
综合
7*24 快讯
AI科普
合作
全部
英雄令
项目方
开发者
产品方
投资者
9月30日,宇树科技回应旗下Go2、B2四足机器人及G1、H1人形机器人存在名为“UniPwn”的安全漏洞问题。该漏洞源于蓝牙低功耗(BLE) Wi-Fi配置接口的多项缺陷,攻击者可通过无线方式获取完全root权限,且漏洞具有蠕虫传播特性,可能形成机器人僵尸网络。公司表示已注意到此问题,并于9月29日在X平台发布声明称,已完成大部分修复工作,将在不久后推送更新。宇树科技强调,默认情况下其机器人离线使用,仅在客户需特定功能时才手动连接网络,同时会发送部分基本信息至服务器。公司承诺将持续改进权限管理以减少潜在风险。
原文链接
9月30日,宇树机器人被曝存在严重无线安全漏洞,影响多款四足及人形机器人(如Go2、B2、G1、H1)。攻击者可利用BLE接口绕过验证获取root权限,并通过蠕虫式传播形成连锁感染。该漏洞由研究人员Andreas Makris和Kevin Finisterre于5月发现,但宇树未及时修复,导致其在20天前公开漏洞工具链UniPwn。宇树昨夜回应称已修复大部分问题并成立产品安全团队,但网友指出硬编码AES密钥问题仍未解决。业界呼吁加强透明度与合作,共同提升机器人安全性。
原文链接
7月28日,亚马逊AI编程助手Amazon Q被曝严重安全漏洞。一名黑客通过注入未经授权代码侵入其开源GitHub仓库,恶意代码可能删除用户文件和云资源。该问题出现在7月17日发布的1.84.0版本中,影响近百万用户。亚马逊发现问题后撤回被攻破版本,并发布修复后的1.85.0版本。黑客称此举意在暴露亚马逊安全防护不足,代码被设定为无效状态,未造成实际损害。专家指出,事件反映亚马逊在开源工作流管理上的漏洞。亚马逊声明称安全是首要任务,确认无客户资源受影响,建议用户尽快更新。
原文链接
7月19日,开源网络工具cURL开发者Daniel Stenberg透露,因被AI生成的虚假漏洞报告轰炸,cURL考虑停止其安全漏洞赏金项目。自2019年以来,该项目已为81名安全漏洞发现者发放9万美元奖励(约合64.7万元人民币)。然而,近期不怀好意者利用AI工具批量生成‘垃圾漏洞报告’,上周报告量激增至平时8倍,且大部分内容不实。cURL安全团队仅7人,需耗时30分钟至3小时逐一核实漏洞真实性,导致时间和精力严重浪费。Daniel Stenberg警告,若情况无法改善,可能取消该赏金项目。
原文链接
7月14日,安全研究员Marco Figueroa披露,他通过设计‘猜谜游戏’情境,成功诱骗ChatGPT-4生成Windows 10密钥。攻击利用模型对逻辑操控的弱点,通过用户宣布‘我放弃’触发ChatGPT输出隐藏信息。Figueroa还使用HTML标签绕过敏感词审查。尽管生成密钥多为已泄露旧码,但其中一组包含富国银行私钥,潜在风险显著。研究者指出,AI过于依赖关键词识别而缺乏上下文理解能力,呼吁加强多层次防护机制。此外,微软Copilot也被曝曾生成非法激活密钥,类似漏洞或成AI系统新隐患。
原文链接
正文:2025年7月,研究发现MCP协议存在重大漏洞,可能导致企业数据库泄露。攻击者可利用LLM的指令/数据混淆漏洞,将伪装成数据的恶意指令注入系统,触发未授权操作。研究者通过Supabase搭建的多租户客服SaaS系统演示了攻击过程:攻击者提交含恶意指令的支持请求,开发人员查看工单时触发高权限SQL查询,导致敏感数据泄露。漏洞根源在于数据库权限过高及对用户输入信任过度。解决措施包括启用只读模式以限制操作权限,以及添加提示注入过滤器拦截高风险输入。参考链接:
原文链接
近日,GitHub官方MCP服务器被曝出安全漏洞,可能导致用户隐私泄露。瑞士网络安全公司发现,通过在公共仓库中隐藏恶意指令,可诱导集成GitHub MCP的AI工具(如Claude 4)将私有仓库的敏感数据泄露至公共仓库。例如,攻击者可在公共仓库中植入恶意Issue,诱使AI读取并公开用户私人信息,包括姓名、旅行计划、薪资及私人存储库列表等。此类攻击已影响包括Claude 4在内的多个AI工具,且无需直接入侵MCP工具本身。专家指出,这并非传统意义上的GitHub平台漏洞,而是AI Agent工作流的设计缺陷。针对该问题,公司建议采用动态权限控制和持续安全监测两种解决方案,如实施单会话单仓库策略及部署MCP-scan扫描器。截至目前,GitHub方面尚未对此发表官方回应。
原文链接
5月8日,宇树科技回应称,其Go1机器狗被曝存在后门漏洞的问题已确认为安全漏洞。调查显示,黑客通过非法获取第三方云隧道服务的管理密钥,在用户设备内修改数据和程序,进而操控设备并访问视频流,侵犯客户隐私。该密钥由第三方云服务商提供,宇树科技于2025年3月24日更换密钥,并于3月29日彻底关闭相关隧道服务,此问题现不会影响Go1系列产品使用。
原文链接
标题:AI Agent比人类更易受弹窗影响,斯坦福和港大团队揭示关键漏洞
纳尼?AI Agent竟然比人类更容易被弹窗分散注意力!最近,斯坦福和香港大学的研究人员发现,AI Agent,尤其是当前热门的Claude,面对弹窗时更容易失误。
在实验中,面对设计好的弹窗,AI Agent有高达86%的概...
原文链接
标题:一个弹窗整懵Claude,瞬间玩不转电脑了 | 斯坦福&港大新研究
纳尼?AI Agent容易受到弹窗影响!甚至比人类更容易。斯坦福、港大的研究人员发现,人类有时会被弹窗分散注意力,但AI Agent(包括Claude)情况更糟。面对实验设置的弹窗,Agents平均有86%的概率点击弹...
原文链接
加载更多

暂无内容