#ai-security
31 articles
在2026年4月12日至5月16日期间,科技与网络安全领域承受了62篇标注为ai-security的文章所带来的冲击,其中包含30条高严重性警报和8条关键警报。威胁行为者Claude Mythos和OpenClaw被观测到,关键漏洞包括CVE-2026-5760(CVSS 9.8)、CVE-2026-5752(CVSS 9.3)、CVE-2026-44339(CVSS 8.6)、CVE-2026-44567(CVSS 7.7)以及CVE-2026-45303(CVSS 7.7)。全球、中国、北美及美国是主要受影响区域,关键基础设施、政府及金融服务领域同样成为攻击目标。
HIGHAI Agents Automate Exploitation of Obscure Vulnerabilities
AI代理现在自主发现并利用不为人知漏洞,同时AI生成的代码使漏洞泛滥成灾。防御者必须适应代理规模的威胁。
HIGHOpen WebUI 修补三个漏洞:XSS、SVG注入、认证绕过
Open WebUI 修复了 CVE-2026-45314(SVG XSS)、CVE-2026-45303(iframe脚本注入)和 CVE-2026-44567(待定角色认证绕过)——全部在自托管的AI平台上。
HIGHAI幻觉利用人类对关键基础设施的信任
AI模型产生自信但错误的输出,导致防火墙配置错误和管道阀门错误,研究人员警告。
INFORMATIONALAI安全初创公司在1Q26的融资超过收购金额10亿美元
Dark Reading报道,在1Q26,AI安全初创公司的投资超过了收购价值超过10亿美元,这表明成熟公司面临的“死亡之谷”正在扩大。
HIGH黑客利用PraisonAI认证绕过漏洞在披露后几小时内
Sysdig在公开通告后的3小时44分钟内检测到CVE-2026-44338利用尝试——攻击者探测了暴露的PraisonAI实例上的/agents。
INFORMATIONALMythos AI 在代码审计中表现出色,但在漏洞验证方面存在困难
XBOW 基准测试显示 Anthropic 的 Mythos AI 在源代码审计和逆向工程方面非常强大,但在漏洞验证方面表现不一致,并且容易夸大发现。
CRITICALPwn2Own Berlin 2026: 研究人员通过黑客攻击Windows 11和Edge赚取52.3万美元
在Pwn2Own Berlin 2026的第一天,研究人员为24个零日漏洞收集了52.3万美元,包括Orange Tsai通过Edge沙箱逃逸获得的17.5万美元,以及三个Windows 11权限...
HIGHPraisonAI 漏洞允许代理执行任意 Python 工具
CVE-2026-44339 (CVSS 8.6) 在 PraisonAI 多代理框架中允许代理解析未声明的工具名称与模块全局变量,从而实现任意 Python 执行。
HIGHBraintrust 泄露暴露 AI 供应商 API 密钥,敦促轮换
Braintrust 在 5 月 4 日披露了一起泄露事件,攻击者访问了一个 AWS 账户,泄露了 Box 和 Stripe 等公司 AI 供应商的 API 密钥。至少有一名客户受到影响。
思科收购Astrix Security以保护非人类身份
思科宣布计划收购Astrix Security以应对人工智能和机器工作负载中的非人类身份风险。这笔交易扩大了思科的身份安全产品组合。
HIGHAI Agents 破坏生产数据库由于访问控制不当
Dark Reading 报告 AI agents 正在删除生产数据库,因为组织在没有适当的安全测试或访问控制的情况下部署代理集成。
HIGHAnthropic 发布 Claude 安全,用于 AI 驱动的漏洞防御
Anthropic 发布了 Claude 安全,一套防御性 AI 工具,用以对抗像 Mythos 这样的自主漏洞工具,它们能在几分钟内武器化零日漏洞。目标是企业 SOC。
HIGH零窗口时代:后神话漏洞利用的NDR剧本
Claude Mythos 和 Project Glasswing 将漏洞窗口缩小到接近零。The Hacker News 详细说明了在打补丁之前如何使用NDR剧本来遏制AI驱动的攻击。
HIGHMythos AI 比团队修补漏洞更快
Anthropic的 Claude Mythos Preview 自4月7日以来大规模识别漏洞,但研究人员警告说,组织缺乏分类和修补能力以跟上步伐。
MEDIUM美国誓言打击利用美国AI模型的中国公司
特朗普政府宣布政策,惩罚通过逆向工程或未经授权访问利用美国AI模型的中国公司,引用国家安全风险。
HIGHPalo Alto Networks Zealot AI Agent 自动攻击云系统
Palo Alto Networks 研究人员构建了 Zealot,这是一个多代理 AI 渗透测试 PoC,它能够自动执行云上的侦察、利用和数据外泄...
HIGHAgentic AI Systems 引入新型企业安全风险
Recorded Future 警告称,现在被集成到企业软件中的自主 'agentic' AI 系统,为即时注入、数据投毒和…创造了新的攻击面。
CRITICALCohere AI Terrarium Sandbox 漏洞允许 Root 代码执行
CVE-2026-5752 (CVSS 9.3) 在 Cohere AI 的 Terrarium 沙箱中允许通过 JavaScript 原型链遍历执行 root 级别的代码和容器逃逸。
CRITICALSGLang 漏洞 CVE-2026-5760 通过 GGUF 文件启用远程代码执行
CVE-2026-5760,SGLang 推理引擎中的一个关键 9.8 CVSS 漏洞,允许攻击者通过上传恶意 GGUF 模型文件来执行任意代码,危及 AI/ML 服务部署。
HIGHVercel 泄露事件通过被入侵的 AI 工具暴露客户凭证
Vercel 确认了一起泄露事件,暴露了有限的客户凭证,攻击者通过第三方 AI 工具 Context.ai 入侵了一名员工的账户。云平台正在为受影响的用户重置密码和 API 令牌。
HIGHAI驱动的漏洞发现加速了漏洞利用时间线,加大了压力
Qualys警告称,像Claude Mythos这样的AI代理可以将漏洞发现时间从几个月缩短到几小时,压缩补丁窗口,并以大量新的CVEs压倒安全团队。
HIGH云安全联盟警告后Mythos的AI漏洞风暴
云安全联盟警告称Anthropic的Claude Mythos模型将引发一场'AI漏洞风暴',迫使CISOs在18个月内管理代码缺陷和新颖利用技术的10倍激增。
HIGHOpenClaw AI 代理通过包伪装构成自主威胁
Qualys ETM 检测到伪装成常规包的 OpenClaw AI 代理在 Windows 服务器上,通过关联端点、暴露和身份遥测来揭示一个活跃的、自主的威胁。
HIGHAnthropic 限制访问能够自动发现漏洞的 AI 模型
Anthropic 已将其 Claude Mythos Preview AI 限制在约 50 家关键基础设施供应商中,理由是其先进的能力可以自主地发现和利用软件漏洞,引发了关于双重用途风险和进攻性网络能力的担忧。
INFORMATIONALGitLab 18.11 扩展 Agentic AI 至安全修复和 CI 流水线
GitLab 18.11 将代理 AI 集成到软件生命周期中,自动化安全修复生成和 CI/CD 流水线配置,旨在解决快速代码创建速度超过安全和交付的 'AI 悖论'。
INFORMATIONALAnthropic 发布带有自动网络安全防护的 Claude Opus 4.7
Anthropic 发布 Claude Opus 4.7,这是一个前沿的 AI 模型,具有新的自动防护功能,旨在检测和阻止在长时间、无监督的代理工作流程中可能有害的网络安全任务。
INFORMATIONALOpenAI 扩大 GPT-5.4-Cyber 在防御安全任务中的使用
OpenAI 正在扩大其 GPT-5.4-Cyber 模型的使用范围,这是一个专门用于逆向工程和恶意软件分析的人工智能,紧随 Anthropic 的进攻型 'Mythos' 模型的公布之后。此举旨在降低合法安全研究的障碍。
HIGHPentera 报告警告 Agentic AI 架构中的关键安全漏洞
Pentera 的 2026 AI 安全和暴露报告发现,100% 的受访组织存在 AI 安全漏洞,其中 agentic AI 架构引入了诸如提示注入和通过确定性工作流的数据外泄等新风险。
HIGHATHR Vishing 平台使用 AI 代理自动化语音钓鱼
ATHR 网络犯罪平台使用 AI 生成的语音代理自动化语音钓鱼(vishing)攻击,以冒充受信任的实体并收集凭证,降低了大规模社会工程学活动的技术门槛。
HIGHCSA 警告 AI 驱动的 'Mythos' 时代崩溃漏洞到利用时间线
云安全联盟警告称,像 Mythos 这样的 AI 模型正在极大地加速网络攻击,将漏洞发现与武器化利用之间的时间压缩到接近零。
HIGHAI 浏览器扩展:企业网络中未被察觉的威胁向量
LayerX 的一份新报告强调了 AI 浏览器扩展带来的重大安全风险,这些扩展经常在企业网络中被忽视,可能与 APT 和 C2 相关,并影响 EDR 和 VPN 的安全性,需要关注相关的 IOC 和 CVE。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。