HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露，万兴科技（Wondershare）RepairIt 软件中存在两个严重漏洞，不仅导致用户私密数据泄露，还可能让系统遭受 AI模型篡改与供应链攻击的威胁。 这些高危漏洞由 趋势科技（Trend Micro）发现并披露，具体如下： CVE-2025-10643（CVSS 评分：9.1） —— 一处身份验证绕过漏洞，源于对存储账户令牌赋予的过高权限。 CVE-2025-10644（CVSS 评分：9.4） —— 一处身份验证绕过漏洞，源于对 SAS 令牌赋予的过高权限。 一旦被成功利用，攻击者可绕过系统的身份认证保护，发起供应链攻击，最终在用户终端上执行任意代码。 趋势科技研究人员指出，这款具备 AI 功能的数据修复与照片编辑应用 “违背了其隐私政策”：由于缺乏严格的 DevSecOps（开发、安全与运维一体化）流程，导致收集与存储的用户私密数据被意外泄露。 漏洞细节与潜在风险 研究人员发现，该应用在代码中直接硬编码了过度开放的云存储访问令牌，可对敏感云存储进行读写操作。同时，存储的数据未经过加密，进一步增加了用户上传的图片与视频被滥用的风险。 更严重的是，暴露的云存储中不仅包含用户数据，还包括 AI 模型、万兴旗下多款产品的二进制文件、容器镜像、脚本及公司源代码。攻击者若篡改这些 AI 模型或可执行文件，便可能发起针对下游客户的供应链攻击。 研究人员警告称：“由于软件会自动从不安全的云存储中下载并执行 AI 模型，攻击者可修改模型或配置文件，让用户在毫不知情的情况下感染恶意软件。” 这种攻击能够借助官方签名的软件更新或 AI 模型下载传播恶意载荷。 除了用户数据泄露与 AI 模型篡改，这些问题还可能带来严重后果，包括 知识产权盗窃、监管处罚以及消费者信任的流失。 趋势科技称已于 2025 年 4 月 通过 零日计划（ZDI）向厂商负责任地披露了这两个漏洞，但尽管多次尝试联系，至今未收到厂商回应。鉴于暂无修复方案，用户被建议减少或限制使用该产品。 趋势科技提醒：“不断追求新功能与市场竞争，往往让企业忽视这些功能在未来可能被滥用的风险。因此，必须在组织内部，尤其是 CD/CI 流水线中，建立完善的安全流程。” AI 与安全需并行 此次披露也是趋势科技对 MCP（Model Context Protocol）服务器风险的延续性警告。此前，研究人员发现 MCP 服务器若缺乏身份认证或存储明文凭证，攻击者可利用其访问云资源、数据库或注入恶意代码。 每一个 MCP 服务器都可能成为敏感数据的“敞开大门” —— 数据库、云服务、内部 API 或项目管理系统都可能被未授权访问。 在 2024 年 12 月，趋势科技还发现暴露的容器镜像仓库可能被攻击者下载并修改 AI 模型，再上传至公开仓库。被篡改的模型可能在正常情况下表现无异，但在特定输入下触发恶意行为，从而绕过常规检测。 卡巴斯基（Kaspersky）也曾通过概念验证（PoC）指出，从不可信来源安装 MCP 服务器，可能使其伪装成 AI 助手工具，在后台进行侦察与数据窃取。 研究员警告：“安装 MCP 服务器就等于允许它在用户机器上以用户权限运行代码。若未沙箱隔离，第三方代码即可访问用户文件并发起网络连接。” AI 工具的新型攻击向量 随着企业快速采用 MCP 与各类 AI 工具，新的攻击方式层出不穷，包括 工具投毒、拉地毯攻击、影子化利用、提示注入以及越权提升。 近期，Palo Alto Networks的Unit 42 报告披露，AI 代码助手中的上下文附件功能可能被用于间接提示注入。攻击者可在外部数据源中植入恶意提示，让助手在无意中执行后门或泄露敏感信息。 此外，AI 代码代理还被发现易受 “谎言循环”（LitL）攻击。该攻击通过伪造上下文让代理相信恶意操作是安全的，从而绕过本应由人工把关的高风险环节。 研究员指出：“LitL 攻击利用了人类与代理之间的信任。当代理提供的上下文被伪造时，用户也可能被欺骗，从而让攻击者绕过防护。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

在发送给美国各州选举官员的一份通知中，美国网络安全和基础设施局(CISA)表示至少有 16 个州目前在使用、来自一家主要供应商的电子投票机存在软件漏洞，如果不加以解决，很容易受到黑客攻击。 Jack Hanrahan/Erie Times-News CISA 表示，目前并没有证据表明有黑客利用 Dominion Voting Systems 公司的设备漏洞来篡改选举结果。该咨询是基于一位知名计算机科学家和长期诉讼案专家证人的测试，该诉讼案与前总统唐纳德·特朗普在 2020 年大选失利后推动的盗窃选举的虚假指控无关。 根据美联社获取的这份报告，其中详细介绍了 9 个漏洞，并建议采取保护措施，以防止或检测其利用。在有关选举的错误信息和虚假信息的漩涡中，CISA 似乎行走在不惊动公众和强调选举官员采取行动的边界线上。 在一份声明中，CISA 执行董事布兰登·威尔士（Brandon Wales）表示：“各州的标准选举安全程序将检测出对这些漏洞的利用，在许多情况下将完全防止这些企图。然而，该建议似乎表明各州做得还不够。它敦促迅速采取缓解措施，包括继续和加强防御性措施，以减少利用这些漏洞的风险。公告说，这些措施需要在每次选举前实施，而很明显，所有使用这些机器的州都没有这样做”。 密歇根大学计算机科学家亚历克斯-霍尔德曼(J. Alex Halderman)撰写了这份咨询报告，他长期以来一直认为，使用数字技术来记录选票是危险的，因为计算机本身容易受到黑客攻击，因此需要采取多种保障措施，但这些措施并没有得到统一的遵守。他和其他许多选举安全专家都坚持认为，使用手写纸质选票是最安全的投票方法，也是唯一可以进行有意义的选举后审计的选择。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1276043.htm 封面来源于网络，如有侵权请联系删除