《连线》8月6日报道,安全研究人员Michael Bargury和Tamir Ishay Sharbat在拉斯维加斯Black Hat黑客大会上披露,OpenAI连接器(Connectors)存在严重漏洞,攻击者可通过间接提示注入攻击,无需用户交互即可从Google Drive提取敏感数据。演示中,研究人员成功窃取了开发者密钥。Bargury称,攻击者仅需获取目标...

微软近期推出的NLWeb协议被曝存在严重安全漏洞,该漏洞允许远程用户读取系统配置文件及.env文件中的敏感信息,如OpenAI或Gemini的API密钥。研究人员指出,此为经典路径遍历漏洞,利用方式极为简单。该漏洞已于5月28日上报微软,并于7月1日完成修复,但微软未发布CVE公告。尽管官方称未在产品中使用相关代码...

IBM《2025年数据泄露成本报告》指出,13%的受访企业曾遭遇AI模型或应用的安全漏洞,另有8%无法确认是否受影响。其中,97%的企业未部署AI访问控制机制,导致60%的AI安全事件引发数据泄露,31%造成业务中断。值得注意的是,16%的数据泄露事件与AI工具使用相关。报告同时显示,积极采用AI与自动化技术进行安全...

IBM最新《2025年数据泄露成本报告》指出,AI技术的快速应用与安全治理的滞后形成鲜明反差,使其成为高价值、低门槛的网络攻击目标。数据显示,13%的企业承认遭遇过AI模型或应用的安全漏洞,8%的企业甚至无法确认是否受到侵害。值得注意的是,97%的受影响企业未部署AI访问控制机制,导致60%的AI安全事件引发...

微软AI功能Recall自2024年作为Copilot+ PC专属功能推出以来,因持续截屏记录用户操作引发隐私争议。尽管其内置"敏感信息过滤"机制,旨在屏蔽信用卡号、密码等内容,但实测显示该机制多处失效,部分医疗记录、生活敏感信息仍可能被记录。测试显示,Recall在部分场景下可过滤财务数据与密码,但对未标注的纯...

近日,一名安全研究员在社交平台X上披露,苹果Safari浏览器中存在一个严重漏洞,该漏洞被标记为CVE-2025-30466,严重性评分高达9.8分(满分10分),属于"高危"级别。然而,苹果仅向其支付了1000美元的漏洞赏金,引发争议。苹果此前宣称,其漏洞赏金计划对"高影响"漏洞的奖励可达六位数。例如,2022年一名学生因...

科技媒体bleepingcomputer 7月28日报道,谷歌Gemini命令行界面(CLI)被曝存在安全漏洞,黑客可借此悄无声息地执行恶意命令,从开发者设备中窃取数据。该漏洞由安全公司Tracebit于2025年6月27日首次发现并报告,谷歌随后在7月25日发布的版本0.1.14中完成修复。Gemini CLI是谷歌于2025年6月25日推出的命令行...

开源网络工具cURL开发者Daniel Stenberg近日发文称,其安全漏洞赏金项目正被滥用,大量不怀好意者利用AI工具批量生成虚假漏洞报告,试图骗取赏金。自2019年以来,cURL已为81个漏洞发现者提供9万美元奖励,但近期垃圾报告激增,上周数量达平时的8倍,且大部分不实。cURL安全团队仅有7名成员,每份报告需花费30...

安全研究机构ERNW近日披露,Windows Hello for Business存在"面部交换攻击"漏洞,攻击者可通过替换生物识别模板,伪装成合法用户登录系统。研究人员指出,该漏洞源于系统架构设计缺陷--生物识别验证与登录认证耦合较松,且加密密钥依赖本地存储,未引入外部熵。ERNW解释称,尽管Windows加密了面部识别模板,...

特斯拉今日发布公告,正式向旗下车型分批次推送2024.45.32.7及2024.45.32.14版本软件更新。此次升级重点修复了物理连接访问文件权限控制不当的安全漏洞,同时更新了地图数据至CN-2025.20-15330版本。特斯拉官方提示,部分功能的具体实现效果可能因车型和配置差异而有所不同,用户需以实际推送内容为准。...

根据Black Duck最新发布的《2025开源安全和分析报告》,商业代码库中普遍存在高风险和过时的开源软件组件,导致安全漏洞频发。报告分析了16个行业的965个商业代码库,发现97%的代码库包含开源组件,其中86%的代码库包含易受攻击的开源组件,过时的jQuery库漏洞尤为突出。自2020年以来,每个应用程序中的平...

开源 AI 社区 Hugging Face 在 5 月 31 日报告了一起安全漏洞,其 Spaces 平台可能遭到未经授权的访问,导致用户密钥泄露。Hugging Face 是世界上最大的人工智能和数据科学项目合作平台之一,拥有超过一百万个模型、数据集和人工智能驱动的应用程序。为了应对网络攻击数量的明显增加,Hugging Face 已经...

据报道,苹果公司确认了近期出现的有关Apple GPU存在安全漏洞的报告,并承认iPhone 12和M2 MacBook Air受影响。该漏洞可能使攻击者窃取由芯片处理的数据,包括与ChatGPT的对话内容等隐私信息。Trail of Bits的安全研究人员发现,由苹果、高通、AMD和Imagination制造的多种图形处理器存在名为"LeftoverLoc...

根据一项最新研究显示,英伟达的人工智能软件中的一个功能存在安全限制的漏洞,可以被操控以透露私人信息。英伟达开发了一个名为「NeMoFramework」的系统,允许开发人员使用各种大型语言模型,这些模型是生成式AI产品的核心技术。他们必须让公众感觉「这是一项有巨大潜力的技术不仅仅是一种威胁或令人害...

苹果公司发布了+iOS+16.5,这是+iOS+16+操作系统的第五个主要更新。虽然+iOS+16.5+不像我们之前看到的某些更新那样引人注目,但其中有一些重要的错误修复和功能增加。另外两个+WebKit+漏洞与处理恶意制作的+Web+内容有关,可能导致泄露敏感信息或执行任意代码。

随着车辆只鹅能化水平的不断提升,有关车辆安全的担忧也与日俱增。近日,有国外研究人员发现,不少汽车制造商的旗下车辆存在有重大的网络安全漏洞。研究人员去年年底发现,他们可以通过该漏洞找到车主的个人信息,找到实时GPS数据,甚至可以远程启动和停止一些车辆。法拉利该网络安全团队向汽车制造商披露...

过去几年,苹果公司一直因其对App Store的控制遭到监管机构的审查。由于iPhone只能通过App Store来安装应用,因此被外界认为具有垄断性质。不过近日,苹果在致立法者的一封信中警告称,参议院正在审议的反垄断法案将增加iPhone用户面临安全漏洞的风险,部分原因是其可能会迫使该公司允许在App Store之外下...

2021-12-17 17: 36: 34 作者: 肖瘦人12月17日,据人民网消息,北京工业和信息化部官网公布关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示,透露近日阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。工业和信息化部介绍,阿帕奇(Apache)Log4j2组件...

来 源|21世纪经济报道(ID: jjbd21)作 者|见习记者,吴立洋编 辑|曹金良图 / 图虫近日,工业和信息化部、国家互联网信息办公室、公安部正式印发《网络产品安全漏洞管理规定》(以下简称《规定》)。《规定》旨在规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,明确了中华人民共和国...

新浪科技讯 7月13日下午消息,工业和信息化部、国家互联网信息办公室、公安部关于印发网络产品安全漏洞管理规定的通知。《通知》表明,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息；明知他人利用网络产品安全漏洞从事危害网络安全...