AI Agent 安全危机:Gas Town 被曝“偷用”用户 LLM 额度与账号提交 PR
GitHub 上的一篇帖子指控开源项目 Gas Town 在未告知用户的情况下,默认开启了“向上游贡献”的工作流。该软件会利用用户本地的 LLM 配额(如 Claude)和 GitHub 凭证,自动监控并修复官方仓库的 Issue,甚至以用...
GitHub 上的一篇帖子指控开源项目 Gas Town 在未告知用户的情况下,默认开启了“向上游贡献”的工作流。该软件会利用用户本地的 LLM 配额(如 Claude)和 GitHub 凭证,自动监控并修复官方仓库的 Issue,甚至以用...

这一周最值得记住的一件事,和模型能力无关,和功能更新无关。 Anthropic 发布了 Claude Mythos Preview——一个能够自主发现并利用操作系统、浏览器、NFS 服务等核心组件高危漏洞的模型。然后他们说:这个模型太危险了,不能公开发布。 这周同时发生的事:Python 生态的 litellm 被发现

ECS / OSS / CDN / 云数据库一站采购,常用云资源集中选配;新用户与续费均有专场优惠,适合个人开发者与小团队长期使用。
据科技社区爆料,全球广泛使用的硬件检测工具 CPU-Z 和 HWMonitor 在上周五的官方更新中遭遇了严重的供应链攻击。有用户反馈,从官方渠道下载的升级安装包被植入恶意病毒。鉴于这两款软件在 PC 硬件监控、超频及评测领域的极高市场占有...
一项名为“你的 Agent 是我的”的最新研究揭示了大型语言模型(LLM)供应链中的严重安全隐患。研究团队通过测试从电商平台及网络获取的428个 API 中转站,发现了令人担忧的恶意行为。测试结果显示,共有9个中转站(包含付费服务)会主动向...
知名硬件监控软件厂商CPUID确认其官网遭遇后端劫持,导致CPU-Z和HWMonitor的下载链接在约6小时内被替换为恶意安装包。分析显示,该恶意软件伪装成合法组件,利用PowerShell内存运行技术,试图窃取Chrome浏览器等敏感数据...
知名 CPU 和硬件监控软件 HWMonitor 的官方网站近期遭遇供应链攻击。多名用户反馈,从官方渠道 cpuid.com 下载的 HWMonitor 1.63 版本安装包被植入了 RedLine 窃密病毒。虽然开发团队迅速移除了受感染文...
知名开源安全扫描器 Trivy 遭遇严重的供应链攻击。攻击者成功入侵其发布流程并在 v0.69.4 官方版本中植入了恶意软件。该恶意变种不仅能窃取基本的环境变量,还专门针对 AWS Secrets Manager 和 HashiCorp V...
针对近期频发的软件供应链攻击(如 LiteLLM 事件),知名开发工具厂商 Astral(Ruff 和 uv 的制造者)公开了其内部严格的安全防护策略。文章详细剖析了 GitHub Actions 的安全隐患,指出其默认配置的不足,并分享了...
Axios团队正式发布了针对近期NPM供应链攻击的事后分析报告。攻击者通过钓鱼手段入侵了维护者的GitHub账户,并试图发布包含恶意代码的npm包。尽管官方及时拦截了大部分恶意分发,仅影响少量下载,但此次事件深刻暴露了开源项目在双因素认证(...
AI招聘平台Mercor确认因开源Python库LiteLLM遭供应链投毒而引发严重数据泄露。黑客组织在PyPI仓库上传了恶意版本,专门窃取OpenAI、Anthropic等服务的API密钥及云凭证。随后,Lapsus$组织宣称窃取了包括9...