AI与供应链
该分类下共有 6 篇文章
-
271个漏洞一夜之间被发现:当AI的"视力"超过人类安全专家
2026年4月,Anthropic的Claude Mythos模型在Firefox浏览器中发现271个安全漏洞,是前代模型Opus发现数量的12倍。Firefox CTO坦言看到这个数字时"眩晕"——这标志着AI漏洞挖掘能力的历史性突破。然而同一时间,Mythos遭遇未授权访问事件,揭示了AI安全双刃剑的本质。
-
当AI读完一个网页,你的数据可能已经不属于你了
2026年4月15日,Forcepoint发布紧急报告:过去30天,全球超过120万个公共网页被植入恶意指令,攻击者利用1像素白色文本、HTML注释、零宽字符等手段,在正常页面中隐藏劫持指令。当用户让AI助手"总结一下这个网页"时,恶意代码已在上下文中悄然激活,执行数据窃取、邮件诈骗甚至横向感染。这不是实验室演示,而是正在互联网上大规模蔓延的现实攻击——间接提示注入(IPI)正在重写AI时代的安全边界。
-
一条GitHub评论,劫持了三大AI编程助手
2026年4月,安全研究员发现"Comment and Control"攻击:通过GitHub PR标题或Issue评论注入恶意指令,可劫持Claude Code、Gemini CLI和GitHub Copilot三大AI编程Agent,窃取API密钥和访问令牌。Claude Code被评CVSS 9.4,Copilot的三重运行时防护全部被绕过。同期Gemini CLI又被曝--yolo模式RCE漏洞。AI编程工具正在成为新的攻击面。
-
一个AI工具攻破了百万开发者的底座:Vercel供应链入侵全复盘
2026年4月,前端云平台Vercel遭黑客入侵。攻击者从一个AI工具Context.ai的OAuth应用入手,劫持员工账户,窃取580条员工信息、NPM令牌、GitHub令牌与内部部署凭证,并以200万美元在暗网兜售。这是一场没有零日漏洞、没有复杂漏洞链的入侵——全靠OAuth信任链的过度授权完成。
-
40万个WordPress网站,一个缓存插件,一场正在发生的灾难
2026年4月,WordPress缓存插件Breeze Cache被曝出CVE-2026-3844高危漏洞(CVSS 9.8),允许未认证攻击者上传任意文件并执行远程代码。超过40万个启用本地存储的WordPress网站面临直接被接管的风险,且漏洞已被在野利用。这起事件再次暴露了WordPress插件生态的系统性安全问题。
-
你装的AI技能包,可能正在偷偷下载木马
2026年4月,国家计算机病毒应急处理中心发布预警:OpenClaw(龙虾)智能体的多个技能包被植入恶意代码,央视跟进报道。攻击者仿冒正常技能包,嵌入木马下载器,用户调用技能时后台静默安装,窃取用户名口令和金融信息,甚至将智能体变成攻击内网的跳板。这是AI智能体生态首次被国家级安全机构点名预警,标志着供应链攻击的主战场,已从npm和Docker镜像,蔓延到了AI技能包。