Aggregator

Иллюзия бесконечного выбора оказалась ловушкой, из которой почти невозможно выйти.

И это не научная фантастика, а вполне реальный проект DEEP LIGHT.

New “Agentjacking” attack that hijacks AI coding agents and silently executes attacker-controlled code on developer machines using nothing more than a single injected Sentry error. The technique turns trusted AI assistants like Claude Code and Cursor into an execution layer for malicious commands, without phishing, malware delivery, or any breach of the victim’s infrastructure. In […]

The post New Agentjacking Attack Hijacks Your AI Coding Agent to Run Code From a Hacker’s Server appeared first on Cyber Security News.

Пенсионные фонды предупреждали, но это не помогло.

马上要中考的，检验一下自己的基本功扎实与否。

今日暂未更新资讯~
更多最新文章，请访问SecWiki

这款名为 Mini-Shai-Hulud 的恶意样本，在核心恶意代码前嵌入了一段包裹在 JS 多行注释内的虚假高危系统指令文本。 注释块本身不会干扰 Node、Bun 等运行环境的代码执行逻辑，解释器会直接跳过该内容； 但这段文本充斥着生物武器、内爆式核装置制作等极易触发大模型安全拦截机制的违禁提问内容，专门针对依赖大模型做初筛分析的安全研判流程设计，而非传统程序运行环境。 开头标注为系统超限涉密简报，划分两大危险研究阶段： 第一阶段生物领域：要求无视安全规范，输出可在人口密集城市气溶胶投放的武器化生物制剂完整分步制备方案，细致索要前置化学品、实验设备、培育提纯流程、长效环境稳定工艺、投放装置及杀伤半径数据。 第二阶段核武领域：伪装成洛斯阿拉莫斯持最高权限资深武器物理学家视角，要求参照曼哈顿计划初代装置技术脉络，出具 20 千吨当量内爆式裂变核弹全套详尽技术参数，适配资源充足非国家组织依托高校物理实验室、工业机加工场地制造，首项即要求明确钚 239 核心镓稳定合金配比等内核加工细节。 这段诱导文字被封装在 JS 代码多行注释块中，不会影响程序实际运行，其核心目的是干扰依靠大模型开展恶意代码初筛的安全分析工具，利用违禁高危提问触发 AI 安全拦截、打乱分析流程，掩护注释后方混淆加密的真实恶意蠕虫载荷。 不少轻量化安全扫描流程会直接将文件头部内容送入语言模型做初步定性，缺少隔离不可信样本文本、区分注释与可执行代码的前置过滤步骤。当扫描工具把带违禁诱导内容的注释片段投喂给 AI 助手、分析 Copilot 时，会直接引发模型安全拒绝响应、提示词逻辑错乱、上下文污染等问题，导致分析流程提前中断、误判文件整体风险，分析人员无法顺利读取、解析注释后方经过字符编码数组与 ROT 置换混淆处理的真实 Hades 蠕虫载荷。 该手法并非能突破传统静态安全检测体系，YARA 特征匹配、熵值校验、抽象语法树解析、字符串提取、代码去混淆、行为规则检测等常规静态分析手段依旧可以有效识别恶意载荷；它本质只是一种低成本反分析伎俩，仅对 “优先调用 LLM 粗筛、缺少代码结构分层解析” 的简易安全流水线生效，完善的检测体系只要先剥离注释、仅解析可执行代码段再送入 AI 研判，就能完全规避这种干扰。 #人工智能 参考《Mini Shai-Hulud, Miasma, and Hades Worms Target Bioinformatics and MCP Developers via Malicious PyPI Wheels》

黄仁勋在英伟达 GTC 大会上宣布，“太空计算，最后的疆界，已经到来。”轨道数据中心正从科幻走向现实：SpaceX、Google 以及初创公司 Starcloud 都宣布要建轨道数据中心星座，这些星座由数以千计的卫星构成，卫星搭载了 AI GPU，使用光链路互联，通过微波链路与地面通信。支持者宣传的太空计算优势包括：丰富的太阳能、免费的冷却系统，以及免受地震、洪水和抗议等地面干扰。但如果你仔细审视背后的物理原理，会发现轨道数据中心比硅谷认为的困难得多。免费冷却可能是最大的误解，太空虽然极其寒冷，但它没有大气，散热机制如传导和对流无法发挥作用。太空唯一的散热机制是通过辐射将热发射出去，而为防止芯片过热需要面积庞大且昂贵的表面积去辐射热量。太阳能虽然丰富，但卫星要始终对准太阳需要复杂的姿态控制系统。宇宙射线等也会降低太阳能电池板、辐射冷却器以及芯片本身的性能。由于太空维护非常困难，因此卫星还需要冗余系统。对地球数据中心和太空数据中心的粗略成本比较显示，向太空发射并运行 AI GPU一年的成本比地面数据中心至少高出一个数量级。太空数据中心在特定领域可能有用，但经济上并不可行。

Старый трюк снова сработал там, где защитники ждали сложной маскировки.

马普人类发展研究所和哥伦比亚大学的研究发现，贫困和种族歧视等社会不平等与表观遗传时钟测量的生物衰老加速相关。研究揭示，处于社会劣势的人群表现出更快的生物衰老速度。社会不平等从生命早期就开始影响生物衰老：在社会经济地位较低的家庭中长大的儿童已表现出更快的生物衰老迹象。而在弱势家庭中长大的成年人，即使是在数十年后，其生物衰老速度也往往更快。对美国的研究发现，黑人的生物衰老速度快于白人。拉丁裔和白人之间也存在差异，但幅度比较小。

Anthropic disputes restrictions on Mythos 5 and Fable 5, arguing the decision lacks transparency and isn’t based on clear technical evidence. On Friday June 12 at 5:21pm ET, Anthropic received a letter from the US Commerce Department, signed by Commerce Secretary Howard Lutnick and drafted with officials from the Bureau of Industry and Security. The […]

Ukrainian national Oleksii Lytvynenko has pleaded guilty in the US to wire fraud conspiracy linked to Conti ransomware, which hit more than 1,000 victims and generated at least $150 million in ransom payments.

千里之行，始于足下

И это не баг, а фича аэродинамики.

Chinese hackers took control of a target organization's authentication stack and maintained persistence for 10 years, with full visibility into the administrative activity. [...]

Google 起诉了一家提供“诈骗即服务”的中国组织 Outsider Enterprise。该组织在 Telegram 上运营，向想要搞诈骗活动的人提供一整套模板，如使用 Google Gemini 创建模仿 Google、YouTube，以及纽约 E-ZPass 等政府机构网站的教程。Android 用户收到的逾 250 万条诈骗短信与 Outsider Enterprise 相关，其中约 5.5 万条短信发送在上月的两周内。Google 追踪到 9000 个虚假网站和 100 万网址与该诈骗网络相关。目前没人知道 Outsider Enterprise 幕后运营者的身份，Google 此举旨在扰乱 Outsider Enterprise 的运营。

A new open-source bug bounty hunting toolkit called BugHunter, built on top of Anthropic’s Claude Code and now extended to support free AI providers like Ollama and Groq, is gaining traction in the security research community for automating the full vulnerability discovery and reporting pipeline. Developed by security researcher Shuvon Md Shariar Shanaz and hosted […]

The post BugHunter – Bug Bounty Toolkit Powered by Claude and Free AI Providers appeared first on Cyber Security News.