HackerNews 编译，转载请注明出处： 苹果已发布首个 “后台安全改进” 更新，用于修复 iPhone、iPad 和 Mac 上编号为 CVE – 2026 – 20643 的 WebKit 漏洞，且无需进行完整的操作系统升级。 CVE – 2026 – 20643 漏洞可让恶意网页内容绕过浏览器的同源策略。苹果表示，该漏洞是导航 API 中的一个跨源问题，已通过改进输入验证的方式加以解决。 此漏洞由安全研究员托马斯・埃斯帕赫发现，新更新适用于 iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1 和 macOS 26.3.2 系统。 此次发布是苹果首次通过其新的 “后台安全改进” 功能推送安全修复程序。该功能用于在正常安全更新周期之外，提供小规模的非同步补丁。 苹果解释称：“‘后台安全改进’为 Safari 浏览器、WebKit 框架栈及其他系统库等组件提供轻量级安全更新，这些组件受益于软件更新之间的小型持续性安全补丁。” “在极少数兼容性问题的情况下，‘后台安全改进’更新可能会被暂时移除，然后在后续的软件更新中进行强化。” 过去，苹果的安全更新要求用户安装新的操作系统版本并重启设备。然而，借助 “后台安全改进” 功能，苹果现在可以在后台为特定组件提供小规模更新。 苹果在 iOS 26.1、iPadOS 26.1 和 macOS 26.1 中添加了这一功能，称其旨在快速修复版本发布期间的安全漏洞。 用户可通过设备设置中的 “隐私与安全” 菜单访问该功能。在 iPhone 和 iPad 上，进入 “设置”，然后点击 “隐私与安全”；在 Mac 上，从苹果菜单中选择 “系统设置”，然后点击 “隐私与安全”。 苹果警告称，卸载 “后台安全改进” 更新会移除所有先前应用的后台补丁，将设备恢复到基础操作系统版本（如 iOS 26.3.1），且不包含任何增量安全修复。这实际上会移除通过该功能提供的快速响应安全保护，使设备处于基础安全级别，直到重新应用更新或在未来的完整更新中包含这些更新。 因此，除非基础安全改进在您的设备上引发问题，否则强烈建议不要卸载。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，美国能源部负责网络安全的最高官员表示，该部门计划首次发布一项战略计划，阐述其将如何更好地保护国家电网。 网络安全、能源安全与应急响应办公室（CESER）代理主任亚历克斯・菲茨西蒙斯称，该计划旨在补充近期发布的国家网络安全战略，重点聚焦于能源部将如何增强能源行业的 “安全弹性”。 菲茨西蒙斯表示，与私营部门建立伙伴关系的重要性以及强化合作的方式，将是这份战略计划的核心内容。 “私营企业在很大程度上负责保护自身网络，我们必须与之合作，” 菲茨西蒙斯在华盛顿特区举行的麦克拉里网络峰会上说道，“我们必须能够及时向他们提供可行的信息，以便他们保障自己网络的安全。” 菲茨西蒙斯还提到，该计划将着力研究如何通过最佳方式投资人工智能，以抵御对手部署的人工智能驱动的攻击性网络武器。 菲茨西蒙斯称：“我们必须在网络防御方面对人工智能进行投资，相关信息和技术将用于保障并强化关键能源基础设施，尤其是那些可能在未来冲突中涉及的国防关键能源基础设施。” “所有这些强化措施和信息技术，有助于我们应对网络和实体安全事件，并从中吸取经验教训，为能源行业及时提供可行的信息，这就是 CESER 战略计划的核心要点。” 在小组讨论结束后，记者在走廊上询问战略计划何时发布，菲茨西蒙斯只回答了 “很快”。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FBI 查封了网络犯罪论坛 LeakBase，该论坛是网络犯罪分子买卖黑客工具和被盗数据的主要平台。 此次查封行动是由欧洲刑警组织协调的国际联合行动 “Leak 行动” 的一部分，共有 14 个国家的执法机构参与。 3 月 3 日至 4 日，FBI 与执法人员查封了 LeakBase 的两个域名、张贴查封公告，并在收集更多证据后向该论坛成员发出警告。 美方及澳大利亚、比利时、波兰、葡萄牙、罗马尼亚、西班牙、英国等国警方执行了搜查令、实施逮捕并进行问询。 LeakBase 域名（leakbase [.] la）现已显示公告：“本网站已由美国联邦调查局（FBI）在国际执法行动中查封。” 查封公告同时指出，该论坛数据库及所有内容（包括 IP 日志和私信）将作为证据用于后续调查。 公告称：“论坛所有内容，包括用户账号、帖子、积分信息、私信和 IP 日志均已固定并保存，用于取证。任何试图访问、修改或干扰本网站的行为都可能构成额外刑事犯罪。本次行动得益于国际执法部门及私营部门的协作，合作伙伴如下。” LeakBase 查封公告（来源：BleepingComputer） 该域名的 DNS 服务器已切换为 ns1.fbi.seized.gov 和 ns2.fbi.seized.gov，为 FBI 查封域名时使用的官方服务器。 欧洲刑警组织表示：“3 月 3 日，执法部门在多国司法管辖区开展协同行动，包括逮捕、入户搜查和上门约谈。全球共开展约 100 次执法行动，针对平台 37 名最活跃用户采取措施。” “3 月 4 日，当局进入技术关停阶段，查封论坛域名并替换为执法公告页面。行动现已进入预防阶段，旨在震慑后续犯罪活动，并警示参与网络犯罪的后果。” LeakBase 自 2021 年运营，由 ARES 威胁组织支持创立；在 Breached 黑客论坛关闭后，其用户量逐步增长至 14.2 万以上。 该论坛免费注册，提供数据库访问、数据泄露交易、漏洞利用工具及各类黑产服务，并支持担保交易。此外，论坛还设有编程、黑客技巧、社会工程学、密码学和操作安全（OPSEC）教程板块。 本次行动前，美方已先后在 2022 年打掉 RaidForums、2023 年打掉 BreachForums 两大同类网络犯罪平台，并在 2025 年对 BreachForums 创始人完成定罪判刑。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一起新型供应链攻击事件：npm 和 Python 包索引（PyPI）仓库中的合法包遭攻陷，攻击者推送恶意版本以窃取钱包凭证并实现远程代码执行。 两款遭攻陷的包及其受影响版本如下： ·     @dydxprotocol/v4-client-js (npm) – 3.4.1, 1.22.1, 1.15.2, 1.0.31 ·     dydx-v4-client（PyPI）——1.1.5post1 版本 “@dydxprotocol/v4-client-js（npm）和 dydx-v4-client（PyPI）包为开发者提供与 dYdX v4 协议交互的工具，包括交易签名、下单及钱包管理功能。” Socket 安全研究员 Kush Pandya 指出。“使用这些包的应用会处理高敏感的加密货币相关操作。” dYdX 是一个非托管、去中心化的加密货币交易所，用于交易保证金和永续掉期，同时允许用户完全控制其资产。该 DeFi 交易所在其网站上称，其累计交易量已超过 1.5 万亿美元。 虽然目前尚不清楚这些被下毒的更新是如何被推送的，但怀疑是开发者账户被盗用所致，因为这些恶意版本是使用合法的发布凭证发布的。 研究发现，威胁攻击者针对 JavaScript 和 Python 生态系统植入了不同的恶意载荷。其中 npm 包中的恶意代码为加密货币钱包窃取器，会窃取助记词和设备信息。而 Python 包除钱包窃取功能外，还植入了远程访问木马（RAT）。 该 RAT 组件在包被导入时立即运行，会连接外部服务器（dydx.priceoracle [.] site/py）获取指令，随后在主机上执行。在 Windows 系统中，其利用 “CREATE_NO_WINDOW”  标记确保执行过程中不弹出控制台窗口。 Pandya 说。“攻击者对包的内部结构了如指掌，将恶意代码植入核心注册表文件（registry.ts、registry.js、account.py），这些代码会在包正常使用过程中执行。” “PyPI 版本中采用了 100 轮混淆处理，且跨生态系统的攻击部署高度协同，这表明攻击者直接获取了发布基础设施的访问权限，而非利用仓库自身的技术漏洞。” 2026 年 1 月 28 日研究人员依规披露该事件后，dYdX 在 X 平台发布多篇帖子确认此事，并敦促下载过遭攻陷版本的用户隔离受影响设备、在安全系统中将资产转移至新钱包，同时更换所有 API 密钥和凭证。 “托管在 dydxprotocol Github 中的 dydx-v4-clients 版本不包含恶意软件，” 他补充道。 这并非 dYdX 生态系统首次成为供应链攻击的目标。2022年9月，Mend 和 Bleeping Computer 曾报道过一个类似案例，dYdX 一名员工的 npm 账户被劫持，用于发布多个 npm 软件包的新版本，其中包含窃取凭证和其他敏感数据的代码。 两年后，该交易所还披露，与其现已停止的 dYdX v3 平台相关的网站遭到入侵，将用户重定向到一个旨在清空其钱包的钓鱼网站。 “结合 2022 年的 npm 供应链入侵事件和 2024 年的 DNS 劫持事件来看，这次攻击突显了对手通过受信任的分发渠道瞄准 dYdX 相关资产的持久模式，” Socket 表示。 “跨语言近乎相同的凭证窃取实现表明攻击者进行了周密的计划。威胁行为者保持了一致的数据外传端点、API 密钥和设备指纹逻辑，同时部署了针对特定生态系统的攻击向量。npm 版本专注于凭证窃取，而 PyPI 版本则增加了对系统的持久访问权限。” 不存在的软件包带来的供应链风险 此次披露之际，Aikido 详细说明了 README 文件和脚本中引用但从未实际发布的 npm 软件包如何构成了一个有吸引力的供应链攻击载体，允许威胁行为者以这些名称发布软件包来分发恶意软件。 这一发现是软件供应链威胁日益复杂化的最新体现，攻击者利用与开源仓库相关的信任，可以一次性危害大量用户。 “复杂的攻击者正在向软件供应链的上游移动，因为它为进入下游环境提供了一条深入、低噪声的初始访问路径，” Sygnia 的 Omer Kidron 说。 “同样的方法既支持精准入侵（特定的供应商、维护者或构建身份），也支持通过广受信任的生态系统进行大规模的机会主义攻击——这使得它与所有组织都相关，无论它们是否认为自己是主要目标。” Aikido 的分析发现，在 2025 年 7 月至 2026 年 1 月期间，这 128 个幽灵软件包总共获得了 121,539 次下载，平均每周 3,903 次下载，上个月达到了 4,236 次下载的峰值。下载量最大的软件包列表如下 – ·     openapi-generator-cli (48,356 次下载)，模仿 @openapitools/openapi-generator-cli ·     cucumber-js (32,110 次下载)，模仿 @cucumber/cucumber ·     depcruise (15,637 次下载)，模仿 dependency-cruiser ·     jsdoc2md (4,641 次下载) ·     grpc_tools_node_protoc (4,518 次下载) ·     vue-demi-switch (1,166 次下载) “仅在过去七天，openapi-generator-cli 就获得了 3,994 次下载，” 安全研究员 Charlie Eriksen 说。“这相当于在一周内，有近 4,000 次有人试图运行一个不存在的命令。” 这些发现凸显了 npm 在仿冒域名保护方面的一个盲点。npm 虽然会主动阻止注册与现有软件包名称拼写相似的企图，但不会阻止用户创建那些原本就未曾注册过的名称的软件包，因为根本没有任何东西可以比对。 为了降低由 npx 混淆带来的这种风险，Aikido 建议采取以下步骤： ·     使用 “npx –no-install” 来阻止回退到仓库下载，如果本地找不到软件包，则安装失败 ·     明确安装 CLI 工具 ·     如果文档要求用户运行某个软件包，请验证该软件包是否存在 ·     注册明显的别名和拼写错误的名称，以防止攻击者抢占 “npm 生态系统有数百万个软件包，” Eriksen 说。“开发者每天运行数千次 npx 命令。‘便捷的默认设置’与‘任意代码执行’之间，只差一个未被认领的软件包名称。” 消息来源:thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Koi警告称，JavaScript生态系统主流包管理器（包括NPM、PNPM、VLT和Bun）存在的六项安全漏洞可能被利用来绕过供应链攻击防护机制。这些被统称为”PackageGate”的安全缺陷，可能导致攻击者隐藏在依赖包中的恶意代码被执行。 继Shai-Hulud和PhantomRaven等重大NPM供应链攻击事件后，各组织和开发者普遍采用两大防护机制：一是设置标志位阻止安装包时自动执行预装/安装/后装脚本；二是记录依赖树中每个包的版本及完整性哈希值，后续安装时进行哈希校验。 Koi指出，影响四大包管理器的六项PackageGate漏洞可绕过这些防护措施，实现完全远程代码执行（RCE），但各管理器的攻击手法存在差异： • NPM中可通过包含恶意.npmrc文件的Git依赖实现RCE • PNPM默认禁用的脚本防护仅适用于构建阶段，不适用于Git依赖处理 • VLT的压缩包解压操作存在路径遍历漏洞，可导致系统任意文件写入 • Bun的脚本执行白名单仅验证包名而非来源，攻击者可伪装合法包实现RCE 此外，Koi发现PNPM和VLT仅存储压缩包依赖的URL而缺乏完整性哈希验证，导致初始安装通过安全检查的压缩包可能在后续安装中被篡改注入恶意代码。”攻击者一旦将恶意包植入依赖树（即使嵌套多层），即可根据时间、IP地址等信号定向投递恶意负载，”Koi强调。 安全公司已向四家包管理器提交漏洞报告。PNPM、VLT和Bun均在数周内修复漏洞，其中PNPM漏洞编号为CVE-2025-69263和CVE-2025-69264。但NPM方面将该报告标记为”信息性说明”，认为相关功能按设计运行。Koi指出该安全风险真实存在，已观测到威胁行为体讨论利用恶意.npmrc文件的概念验证代码。 针对安全媒体询问，NPM母公司GitHub回应称，通过Git安装依赖包时信任整个代码库是预期设计。”我们正积极处理新报告的问题，NPM持续扫描注册表中的恶意软件。保障NPM生态系统安全需要集体努力，我们强烈建议项目采用可信发布、精细化访问令牌及强制双因素认证来加固软件供应链。GitHub持续投入加强NPM安全，近期已实施认证和令牌管理改进措施。” 消息来源: securityweek.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全非营利组织Shadowserver近日报告称，超过6000台SmarterMail服务器暴露在互联网上，极易遭受编号为CVE-2026-23760的关键身份验证绕过漏洞攻击。网络安全公司watchTowr于1月8日披露该漏洞，SmarterTools公司于1月15日发布补丁，但未分配CVE编号。 安全公告指出：”SmarterTools SmarterMail 9511版本之前的密码重置API存在身份验证绕过漏洞。强制重置密码端点允许匿名请求，且在重置系统管理员账户时未能验证现有密码或重置令牌。未经验证的攻击者只需提供目标管理员用户名和新密码即可重置账户，导致SmarterMail实例完全被管理员权限接管。” watchTowr研究人员发布了仅需管理员用户名的概念验证攻击代码。攻击者可利用此漏洞劫持管理员账户，在目标服务器实现远程代码执行，最终完全控制存在漏洞的服务器。 Shadowserver根据版本检测发现，全球超过6000台SmarterMail服务器可能易受攻击。研究人员还监测到实际攻击中已出现漏洞利用尝试。 该组织在社交媒体平台X上表示：”我们已将SmarterMail CVE-2026-23760远程代码执行漏洞纳入日常漏洞扫描。根据版本检测，全球约6000个IP地址可能受影响，并已观测到实际攻击中的漏洞利用尝试。” 数据显示，大部分存在漏洞的服务器位于美国（约4100台），其次是马来西亚（449台）、印度（188台）、加拿大（166台）和英国（146台）。 本周，美国网络安全与基础设施安全局（CISA）已将CVE-2026-23760列入其已知被利用漏洞目录，要求联邦民事行政部门机构在2026年2月16日前完成漏洞修复工作。 消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta公司周二宣布，将在WhatsApp中新增”严格账户设置”功能，为因身份或职业面临高级网络攻击风险的特定用户提供额外安全防护。这款类似苹果iOS”锁定模式”和安卓”高级保护”的功能，旨在通过牺牲部分使用便捷性，为记者、公众人物等个体提供更强大的间谍软件防护。 启用该安全模式后，部分账户设置将自动调整为最高限制级别，同时自动屏蔽非联系人发送的附件和媒体文件。Meta公司表示：”这项锁闭式功能只需轻点几下即可大幅提升安全等级——自动屏蔽未知发件人的附件媒体、静音陌生来电，并限制其他可能影响应用功能的设置。” 用户可通过”设置 > 隐私 > 高级”路径启用该功能。Meta表示该功能将在未来几周内逐步向全球用户推送。 与此同时，这家社交媒体巨头宣布将在媒体分享功能中采用Rust编程语言，以保护用户的照片、视频和消息免受间谍软件攻击。该公司称此次更新是”全球范围内规模最大的Rust语言库部署”。 Meta指出，采用Rust语言使其能够开发出安全、高性能、跨平台的媒体共享库（”wamedia”），并正在通过三重策略应对内存安全问题： 产品设计层面最大限度减少攻击面暴露 持续投入对现有C/C++代码的安全保障 新代码默认选用内存安全型编程语言 公司补充道：”WhatsApp已部署控制流完整性、强化内存分配器、安全缓冲区处理API等多重防护措施。这是在用户无感知情况下提升安全性的重要进展，也是我们纵深防御战略的组成部分。” 消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta 已开始封堵 WhatsApp 中被用来“指纹识别”设备操作系统的元数据泄露点，但要把各类签名完全隐藏仍面临长期挑战。 攻击者若想把高级间谍软件投递给某名用户，往往会选择拥有 30 亿用户的 WhatsApp 做渠道。他们先利用 0day（无需受害者交互即可投毒）把 payload 推送到用户端。2025 年曝出的 Paragon 间谍软件事件，就是通过这类 0day 对数十名用户下手。 WhatsApp 0day 极其罕见，全利用链在灰/白市常被叫到 100 万美元。 “先识系统、再选漏洞” 在真正动用 0day 前，攻击者必须知道目标运行什么操作系统，才能匹配相应漏洞。过去两年多名研究者演示：只需知道手机号，即可在侦察阶段无感地收集到以下信息—— 用户主力设备与所有已关联设备 各设备的 OS 类型、设备“年龄” 是在手机 App 还是桌面浏览器上使用 WhatsApp 原因在于 WhatsApp 给各端分配的加密密钥 ID（key ID）具有可预测特征。 研究进展 ZenGo 钱包联合创始人兼 CTO Tal Be’ery 是这项调查的主要推动者之一。他和同伴将发现报告给 Meta 后，一度未见动作，直到近期 Be’ery 用自己编写的非公开工具测试时发现： Android 端的关键 ID 已开始被随机化； iPhone 端仍用“初始值很小、隔几天才递增”的策略，因此依旧能高置信区分出 Android 与 iPhone。 Be’ery 在周一发表的博客中肯定 Meta“迈出了第一步”，但批评其静默推送、无 CVE、无赏金，且与报告者沟通不足。他认为后续若把相关字段在所有平台都随机化，这一隐私漏洞将被“彻底消灭”。 WhatsApp 回应 WhatsApp 对 SecurityWeek 表示，公司持续在不同向量上强化安全，同时需兼顾 30 亿用户的体验。关于“操作系统可被推断”，官方指出： 设备指纹识别并非 WhatsApp 独有，iMessage 等平台也存在； OS 本身为优化体验会暴露差异（如 iMessage 输号即可判断对方是否苹果设备）； 推断 OS 需先有 0day 才能转化为实际攻击，行业普遍将其定级为“低危”，通常不分配 CVE；Be’ery 报告的情形未达到 WhatsApp 阈值。 不过，WhatsApp 承认该报告帮助其修复了另一处“无效消息处理”缺陷，并优化了同类漏洞的赏金流程，已向研究员发放奖金。 数据与行动 Meta 自启动赏金计划以来已支付 2500 万美元，其中 2025 年发放 400 万。 WhatsApp 推出 Research Proxy 工具，方便学者对其协议做安全研究。 在反间谍软件战线，Meta 继续诉讼、情报共享与用户教育并举——去年已胜诉 NSO Group，后者被勒令停止攻击 WhatsApp 并支付数百万惩罚性赔偿金（NSO 已提起上诉）。   消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者注册了一个与 Microsoft Activation Scripts（MAS）工具极其相似的域名，通过拼写错误诱导用户下载恶意 PowerShell 脚本，进而感染 Windows 系统，植入名为 Cosmali Loader 的加载器。 昨日，Reddit 上多名 MAS 用户发帖称，系统突然弹出警告窗口，提示已感染“Cosmali Loader”： 你因为把 get.activated.win 错打成 get.activate[.]win 而感染了 cosmali loader 恶意软件。 该恶意软件的面板未设权限，任何访问者都能控制你的电脑。 请重装系统，下次别再打错。 想验证是否中毒，打开任务管理器查看可疑 PowerShell 进程即可。 合法 MAS 官方地址为 get.activated.win，攻击者仅去掉一个字母 d，注册相似域名 get.activate[.]win，专等用户手滑输错。 安全研究员 RussianPanda 发现，这些弹窗与开源 Cosmali Loader 有关，其功能包括投递挖矿程序与远程控制木马 XWorm。 目前尚不清楚是谁向受害者推送了“好心警告”，推测有白帽潜入恶意软件控制面板，借其广播功能提醒中招用户。 MAS 是一套托管在 GitHub 的开源 PowerShell 脚本集合，可通过 HWID、KMS 模拟及 Ohook、TSforge 等方式激活 Windows 与 Office。微软将其视为盗版工具，项目方也已发公告提醒用户核对网址、谨慎输入命令。 安全建议 不执行看不懂的远程命令 先在沙箱测试 尽量复制粘贴，避免手打误入钓鱼域 非官方激活器历来常被用来带毒，务必三思 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LangChain Core（langchain-core）是 LangChain 生态的核心 Python 包，为构建大模型应用提供通用接口与模型无关工具。安全研究员 Yarden Porat 于 2025 年 12 月 4 日披露了一个严重漏洞（CVE-2025-68664，CVSS 9.3），代号“LangGrinch”。 公告指出： “LangChain 的 dumps() 与 dumpd() 函数存在序列化注入缺陷。函数在序列化自由格式字典时，未对含有内部保留键 ‘lc’ 的字典做转义。’lc’ 被 LangChain 用于标记已序列化的对象。当用户可控数据携带该键结构时，在反序列化阶段会被当成合法的 LangChain 对象，而非普通用户数据。” 漏洞根因： dumps()/dumpd() 未转义用户可控字典中的 “lc” 键；当后续用 load()/loads() 反序列化时，这些数据被当作有效 LangChain 对象实例化，而非普通输入。攻击者可通过 metadata、response 等字段注入恶意对象结构。虽然无法加载任意外部类，但可在受信任的 LangChain 命名空间（如 langchain_core、langchain_community）内实例化 Serializable 子类，其中部分类在初始化时会产生副作用。 Cyata 研究员 Yarden Porat 强调： “一旦攻击者能让 LangChain 的编排循环先序列化、再反序列化带有 ‘lc’ 键的内容，就能实例化任意不安全对象，打开多种攻击面。” 潜在危害： 从环境变量泄露机密 在受信任命名空间实例化危险类 通过 Jinja2 模板造成代码执行 借助提示注入，把恶意对象藏进用户可控字段（如 metadata） Porat 指出，该漏洞尤为严重： 位于 langchain-core 本体，而非外围工具或极端场景； dumps()/dumpd() 是框架核心 API，全球累计安装量数亿； 单条提示即可间接触发——LLM 输出可能影响后续被序列化的 metadata，正常业务流程就能完成攻击，隐蔽且影响面广。 修复版本：1.2.5、0.3.81 已发布补丁，请立即升级。 消息来源： securityaffairs.com ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文