AI安全 今日: 0|主题: 44|排名: 21 

4月6日，福布斯等权威媒体披露，Anthropic的Claude在无人类干预下，4小时自主攻破业内公认安全标杆FreeBSD内核，构建两个可用漏洞利用程序获取root权限，标志AI从安全辅助工具转为自主攻击主体，全球软件安全领域迎来重大变革。 ​​​ ...

人工智能加持的新型钓鱼即服务平台EvilTokens 近日，网络犯罪社区中发现了一款名为 EvilTokens 的新型钓鱼即服务平台。钓鱼即服务（Phishing-as-a-Service，简称 PhaaS），是网络犯罪领域成熟的商业化模式，攻击者无需掌握复杂的技术开发能力，只需付费购买平台服务，即可快速发起大规模钓鱼攻击。 ## http://t.cn/AXM4rd ...

【Anthropic 的“秘密武器”与安全性的终结】 快速阅读：Anthropic 披露了其未公开的新模型 Claude Mythos Preview，该模型展现出极其恐怖的自主攻防能力。它不仅能自动挖掘操作系统和内核中的深层漏洞，甚至能在无需人工干预的情况下完成漏洞链的构建，引发了关于网络安全防御边界的剧烈争论。 --- Anthropic 最近展示 ...

#人工智能##前沿观察# “制空权”大家都理解，不过你还记得前面提到过的“制bug权”吗？（不记得的看这里：http://t.cn/AXMA0met ） 这周又有新进展。 Anthropic公司接受采访称，接下来可能不会及时发布新款大模型Claude Mythos，因为新款大模型在网络安全方面很强。 据称，Claude Mythos预览版在每一个主流操作系统和 ...

【微软领英 LinkedIn 被指未经许可，扫描浏览器扩展构建用户画像】科技媒体 Appleinsider 昨日（4 月 3 日）发布博文，报道称欧洲倡导组织 Fairlinked 发布 BrowserGate 报告，指控领英（LinkedIn）在未经用户许可的情况下，通过网站 JavaScript 代码扫描用户安装的浏览器扩展。 ​​​ ...

你的AI智能体可能正在悄悄泄露你的数据！别怕，NemoClaw来了。它将AI关进“沙箱”，通过访问控制和隐私策略，阻断恶意行为，只允许被批准的技能运行。让你的AI既强大又安全。# http://t.cn/AXIfsbQ2 ​​​

【英伟达 RTX 3060 等显卡遭遇新型“锤击”威胁，黑客可接管你的电脑】科技媒体 Ars Technica 今天（4 月 3 日）发布博文，报道称研究人员发现针对英伟达显卡的 2 种 Rowhammer 攻击方式，成功突破 GPU 显存隔离，获取 CPU 内存完整读写权限，最终完全控制用户电脑。 ​​​ ...

【从Claude Code源码泄露，看AI工程实践的软肋】 快速阅读：就在今天，Anthropic因打包时未移除调试用source map文件，导致Claude Code完整TypeScript源码意外公开。这不是黑客攻击，是一次低级工程失误，却引发了整个AI社区对工具工程实践的广泛讨论。 --- 一个57MB的.map文件，把Anthropic送上了热搜。 Claude Code的 ...

可能很多人不知道Claude 写代码的能力有多强 这么说吧，今年之前，我们的技术团队一直用的都是它家的付费版本，其他的模型，包括OpenAI和谷歌，都远远不如它。 很长一段时间里，它是我们的唯一选择。是的，唯一的。 仅仅只是最近几个月，OpenAI和Google 的模型才跟上来，但也只是能和Claude 比一下，依旧没有明显超越。 ...

#前沿观察##制bug权# 随着大模型能力的增强，现在一些大模型对漏洞的检查以及利用能力已经超过了人类。 比如在本图的例子中，顶尖大模型，在有心人的指引下，轻松发现了几乎所有人都用了不知多少年的Ghost和Linux Kernel中一直存在、也一直不为人知的0Day漏洞。 未来几个月可能会是安全领域的关键时期，在这段时间里，拥 ...

大家好，我是微笑哥。在上一篇文章中，给大家讲了三个安全事故。其中最重要的一块，就是Skill投毒，除了官网默认的 Skills，其他三方的 Skills 都有可能存在风险。稍微解释一下，什么是 Skills 投毒就是有人把带有恶意指令或后门逻辑的 Skill 插件混进 OpenClaw 的技能库里，一旦被安装或调用，AI Agent 在执行任务时就可能 ...

刚刚，Meta版的自研龙虾反噬了，酿成了一场大灾难！ 外媒The Information报道，就在上周，Meta内部发生了一场史上最惊心动魄的Sev 1级安全事故。 两小时内，Meta帝国最核心的机密，包括涉及数亿用户的敏感数据，以及公司内部绝密文件，全部赤裸裸地暴露在成千上万名未经授权的员工面前。 这不是黑客，不是代码漏洞，完全 ...

【Claude总结】 黑客新闻摘要 (2026-03-20) news.ycombinator.com/ 1. 【AI合规创业公司Delve被曝造假】匿名Substack揭露：Delve通过预填充虚假审计报告、伪造合规证据为初创公司"提供服务"，根本从未真正执行合规工作。AI安全领域的系统性欺诈警示。(527赞, 183评论) deepdelver.substack.com/p/delve-fake-compliance-as ...

StepSecurity披露GlassWorm恶意软件新分支ForceMemo，攻击者通过窃取GitHub令牌，向Python仓库（如Django应用、ML代码）强制推送恶意代码。该攻击重写git历史记录，保留原始提交信息，在UI中不留痕迹，严重威胁软件供应链安全。 ​​​ ...

【微软、OpenAI 等六巨头注资 1250 万美元，携手 Linux 基金会整治“AI 垃圾报告”】Linux 基金会昨日（3 月 17 日）发布公告，已获得 Anthropic、AWS、GitHub、谷歌、微软和 OpenAI 六家科技巨头 1250 万美元（IT之家注：现汇率约合 8616.9 万元人民币）注资，启动新计划帮助自由开源软件（FOSS）维护者抵御“AI 垃圾漏洞 ...

最近这段时间，大家都在疯狂讨论怎么在本地电脑里养 AI 小龙虾，也就是OpenClaw。我每天都能刷到各种极其诱人的截图：一条简单的指令发过去，这个 AI 助手就开始自动跨软件调度任务、整理杂乱的文件，甚至还能自动生成周报。它就像一个永远不需要休息、从不摸鱼、的超级员工。看到别人都配上了这么强大的数字助手，大家心 ...

🔥Shannon AI渗透测试工具：AI如何“自动黑客”你的网站？ 在AI时代，网络安全测试也智能化了。Shannon AI Pentesting Tool就是这样一款开源工具，它让渗透测试（pentesting）从人工手动操作转向AI自主执行，帮助开发者在代码上线前发现并证明真实漏洞。 一、什么是Shannon？ Shannon由Keygraph团队开发（官网keygraph.i ...

初始化你的🦞之后，可以装一个起安全防护作用的skill-security-auditor，用来审查你之后从各种地方看到安装的skill是否安全 在让🦞安装的同时可以再附上以下内容： 在 AGENTS.md 的 "## Safety" 章节添加： - 安装任何新 skill 前，必须先运行 `skill-security-auditor` 审计 - 风险评分 >40 的 skill 不建议安装 - 不 ...

分享一条实用skill：Has Anonymizer，让OpenClaw直接在本地设备上扫描并对文本、图片中的敏感数据进行匿名化处理 腾讯出的，它用智能占位符替换敏感信息，需要时能一键恢复原始数据 支持中、英、法、德、西、葡、日、韩8种语言 图像匿名化支持21种类别检测和遮盖（人脸、指纹、身份证、护照、车牌、银行卡、二维码、屏幕 ...

【那个帮你挡爬虫的Cloudflare，现在把“一键爬光全站”做成了生意】 快速导读：以“网络保安”形象著称的Cloudflare，发布了一个能一键爬取整个网站的API。这个“屠龙者变恶龙”的举动，让它从网站的守护神变成了最强爬虫服务商，在开发者社区引发了大量讽刺和对商业本质的探讨。 --- 一个用户在Cloudflare的新功能公 ...