连接,通过防火墙限制外部访问,并更改所有已泄露的密钥。
2026-04-13 18:41:49
70
转载 Adobe 紧急修复已遭利用的 0day
几天前,安全研究员兼 EXPMON 的创始人 Haifei Li 披露称,在通过 Adobe Reader 打开特殊构造的 PDF 文档时,该 0day 漏洞被用于运行恶意 JavaScript 代码。他指出,“Adobe 似乎认为该漏洞可导致任意代码执行,而非仅仅是一个信息泄露漏洞,这和我们以及其他安全研究员在过去几天中的研究发现一致。该漏洞是由运行污染导致的,如遭利用可导致攻击者在受影响版本上运行恶意代码。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
2026-04-13 18:41:49
57
转载 Grafana 修复可泄露用户数据的 AI 漏洞
简言之,攻击者将在受控的网页中隐藏恶意指令,并通过控制指令显示为无害的方式,将所要求的敏感数据返回给受攻击者控制的服务器。用户是毫不知情的触发者而非钓鱼攻击的目标,这就是为何攻击如此隐蔽的原因所在。该公司提到,研究员负责任地披露该漏洞后,Grafana“立即着手,与我们一起验证,并尽可能快地推出修复方案,保护用户的安全。Grafana Labs的首席信息安全官 Joe McManus 表示,Noma 公司的研究员从 Markdown 组件的图像渲染器中发现了一个问题,并“已被迅速修复”。
2026-04-10 14:10:39
58
转载 AI漏洞发现量激增,HackerOne 宣布暂停开源漏洞奖励计划
现在需做的是以投入漏洞发现的同等紧迫性,加大对漏洞修复能力的投入。对于开源项目的维护者来说,“分类审核疲劳”已经成为最大的挑战,他们为了反驳那些凭空捏造的漏洞,就要耗费数小时的开发时间。HackerOne 表示,他们现在的重点是寻找新的途径,以实现让漏洞发现与有效的修复工作相匹配的最初目标,“从而让有意义的发现成果能够为开源项目带来持久的安全改进”。自今年3 月27日起,该计划暂停接收新的漏洞提交报告,HackerOne 给出的原因是漏洞发现的速度与开源维护者修复漏洞的能力之间的失衡正日益加剧。
2026-04-10 14:10:39
81
转载 AI编程月产代码从2.5万到25万行:一场被忽视的“漏洞危机“
AI生成代码的风险不再局限于SQL注入、XSS等传统漏洞,更多表现为逻辑漏洞、幻觉代码、虚构API调用、权限配置错误等新型隐患,传统静态扫描工具无法识别业务逻辑缺陷,人工审核又被海量代码淹没,形成。落地效果显示,该体系让温氏股份漏洞发现效率提升3倍,高危漏洞拦截率超95%,人工审计工作量减少30%-40%,中等规模系统安全审查从2-3周缩短至3-5天,每年节省。Agents代码安全智能体等创新方案,为企业提供从检测、审计到修复、运营的全链路支撑,破解海量代码审计、AI生成代码漏洞、业务逻辑缺陷等核心难题。
2026-04-10 14:10:39
31
转载 AI编程月产代码从2.5万到25万行:一场被忽视的“漏洞危机“
AI生成代码的风险不再局限于SQL注入、XSS等传统漏洞,更多表现为逻辑漏洞、幻觉代码、虚构API调用、权限配置错误等新型隐患,传统静态扫描工具无法识别业务逻辑缺陷,人工审核又被海量代码淹没,形成。落地效果显示,该体系让温氏股份漏洞发现效率提升3倍,高危漏洞拦截率超95%,人工审计工作量减少30%-40%,中等规模系统安全审查从2-3周缩短至3-5天,每年节省。Agents代码安全智能体等创新方案,为企业提供从检测、审计到修复、运营的全链路支撑,破解海量代码审计、AI生成代码漏洞、业务逻辑缺陷等核心难题。
2026-04-10 14:10:39
30
转载 AI编程月产代码从2.5万到25万行:一场被忽视的“漏洞危机“
AI生成代码的风险不再局限于SQL注入、XSS等传统漏洞,更多表现为逻辑漏洞、幻觉代码、虚构API调用、权限配置错误等新型隐患,传统静态扫描工具无法识别业务逻辑缺陷,人工审核又被海量代码淹没,形成。落地效果显示,该体系让温氏股份漏洞发现效率提升3倍,高危漏洞拦截率超95%,人工审计工作量减少30%-40%,中等规模系统安全审查从2-3周缩短至3-5天,每年节省。Agents代码安全智能体等创新方案,为企业提供从检测、审计到修复、运营的全链路支撑,破解海量代码审计、AI生成代码漏洞、业务逻辑缺陷等核心难题。
2026-04-10 14:10:39
17
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人