分类： 安全播报

GitLab发布18.11版本，将智能AI扩展到软件全生命周期。该版本推出智能SAST漏洞修复功能，可自动分析并修复安全漏洞；CI专家智能体可自动生成管道配置；数据分析师智能体提供生命周期数据可视化分析。同时提供消费上限控制功能。

文章探讨了现代AI工具中存在的隐私差距问题，介绍了MCP协议在数据共享方面的过度获取现状，以及零知识证明（ZKP）如何在不泄露敏感信息的前提下验证数据真实性，为隐私保护的AI应用提供了解决方案。

本文分析了针对暴露在互联网上的未修补数字录像机的攻击事件。攻击者通过Telnet使用默认凭证在2秒内完成入侵，整个过程自动化执行。目标设备为Dahua代产的Airspace DVR，固件自2014年8月后未更新，存在严重安全隐患。

Anthropic宣布为Claude推出政府身份证件加自拍的身份验证功能，成为首个采取此措施的主流AI聊天机器人。此举可能削弱其以隐私著称的市场定位，数据由第三方Persona处理并加密存储，用户保证数据不用于模型训练。

OpenAI发布更新版Agents SDK，新增沙箱功能以实现更安全的代码执行。该SDK为OpenAI模型提供标准化基础设施和原生测试框架，支持在受控环境中检查文件、运行命令和编辑代码。更新首先在Python中推出，遵循标准API定价。LexisNexis等企业已采用该技术构建法律工作流代理。

研究发现微软Copilot和Salesforce Agentforce存在提示注入漏洞，攻击者可通过在表单中植入恶意指令窃取敏感数据。Capsule Security发布的报告提醒AI代理安全风险严峻，提示注入仍是大型语言模型未解难题。

研究人员发现一个持续至少6年的勒索软件活动,专门针对土耳其的家庭和中小企业。该活动使用修改的商业恶意软件进行勒索,由于目标较小且很少 被报道,攻击者得以逃避监控並悄悄积累财富。

Broadcom发布VMware Tanzu Platform代理基础架构，推出零信任运行时帮助企业将AI实验转向可扩展生产环境，提供不可变供应链、密钥隔离和零信任网络等安全创新。

Capsube Security 获得 700 万美元融资，旨在防止 AI 智能体在企业环境中 被操纵、异常行为 或数据泄露。其顾问团队包括 CISA 首 任局长等安全专家。AI 智能体正在 Fortune 500 企业中快速推广，传统安全工具无法监控提示词与行为之间的过程，Capsube 通过运行时信任强制执行来填补这一安全空白。

微软发布2026年4月安全更新，增强Windows远程桌面文件保护以应对钓鱼攻击。新功能包括更强的警告对话框、显示远程系统详情、要求用户审查资源访问请求，并对未签名RDP文件显示警告。