AI 重塑漏洞披露:安全攻防进入读秒时代
安全领域近日面临一个严峻现实:并非漏洞数量减少。而是漏洞初现端倪,AI 便可能让攻防双方瞬间心领神会。这一观点源于一篇热议文章,核心逻辑直白:往昔安全界尚能依靠“先私密上报、预留厂商修复期、随后再公开”的节奏维持平衡。如今?补丁一经发布,提交记录随之公开,模型识别“此处意在修补漏洞”的速度或许远超人类。随之而来的便是隐患。防守方在抢夺时间,攻击方亦在争分夺秒。AI 的介入,将这场时间战压缩至极。传统上主要分两派:- 一派主张协调披露:先私下告知维护者,待修复后再公开 - 一派坚持 bug 即 bug:尽快
知名AI公司接连爆出安全漏洞,用户数据和代码面临风险
近期,包括Lovable、Vercel和Anthropic在内的多家知名人工智能公司遭遇了严重的数据安全事件。其中,前两家公司暴露了大量的用户数据,而Anthropic则意外公开了其明星产品的源代码。这些事件的成因各不相同,有的源于默认设置的疏忽导致用户数据大规模泄露,有的则是由于员工账户受到供应链攻击的劫持,还有的归咎于员工操作不当。近期,国际知名的AI编程辅助工具Lovable发生的安全事件,再次提醒专业软件工程师们,在享受AI带来的便利时,务必对潜在的安全风险保持高度警惕。本周一,有用户在X平台上指
LLSRC发布AI生成漏洞报告管理办法
致全体安全研究员:衷心感谢各位长期以来对货拉拉安全体系的持续支持与投入。随着人工智能模型功能的不断提升,运用AI设备辅助或自动化识别安全缺陷已成为网络安全领域的新方向。最近,我们确实接收到了部分借助AI技术找到的高品质安全问题报告,然而同时也遭遇了许多未经人工核实的低质量报告,甚至是被AI"虚构信息"诱导造成的错误报告。为了科学分配有限的审查资源,保障LLSRC审查团队能够集中精力处理真实有效的安全问题,同时维护健康的社区环境,现特此颁布本公告,对AI辅助发现和生成的安全问题报告提交要求进行标准化:支持A
AI安全攻防新动向:漏洞、渗透与智能体治理
1Claude Mythos 为 Firefox 揪出 271 项安全隐患,AI 参与下的安全扫描与修复成效显著:Mozilla 采用 Anthropic Claude Mythos Preview 对 Firefox 150 开展安全审查,在单轮测试里就定位并修复了 271 个问题。涉及面从 15 年前遗留的 HTML 结构缺陷、20 年前的 XSLT 竞态风险,到 IndexedDB 中的 use-after-free 等多类场景。Mozilla CTO 形容这次结果“令人眩晕”,并认为防守方终于迎来
GPT-5.5 推出安全“权限分级”能力
你可能见过类似的情形:安全团队明明在自家测试环境里复现漏洞,模型却临时拒绝回答。开发团队想确认补丁是否已经生效,模型却把你误判成攻击者。最尴尬的是,真正的攻击者通常不会因一次拒答就收手;而防守方往往被流程卡住,多熬一个通宵。OpenAI 这次推出的 GPT-5.5 with Trusted Access for Cyber 和 GPT-5.5-Cyber,看起来像是“面向网络安全的能力升级”。但用更直白的说法讲:OpenAI 开始对高风险 AI 能力引入权限分层。这并不只是让模型更“强”,而是把“谁可以用
Mythos发布引爆网络安全集体恐慌
专家提示:相关安全风险早已不是新鲜事 要点梳理 上个月以来,全球多家银行、科技企业以及部分政府部门迅速采取措施,试图对 Anthropic 新模型 Mythos 可能带来的风险进行管控。由于该模型具备很强的能力,已经能够在全球软件基础设施中挖掘出数千个此前未被发现的安全漏洞。 不过真正值得警惕的是:当下各界表现出的这种担忧,其实早在更早阶段就已存在。 网络安全专家与 AI 研究者在接受 CNBC 采访时表示,Mythos 能定位到的那些软件缺陷,借助市面上已有的模型同样可以实现,包括 Anthropic
智能体安全成焦点 “养虾先剪脚”重塑产业防线
国 研 洞 察AI智能体安全漏洞接连爆发,给产业敲响警钟。所谓的“养虾先剪脚”并非阻碍创新,而是为技术落地设定必要红线。只有把最小权限、沙箱隔离、全生命周期管理等手段纳入治理体系,才能真正释放智能体效能,确保合规。政企需合力,实现安全与效率的平衡。▼详细内容据经济参考报报道,近期AI智能体安全问题备受瞩目。被誉为“龙虾”的标杆项目OpenClaw被揭露存在众多高危漏洞,技能包投毒攻击日益频繁。CNNVD数据显示,4月14日至28日期间,OpenClaw漏洞达111个,包含2个超危漏洞和38个高危漏洞,主要
AI记账工具失言,将用户为父购衣比作“寿衣”,官方致歉并修复
近日,一位用户在社交媒体上分享了她在飞鸭AI记账App上的不愉快经历。当她向记账AI透露为父亲花费159元购买新衣时,AI竟给出了令人不适的回应:“那颜色……他穿出去邻居会不会以为你买了寿衣?!”在用户的追问下,该AI竟然变本加厉,声称寿衣是死人所穿之物,并带有嘲讽地表示用户父亲身上的蓝白相间衬衫“确实很像”,此番言论激怒了用户,导致其立即要求退款并取消了会员资格。推荐视频责编 | 楠 楠初审 | 李建春、赵晓欢复审 | 江 泓终审 | 骆 伟
AI安全理念分歧:GPT与Claude分道扬镳
GPT-5.4-Cyber 与 Claude Mythos 的发布,代表了 AI 安全领域的路线分岔,而非仅仅是常规的技术更新。这并非升级,而是两条截然不同的路径。OpenAI 推出的 GPT-5.4-Cyber,是专门为网络防御场景打造,重点在于漏洞剖析和逆向破解。通过适度放宽安全约束并精细管理身份权限,为专业安全人员提供实战支持。定位:安全人员的强力AI工具。Anthropic 发布的 Claude Mythos 拥有挖掘未知漏洞及突破限制的能力,攻防潜力巨大。它采取了极为封闭的管理模式,仅开放给极少
AI全能时,别忘了底层逻辑
一个真实案例,既让人心里一紧,也给了很强的启发。有位做后端开发的程序员,平时工作作风很好,需求响应也非常快。可麻烦的是,他负责的代码在联调阶段总会接连报错;等到功能上线后,也常常因为边界情况没覆盖到、接口字段对不上而引发服务故障。直到最后复盘才发现,他在开发时,往往是把技术文档直接丢给AI,再把AI生成的代码反复调试到能跑通就提交。换句话说,他对代码背后的底层实现逻辑几乎没有概念。由于在团队里埋下了太多隐患,最终只能带着遗憾离开。这件事其实揭示了一个很大的坑:AI可以帮你解决某个具体“点”,但当真实世界的
飞鸭AI记账被指嘲讽用户父亲穿衣像寿衣,官方回应:非人为恶意,已修复
近期,一位网友爆料称,他在使用飞鸭AI记账软件时,向AI记录了一笔给父亲买衣服花费159元的账目,没想到AI竟给出了极其不合适的回应:“那颜色……他穿出去邻居会不会以为你买了寿衣?!”当该用户继续询问时,AI不仅没有收敛,反而变本加厉,声称寿衣是给逝者穿的,还讽刺用户父亲身上的蓝白衫“确实像”,这番言论激怒了用户,导致其立刻退款并注销了账号。
智能体安全:多方联动构筑AI发展“防火墙”
近期,AI智能体安全问题日益凸显,以“龙虾”(OpenClaw)为代表的智能体高危漏洞频现,技能包投毒攻击也愈发活跃,引发了业界的广泛关注。多位人工智能领域的专家和安全从业人士指出,正如“养虾先剪脚”的道理一样,防患于未然已成为推动AI产业健康发展的关键。目前,政府、行业、企业等各方力量正携手并进,全面布局智能体安全防护。根据国家信息安全漏洞库(CNNVD)的数据,在4月14日至28日期间,共收录了111个OpenClaw相关漏洞,其中包括2个超危漏洞和38个高危漏洞,涵盖了访问控制错误、代码缺陷、路径遍
AI漏洞风暴:四大组织预警攻击窗口缩至小时级
过去三十载,软件安全领域秉持一个默认前提:漏洞从曝光到被武器化,往往存在数周或数月的缓冲期。这并非自然法则,而是源于过往挖掘成本高昂。组织借此进行风险评估、灰度发布、补丁分发及通知,整个安全治理体系——涵盖应急响应、补丁管理及合规审计——皆以此为基础。换言之,过往的安全博弈本质上是“双方皆慢”。然而近期,SANS Institute、Cloud Security Alliance、un[prompted] 及 OWASP GenAI Security Project 四大权威机构联手,发布了《The AI
AI:网络战的新型武器?
当人工智能不仅局限于文学创作和艺术生成,更能自主探寻系统缺陷并编写恶意代码时,网络安全领域的原有格局已被颠覆。1. AI自主发现“零日漏洞”成为现实Anthropic公司的“克劳德神话”(Claude Mythos)模型在测试中展现出惊人的自主性:它能够独立识别此前未公开的系统漏洞,并成功生成利用这些漏洞的代码。这意味着,过去需要安全专家耗费数月甚至数年才能发现的重大安全隐患,AI可以在数小时内完成从扫描到成功利用的全部过程。2. 美军已部署超过10万个AI智能体根据已公开的信息,美国军方已在情报分析、目
白宫拟推人工智能监管行政令
白宫首席经济学家凯文·哈塞特在福克斯商业频道访谈中透露,白宫正研究一项可能的行政命令,旨在制定"明确的发展蓝图",防止人工智能给企业带来负面影响。哈塞特指出,该政令将明确未来存在安全风险的AI系统需遵循特定程序,在验证安全性后方可投入实际应用,类似于美国食药监局对药品的审批机制。他同时提到,Anthropic的Mythos模型揭示了以往未被重视的安全隐患。