麦肯锡AI平台遭自主Agent攻破:2小时窃取4650万条敏感数据,Prompt层成安全盲区
安全研究团队CodeWall展示了一场令人震惊的AI自动化渗透测试:其自主攻击型Agent在无任何凭证的情况下,仅用两小时便攻破了全球顶级咨询公司麦肯锡的内部AI平台“Lilli”。该Agent通过发现公开API文档中未受保护的JSON键值...
安全研究团队CodeWall展示了一场令人震惊的AI自动化渗透测试:其自主攻击型Agent在无任何凭证的情况下,仅用两小时便攻破了全球顶级咨询公司麦肯锡的内部AI平台“Lilli”。该Agent通过发现公开API文档中未受保护的JSON键值...
随着国内AI大模型热潮的兴起,不少安全厂商也纷纷推出了C端AI应用。然而,有业内观察人士指出,这波看似热闹的“AI+”风潮背后,却隐藏着被忽视的巨大安全隐患。通过安全测绘工具检索发现,许多标榜智能便捷的AI产品在端口暴露、漏洞修补以及数据防...

ECS / OSS / CDN / 云数据库一站采购,常用云资源集中选配;新用户与续费均有专场优惠,适合个人开发者与小团队长期使用。
本文通过自动化工具对主流免费在线开发工具进行了隐私审计,结果触目惊心。开发者常用的 JSON 格式化、Diff 对比和 Base64 解码网站,普遍嵌入了大量广告跟踪脚本(单站点连接上千广告商),甚至存在将用户输入的代码存储在服务器端的行为...

237,021 台 OpenClaw 实例暴露在公网。百度独占6万台,腾讯阿里各4万。我抓了全量数据做了12维度分析,发现了一些跟主流认知完全相反的结论。 昨天,安全研究组织 Allegro 公布了一份扫描报告:全球公网上有 237,021...
近日,有用户在技术社区反馈Google Gemini出现严重的会话混淆问题。用户在使用AI时发现,系统界面莫名出现了并非本人发出的提问,疑似将其他用户的对话历史“串联”至当前账户。这种类似“多人联机”的故障引发了公众对AI服务数据隔离机制的...
主打“氛围编程”的AI代码生成平台Lovable卷入安全风波。一名研究员在Lovable托管的一个热门应用中发现了16个安全漏洞,其中6个属于关键级别,导致超过1.8万名用户数据泄露。尽管该应用在平台推荐页拥有高人气,但由于其默认使用Sup...
去年一个 AI 客服 Agent 被黑客攻破,泄露了 5 万用户的个人信息。 问题不在模型,在开发者忽略了最基本的安全措施。 AI Agent 的安全问题比传统应用更复杂,因为它们有自主性。 漏洞一:权限过大 现状:大多数 Agent 拥有...
近期,开源AI自动化工具openclaw爆发供应链投毒事件。多个第三方“技能”插件被植入恶意脚本,专门窃取用户的.env环境配置文件(通常包含API密钥)及浏览器Cookie。受影响的恶意插件主要集中在jordanprater和highto...
据媒体报道,美国网络安全和基础设施安全局(CISA)代理主管被指将标有“仅限官方使用”的敏感合同文件上传至公共版ChatGPT。此举触发了内部安全警报及国土安全部的损害评估。尽管CISA称该行为获授权且受控,但公共AI模型的数据留存机制仍引...
研究发现,微软Outlook的自动发现服务存在严重配置错误。自2020年2月以来,本应无法解析的IANA保留域名example.com被微软错误地路由至日本住友电工的邮件服务器。这意味着用户在使用该测试账户时,可能会将敏感凭据泄露给第三方。...