rss · Ars Technica · 2026-04-03 20:30
流行的开源 AI 代理 OpenClaw 中发现了一个严重的安全漏洞,允许攻击者静默地获得未授权的管理员访问权限。该缺陷使恶意行为者能够在无需任何凭据或不触发即时警报的情况下完全攻陷用户系统。安全专家现在敦促所有 OpenClaw 用户假设其安装已被攻陷,并立即采取补救措施。 此次事件突显了与代理式 AI(agentic AI)相关的独特且升级的风险,因为这类 AI 能够自主执行 shell 命令和操作文件。与传统聊天机器人不同,像 OpenClaw 这样的代理一旦被攻陷,就可以主动破坏基础设施、窃取敏感数据或在网络内传播攻击。由于该工具的病毒式传播及其在个人机器上以高系统权限运行的设计,其严重性进一步加剧。这一事件为整个行业关于部署直接与操作系统交互的自主代理所面临的安全挑战发出了关键警告。 该漏洞特别授予了未授权的管理员访问权限,这意味着攻击者无需登录或 API 密钥即可接管控制权。由于访问是静默获取的,用户可能在遭受重大损害之前一直不知道泄露的发生。OpenClaw 的性质(集成到如 Telegram 等消息平台并运行本地 shell 命令)为潜在的利用创造了广泛的攻击面。建议用户立即断开受影响实例的连接,并审计系统日志以查找未授权活动。
ai-securityagentic-aivulnerabilitycybersecurityopenclaw
背景知识
OpenClaw 是一个免费的开源自主 AI 代理,充当个人助手,能够通过大语言模型浏览网页、读取文件并运行 shell 命令。与仅生成文本的标准聊天机器人不同,像 OpenClaw 这样的代理式 AI 工具拥有“眼睛和手”,可以直接在用户的机器上并通过消息接口执行操作。代理式 AI 的迅速崛起引入了新的安全范式,因为这些系统需要深度访问关键数据和系统才能有效运行。OWASP 和云安全联盟(Cloud Security Alliance)等组织的近期报告已开始概述与 AI 代理被劫持以执行有害任务相关的特定威胁。
rss · Simon Willison · 2026-04-03 21:48
HAPROXY 负责人 Willy Tarreau 报告称,Linux 内核安全列表收到的漏洞报告数量急剧增加,从两年前的每周 2-3 份激增至目前的每天 5-10 份。这一增长主要由 AI 工具驱动,报告质量已从早期的低质"AI 垃圾"转变为大量准确甚至重复的有效发现。由于工作量过大,维护团队不得不引入更多维护者来协助处理这些日益增多的提交。 这一趋势标志着开源安全生态的重大转折,AI 生成的漏洞报告正从噪音来源转变为主要的安全发现渠道,直接改变了维护者的工作模式。虽然高质量报告有助于提升系统安全性,但报告数量的爆炸式增长给本就资源有限的开源维护者带来了巨大的审查压力。如果缺乏自动化工具或额外资金支持来应对这种"报告海啸",可能会导致关键项目的响应延迟或维护者倦怠。长远来看,这可能迫使开源社区重新定义漏洞提交流程和奖励机制以适应 AI 辅助的研究环境。 Willy Tarreau 指出,现在的报告不仅数量巨大,还出现了前所未有的现象:不同人员使用相似或不同的 AI 工具发现了同一个漏洞并提交重复报告。cURL 项目负责人 Daniel Stenberg 证实,他每天需花费数小时处理这些虽非"垃圾"但数量庞大的真实报告。Linux 内核维护者 Greg Kroah-Hartman 也观察到,大约在一个月前,报告性质发生了根本性转变,从明显的错误生成内容变成了全部由 AI 制作的高质量真实报告。
ai-securityopen-sourcevulnerability-managementlinux-kerneldeveloper-workflow
背景知识
Linux 内核是开源操作系统的核心组件,其安全性依赖于全球志愿者维护团队的严格审查流程。传统上,安全研究人员会手动审计代码并向维护者提交漏洞报告,这一过程耗时且报告数量有限。近年来,生成式 AI 和大语言模型(LLMs)开始被用于自动化代码分析和漏洞挖掘,初期产生的报告常因准确性低而被戏称为"AI slop"。然而,随着 AI 模型的快速迭代,这些工具现在能够生成高度准确的安全分析报告,彻底改变了漏洞发现的规模和效率。
社区讨论
社区讨论普遍反映了一种混合情绪:一方面对 AI 能发现真实漏洞感到欣慰,另一方面对维护者面临的工作量激增表示深切担忧。像 Daniel Stenberg 这样的知名开发者明确表示,处理这些报告已变得非常紧张,需要投入大量日常时间。整体共识认为,虽然报告质量提升了,但当前的开源维护体系尚未准备好应对这种由 AI 驱动的规模化安全研究带来的冲击。
rss · Simon Willison · 2026-04-03 13:54
Axios 团队发布了一份详细的事故复盘报告,揭示其最近的供应链泄露是由针对特定维护者的复杂社会工程活动造成的。攻击者被归因于朝鲜黑客组织 UNC1069,他们克隆了一家公司的创始人身份,并邀请该维护者加入一个伪造的 Slack 工作区和 Microsoft Teams 会议。在会议期间,维护者被诱骗以软件更新的名义安装了远程访问木马(RAT),导致凭证被盗并被用于发布恶意包。 这一事件凸显了供应链安全的一个关键转变,即攻击者通过直接操纵开源生态系统中的人际信任来绕过技术防御。它表明,即使是像 Axios 这样维护良好的库,如果维护者成功成为高度个性化骗局的目标(涉及类似深度伪造的冒充和伪造的协作工具),也容易受到攻击。将此事件归因于 UNC1069 表明,国家支持的行为体正越来越多地专注于破坏开发者基础设施,以实现更广泛的地缘政治或金融目标。这给整个软件行业敲响了警钟,亟需对维护者沟通和访问控制实施更严格的验证协议。 攻击向量紧密模仿了谷歌关于 UNC1069 记录的策略,包括克隆真实公司的品牌形象,并在伪造的 Slack 工作区中填充看似合理的频道和个人资料。维护者在预定的 Microsoft Teams 会议期间因被告知系统组件过时而被迫安装恶意软件。被盗的凭证使攻击者能够发布受损版本的 Axios 库,影响了成千上万个依赖此流行 HTTP 客户端的下游项目。
supply-chain-securitysocial-engineeringopen-sourcecybersecurityaxios
背景知识
软件供应链攻击发生在黑客破坏第三方组件或开发工具时,从而将恶意代码注入许多组织的最终软件产品中。这类攻击尤其危险,因为用户隐式信任来自合法来源的更新,使得恶意软件能够在未被检测的情况下迅速传播到众多系统。UNC1069 是一个与朝鲜有关的已知威胁行为体,此前曾通过类似的社会工程方法参与针对加密货币和人工智能领域的活动。随着开源软件构成现代数字基础设施的骨干,了解这些攻击向量至关重要。
telegram · zaihuapd · 2026-04-03 10:40
一名名为"Mr. Raccoon"的威胁行为者声称通过受损害的外包员工账号,窃取了约 1300 万条 Adobe 支持工单、1.5 万条员工记录及内部文件。据称此次泄露涉及 Adobe 帮助台系统数据、HackerOne 提交内容以及内部 OneDrive 和 SharePoint 环境的截图。目前 Adobe 尚未正式确认该事件或对这些指控做出回应。 如果属实,这将成为规模最大的客户支持数据泄露事件之一,可能暴露数百万 Adobe 用户的敏感问题及潜在的专有内部通信。攻击途径突显了外包服务带来的关键安全风险,即第三方供应商的凭证可能成为入侵大型企业网络的入口。此事件强调了针对帮助台系统的攻击日益增多,这与近期 Okta 和 Hims & Hers 遭受的泄露类似,旨在绕过传统的边界防御。HackerOne 数据的卷入也可能导致道德黑客因担心提交内容无法保密而不愿报告漏洞。 安全分析师认为该入侵看起来可信,但可能仅限于帮助台系统,而非 Adobe 的核心内网。疑似攻击路径涉及针对拥有 Adobe 工单系统访问权限的外包服务提供商员工的恶意软件感染或钓鱼攻击。虽然攻击者分享了员工摄像头画面和内部驱动器的截图以佐证其说法,但数据外泄的全部范围尚未经过独立取证核实。
data breachcybersecurityadobeincident responsecloud security
背景知识
帮助台系统常成为网络罪犯的目标,因为它们通常包含大量个人身份信息(PII),且有时由安全标准参差不齐的第三方供应商管理。外包客户服务会引入供应链风险,正如以往攻击者通过攻陷小型供应商进而入侵 Target 或 SolarWinds 等大型企业的案例所示。HackerOne 是一个领先的漏洞赏金平台,旨在促进负责任的漏洞披露,因此其提交数据的潜在泄露对整个安全生态尤为有害。近期 Okta 等公司的泄露事件表明,攻陷单个支持管理系统可能会升级并影响身份平台的所有用户。
telegram · zaihuapd · 2026-04-03 11:23
中国工业和信息化部通过其网络安全威胁和漏洞信息共享平台(NVDB)发布紧急通告,指出运行 iOS 13.0 至 17.2.1 版本的苹果设备存在高危漏洞。攻击者利用短信、邮件或网页投毒诱导用户访问恶意网站,进而植入远程控制木马并获取设备最高权限,导致信息窃取和系统受控。官方强烈建议受影响用户立即进行系统升级或安装补丁,以修复漏洞并防范网络攻击风险。 此次通告意义重大,因为它是来自主要国家监管机构的警告,指出了全球部署最广泛的移动操作系统之一的关键风险,直接影响海量用户的隐私和设备安全。攻击者若能获取最高权限,便可能绕过所有安全沙箱,访问敏感个人数据并完全远程控制设备。虽然许多 iOS 漏洞利用需要复杂的“零点击”机制,但此次威胁主要依赖社会工程学手段,这使得用户教育和即时修补成为至关重要的防御措施。若不及时更新,数以百万计的 iPhone 和 iPad 用户将面临数据窃取和监控等活跃攻击活动的风险。 该漏洞影响范围广泛,具体涵盖运行 iOS 13.0 至 17.2.1(含)版本的 iPhone 和 iPad 设备。所述的攻击机制并非“零点击”漏洞,而是需要用户交互,例如点击短信或电子邮件中的链接,才会触发恶意代码的下载。一旦执行,木马将建立远程连接,允许攻击者窃取信息并对受控终端保持持久控制。
cybersecurityiosvulnerabilitymobile-securityregulatory
背景知识
NVDB(网络安全威胁和漏洞信息共享平台)由中国工业和信息化部运营,是国内披露软件漏洞的主要渠道之一。远程代码执行(RCE)是一种严重的安全缺陷,允许攻击者从远处在目标系统上运行任意命令或代码,往往导致设备被完全攻陷。与不需要用户操作的“零点击”攻击不同,本次通告描述的方法依赖于网络钓鱼技术,诱骗用户自己启动感染过程。历史上,iOS 一直是各类国家支持和商业间谍软件组织的目标,因此及时更新是移动设备安全卫生的关键组成部分。
telegram · zaihuapd · 2026-04-03 12:09
由 Fairlinked 组织发起的名为"BrowserGate"的调查揭露,领英在未经用户明确同意的情况下部署代码,扫描用户已安装的浏览器扩展和软件。这项监控覆盖了超过 6000 个扩展程序(包括 200 多款竞品工具),加密后的数据被发送回领英服务器并共享给 HUMAN Security 等第三方公司。该做法可能影响约 4.05 亿用户,并能推断出宗教信仰、政治倾向、健康状况及求职意向等敏感属性。 这一事件构成了严重的用户隐私泄露,且很可能违反了欧盟《通用数据保护条例》(GDPR),因为该法规要求处理此类敏感数据必须获得用户的明确同意。通过分析扩展指纹,领英能够在用户不知情的情况下构建详细的心理和职业画像,从根本上改变了平台与个人之间的权力平衡。HUMAN Security 等第三方安全公司的参与表明,这些数据正被整合到更广泛的广告技术和风险评估生态系统中。如果属实,这可能为企业间谍活动开创危险先例,并使侵入性监控技术在现代网络中常态化。 该扫描机制专门针对超过 6000 个浏览器扩展,将结果加密后传输至外部服务器,整个过程在后台静默运行。调查强调,收集的数据包含反映敏感个人特征的指标,例如用户是否正在积极寻找新工作,或持有特定的政治及宗教观点。此外,数据共享还延伸至 HUMAN Security 等第三方实体,引发了关于这些信息如何在领英平台直接需求之外被利用的质疑。
privacydata-securitylinkedingdprsurveillance
背景知识
浏览器指纹识别是一种通过收集用户浏览器的独特配置细节(如已安装字体、屏幕分辨率,特别是浏览器扩展)来识别和追踪用户的技术。与用户可以轻松删除的 Cookie 不同,指纹识别创建了一个持久的标识符,除非完全更改浏览器环境,否则很难阻止或重置。在《通用数据保护条例》(GDPR)等数据保护法律的框架下,收集揭示特殊类别个人信息(如政治观点或健康数据)的数据需要用户严格的“选择加入”式同意。"BrowserGate"运动旨在记录这起涉嫌的企业间谍活动,并筹集资金以启动法律程序来制止这些行为。
telegram · zaihuapd · 2026-04-03 15:00
研究人员成功逆向工程了 Claude Code 专有的 `cch` 请求签名,该签名此前仅在其私有的 Bun 运行时中计算。通过分析原生 fetch 实现如何计算 JSON 请求体的 xxHash64 以及基于用户输入和盐值生成的 SHA-256 后缀,他们创建了一个无需官方二进制文件即可复现该逻辑的 Python 概念验证(PoC)。这一突破使用户能够绕过标准客户端,直接通过自定义脚本解锁“快速模式”等受限功能。 这一进展意义重大,因为它表明保护“快速模式”等高级功能的安全机制依赖于隐蔽性而非强加密访问控制。它改变了权力格局,允许开发者使用轻量级的自定义工具与 Anthropic API 交互,而不必被迫使用资源消耗较大的基于 Bun 的官方客户端。虽然这种检查机制可能旨在用于计费归因和功能门控,但其易于被绕过的特性引发了人们对客户端强制执行在 LLM 应用中长期有效性的质疑。如果被广泛采用,这可能导致大量第三方客户端的出现,提供厂商未预期的更高灵活性或成本优化方案。 逆向工程过程显示,`cch` 头部的计算涉及对填入占位符 `cch=00000` 的完整 JSON 请求体进行 xxHash64 哈希运算。此外,`cc_version` 字符串的最后三位字符是通过对首条用户消息中的特定字符、内置盐值和版本号进行 SHA-256 哈希计算得出的。研究人员指出,该签名更像是一个功能门控和计费追踪机制,而非坚固的安全屏障,这意味着任何能够执行这些特定哈希操作的编程语言都可以复现它。
reverse-engineeringclaude-codesecurityllm-applicationsbun-runtime
背景知识
Claude Code 是 Anthropic 推出的一款 AI 编程助手,通常运行在 Bun JavaScript 运行时的定制版本上,后者以其速度和包含原生 fetch 实现的一体化工具链而闻名。在这种架构中,某些关键操作(如请求签名)被卸载到运行时的原生层处理,而不是在 JavaScript 中完成,表面上是为了防止篡改。xxHash64 是一种极快的非加密哈希算法,常用于数据完整性校验,而 SHA-256 则是标准的加密哈希函数。理解这些运行时如何集成原生代码,有助于解释为何逆向此类机制需要对二进制文件进行深入分析。
rss · Simon Willison · 2026-04-03 16:05
Simon Willison 通过实验证明,在 iframe 内容的最顶部注入内容安全策略(CSP)meta 标签,即使在沙箱环境中也能有效限制不可信的 JavaScript。他的研究确认,一旦浏览器处理了初始的 meta 标签,后续的恶意脚本就无法操纵或绕过该策略。这一发现使开发人员能够在本地安全地托管 AI 生成的工件,而无需使用单独的域名来执行安全头。 这项技术意义重大,因为它简化了构建类似 Claude Artifacts 的安全 AI 工件查看器的架构,消除了仅为执行 CSP 而管理单独域名的复杂性。它直接影响了本地开发环境的安全性,因为开发人员需要在其中渲染由大型语言模型生成的不可信代码。通过证明在此上下文中 meta 标签能够抵御基于脚本的规避,它为服务器端头配置提供了一种实用的替代方案。这可能会加速更安全的本地测试工具的采用,并降低嵌入内容中的跨站脚本(XSS)风险。 此安全模式生效的核心要求是将 CSP meta 标签严格放置在文档的顶部,确保在任何动态或不可信内容被解析之前完成加载。虽然有效,但这种方法依赖于浏览器在任何攻击者控制的脚本运行之前处理 meta 标签,这与在任何内容加载之前就强制执行的 HTTP 头有所不同。开发人员必须确保注入机制本身是安全的,并且 iframe 上的 sandbox 属性配置正确,以补充 CSP 规则。
web-securitycontent-security-policyiframessandboxingai-safety
背景知识
内容安全策略(CSP)是一种网络安全功能,旨在通过指定允许加载的内容来源来防止跨站脚本(XSS)等攻击。传统上,CSP 通过 HTTP 响应头交付,但也可以使用 HTML 文档内带有 http-equiv 属性的 meta 标签来定义。沙箱 iframe 使用 'sandbox' 属性对嵌入内容施加额外限制,例如默认禁用脚本执行或表单提交。理解 CSP 执行时机与 iframe 沙箱之间的交互对于安全渲染不可信代码至关重要。