HackerNews 编译，转载请注明出处： 利用人工智能（AI）能力、代表用户在多个网站自主执行操作的智能代理浏览器，可能被诱导并欺骗，从而落入钓鱼和诈骗陷阱。 Guardio 在提前提供给 The Hacker News 的报告中表示，该攻击的核心是利用 AI 浏览器对自身行为进行推理的特性，并将其反过来用于降低模型的安全防护机制。 安全研究员 Shaked Chen 表示：“AI 现在会在混乱且动态的页面中实时运行，同时不断请求信息、做出决策，并一路叙述自己的行为。不过，用‘叙述’这个词其实相当保守 —— 它会不停地说，而且说得太多了。” “这就是我们所说的Agentic Blabbering：AI 浏览器会暴露它所看到的内容、它认为正在发生的事情、它接下来计划做什么，以及它将哪些信号视为可疑或安全。” Guardio 称，通过拦截浏览器与厂商服务器上运行的 AI 服务之间的流量，并将其作为输入提供给生成对抗网络（GAN），研究人员能够在不到四分钟的时间内让 Perplexity 的 Comet AI 浏览器成为钓鱼诈骗的受害者。 这项研究建立在 VibeScamming 和 Scamlexity 等现有技术之上，这些技术发现，氛围编码平台和 AI 浏览器可能被诱导生成诈骗页面，或通过隐藏的提示注入执行恶意操作。换句话说，由于 AI 代理在无人持续监督的情况下处理任务，攻击面发生了转变：诈骗不再需要欺骗人类用户，而是以欺骗 AI 模型本身为目标。 Chen 解释道：“如果你能观察到代理将哪些内容标记为可疑、在哪些地方犹豫，更重要的是，它对页面的想法和‘唠叨’内容，你就可以将这些作为训练信号。诈骗页面会不断迭代优化，直到 AI 浏览器稳稳地落入另一个 AI 为它设置的陷阱。” 简单来说，其思路是构建一台 “诈骗机器”，迭代优化并重新生成钓鱼页面，直到代理浏览器不再发出警告，并继续执行威胁行为者的指令，例如在为退款诈骗设计的虚假网页中输入受害者的凭据。 此次攻击有趣且危险的地方在于，一旦欺诈者针对某一特定 AI 浏览器迭代出可用的网页，该网页就能对所有依赖同一代理的用户生效。换言之，攻击目标已从人类用户转向 AI 浏览器。 Guardio 表示：“这揭示了我们即将面临的糟糕前景：诈骗不仅会在野外发起和调整，还会针对数百万人依赖的 exact 模型进行线下训练，直到它们在首次接触时就能完美生效。因为当你的 AI 浏览器解释它为什么停止时，它其实是在教攻击者如何绕过它。” 该披露发布之际，Trail of Bits 针对 Comet 浏览器演示了四种提示注入技术，通过利用浏览器的 AI 助手，在用户要求总结其控制下的网页时，从 Gmail 等服务中提取用户私人信息，并将数据外传至攻击者服务器。 上周，Zenity Labs 还披露了两起影响 Perplexity Comet 的零点击攻击，这些攻击利用会议邀请中植入的间接提示注入，将本地文件外传至外部服务器（代号 PerplexedComet）；若密码管理器扩展已安装并解锁，则劫持用户的 1Password 账号。这些问题被统一命名为 PerplexedBrowser，目前已由该 AI 公司修复。 该攻击通过一种名为意图冲突（intent collision）的提示注入技术实现。安全研究员 Stav Cohen 表示，这种情况发生在 “代理将用户的良性请求与来自不可信网页数据的攻击者控制指令合并到单一执行计划中，却没有可靠方法区分二者” 时。 提示注入攻击对于大语言模型（LLM）及其集成到企业工作流程来说，仍然是一项根本性的安全挑战，主要原因是完全消除此类漏洞可能并不现实。2025 年 12 月，OpenAI 指出，此类弱点 “几乎不可能” 在代理浏览器中被彻底解决，尽管相关风险可以通过自动化攻击发现、对抗训练和新的系统级安全措施来降低。 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Anthropic 于 2026 年 1 月使用其 Claude Opus 4.6 AI 模型在 Firefox 中发现了 22 个安全漏洞。Mozilla 已在 Firefox 148 版本中修复了这些问题。 研究人员表示，AI 模型如今已能够独立发现高严重级别的软件缺陷。他们在两周内识别出 22 个 Firefox 漏洞，其中 14 个为高严重级别，数量接近 2025 年 Firefox 修复的所有高严重级别漏洞的五分之一，这表明 AI 具备在复杂软件中快速检测关键安全风险的能力。 2025 年末，Anthropic 在 Firefox 上对 Claude Opus 4.6 进行了评估，测试其识别复杂、高影响安全漏洞的能力。起初，该模型成功复现了旧版 Firefox 中许多已公开的历史 CVE 漏洞。随后，研究人员让 Claude 从 JavaScript 引擎开始，寻找此前未被报告过的新漏洞。在二十分钟内，Claude 就识别出一个释放后重用（Use After Free）漏洞，研究团队对其进行了验证，并向 Mozilla 提交了该漏洞及建议补丁。在问题分类处理过程中，Claude 又发现了数十个额外的崩溃问题，最终在近 6000 个 C++ 文件中提交了总计 112 份独立报告。 “在就双方流程进行技术讨论并分享了一些我们手动验证过的其他漏洞后，他们鼓励我们批量提交所有发现，无需逐一验证，即便我们不确定所有崩溃测试用例都存在安全影响。”Anthropic 发布的报告中写道。“到这项工作结束时，我们扫描了近 6000 个 C++ 文件，并提交了总计 112 份独立报告，其中包括上述高、中严重级别的漏洞。” 大多数问题，包括高、中严重级别的漏洞，均已在 Firefox 148 中修复，剩余补丁计划在未来版本中发布。 Mozilla 对此次合作表示赞赏，并已开始在内部尝试使用 AI 辅助安全研究。该项目表明，AI 在快速检测和报告关键软件缺陷方面的能力正在不断提升。 为测试 Claude Opus 4.6 利用漏洞的能力，研究人员向其提供此前提交给 Mozilla 的漏洞，要求其生成可正常运行的漏洞利用程序。Claude 进行了数百次尝试，演示了读取和写入本地文件的攻击，消耗了约 4000 美元的 API 额度。它仅在两个案例中成功生成了可运行的漏洞利用程序，这表明尽管该模型擅长发现漏洞，但利用漏洞的难度和成本要高得多。 “我们以不同的起点运行了数百次测试，花费了约 4000 美元的 API 额度。尽管如此，Opus 4.6 仅能在两个案例中将漏洞真正转化为可利用程序。这告诉我们两件事。” 报告继续写道。“第一，Claude 发现这类漏洞的能力远强于利用漏洞的能力。第二，识别漏洞的成本比为其制作利用程序低一个数量级。然而，Claude 能够自动开发出简单的浏览器漏洞利用程序，即便仅在少数案例中成功，这一事实仍令人担忧。” 成功生成的漏洞利用程序较为 “简陋”，且仅在禁用了沙箱等安全功能的受控测试环境中有效，这意味着其在现实环境中的影响有限。尽管如此，Claude 能够自动生成哪怕是最基础的浏览器漏洞利用程序，凸显出随着 AI 辅助攻击能力提升所带来的潜在风险。 “这些早期由 AI 实现漏洞利用开发的迹象表明，防御方必须加快发现与修复的流程。” 报告总结道。“根据我们的经验，当 Claude 能够使用另一个工具检查自身输出时效果最好。我们将这类工具称为‘任务验证器’：一种可信的方法，用于确认 AI 代理的输出是否真正达成目标。任务验证器在代理分析代码库时提供实时反馈，使其能够深度迭代直至成功。任务验证器帮助我们发现了上述 Firefox 漏洞，并且在另一项研究中，我们发现它们对修复漏洞同样有用。” Mozilla 表示，AI 辅助分析还发现了另外 90 个 Firefox 漏洞，其中大部分已修复，包括传统模糊测试所遗漏的逻辑错误，这凸显了 AI 在安全领域日益重要的作用。 “发现的规模体现了将严谨工程与新型分析工具相结合以实现持续改进的力量。我们认为这明确证明，大规模 AI 辅助分析是安全工程师工具箱中一项强大的新工具。”Mozilla 表示。 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软表示，威胁行为者正越来越多地在其行动中使用人工智能，以加速攻击、扩大恶意活动规模，并降低网络攻击各个环节的技术门槛。 根据微软威胁情报发布的一份最新报告，攻击者正将生成式人工智能工具用于广泛任务，包括侦察、钓鱼、基础设施搭建、恶意软件开发以及入侵后活动。 在多数情况下，人工智能被用于撰写钓鱼邮件、翻译内容、总结窃取的数据、调试恶意软件，以及辅助脚本编写或基础设施配置。 “微软威胁情报已观察到，当前绝大多数人工智能的恶意使用都集中于利用大语言模型生成文本、代码或媒体内容。威胁行为者利用生成式人工智能撰写钓鱼诱饵、翻译内容、总结窃取的数据、生成或调试恶意软件，以及搭建脚本或基础设施框架。” 微软警告称。 “对于这些用途而言，人工智能发挥了力量倍增器的作用，降低了技术阻力并加快了执行速度，而人类操作者仍保留对攻击目标、攻击对象和部署决策的控制权。” 威胁行为者在网络攻击生命周期中对人工智能的使用（来源：微软） 被用于支撑网络攻击的人工智能 微软已观察到多个威胁组织将人工智能融入网络攻击，包括代号为 Jasper Sleet（Storm-0287）和 Coral Sleet（Storm-1877）的朝鲜籍行为者，他们将该技术用于远程 IT 人员渗透计划。 在这些行动中，人工智能工具帮助生成逼真的身份信息、简历和通信内容，以在西方企业获得雇佣资格，并在入职后维持访问权限。 “Jasper Sleet 利用生成式人工智能平台简化伪造数字身份的制作流程。例如，Jasper Sleet 行为者会提示人工智能平台生成符合特定文化背景的姓名列表和邮箱地址格式，以匹配特定身份档案。例如，威胁行为者可能在此场景中使用以下类型的提示词来利用人工智能： 示例提示词 1：“创建 100 个希腊姓名的列表。” 示例提示词 2：“使用姓名 Jane Doe 创建一组邮箱地址格式。” Jasper Sleet 还利用生成式人工智能审阅专业平台上软件开发及 IT 相关岗位的招聘信息，提示工具提取并总结所需技能。这些输出结果随后被用于为特定职位量身定制伪造身份。 ❖ 微软威胁情报” 报告还描述了人工智能如何被用于辅助恶意软件开发与基础设施搭建，威胁行为者利用人工智能编码工具生成和优化恶意代码、排查错误，或将恶意软件组件移植到不同编程语言。 并非只有微软观察到威胁行为者越来越多地使用人工智能支撑攻击并降低入门门槛。 谷歌近期报告称，威胁行为者在网络攻击的所有阶段都在滥用 Gemini 人工智能，这与亚马逊在相关攻击活动中观察到的情况一致。 亚马逊以及 Cyber and Ramen 安全博客近期也报告了一起攻击活动，其中威胁行为者使用多个生成式人工智能服务，成功攻破了超过 600 个 FortiGate 防火墙。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国防部长皮特・赫格塞思指示五角大楼将 AI 初创公司 Anthropic 列为 “供应链风险” 后，Anthropic 于周五作出强硬回应。 该公司表示：“此次行动源于数月谈判陷入僵局，我们要求对旗下 AI 模型 Claude 的合法使用增设两项例外：禁止用于美国民众大规模国内监控与完全自主武器”。 “无论战争部施加何种恐吓或惩罚，都不会改变我们在大规模国内监控与完全自主武器问题上的立场。” 美国总统唐纳德・特朗普在 Truth Social 发文称，已下令所有联邦机构在未来六个月内逐步停用 Anthropic 技术。 赫格塞思随后在 X 平台发文，要求所有与美军有业务往来的承包商、供应商及合作伙伴立即停止与 Anthropic 的一切商业活动。 赫格塞思写道：“结合总统关于联邦政府停用 Anthropic 技术的指令，我指示战争部将 Anthropic 列为国家安全供应链风险”。 该认定是五角大楼与 Anthropic 就美军使用其 AI 模型进行数周谈判后的结果。 该公司本周发文称，其合同不应支持大规模国内监控或自主武器研发，理由是该技术尚不具备安全可靠支撑此类应用的能力。 Anthropic 表示：“我们支持将 AI 用于合法的对外情报与反情报任务。但将这些系统用于大规模国内监控与民主价值观相悖，AI 驱动的大规模监控对我们的基本自由构成严重且新型的风险。” 该公司还批评美国战争部（DoW）的立场：战争部仅愿与允许 “一切合法使用” 技术、且移除所有安全防护的 AI 公司合作，以此打造 “AI 优先” 作战部队、强化国家安全。 五角大楼上月发布的备忘录称：“战争部不应存在多元化、公平性、包容性及社会意识形态，因此不得采用融入意识形态‘调校’、影响其对用户提示给出客观真实回应能力的 AI 模型。” “战争部还必须采用无使用政策限制、不会阻碍合法军事应用的模型。” 针对该认定，Anthropic 称其 “缺乏法律依据”，并表示这将为所有与政府谈判的美国公司开创危险先例。 该公司还指出，依据《美国法典》第 10 编第 3252 条，供应链风险认定仅适用于战争部合同中 Claude 的使用，不影响其为其他客户提供服务。 五角大楼首席发言人肖恩・帕内尔周四在 X 平台发文称，战争部无意开展大规模国内监控或部署无人参与的自主武器，并称相关说法为 “虚假信息”。 帕内尔称：“我们的要求很简单：允许五角大楼将 Anthropic 模型用于一切合法用途。” “这是简单且符合常理的要求，可避免 Anthropic 危及关键军事行动、让作战人员陷入风险。我们绝不允许任何公司左右我们的作战决策条款。” 这场持续僵局也导致科技行业出现两极分化。 谷歌与 OpenAI 数百名员工签署公开信，呼吁各自公司支持 Anthropic，与五角大楼就 Claude 等 AI 工具军事应用展开对抗。 xAI 首席执行官埃隆・马斯克周五站在特朗普政府一方，称 “Anthropic 仇视西方文明”。 Anthropic 与美国政府对峙之际，OpenAI 首席执行官萨姆・奥尔特曼称，OpenAI 已与美国国防部（DoD）达成协议，在其涉密网络部署模型。 OpenAI 还请求国防部将相关条款推广至所有 AI 公司。 奥尔特曼在 X 平台发文称：“AI 安全与普惠是我们使命的核心，两项最重要的安全原则是禁止国内大规模监控、武力使用需人类负责，包括自主武器系统。” “战争部认同这些原则，并将其纳入法律与政策，我们也将其写入协议。” 最新进展 Anthropic 与美国政府的公开争执使其 Claude 聊天机器人登顶苹果美国免费应用榜，即便 OpenAI 首席执行官萨姆・奥尔特曼称，该公司被列为供应链风险开创了 “极其可怕的先例”。 OpenAI 还披露了与五角大楼在涉密环境部署先进 AI 系统的协议细节，补充称 “我们认为该协议的安全防护比此前所有涉密 AI 部署协议都更严格，包括 Anthropic 的协议”。 该公司称，与战争部的合作遵循三条红线。 包括禁止将 OpenAI 技术用于大规模国内监控、指挥自主武器系统，以及社会信用体系等高风险自动化决策。 该公司声明称：“在协议中，我们通过更全面、多层级的方式守护这些红线。” “我们对安全技术栈拥有完全自主权，通过云端部署，经审查的 OpenAI 人员全程参与，且有严格的合同保护。” 奥尔特曼还表示，公司未来将考虑承诺公开红线的所有变更，附公开说明，并在生效前设置强制公示期。 OpenAI 国家安全合作主管卡特里娜・马利根在领英发文称，协议将部署限制在云端 API，公司对部署的模型与安全技术栈拥有控制权，AI 专家全程参与，若模型未拒绝应拒绝的查询或出现超出预期的操作风险，可随时调整。 马利根称：“自主系统需要边缘端推理。” “通过将部署限制在云端 API，我们可确保模型无法直接集成到武器系统、传感器或其他作战硬件中。” OpenAI 协议达成之际，《华尔街日报》报道称，尽管存在使用分歧，美国仍借助 Anthropic 的 AI 工具对伊朗发动大规模空袭。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 嵌入在可访问客户端代码中的 Google Maps 等服务 API 密钥，可被用于向 Gemini AI 助手进行身份认证并访问私有数据。 研究人员在扫描各行业机构（甚至包括 Google 自身）的互联网页面时，发现了近 3000 个此类密钥。 该问题在 Google 推出 Gemini 助手、开发者开始在项目中启用 LLM API 后出现。在此之前，Google Cloud API 密钥不被视为敏感数据，即使暴露在公网也无风险。 开发者可使用 API 密钥扩展项目功能，例如在网站中加载地图、嵌入 YouTube、使用追踪或 Firebase 服务。 Gemini 推出后，Google Cloud API 密钥同时成为了 Google AI 助手的身份认证凭证。 TruffleSecurity 研究人员发现该问题并警告：攻击者可从网页源码中复制 API 密钥，通过 Gemini API 服务访问私有数据。 由于 Gemini API 并非免费使用，攻击者可利用该权限发起 API 调用为自身牟利。 Truffle Security 表示：“根据模型与上下文窗口不同，攻击者耗尽 API 调用额度可能导致单个受害账户每天产生数千美元费用。” 研究人员警告称，这些 API 密钥已在公开 JavaScript 代码中暴露多年，如今却在无人察觉的情况下突然获得了更高危的权限。 （来源：TruffleSecurity） TruffleSecurity 扫描了 2025 年 11 月的 Common Crawl 数据集（大量热门网站的代表性快照），在代码中发现超过 2800 个公开暴露的活跃 Google API 密钥。 据研究人员称，部分密钥被大型金融机构、安全公司和招聘公司使用。他们已向 Google 报告该问题，并提供了来自其基础设施的样本。 在其中一例中，一个仅用作标识符的 API 密钥至少从 2023 年 2 月开始部署，并嵌入在 Google 某产品公网网站的页面源码中。 Google 暴露的密钥（来源：TruffleSecurity） Truffle Security 通过调用 Gemini API 的 /models 端点并列出可用模型对该密钥进行了测试。 研究人员已于去年 11 月 21 日将该问题告知 Google。 经过多轮沟通，Google 于 2026 年 1 月 13 日将该漏洞归类为 “单服务权限提升”。 Google 在向 BleepingComputer 发表的声明中表示，已知晓该报告，并 “与研究人员合作解决了该问题”。 Google 发言人向 BleepingComputer 表示：“我们已实施主动措施，检测并阻止泄露的 API 密钥访问 Gemini API。” Google 表示，新的 AI Studio 密钥将默认仅限定 Gemini 权限，泄露的 API 密钥将被禁止访问 Gemini，且检测到泄露时将发送主动通知。 开发者应检查项目中是否启用了 Gemini（Generative Language API），审计环境中所有 API 密钥是否公开暴露，并立即轮换密钥。 研究人员还建议使用 TruffleHog 开源工具检测代码与仓库中暴露的活跃密钥。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名黑客从 2025 年 12 月开始，历时一个月，利用 Anthropic 公司的 Claude AI 聊天机器人进行攻击，识别漏洞、生成漏洞利用代码，并从墨西哥政府机构窃取敏感数据。 网络安全公司 Gambit Security 发现了此次攻击，并揭示了黑客如何通过持续不断的提示绕过 Claude 的安全防护措施。 据 Bloomberg 报道，此次攻击行动从 2025 年 12 月持续到 2026 年 1 月初。黑客编写了西班牙语提示，将 Claude 伪装成一名“精英黑客”，参与模拟漏洞赏金计划。 Claude 最初以人工智能安全准则为由拒绝了黑客的请求，但在黑客的反复劝说下最终妥协，生成了数千份包含可执行脚本的详细报告，用于漏洞扫描、漏洞利用和数据自动化。 当 Claude 达到极限时，攻击者转而使用 ChatGPT 进行横向移动和规避。 Gambit 的研究人员分析了对话日志，发现 Claude 生成了分步计划，明确了内部目标和所需的凭证。这种“智能”AI 辅助降低了网络攻击的门槛，除了 AI 订阅之外，无需任何高级基础设施。 目标和数据泄露 此次攻击的目标是高价值实体，并利用了联邦和州系统中至少 20 个漏洞。 总共泄露了 150GB 的纳税人、选民、凭证和注册数据，目前尚未有公开泄露报告。 Claude 的输出包括用于网络扫描的侦察脚本、SQL 注入漏洞利用程序以及针对过时政府系统定制的凭证填充自动化程序。 提示信息主要集中在常见的错误配置上，例如未打补丁的 Web 应用程序和弱身份验证，这些错误在墨西哥的旧式基础设施中很常见。 Gambit 指出，人工智能能够将任务串联起来，从漏洞发现到有效载荷部署，这与高级持续性威胁类似，但更易于单人操作。 Anthropic 对此事进行了调查，封禁了涉事账户，并为 Claude Opus 4.6 添加了实时滥用探测功能。OpenAI 确认 ChatGPT 会拒绝违反策略的提示。 墨西哥方面的回应各不相同：哈利斯科州否认存在数据泄露，墨西哥国家统计局 (INE) 声称没有未经授权的访问，而联邦机构则在评估损失。Gambit 排除了国家行为体参与的可能性，认为事件是由一名身份不明的个人所为。 埃隆·马斯克在 X 上发布了一张表情包，强调了人工智能的风险，而 xAI 的 Grok 则强调了其拒绝非法请求的功能。 此次事件凸显了“人工智能策划”的网络犯罪风险，越狱会将消费者模型转化为黑客工具。专家敦促各方迅速采取工程防御措施、行为监控，并在敏感操作中使用物理隔离的人工智能。 面对日益猖獗的智能体威胁，各国政府必须优先修补遗留系统，因为这些威胁不再需要精英黑客，只需要持续不断的黑客。 消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究公司 LayerX 发现的一处新的严重漏洞，暴露了大语言模型（LLM）在处理信任边界方面的基础架构缺陷。 Claude 桌面扩展（DXT）中存在的零点击远程代码执行（RCE）漏洞，使得攻击者仅需构造一个恶意的 Google 日历事件即可攻陷系统。 该漏洞被 LayerX 评为 CVSS 10.0 分，影响了超过 10,000 名活跃用户和 50 多个 DXT 扩展。它突显了模型上下文协议（MCP）生态系统中一个危险的缺口：AI 代理能够在未经用户同意的情况下，自主地将低风险数据源与高权限执行工具链接起来。 问题的核心在于 Claude 桌面扩展的架构。与现代浏览器扩展（如 Chrome 的 .crx 文件）运行在严格的沙箱环境中不同，Claude 的 MCP 服务器在主机上以完整的系统权限运行。这些扩展并非被动插件，而是 AI 模型与本地操作系统之间的主动桥梁。 根据 LayerX 的说法，这种缺乏沙箱保护的设计意味着，如果一个扩展被诱骗执行命令，它将拥有与用户相同的权限，能够读取任意文件、访问存储的凭证以及修改操作系统设置。 Claude 桌面扩展的零点击 RCE 漏洞 该漏洞利用无需复杂的提示工程或受害者的直接交互来触发有效载荷。攻击载体简单得令人震惊：一个 Google 日历事件。 在被研究人员称为“Ace of Aces”的攻击场景中，攻击者邀请受害者参加一个名为“Task Management”的日历事件（或将其注入到共享日历中）。事件描述中包含克隆恶意 Git 仓库并执行 makefile 的指令。 当用户之后向 Claude 提出一个无害的请求，例如“请查看我 Google 日历中的最新事件并为我处理一下”时，模型会自主地将“处理一下”的指令解释为执行在日历事件中找到的任务的授权。 由于没有硬编码的防护措施来阻止数据从低信任度连接器（Google 日历）流向高信任度的本地执行器（Desktop Commander），Claude 会继续执行以下操作： ·     从日历中读取恶意指令。 ·     使用本地 MCP 扩展从攻击者的仓库执行 git pull。 ·     执行下载的 make.bat 文件。 这整个过程在没有针对代码执行的特定确认提示的情况下发生，从而导致系统被完全攻陷。用户以为自己只是在请求更新日程，而 AI 代理却在无声中将系统的控制权交给了恶意行为者。 该漏洞的独特之处在于，它并非传统的软件漏洞（如缓冲区溢出），而是一种“工作流故障”。缺陷在于 LLM 的自主决策逻辑。 Claude 的设计初衷是提供帮助并自主运行，通过链接工具来满足请求。然而，它缺乏理解以下情况所需的上下文：源自日历等公共来源的数据绝不应直接传输到特权执行工具中。 LayerX 的报告指出：“这在由 LLM 驱动的工作流程中造成了系统级的信任边界违规。将良性数据源自动桥接到特权执行上下文中从根本上是不安全的。” LayerX 将这些发现披露给了 Claude 的创造者 Anthropic。令人惊讶的是，据报道该公司决定目前不修复此问题，可能是因为该行为符合 MCP 自主性和互操作性的预期设计。修复它将需要对模型链接工具的能力施加严格限制，这可能会降低其实用性。 在实施补丁或架构更改之前，LayerX 建议，对于安全敏感的系统，应认为 MCP 连接器是不安全的。 研究团队建议用户，如果他们还使用摄入外部非受信数据（如电子邮件或日历）的连接器，则应断开高权限的本地扩展。 随着 AI 代理从聊天机器人转变为主动的操作系统助手，攻击面已经发生了变化。这个零点击远程代码执行（RCE）漏洞发出了一个警告：授予 AI 代理访问我们数字生活的权限，也使我们暴露在那些能够操纵其数据的人面前。让 AI 处理任务的便利性伴随着巨大的安全风险。   消息来源: cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人工智能公司 Anthropic 公布，其最新大语言模型 Claude Opus 4.6 在 Ghostscript、OpenSC、CGIF 等开源库中发现了 500 余个此前未知的高危安全漏洞。 于周四发布的 Claude Opus 4.6 升级了代码能力，涵盖代码审查与调试功能，同时在金融分析、研究、文档生成等任务上也有所优化。 Anthropic 表示，该模型在无需专用工具、自定义框架或特定提示词的情况下，发现高危漏洞的能力“显著提升”，目前已将其用于开源软件漏洞的发现与修复辅助工作。 该公司补充道：“Opus 4.6 能像人类研究员一样阅读和推理代码——通过查看过往修复记录寻找未解决的同类漏洞，识别易引发问题的代码模式，或充分理解程序逻辑，精准判断何种输入会导致程序异常。” 正式发布前，Anthropic 的前沿红队在虚拟化环境中对该模型进行了测试，并为其配备调试器、模糊测试器等必要工具，用于发现开源项目中的漏洞。公司称，测试目的是评估模型的开箱即用能力，全程不提供工具使用指导，也不提供任何有助于漏洞识别的额外信息。 该公司还表示，已对所有发现的漏洞进行验证，确保其并非模型虚构（即幻觉生成），并利用该大模型对已识别的最严重内存破坏漏洞进行优先级排序。 以下为 Claude Opus 4.6 识别出的部分安全漏洞，相关维护方已完成修复： ·     通过解析 Git 提交记录，发现 Ghostscript 中一处因缺失边界检查可导致程序崩溃的漏洞 ·     通过检索 `strrchr()`、`strcat()` 等函数调用，发现 OpenSC 中的缓冲区溢出漏洞 ·     CGIF 中的堆缓冲区溢出漏洞（已在 0.5.1 版本修复） 谈及 CGIF 漏洞时，Anthropic 表示：“该漏洞尤为特殊，触发它需要理解 LZW 算法及其与 GIF 文件格式的关联逻辑。传统模糊测试器（甚至覆盖引导式模糊测试器）很难触发此类漏洞，因为其需要特定的分支执行路径。” “事实上，即便 CGIF 实现 100% 行覆盖与分支覆盖，该漏洞仍可能无法被发现——其需要极为特定的操作序列才能触发。” 该公司将 Claude 等 AI 模型定位为网络防御方“实现力量平衡”的关键工具。但同时强调，会根据潜在威胁的发现调整并更新安全防护机制，增设额外约束以防范模型滥用。 此次披露发布的数周前，Anthropic 曾表示，其现有 Claude 模型仅通过标准开源工具，就能发现并利用已知安全漏洞，对包含数十台主机的网络实施多阶段攻击。 该公司称：“这表明 AI 在自主化网络安全工作流程中的应用门槛正快速降低，也凸显出及时修复已知漏洞等安全基础工作的重要性。”     消息来源:thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项大语言模型劫持攻击行动正大规模针对暴露的大语言模型及 MCP 开展攻击，以实现商业化牟利。 据Pillar Security报告，在此次大规模大语言模型劫持行动中，网络犯罪分子正批量搜寻、劫持暴露的大语言模型及 MCP 端点，并将其商业化牟利。该攻击行动被命名为 “Operation Bizarre Bazaar”，针对暴露或未受保护的人工智能端点发起攻击，实现劫持系统资源、转售应用程序接口访问权限、窃取数据及横向渗透至内部系统等目的。 攻击主要针对自托管的AI基础设施，包括：暴露了默认端口的服务、未设置身份验证的API接口、面向公网的开发或测试环境，以及缺乏访问控制的MCP服务器。 Pillar公司解释称：“被入侵的大语言模型端点会产生高额成本（推理计算成本高昂）、泄露企业敏感数据，还会为攻击者提供横向渗透的机会。” “Operation Bizarre Bazaar”涉及三个环环相扣的组成部分：一个扫描器（即自动扫描互联网寻找暴露系统的僵尸网络基础设施）、一个验证器（与名为silver.inc的实体关联，负责验证发现的端点是否可利用），以及一个市场（名为“统一LLM API网关”，同样由silver.inc控制）。 扫描发现目标后，silver.inc 会在 2 至 8 小时内通过系统化应用程序接口测试，对目标端点进行验证。监测显示，威胁行为者会枚举目标模型功能并评估其响应质量。 Pillar指出，这个黑市提供对超过30种大型语言模型的访问权限。该交易市场部署在荷兰的抗攻击基础设施上，在 Discord 及 Telegram 平台进行推广，交易支持加密货币或 PayPal 支付。 Pillar已监测到超过35,000次与该行动相关的攻击会话，平均每天高达972次。“持续的高频攻击活动表明，攻击者是系统性针对暴露的人工智能基础设施发起攻击，而非随机性扫描。”报告强调。 已被确认遭利用的系统类型包括：11434端口上未设认证的Ollama实例、8000端口上暴露的OpenAI兼容API、无访问控制的MCP服务器、分配了公网IP的开发环境，以及缺乏认证或速率限制的生产环境聊天机器人。 Pillar指出，该行动由一个代号为“Hecker”（亦化名Sakuya、LiveGamer101）的威胁行为者运营，其基础设施与nexeonai.com服务存在重叠，暗示可能存在关联。 “攻击者会选择阻力最小的路径，即无防护门槛的端点。即便是面向公网的人工智能服务，也可通过速率限制、使用额度管控及行为监测抵御随机性滥用；对于内部服务，防护逻辑更简单：非必要不暴露，需定期扫描外部攻击面，确认无违规暴露情况。”Pillar建议道。 此外，该公司还发现了另一个很可能由不同攻击者发起、目标迥异的侦察活动，专门针对MCP服务器。“到一月底，总攻击流量的60%都来自这类针对MCP的侦察行动，”报告补充道。 消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Gemini MCP 工具存在一个高危零日漏洞，使用户在无需任何身份验证的情况下暴露于远程代码执行（RCE）攻击。 该漏洞追踪编号为 ZDI-26-021 / ZDI-CAN-27783，通用漏洞标识符为CVE-2026-0755，其 CVSS v3.1 最高评分为 9.8 分，反映了其易被利用且危害程度高的特性。 根据趋势科技零日计划（ZDI）的一份新公告，该漏洞影响了开源工具 gemini-mcp-tool，该工具用于实现 Gemini 模型与模型上下文协议（MCP）服务的集成。 漏洞概述 在公告中，涉事厂商及产品均标注为 Gemini MCP Tool / gemini-mcp-tool。该漏洞的核心成因是 execAsync 方法对用户输入数据处理不当。 该函数未对用户输入进行充分验证与净化，便直接将其传入系统调用。 远程攻击者可以利用此命令注入漏洞，在目标底层系统上执行任意代码，且代码执行权限与服务账户权限一致。 由于攻击媒介是基于网络的，且无需事先身份验证或用户交互，因此暴露于公网或共享环境的风险特别高。 该漏洞最初于 2025 年 7 月 25 日通过第三方平台报告给相关厂商。 ZDI 在 2025 年 11 月跟进漏洞修复进展，在未获得充分反馈的情况下，于 2025 年 12 月 14 日告知供应商其打算将此案例作为零日漏洞进行公告披露。 该漏洞的协同公开披露及安全公告更新工作于 2026 年 1 月 9 日完成。 截至公告发布时，厂商尚未推出官方补丁及修复更新。因此，该漏洞的缓解措施选项有限。 ZDI 建议严格限制对 Gemini MCP 工具的访问权限，确保其不直接暴露于互联网，且仅允许可信网络及可信用户进行交互。 管理员还需对运行 gemini-mcp-tool 的系统进行监控，重点排查可疑进程执行及异常对外连接情况，此类现象可能意味着漏洞已被成功利用。 消息来源: cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文