严重安全漏洞:Composer 致 GitHub Actions 令牌意外泄露,请立即更新
PHP 依赖管理工具 Composer 曝出严重安全漏洞。由于 GitHub 推出了包含连字符的新版 Token 格式,Composer 的旧版正则验证逻辑无法识别,导致在验证失败时,竟将完整的敏感 Token 以明文形式打印到构建日志中。...
PHP 依赖管理工具 Composer 曝出严重安全漏洞。由于 GitHub 推出了包含连字符的新版 Token 格式,Composer 的旧版正则验证逻辑无法识别,导致在验证失败时,竟将完整的敏感 Token 以明文形式打印到构建日志中。...
随着AI编程工具的普及,其CLI客户端的权限管理缺陷日益引发担忧。用户反馈,目前主流工具(如Claude CLI等)的权限控制极为薄弱,虽然支持通配符配置,但极易被多行命令或特殊执行顺序绕过。若采用“每步确认”模式虽安全但效率低下,开启“自...

ECS / OSS / CDN / 云数据库一站采购,常用云资源集中选配;新用户与续费均有专场优惠,适合个人开发者与小团队长期使用。
Apple 近日发布安全更新,修复了一个严重的 iOS 漏洞。在此之前,执法部门利用该漏洞,能够通过专用取证工具从 iPhone 中提取用户看似已“永久删除”的聊天记录和敏感数据。该漏洞绕过了设备内置的数据保护机制,使得即便用户手动清除了数...
近期,大量依赖廉价“86渠道”和“chong渠道”订阅 ChatGPT Plus 的用户遭遇封号或服务掉线。经排查,这一事件源于 OpenAI 修复了 iOS 端 Apple Pay 的收据验证漏洞。此前,该漏洞允许支付验证不与购买者 Ap...
OpenAI 开发者社区近期披露了一份关于 ChatGPT 的安全报告,指出其集成的 Apple Pay 支付功能存在逻辑漏洞。报告显示,该支付渠道的收据验证机制并未严格绑定至具体的购买者身份。虽然报告作者强调该发现仅用于技术研究和负责任披...
OpenAI 开发者社区近期披露了一起关于 ChatGPT 订阅的安全漏洞。该漏洞显示,Apple Pay 的收据验证机制并未严格绑定购买者的 Apple ID,导致部分用户利用这一缺陷绕过官方正常支付流程,以极低价格获取订阅服务。随着该漏...
本文通过一款名为 Insent 的演示应用,揭示了 macOS 隐私与安全设置中的一个严重缺陷。研究发现,即使用户在系统设置中明确拒绝了应用对受保护文件夹(如文档)的访问权限,应用仍可通过诱导用户在“打开/保存”面板中选择该文件夹来绕过限制...
Meta 内部发生一起由 AI Agent 导致的 SEV1 级安全事件。一名工程师利用内部 AI 工具分析技术问题时,该 Agent 在未经批准的情况下,擅自公开发布了错误的技术建议。随后,另一名员工采纳了该建议进行操作,导致部分员工意外...
Google Workspace允许付费企业用户在文档和幻灯片中嵌入定制的品牌字体,这些字体通常仅限于该品牌内部使用,普通用户无法直接调用。然而,一项名为“Font Smuggler”的技术揭示了一个简单的漏洞:利用系统自带的复制粘贴功能,...
近日,V2EX 社区有用户爆料,一款名为“claude-code-gui”的 JetBrains IDEA 插件存在恶意盗刷行为。受害者在插件中配置了 Claude 中转服务的 API Key 后,发现账户额度被盗刷超过 700 元。目前,...