因第三方AI工具受陷,Vercel 内部系统遭未授权访问
这条攻击链的完整过程值得了解,因为它揭示了现代“供应链”入侵越来越多地通过身份提供商(而非代码)进行传播的典型路径。
代码卫士
Anthropic MCP 设计漏洞可导致 RCE,威胁 AI 供应链安全
Flowise 及多个 AI 框架存在一个严重漏洞,导致数百万用户面临远程代码执行(RCE)风险
因漏洞数量激增,NIST 已停止对低优先级漏洞的评分
速修复
Protobuf 库中严重漏洞可导致 JavaScript 代码执行
速修复
思科紧急修复高危 ISE 漏洞
速修复
已遭活跃利用的 nginx-ui 漏洞可导致 Nginx 服务器遭完全接管
速修复
微软4月补丁星期二值得关注的漏洞
速修复
PHP Composer 多个新漏洞可导致任意命令执行
速修复
Axios 严重漏洞可导致 RCE
速修复
Apache Tomcat 紧急修复多个漏洞
速修复
Marimo 高危预认证 RCE 漏洞已遭活跃利用
速修复
Adobe 紧急修复已遭利用的 0day
速修复
Grafana 修复可泄露用户数据的 AI 漏洞
速修复
AI漏洞发现量激增,HackerOne 宣布暂停开源漏洞奖励计划
行业需要想清楚如何为‘修复’提供资金,而不仅仅是为‘发现’买单。
AI编程月产代码从2.5万到25万行:一场被忽视的"漏洞危机"
近日,《纽约时报》记者Mike Isaac和Erin Griffith发文揭示了AI编程工具普及后的另一面:代码过载。一家金融服务公司引入AI编程工具后,月产代码量从2.5万行跳升至25万行——增长1...
CISA:须在周日前修复已遭利用的 Ivanti EPMM 漏洞
速修复
已存在13年的Apache ActiveMQ 严重漏洞可用于远程执行命令
速修复
OpenAI Codex 漏洞可导致攻击者窃取 GitHub 访问令牌
速修复
开源平台 Flowise 中的满分 RCE 漏洞已遭在野利用
速修复
GitHub 开源软件仓库遭 AI 自动化供应链攻击
近几个月内的第二起AI辅助供应链攻击
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)