AI 能发现漏洞,但证明漏洞仍需人类知识

AI 能发现漏洞,但证明漏洞仍需人类知识

人工智能(AI)正在改变攻击性安全领域,但它并未改变最重要的标准:一个发现必须经过验证才有价值。AI 辅助工具能够快速阅读代码、生成攻击载荷、总结攻击面、解释不熟悉的 API,并以惊人的速度运行重复性测试工作流。这对安全团队来说是真正的优势,但也带来了一种新的压力,因为行业现在能产出比以往更多的”看似漏洞”的内容。然而,输出并不等于证据。在攻击性测试中,真正的难点从来不是写一份听起来像漏洞报告的东西,而是要证明什么才是真实存在的。

Read More
新型代理数据注入攻击可让AI代理误点击或执行攻击者命令

新型代理数据注入攻击可让AI代理误点击或执行攻击者命令

让AI代理总结产品页面上的评论时,一条植入的评论就能让它点击”立即购买”。让编码助手应用GitHub帖子中维护者的修复时,一条伪造的评论就能让它在你的电脑上运行陌生人的命令。这两种手法都不会劫持代理原本的任务,它们只是污染代理所信任的事实,然后让它继续执行你要求的工作。

Read More
新型 ClickLock macOS 窃密木马以每 210 毫秒杀死应用程序逼迫受害者输入密码

新型 ClickLock macOS 窃密木马以每 210 毫秒杀死应用程序逼迫受害者输入密码

ClickLock Stealer 是一种新型 macOS 信息窃取程序,通过不断循环终止用户的应用程序来回应拒绝,直至用户交出登录密码。它以粘贴到终端的命令形式出现,通过伪造的系统对话框要求输入密码;当用户取消时,会安装两个 LaunchAgents 后悄然退出。下次登录时,Finder、Dock、Spotlight、终端、活动监视器以及主流浏览器将每隔 210 毫秒被杀一次,持续长达 83 小时,只留下一个孤零零的密码输入框。

Read More
新型 TELEPUZ 恶意软件通过 ClickFix 传播,窃取数据并执行命令

新型 TELEPUZ 恶意软件通过 ClickFix 传播,窃取数据并执行命令

网络安全研究人员披露了一款名为 TELEPUZ 的新型模块化恶意软件,该软件自 2026 年 4 月下旬以来通过感染 ClickFix 诱饵的网站进行传播。Elastic 安全实验室研究员 Cyril François 在一份技术报告中表示:”该恶意软件功能齐全、轻量级且模块化。尽管目前 C2[命令与控制] 域数量较少,但每天上传到 VirusTotal 的构建数量和快速的更新节奏表明该恶意软件正在积极开发,并且可能进一步增长。”

Read More