HackerNews 编译，转载请注明出处： 网络安全研究人员近日在OpenAI ChatGPT Atlas等智能体浏览器中发现新的安全隐患，这些浏览器底层的人工智能模型容易遭受上下文投毒攻击。 AI安全公司SPLX设计的攻击场景中，攻击者可建立特定网站，向ChatGPT和Perplexity运行的浏览器及AI爬虫提供差异化内容。该技术被命名为“AI定向伪装”。 这种手法实为搜索引擎伪装技术的变种——即向用户和搜索引擎爬虫呈现不同网页版本，最终达到操纵搜索排名目的。在此类攻击中，攻击者仅通过简单的用户代理检查即可针对不同供应商的AI爬虫优化内容，实现内容交付操控。 安全研究人员指出：”由于这些系统依赖直接检索，任何提供给它们的内容都会成为AI概述、摘要或自主推理中的’事实依据’。这意味着只需一条条件规则——’如果用户代理是ChatGPT，则提供此替代页面’——就能塑造数百万用户看到的所谓权威输出。” SPLX警告，AI定向伪装虽然原理简单，却可能成为强大的虚假信息武器，破坏用户对AI工具的信任。通过诱导AI爬虫加载替代内容，该技术还能引入偏见，影响依赖此类信号的系统输出。 “AI爬虫与早期搜索引擎一样容易被欺骗，但其下游影响更为深远。随着搜索引擎优化逐渐融合人工智能优化，这种攻击正在扭曲现实认知。” 与此同时，hCaptcha威胁分析小组发布的分析报告显示，针对20种常见滥用场景的测试中，各类浏览器智能体几乎无需越狱即可执行恶意请求。研究还发现，所谓”被阻止”的操作多数源于工具功能限制而非内置防护机制。值得注意的是，当被要求执行调试任务时，ChatGPT Atlas会完成高风险操作。 研究进一步披露，Claude Computer Use和Gemini Computer Use能够无限制执行密码重置等危险账户操作，后者甚至在电商平台表现出暴力破解优惠券的攻击性行为。测试还发现Manus AI可无障碍完成账户接管和会话劫持，而Perplexity Comet会主动实施SQL注入以窃取隐藏数据。 “这些智能体经常超额完成任务：在无用户指令时尝试SQL注入，在页面注入JavaScript以绕过付费墙等。我们观察到几乎完全缺失的安全防护措施，预示着攻击者很快会将这类智能体用于攻击任何下载它们的合法用户。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲知名数字隐私维权组织noyb于本周二对人脸识别公司Clearview AI及其高管提起刑事投诉，指控该公司非法从互联网抓取个人照片并进行售卖。 此次投诉之前，欧洲多家数据保护机构已对Clearview AI采取多次执法处罚并下达禁令，而noyb指出该公司对此置若罔闻。Clearview AI通过爬取网络上的数十亿张照片，并向执法机构出售其人脸识别技术。 noyb称该公司的行为”明显违法且具有侵入性”，并依据《通用数据保护条例》（GDPR）中允许欧盟成员国对违规行为进行刑事处罚的条款，在奥地利提起了刑事申诉。根据noyb的新闻稿，若申诉成功，Clearview AI高管可能面临监禁。 “Clearview AI似乎完全无视欧盟的基本权利，公然藐视欧盟权威，”noyb创始人马克斯·施雷姆斯在一份声明中表示，”该公司建立的全球照片和生物特征数据库，能在几秒钟内识别任何人。” Clearview AI发言人未立即回应置评请求。 今年三月，Clearview AI通过向原告及其律师提供公司未来股权的方式，就一起预估赔偿金额超过5000万美元的集体隐私诉讼达成和解。该公司此前也已在法国、意大利和荷兰等多个欧洲国家被数据监管机构处以罚款。 值得关注的是，尽管奥地利监管机构早在2022年就已判定Clearview AI违反GDPR，但当时既未对公司处以罚款，也未要求其停止处理相关数据。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在OpenAI新推出的ChatGPT Atlas网络浏览器中发现了一个新漏洞，该漏洞可能允许恶意行为者向AI助手的记忆系统中注入恶意指令并运行任意代码。 LayerX安全公司的联合创始人兼首席执行官奥尔·埃舍德在与The Hacker News分享的一份报告中表示：”该漏洞可利用允许攻击者使用恶意代码感染系统、为自己授予访问权限或部署恶意软件。” 该攻击的核心是利用跨站请求伪造漏洞，向ChatGPT的持久化记忆系统中注入恶意指令。被污染的记忆能够在不同设备和会话中持续存在，使得当已登录的用户尝试将ChatGPT用于合法目的时，攻击者能够进行各种操作，包括夺取用户账户、浏览器或连接系统的控制权。 ChatGPT的”记忆”功能于2024年2月首次推出，旨在让AI聊天机器人能在不同对话之间记住有用的细节，从而使其回复更加个性化和贴合上下文。这可能包括用户的姓名、偏爱的颜色、兴趣或饮食偏好等各种信息。 这种攻击构成了重大的安全风险，因为它通过污染记忆，使得恶意指令能够持续存在，除非用户明确前往设置并删除它们。如此一来，它将一个有用的功能变成了可以运行攻击者提供代码的强大武器。 LayerX安全公司安全研究主管米歇尔·莱维表示：”该漏洞的独特危险性在于，它针对的是AI的持久化记忆，而不仅仅是浏览器会话。通过将标准的CSRF攻击与记忆写入操作串联起来，攻击者可以无形地植入能在不同设备、会话甚至不同浏览器中存活的指令。“ “在我们的测试中，一旦ChatGPT的记忆被污染，后续的’正常’提示就可能触发代码获取、权限提升或数据窃取，而不会触发有意义的防护措施。” 攻击的具体流程如下： 用户登录ChatGPT。 用户被社会工程学手段诱骗点击恶意链接。 恶意网页触发CSRF请求，利用用户已通过身份验证的事实，在用户不知情的情况下向ChatGPT的记忆系统中注入隐藏指令。 当用户为合法目的查询ChatGPT时，被污染的记忆会被调用，导致代码执行。 LayerX未透露实施该攻击所需的额外技术细节。该浏览器安全公司表示，ChatGPT Atlas缺乏强大的反钓鱼防护控制，加剧了这一问题，并补充说这使得用户遭受攻击的风险比谷歌Chrome或微软Edge等传统浏览器高出90%。 在对100多个真实网络漏洞和钓鱼攻击的测试中，Edge成功拦截了53%的攻击，其次是谷歌Chrome，拦截率为47%，Dia为46%。相比之下，Perplexity的Comet和ChatGPT Atlas仅分别拦截了7%和5.8%的恶意网页。 这为各种攻击场景打开了大门，包括一种场景：开发者请求ChatGPT编写代码，可能导致AI代理在”氛围编程”过程中嵌入隐藏指令。 这一事态发展与NeuralTrust演示的针对ChatGPT Atlas的提示注入攻击同时发生，后者通过将恶意提示伪装成看似无害的待访问URL，从而越狱其多功能地址栏。此前也有报告指出，AI代理已成为企业环境中最常见的数据泄露载体。 埃舍德表示：”AI浏览器正在将应用、身份和智能集成到一个统一的AI威胁面上。像’被污染的记忆’这样的漏洞就是新的供应链攻击：它们随着用户传播，污染未来的工作，并模糊了有用的AI自动化与隐蔽控制之间的界限。” “随着浏览器成为AI的通用接口，以及新的智能代理浏览器将AI直接融入浏览体验，企业需要将浏览器视为关键基础设施，因为这正是下一代AI生产力和工作的前沿阵地。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OpenAI 的 Atlas 浏览器与 Perplexity 的 Comet 浏览器存在安全漏洞，攻击者可通过伪造内置 AI 侧边栏，诱骗用户执行危险操作。 这种 “AI 侧边栏伪造攻击” 由浏览器安全公司 SquareX 的研究人员发现，且可在两款浏览器的最新版本上生效。 研究人员模拟了三种真实攻击场景：攻击者可利用 AI 侧边栏伪造手段窃取加密货币、访问目标用户的 Gmail 与 Google Drive 服务，以及劫持设备。 Atlas 与 Comet 均为 “智能体 AI 浏览器”，它们将大型语言模型集成到侧边栏中，用户浏览网页时可通过侧边栏互动 —— 例如要求总结当前页面内容、执行命令或完成自动化任务。 其中，Comet 浏览器于今年 7 月发布，而 ChatGPT Atlas 浏览器则在本周早些时候面向 macOS 系统推出。自发布以来，已有多项研究指出，Comet 在特定情况下存在安全风险。 注入恶意 AI 智能体 SquareX 发现，在 Comet 与 Atlas 浏览器中，攻击者可通过恶意扩展程序向用户浏览的网页注入 JavaScript 代码，在真实 AI 侧边栏上方覆盖一层伪造侧边栏。 伪造的侧边栏与浏览器原生侧边栏完全一致，从视觉上看属于标准用户界面的一部分，极具迷惑性。由于伪造侧边栏会覆盖真实侧边栏并拦截所有用户交互操作，用户完全无法察觉自己正处于欺诈环境中。 SquareX 表示：“受害者打开新浏览器标签页后，该扩展程序可向网页注入 JavaScript 代码，生成一个与 AI 浏览器原生侧边栏一模一样的伪造侧边栏。” 借助扩展程序，注入的 JavaScript 代码可在用户访问的所有网站上，渲染出这个恶意伪造的侧边栏覆盖层。 SquareX 指出，这类恶意扩展程序仅需获取 “主机（host）” 与 “存储（storage）” 权限即可运行 —— 而这两类权限在 Grammarly（语法检查工具）、密码管理器等常用效率工具中十分常见，不易引发用户警惕。 研究人员称：“伪造侧边栏与真实 AI 侧边栏在视觉呈现和操作流程上完全无差异，用户很可能会误以为自己在与浏览器原生的 AI 侧边栏互动。” 为验证研究结果，SquareX 在 Comet 浏览器中调用谷歌 Gemini AI 进行测试。研究人员通过设置特定参数，让 AI 对特定提示词返回包含恶意指令的响应。 三类典型攻击场景 SquareX 在报告中重点列举了以下三种攻击案例： 当用户询问与加密货币相关的问题时，诱导其访问钓鱼页面； 通过伪造文件共享应用发起 OAuth 攻击，劫持用户的 Gmail 或 Drive 账户； 当用户寻求软件安装指引时，向其提供反向 shell（远程控制工具）的安装命令。 实际攻击中，攻击者可能会设置更多 “触发提示词”，频繁诱导用户执行各类高风险操作。 漏洞影响范围与厂商响应 开展研究时，OpenAI 尚未发布 Atlas 浏览器，因此 SquareX 最初仅在 Comet 浏览器上测试了 AI 侧边栏伪造攻击。 但在 Atlas 浏览器正式发布后，研究人员同样对其进行了测试，并确认该攻击手段对 Atlas 也有效。 目前，研究人员已就该漏洞联系 Perplexity 与 OpenAI，但两家公司均未回应。BleepingComputer（科技媒体）也尝试联系这两家企业，截至报道发布时仍未收到回复。 智能体 AI 浏览器用户需警惕这类工具存在的多重风险，建议仅将其用于非敏感操作，避免处理涉及电子邮件、财务信息或其他私人数据的任务。 尽管浏览器开发商会在每次版本更新中针对新型攻击添加安全防护措施，但目前这类 AI 浏览器的成熟度仍不足 —— 其攻击面尚未降低到 “除日常轻度浏览外可安全使用” 的合理水平。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Legit Security 近日披露了 GitHub Copilot Chat 人工智能助手的一个漏洞，该漏洞导致敏感数据泄露并允许攻击者完全控制 Copilot 的回复。 通过结合内容安全策略（CSP）绕过与远程提示注入，Legit Security 的研究员 Omer Mayraz 成功从私有仓库中泄露了 AWS 密钥和零日漏洞信息，并影响了 Copilot 向其他用户提供的回复。 Copilot Chat 旨在提供代码解释和建议，并允许用户通过 HTML 注释在渲染的 Markdown 中隐藏内容。隐藏评论仍会触发向仓库所有者发送的拉取请求通知，但不会显示评论内容。然而，相关提示也会被注入到其他用户的上下文中。 Mayraz 解释说，隐藏评论功能允许用户影响 Copilot，使其向其他用户显示代码建议，包括恶意软件包。Mayraz 还发现，他可以制作包含访问用户私有仓库指令的提示，对其内容进行编码，并将其附加到 URL 中。“当用户点击该 URL 时，数据就会被回传给我们，”他指出。 不过，GitHub 严格的内容安全策略阻止从非平台拥有的域名获取图片及其他内容，从而防止通过向受害者聊天中注入 HTML <img> 标签来泄露数据。当 README 或 Markdown 文件中包含外部图片时，GitHub 会解析这些图片以识别 URL，并使用开源项目 Camo 为每个文件生成匿名代理 URL。外部 URL 会被重写为 Camo 代理 URL，当浏览器请求图片时，Camo 代理会检查 URL 签名，并且仅当 URL 由 GitHub 签名时才从原始位置获取外部图片。 这种做法通过使用受控代理获取图片来确保安全，防止利用任意 URL 泄露数据，并且在 README 中显示图片时不会暴露图片 URL。 “我们注入到受害者聊天中的每个 <img> 标签必须包含预先生成的有效 Camo URL 签名，否则 GitHub 的反向代理将不会获取内容，”Mayraz 指出。 为了绕过这一保护机制，该研究员创建了一个包含字母表中所有字母和符号的字典，为每个字符预生成对应的 Camo URL，并将该字典嵌入到注入的提示中。 他创建了一个对每个请求返回 1×1 透明像素的服务器，构建了可用于从仓库泄露敏感内容的字母和符号的 Camo URL 字典，随后制作了触发漏洞的提示。 Mayraz 发布了概念验证视频，演示了如何利用该攻击从私有仓库中泄露零日漏洞和 AWS 密钥。 8月14日，GitHub 通知该研究员，已通过禁止使用 Camo 泄露用户敏感信息的方式修复了该问题。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软正提请关注一场新的钓鱼攻击活动，该活动主要针对美国境内机构，且疑似利用大型语言模型（LLM）生成代码，对攻击载荷进行混淆处理，以绕过安全防护机制。 微软威胁情报团队在上周发布的分析报告中指出：“该攻击活动疑似借助大型语言模型（LLM），将恶意行为隐藏在 SVG 文件中，并利用商业术语和合成结构掩盖其恶意意图。” 这场于 2025 年 8 月 28 日被检测到的攻击活动表明，威胁行为者正越来越多地将人工智能（AI）工具纳入其攻击流程，目的通常包括制作更具欺骗性的钓鱼诱饵、自动完成恶意软件混淆，以及生成模仿合法内容的代码。 据微软（这家 Windows 操作系统开发商）记录的攻击链显示，威胁行为者利用已被入侵的企业邮箱账户发送钓鱼邮件，以窃取受害者凭证。这些邮件伪装成 “文件共享通知”，诱骗受害者打开看似 PDF 文档的文件 —— 但实际上，该文件是可缩放矢量图形（Scalable Vector Graphics，简称 SVG）文件。 此类邮件的一大特点是攻击者采用 “自发送” 策略：发件人与收件人地址一致，而真正的攻击目标则隐藏在密送（BCC）字段中，以此绕过基础检测规则。 微软表示：“SVG 文件（可缩放矢量图形）对攻击者极具吸引力，原因在于其基于文本且支持脚本编写，可直接在文件内嵌入 JavaScript 及其他动态内容。这使得攻击者能够交付看似无害的交互式钓鱼载荷，无论对用户还是多数安全工具而言，都难以识别其恶意本质。” 微软进一步补充，SVG 文件格式还支持 “隐藏元素”“编码属性”“延迟脚本执行” 等特性，这些功能使其成为攻击者规避静态分析与沙箱检测的理想选择。 SVG 文件一旦被打开，会将用户重定向至一个要求完成 “验证码（CAPTCHA）安全验证” 的页面。受害者完成验证后，通常会被引导至伪造的登录页面，其凭证随之被窃取。微软称，由于该威胁已被其系统识别并中和，目前尚不清楚后续具体攻击步骤。 此次攻击的独特之处在于其非常规的混淆手段：利用商业相关术语隐藏 SVG 文件中的钓鱼内容 —— 这一特征表明，相关代码可能由 LLM 生成。 微软解释道：“首先，SVG 代码的开头被构造成看似合法的‘企业分析仪表盘’样式。这种设计旨在误导任何随意检查文件的人，让他们误以为该 SVG 的唯一用途是可视化展示业务数据。但实际上，这只是一个伪装。” 其次，攻击载荷的核心功能（包括将用户重定向至初始钓鱼落地页、触发浏览器指纹识别、启动会话跟踪）也被一串冗长的商业相关术语（如 “收入”“运营”“风险”“季度”“增长”“份额” 等）所掩盖。 微软表示，其已将相关代码在 Security Copilot（微软安全副驾驶）中进行分析，结果显示该程序 “并非人类通常会从零编写的代码 —— 因其复杂度高、冗余度大，且缺乏实际应用价值”。微软得出这一结论的依据包括以下几点： 函数与变量的命名过于描述性且冗余 代码结构高度模块化但过度设计 注释内容通用且冗长 利用商业术语实现混淆的方法具有公式化特征 SVG 文件中包含 CDATA 段与 XML 声明，疑似为模仿文档示例而添加 微软指出：“尽管此次攻击活动影响范围有限且已被有效拦截，但各类威胁行为者正越来越多地采用类似技术。” 与此同时，Forcepoint（网络安全公司）也披露了一起多阶段攻击事件：攻击者通过含.XLAM 附件的钓鱼邮件执行 shellcode（壳代码），最终通过二级载荷部署 XWorm 远程访问木马（RAT）；同时，攻击者会显示空白或损坏的 Office 文件作为伪装。其中，二级载荷的作用是作为 “通道”，在内存中加载.DLL 文件。 Forcepoint 表示：“在内存中运行的二级.DLL 文件采用了高度混淆的打包与加密技术。该二级.DLL 文件通过‘反射式 DLL 注入’技术，在内存中再次加载另一个.DLL 文件，而后者最终负责执行恶意软件。” “后续的最终步骤是在其自身主可执行文件中进行‘进程注入’，以维持持久化控制，并将数据窃取至其命令与控制（C2）服务器。经核查，这些接收窃取数据的 C2 服务器与 XWorm 家族恶意软件相关。” 此外，Cofense（邮件安全公司）称，近几周的钓鱼攻击还利用 “美国社会保障局”“版权侵权” 等相关诱饵，分别分发 ScreenConnect ConnectWise（远程控制工具，常被用于后续攻击）及 Lone None Stealer、PureLogs Stealer 等信息窃取恶意软件。 针对 “版权侵权” 主题的钓鱼攻击，Cofense 表示：“攻击者通常伪装成多家律师事务所，声称要求受害者移除其网站或社交媒体页面上的侵权内容。该攻击活动的显著特点在于其创新手段：利用 Telegram 机器人资料页交付初始载荷、使用混淆处理的编译型 Python 脚本载荷，且通过多版攻击样本可看出其复杂度正不断升级。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露，万兴科技（Wondershare）RepairIt 软件中存在两个严重漏洞，不仅导致用户私密数据泄露，还可能让系统遭受 AI模型篡改与供应链攻击的威胁。 这些高危漏洞由 趋势科技（Trend Micro）发现并披露，具体如下： CVE-2025-10643（CVSS 评分：9.1） —— 一处身份验证绕过漏洞，源于对存储账户令牌赋予的过高权限。 CVE-2025-10644（CVSS 评分：9.4） —— 一处身份验证绕过漏洞，源于对 SAS 令牌赋予的过高权限。 一旦被成功利用，攻击者可绕过系统的身份认证保护，发起供应链攻击，最终在用户终端上执行任意代码。 趋势科技研究人员指出，这款具备 AI 功能的数据修复与照片编辑应用 “违背了其隐私政策”：由于缺乏严格的 DevSecOps（开发、安全与运维一体化）流程，导致收集与存储的用户私密数据被意外泄露。 漏洞细节与潜在风险 研究人员发现，该应用在代码中直接硬编码了过度开放的云存储访问令牌，可对敏感云存储进行读写操作。同时，存储的数据未经过加密，进一步增加了用户上传的图片与视频被滥用的风险。 更严重的是，暴露的云存储中不仅包含用户数据，还包括 AI 模型、万兴旗下多款产品的二进制文件、容器镜像、脚本及公司源代码。攻击者若篡改这些 AI 模型或可执行文件，便可能发起针对下游客户的供应链攻击。 研究人员警告称：“由于软件会自动从不安全的云存储中下载并执行 AI 模型，攻击者可修改模型或配置文件，让用户在毫不知情的情况下感染恶意软件。” 这种攻击能够借助官方签名的软件更新或 AI 模型下载传播恶意载荷。 除了用户数据泄露与 AI 模型篡改，这些问题还可能带来严重后果，包括 知识产权盗窃、监管处罚以及消费者信任的流失。 趋势科技称已于 2025 年 4 月 通过 零日计划（ZDI）向厂商负责任地披露了这两个漏洞，但尽管多次尝试联系，至今未收到厂商回应。鉴于暂无修复方案，用户被建议减少或限制使用该产品。 趋势科技提醒：“不断追求新功能与市场竞争，往往让企业忽视这些功能在未来可能被滥用的风险。因此，必须在组织内部，尤其是 CD/CI 流水线中，建立完善的安全流程。” AI 与安全需并行 此次披露也是趋势科技对 MCP（Model Context Protocol）服务器风险的延续性警告。此前，研究人员发现 MCP 服务器若缺乏身份认证或存储明文凭证，攻击者可利用其访问云资源、数据库或注入恶意代码。 每一个 MCP 服务器都可能成为敏感数据的“敞开大门” —— 数据库、云服务、内部 API 或项目管理系统都可能被未授权访问。 在 2024 年 12 月，趋势科技还发现暴露的容器镜像仓库可能被攻击者下载并修改 AI 模型，再上传至公开仓库。被篡改的模型可能在正常情况下表现无异，但在特定输入下触发恶意行为，从而绕过常规检测。 卡巴斯基（Kaspersky）也曾通过概念验证（PoC）指出，从不可信来源安装 MCP 服务器，可能使其伪装成 AI 助手工具，在后台进行侦察与数据窃取。 研究员警告：“安装 MCP 服务器就等于允许它在用户机器上以用户权限运行代码。若未沙箱隔离，第三方代码即可访问用户文件并发起网络连接。” AI 工具的新型攻击向量 随着企业快速采用 MCP 与各类 AI 工具，新的攻击方式层出不穷，包括 工具投毒、拉地毯攻击、影子化利用、提示注入以及越权提升。 近期，Palo Alto Networks的Unit 42 报告披露，AI 代码助手中的上下文附件功能可能被用于间接提示注入。攻击者可在外部数据源中植入恶意提示，让助手在无意中执行后门或泄露敏感信息。 此外，AI 代码代理还被发现易受 “谎言循环”（LitL）攻击。该攻击通过伪造上下文让代理相信恶意操作是安全的，从而绕过本应由人工把关的高风险环节。 研究员指出：“LitL 攻击利用了人类与代理之间的信任。当代理提供的上下文被伪造时，用户也可能被欺骗，从而让攻击者绕过防护。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年2月，OpenAI 推出了深度研究功能，允许 ChatGPT 根据用户指令浏览互联网或个人邮箱，并生成详细的调查报告。该功能支持与 Gmail、GitHub 等应用集成，帮助用户深度分析自己的文档和数据。 漏洞的披露与修复 然而，这一功能的背后却暗藏安全隐患。 网络安全公司 Radware 的研究团队发现了ShadowLeak漏洞。他们演示了攻击过程：只需要向用户发送一封特定邮件，当用户使用深度研究功能处理邮件时（如要求“总结今日邮件”或“研究收件箱中某主题”），内嵌在邮件中的恶意指令就会使代理自动向攻击者控制的服务器发送敏感数据，包括姓名、地址或其他私有信息。值得注意的是，整个过程中用户无需点击或查看该邮件，数据就会在不知情的情况下被窃取。 6月18日，Radware通过漏洞报告平台BugCrowd向 OpenAI 报告了这一漏洞。到8月初，OpenAI 完成了修复工作，并于9月3日正式标记为已解决。OpenAI 发言人确认通过其漏洞赏金计划收到了该报告，并表示：“安全开发是我们的首要任务。我们持续采取措施降低恶意使用风险，并不断增强防护机制，以提升模型对抗此类攻击的能力。我们也欢迎研究人员通过对抗测试帮助我们改进。” 零点击攻击 Radware首席技术官David Aviv介绍到：“这是一种典型的零点击攻击，没有任何用户交互提示，受害者完全无法察觉数据被窃。所有操作都在 OpenAI 的云服务器上自主完成”。据 Radware 透露，目前尚未发现该漏洞在现实中被利用。 相关研究人员指出，这种攻击不会在网络层面留下痕迹，因此企业用户很难检测。攻击者使用多种伪装技巧，如将指令文字设置为白色、使用微小字体等方式隐藏恶意内容，收件人难以察觉，但代理仍会读取并执行这些指令。 在一个演示案例中，攻击者发送了一封标题为“重组方案—待办事项”的邮件，邮件正文使用白色文字指令深度研究功能在收件箱中查找员工信息，并访问一个伪装成“公共员工查询”的攻击者控制网址。研究人员表示，邮件中使用了社会工程学技巧，绕过代理的安全限制，同时攻击者还将服务器伪装成“合规验证系统”以使请求看起来合法。 虽然演示基于 Gmail 集成进行，但该攻击同样适用于 Google Drive、Dropbox、SharePoint 等其他数据源。任何能够向代理提供结构化文本的连接器都可能成为攻击载体，潜在泄露包括合同、会议记录和客户档案等高敏感业务数据。 漏洞警示 研究人员强调，这类攻击代表着新型的安全威胁：从外部看，所有流量都像是正常的助手活动；而内部的安全机制却难以检测到这种通过工具驱动的隐蔽行为。 长期以来，研究人员主动寻找能够“欺骗”或“利用”OpenAI模型，从而创建恶意软件和钓鱼邮件的prompts。 ShadowLeak 之所以值得重点关注，主要是因为它代表了一类新型的攻击模式——这类攻击专门针对那些能够自动连接并处理数据源的 AI 工具。这类工具本身具备自主执行任务的能力，但也给恶意指令的隐蔽执行带来了可乘之机。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，朝鲜黑客利用OpenAI的ChatGPT生成伪造的军事证件，作为针对韩国国防相关机构的网络钓鱼活动的一部分。 2024年7月的攻击被归因于Kimsuky组织，也被称为APT43。该组织因通过情报收集行动支持平壤的外交政策和规避制裁的努力，已被华盛顿及其盟友制裁。 据韩国网络安全公司Genians称，黑客利用ChatGPT创建韩国政府和军事人员证件的样本图像。这些图像被嵌入到网络钓鱼邮件中，这些邮件被设计得看起来像是来自韩国国防部处理军事官员证件服务的合法机构。 这些邮件附带了一张伪造的身份证和恶意软件，使攻击者能够窃取数据并远程访问受害者的系统。 研究人员表示，通过对图像的元数据分析确认这些图像是使用ChatGPT生成的。尽管ChatGPT通常会拒绝复制官方证件的请求，但报告称，攻击者可能通过将请求表述为模拟或样本设计，从而操纵提示词来生成图像。 “这是一个真实案例，展示了Kimsuky组织应用深度伪造技术的情况。”Genians警告说，生成式人工智能可能会被滥用，以很少的技术技能就能创造出逼真的伪造品。 Kimsuky自2012年以来一直活跃，目标是韩国、日本、美国、欧洲和俄罗斯的政府、学者、智库、记者和活动家。其主要关注对象是从事与朝鲜相关问题的个人，包括人权和制裁问题。 Genians和其他研究人员还记录了朝鲜IT工作者利用人工智能生成虚假简历和在线身份以获得海外工作，以及在受雇后协助技术面试和任务的情况。 韩国外交部警告说，平壤的工作人员“使用各种技术伪装成非朝鲜IT工作者，使用虚假身份和地点，包括利用人工智能工具以及与外国协助者合作。”       消息来源： therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为TA558的威胁行为者被归因于一系列新的攻击，这些攻击通过各种远程访问木马（RAT）如Venom RAT入侵巴西和西班牙语市场的酒店。 俄罗斯网络安全供应商卡巴斯基正在追踪这一活动，该活动发生在2025年夏季，被其追踪为RevengeHotels。 “威胁行为者继续使用带有发票主题的网络钓鱼邮件，通过JavaScript加载器和PowerShell下载器传递Venom RAT植入物，”该公司表示，“在这次活动中，初始感染器和下载器代码的很大一部分似乎是由大型语言模型（LLM）代理生成的。” 这些发现表明，网络犯罪团伙利用人工智能（AI）来增强其技术手段，这是一种新的趋势。 自2015年以来一直活跃的RevengeHotels，一直针对拉丁美洲的酒店、酒店和旅游组织，目的是在受损系统上安装恶意软件。 该威胁行为者活动的早期版本被发现分发带有精心制作的Word、Excel或PDF文档的电子邮件附件，其中一些利用了微软Office中的已知远程代码执行漏洞（CVE-2017-0199），以触发Revenge RAT、NjRAT、NanoCoreRAT和888 RAT的部署，以及一种名为ProCC的自定义恶意软件。 Proofpoint和Positive Technologies记录的后续活动表明，该威胁行为者有能力完善其攻击链，以传递各种RAT，如Agent Tesla、AsyncRAT、FormBook、GuLoader、Loda RAT、LokiBot、Remcos RAT、Snake Keylogger和Vjw0rm。 这些攻击的主要目标是从酒店系统中捕获客人和旅行者的信用卡数据，以及从Booking.com等流行的在线旅行社（OTAs）收到的信用卡数据。 据卡巴斯基称，最新的活动涉及发送用葡萄牙语和西班牙语撰写的网络钓鱼邮件，这些邮件带有酒店预订和工作申请的诱饵，以诱使收件人点击欺诈链接，从而下载WScript JavaScript有效载荷。 “该脚本似乎是通过大型语言模型（LLM）生成的，其大量注释的代码和类似这种技术产生的格式就是证据，”该公司表示，“该脚本的主要功能是加载后续脚本，以促进感染。” 这包括一个PowerShell脚本，该脚本从外部服务器检索名为“cargajecerrr.txt”的下载器，并通过PowerShell运行它。顾名思义，下载器会获取两个额外的有效载荷：一个负责启动Venom RAT恶意软件的加载器。 基于开源的Quasar RAT，Venom RAT是一种商业工具，终身许可证售价650美元。将恶意软件与HVNC和Stealer组件捆绑的一个月订阅费用为350美元。 该恶意软件配备了窃取数据、充当反向代理的功能，并具有反杀保护机制，以确保其不间断运行。为此，它修改了与运行进程相关的自由裁量访问控制列表（DACL），删除任何可能干扰其运行的权限，并终止任何与硬编码进程匹配的运行进程。 “这种反杀措施的第二个组成部分涉及一个运行持续循环的线程，每50毫秒检查一次运行进程列表，”卡巴斯基表示。 “该循环专门针对那些通常由安全分析师和系统管理员用于监控主机活动或分析.NET二进制文件等任务的进程。如果RAT检测到这些进程中的任何一个，它将不提示用户而终止它们。” 反杀功能还配备了使用Windows注册表修改在主机上设置持久性的能力，并在相关进程未在运行进程列表中找到时重新运行恶意软件。 如果恶意软件以提升的权限执行，它将继续设置SeDebugPrivilege令牌，并将自身标记为关键系统进程，从而即使在尝试终止进程时也能保持持久性。它还会强制计算机显示器保持开启状态，并防止其进入睡眠模式。 最后，Venom RAT工件具备通过可移动USB驱动器传播和终止与Microsoft Defender Antivirus相关进程的能力，以及篡改任务计划程序和注册表以禁用安全程序。 “RevengeHotels显著增强了其能力，开发了新的战术来针对酒店和旅游部门，”卡巴斯基表示，“在LLM代理的帮助下，该组织能够生成和修改其网络钓鱼诱饵，将其攻击扩展到新的地区。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文