OpenClaw 近期安全漏洞修复汇总报告
近日,腾讯安全科恩实验室针对热门开源 AI 智能体框架 OpenClaw 的安全性进行了专项分析。
腾讯安全威胁情报中心
寄生克隆 | 当 AI 助手成为蠕虫的传播加速器:Vibe Coding 时代的供应链危机
这是一起利用AI编程信任链的供应链投毒攻击。攻击者通过污染开源仓库,植入含区块链C2、地理围栏的高级后门,系统窃取开发者数字资产与供应链凭证,影响广泛。
致命分身 | FakeGit 伪造开源生态投毒活动追踪
FakeGit通过伪造AI、爬虫等GitHub仓库,利用LuaJIT加载恶意脚本,结合进程镂空与Polygon区块链C2通信,最终窃取敏感信息。
人机双杀 | 别被 “龙虾” 骗了!伪装 AI 工具的钓鱼,让智能体沦为“内鬼”
腾讯安全捕获新型 “AI 认知” 钓鱼攻击:黑客利用 AI 偏好伪造高可信域名,使其 “灯下黑” 下载窃密后门,传统防御需升级 “认知防御” 体系。
“银狐”盯上“小龙虾” | 针对 OpenClaw 热点流量的工业化钓鱼活动
伴随AI助理OpenClaw火爆,黑灰产迅速跟进。腾讯安全发现“银狐”团伙利用近千个仿冒域名及AI生成的欺诈页面,发起大规模、低成本钓鱼攻击,精准收割用户流量。
“AI助手的背叛”|利用大模型会话分享的SEO投毒攻击分析报告
新型攻击利用大模型会话分享+SEO投毒,借官方域名信任诱导执行恶意代码,精准窃取MacOS用户凭证及加密资产。警惕"AI指南"中的隐形陷阱!
腾讯云安全威胁情报SKill安全守护计划发布
AI Agent时代,Skill供应链安全成新战场。科恩实验室首创大模型+沙箱双引擎研判,构建全生命周期威胁闭环,守护智能体生态安全基石。
警惕你的Skills:OpenClaw开源生态skills风险分析
攻击者通过伪造热门插件并上传至ClawHub技能平台,诱导用户安装恶意技能(Skill),形成一类高隐蔽性攻击。这些恶意样本通常伪装为“浏览器助手、社交代理、财经工具”等常见类别,通过仿冒官方页面布局与文件结构,仅在安装脚本中隐藏后门逻辑。
n8n远程代码执行漏洞简报(CVE-2026-21858)
n8n 在处理 Webhook 请求时存在“Content-Type 混淆”逻辑缺陷。攻击者可以通过发送特制的 JSON 请求(而非预期的 Multipart 请求)欺骗解析器,从而控制请求中的文件路径。
情报每周回顾 2025-12-29
情报每周回顾 2025-12-22
情报每周回顾 2025-12-15
React 远程代码执行漏洞简报
情报每周回顾 2025-12-08
情报每周回顾 2025-12-01
Ollama 越界写入漏洞简报
杀毒软件“退居”用户态?微软 Ignite 2025 带来的安全架构巨变
WESP 正式公布,标志着 Windows 端点安全防护模式面临全新的变革,也对安全厂商提出了新的技术挑战。
情报每周回顾 2025-11-24
情报每周回顾 2025-11-17
情报每周回顾 2025-11-10
威胁情报中心(TIX)是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)