一位16岁的高中生安全研究人员发现,AI文档平台Mintlify存在严重的跨站脚本(XSS)漏洞,可导致攻击者通过恶意脚本窃取用户凭证。该漏洞影响了包括Discord、X(推特)、Vercel、Cursor在内的多家知名科技巨头。研究人员通过分析Mintlify的API端点,成功利用静态文件服务功能绕过安全限制,在SVG文件中嵌入恶意脚本。这一事件揭示了AI工具供应链的安全风险,展示了单一组件漏洞可能引发的连锁反应。研究人员已负责任地向受影响公司披露漏洞,并获得了总计约11,000美元的安全赏金。
原文链接:Hacker News












