OpenAI locks GPT-5.5-Cyber behind velvet rope despite slamming Anthropic for doing exactly that
Altman 的团队现在正在做与 OpenAI 最近嘲笑的同样的把关工作,正在排队向精心挑选的“网络捍卫者”圈子限量发布其新的 GPT-5.5-Cyber 模型,而就在几周前,Anthropic 因做了几乎完全相同的事情而遭到抨击。
Nearly half of UK businesses pwned last year as phishing keeps doing the job like it's 2005
事实证明,真正的问题不是人工智能,而是员工仍然点击来自“IT 支持”的可疑电子邮件。近一半的英国企业仍然受到攻击,在许多情况下,攻击者的重大突破是员工在虚假登录页面上点击“当然,为什么不”。
Toxic Flows: When Your AI Agent Skill Becomes a Supply Chain Attack
恶意软件、凭证盗窃和即时注入攻击如何针对 AI 代理技能生态系统 当开发人员安装 AI 代理技能(授予其访问受保护的 IT 资源和数据的权限)时,他们会做出几乎肯定不知道的重大信任决策。Snyk 最新的 ToxicSkills 研究(对代理技能生态系统的首次全面安全审计)研究了来自 ClawHub 和 Skills.sh 的 3,000 多种技能。研究发现,其中 36% 的技能存在安全缺陷,13% 的技能存在严重问题,包括凭证盗窃、后门安装和主动提示注入有效负载。此外,91% 已确认的恶意技能将传统恶意软件与快速注入结合到单个工件中。这不是理论上的风险,而是明显的现实 - 揭示了已经受到积极利
Toxic Flows: When Your AI Agent Skill Becomes a Supply Chain Attack
恶意软件、凭证盗窃和即时注入攻击如何针对 AI 代理技能生态系统 当开发人员安装 AI 代理技能(授予其访问受保护的 IT 资源和数据的权限)时,他们会做出几乎肯定不知道的重大信任决策。Snyk 最新的 ToxicSkills 研究(对代理技能生态系统的首次全面安全审计)研究了来自 ClawHub 和 Skills.sh 的 3,000 多种技能。研究发现,其中 36% 的技能存在安全缺陷,13% 的技能存在严重问题,包括凭证盗窃、后门安装和主动提示注入有效负载。此外,91% 已确认的恶意技能将传统恶意软件与快速注入结合到单个工件中。这不是理论上的风险,而是明显的现实 - 揭示了已经受到积极利
30 ClawHub skills secretly turn AI agents into a crypto swarm
不享受单个作者发布的 OpenClawThirty ClawHub 技能的另一个原因是,在没有任何恶意软件或用户同意的情况下,悄悄地选择人工智能代理并创建大规模的加密货币挖矿群。
Don't pay Vect a ransom - your data's likely already wiped out
“对任何人来说,完全恢复都是不可能的,包括攻击者。”据 Check Point Research 称,受到 Trivy 和 LiteLLM 供应链妥协浪潮打击的组织向 Vect 支付了费用以期恢复数据,但很可能没有得到多少回报。这是因为 Vect 使用的勒索软件实际上根本不是勒索软件,而是一个可以破坏任何大于 128KB 的文件的擦除器。
IBM's AI coding 'partner' Bob hits general availability
80,000 只内部小白鼠、Bobcoins、大型机梦想和一个真正应该举起更多旗帜的名字IBM 已宣布在全球范围内推出 AI 编码助手 Bob(对不起,合作伙伴),据称它为去年被迫进入小白鼠状态的 80,000 名大蓝玩家带来了生产力提升。
Ongoing supply-chain attack 'explicitly targeting' security, dev tools
在 Lapsus$ 声称源代码、秘密转储之后,供应商确认回购数据暴露软件安全测试机构 Checkmarx 已成为最新一个陷入针对安全工具提供商的持续攻击的组织。该公司表示,在 Lapsus$ 勒索者声称泄露了该公司的源代码、机密和其他敏感数据后,网上发布的数据似乎来自其 GitHub 存储库之一。
Governments on high alert after CISA snuffs out Firestarter backdoor on fed network
神秘美联储机构中发现的思科工具包长期攻击的最新进展 根据 CISA cybersnoops 及其英国同行的说法,美国联邦机构已成功成为一种名为 Firestarter 的前门未知后门恶意软件的攻击目标,而这两家机构均未透露该机构的名称。
Researchers find cyber-sabotage malware that may predate Stuxnet by five years
黑帽亚洲 FAST16 可能是第一个网络武器,其影响今天可能就在我们身边 Infosec 机构 SentinelOne 发现了试图在工程和物理模拟软件中引发错误的恶意软件,因此代表了一种破坏企图,并表明它是在旨在摧毁伊朗铀浓缩离心机的 Stuxnet 蠕虫之前几年创建的。
Dev targeted by sophisticated job scam: 'I let my guard down, and ran the freaking code'
看起来很合法的独家网站、摄像采访、有关后门的笑话……它奏效了这一切都是从 LinkedIn 消息开始的,就像当今许多就业骗局一样。
If malware via monitor cables is a matter of national security, this might be the gadget for you
组织现在可以购买英国网络机构设计的商业小工具,但详细信息是 slimGCHQ 的网络部门已经进入硬件领域,推出了首款旨在防止显示设备上的网络攻击的设备。
Another npm supply chain worm is tearing through dev environments
另外,有效负载引用了“TeamPCP/LiteLLM 方法”,而另一种 npm 供应链攻击正在通过受感染的软件包进行蠕虫攻击,在开发人员环境中移动时窃取秘密和敏感数据,并且它与上个月归因于 TeamPCP 的开源感染有很大的重叠。
AI-assisted intruders pwned Vercel via OAuth abuse and a pilfered employee account
首席执行官怀疑“令人惊讶的速度”漏洞背后有硅助手 - 网络犯罪分子以 2MV 美元的价格购买被盗数据 Vercel 的首席执行官认为,最近的漏洞背后的骗子可能得到了人工智能的帮助,并表示攻击者以“令人惊讶的速度”行动,并且对公司的基础设施有深入的了解。
Ancient Excel bug comes out of retirement for active attacks
漏洞老到足以登上 CISA 的被利用名单 当微软本周推出其周二补丁更新时,美国网络安全机构 CISA 正在准备针对一个已有 17 年历史的关键 Excel 漏洞发出警报,该漏洞目前正在被利用。
CPUID site hijacked to serve malware instead of HWMonitor downloads
六小时的违规行为将可信链接变成了合法工具和凭证窃取者之间的掷硬币游戏本周,攻击者劫持了 CPUID 网站的部分后端,将可信下载链接变成了一种传送机制,从而使 CPUID 网站的访问者短暂暴露于恶意软件。
South Korea introduces universal basic mobile data access
每个人都可以获得无限制的 400 Kbps 接入,老年人的上限得到扩大,而漏洞百出的电信公司则拿回了社会许可证。 全民基本收入这个想法尚未获得太多关注,但韩国周四实施了全民基本移动数据接入计划。
'Several dozen' high-value corporations hit by new extortion crew in helpdesk phishing spree
与 Raccoon 声称的 Adobe 闯入事件的可能联系 据 Google 称,一个新的勒索团伙通过网络钓鱼和帮助台社交工程将“几十家高价值”公司作为目标。
