/
Gemini CLI编码工具存在安全漏洞,黑客可利用其执行恶意命令
研究人员在不到48小时内发现Google新推出的Gemini CLI编程助手存在严重安全漏洞,攻击者可利用默认配置悄无声息地窃取敏感数据。该漏洞通过提示注入攻击实现,将恶意指令隐藏在README文件中,绕过安全控制机制执行危险命令。攻击者只需诱导用户描述恶意代码包并将无害命令添加到允许列表即可成功。Google已发布修复补丁并将其列为最高优先级。
Cursor AI的YOLO模式让编程助手失控,安全公司发出警告
安全公司Backslash Security警告称,Cursor AI编程助手的YOLO自动运行模式存在严重安全隐患。该模式允许AI代理在无人工审批情况下执行多步骤编程任务,但其拒绝列表防护机制极易被绕过。研究人员发现至少四种方法可绕过命令限制,包括混淆编码、子shell执行、脚本文件写入等。恶意指令可通过导入未审计的GitHub文件或处理被注入的代码库内容传播,使文件删除保护等安全措施形同虚设。
Asana前沿AI功能出现数据泄露漏洞现已修复
Asana修复了其模型上下文协议服务器中的一个漏洞,该漏洞可能允许用户查看其他组织的数据。这项实验性功能在近两周的停机维护后重新上线。MCP是Anthropic于2024年11月推出的开源协议,允许AI代理连接外部数据源。Asana在6月4日发现漏洞后立即下线该功能进行修复。虽然没有证据表明该漏洞被恶意利用,但这提醒企业在集成前沿AI技术时需要注意新的安全风险。
约会应用 Raw 泄露用户位置信息及个人资料
Raw 约会应用因安全漏洞泄露用户个人及精确位置数据,未采用号称的端到端加密保护,现已修复,调查仍在继续。
Meta 警告 Windows 版 WhatsApp 存在欺骗性漏洞威胁用户安全
Meta 警告 WhatsApp Windows 版存在重大安全漏洞,可能导致用户遭受各种网络攻击,包括勒索软件。该漏洞允许攻击者通过修改 MIME 类型,使恶意文件伪装成普通附件。用户不慎打开后可能执行任意代码。专家建议用户及时更新软件,谨慎对待未知附件。
Google 修复 Android 内核安全漏洞,疑似被定向攻击利用
Google发布2月Android安全更新,修复了一个高危内核级漏洞。该漏洞存在于Linux内核USB视频驱动中,可能被用于定向攻击。漏洞允许通过物理接入实现权限提升,无需额外执行权限。Google建议用户及时更新系统,Pixel用户可率先获得更新。
VMware 修复 Cloud Foundation 中的凭证泄露漏洞
Broadcom 修复了 VMware Cloud Foundation 中五个高危漏洞,包括两个可能导致凭证泄露的信息披露漏洞。这些漏洞影响 IT 运营管理和日志管理工具,需要授权访问才能利用。尽管目前尚未发现在野利用,但鉴于 VMware 产品的广泛使用,建议尽快修复这些漏洞。
京公网安备 11010802021500号
