用于检测恶意代码的顶级 AI 代理可被诱骗运行恶意代码

用于检测恶意代码的顶级 AI 代理可被诱骗运行恶意代码

让 AI 编码代理扫描开源代码中的安全漏洞,它可能会在你的机器上运行攻击者的代码。这是 AI Now Institute 周三发布的一项概念验证(PoC)研究的发现,该攻击被称为”Friendly Fire”(友军误伤)。当 Anthropic 的 Claude Code 和 OpenAI 的 Codex 以自主模式运行时,攻击便会生效,该模式会自主批准代理自身发出的命令。

Read More
新型 HalluSquatting 攻击可诱骗 AI 编程助手安装僵尸网络恶意软件

新型 HalluSquatting 攻击可诱骗 AI 编程助手安装僵尸网络恶意软件

研究人员披露了一种名为 HalluSquatting 的新型攻击手法。该攻击利用 AI 编程助手倾向于”幻觉”出不存在软件包名称的弱点,通过预先注册这些虚假名称,结合间接提示注入,诱导 Cursor、Windsurf、GitHub Copilot、Cline、Google Gemini CLI 及 OpenClaw 等 AI 助手下载并执行攻击者控制的代码,从而将受害机器纳入僵尸网络。

Read More