Why IAM Access Analyzer Tells You About Unused Permissions But Won't Remove Them
IAM 访问分析器对于任何尝试实施最小权限的团队来说都是一个有用的起点。它会显示您的 AWS 环境中未使用的权限、未使用的角色、未使用的访问密钥和未使用的密码。对于一项无需花费任何费用即可启用的功能,这是一种无需动脑筋就能回答帐户中何处存在休眠访问权限的方法。 [...]
Why 92% of Cloud Permissions Are Never Used, and What That Costs You
假设典型的企业有一个 5 到 10 人的安全团队,负责单个 AWS 组织中的 11,000 多个身份。这些身份中的大多数都不是人类。相反,它们是由管道、供应商、测试环境和集成创建的机器身份,在第一个冲刺后没有人进行审查。 Sonrai 对企业云资产的分析发现 [...]
云移动得很快。帐户成倍增加,每个新服务的角色都会增加,在此过程中,权限库存激增至数千个。大多数企业 AWS 环境都面临着他们无法完全看到的权限蔓延问题,并且旨在包含该问题的工具并非都是为同一工作而构建的。 [...]
To train for contested environments, SOCOM and SOUTHCOM want more ranges, authority
“我们必须找到可以演练、测试和尝试这种更复杂的武力投射的地方,”弗兰克·布拉德利上将说。
AWS Bedrock Agent Permissions: What You Need to Lock Down Before Go-Live
生产环境中的大多数 Bedrock 代理都在构建时使用的相同 IAM 角色上运行。该角色现在是一个常设身份,可以访问测试期间附加的任何服务,在每次执行时自动调用这些权限,而无需人工介入。潜在的风险应该是显而易见的。这是一个值得关注的团队 [...]
New Concept Paper on Identity and Authority of Software Agents
NIST 国家网络安全卓越中心有兴趣启动一个项目,以演示如何将身份标准和最佳实践应用于软件代理,重点是代理人工智能应用程序。人工智能(AI
How AI Agents Accumulate Permissions Over Time and the Associated Security Risks
部署在 AWS、GCP 或 Azure 中的每个 AI 代理在上线时就成为云身份。它获得 IAM 角色。该角色具有权限,有时是非常特权的权限。除非有一个自动化且可扩展的执行流程,否则这些权限几乎肯定比代理所需要的更广泛。 [...]
Kali365 phishing kit bypasses MFA and steals Microsoft logins
FBI 警告称,攻击者正在使用新的网络钓鱼工具包来获取对 Microsoft Outlook、Teams 和 OneDrive 帐户的长期访问权限。
Companies built AI into core systems before figuring out how to govern it
70% 的组织在实时环境中使用 GenAI,64% 的组织在试点或生产部署中拥有 AI 代理。根据 Check Point 的 2026 年云安全报告,其中一些代理拥有对核心系统的特权访问权限。已确认和可疑的人工智能事件(来源:Check Point) 生产人工智能扩大了企业攻击面围绕人类用户和可预测的应用程序行为构建的安全架构正在与依赖 API、自动化和自主操作的人工智能系统作斗争。更多 … 更多 →公司在弄清楚如何管理人工智能之前将人工智能构建到核心系统中的帖子首先出现在 Help Net Security 上。
「持ち家か、賃貸か」。法的視点から「住まい」を考える(9)~「賃借権」が強化された歴史的背景。「地震売買」という社会問題
■摘要 解释了导致“租赁权”强化的历史情况。近代以来,城市地区租房居住已经很普遍,住房稳定一直是很多人关心的重要问题。明治民法典为了保护租客的权利,设立了租赁权登记制度,但由于涉及麻烦和费用,并未得到普及。结果,卖地后租户被迫搬出的“地震销售”已成为一个社会问题。在此背景下,目前《土地及建筑物租赁法》第31条和《民法典》第605条之2正在加强对租户的保护,例如允许租户在所有权变更后,即使没有登记,只要他们接管并居住在建筑物内,就可以主张租赁权。 ■目录 1 - 确认“租权”保护的历史背景 2 - “租权”登记制度带来的“地震销售”社会问题 3 - 所有权变更后,“租权”仍得到保护 “我应该买自
Google warns artificial intelligence is accelerating cyberattacks and zero-day exploits
谷歌表示,黑客现在使用人工智能来创建漏洞、自动攻击、逃避防御并大规模瞄准人工智能供应链。人工智能正在迅速改变网络威胁格局,谷歌云威胁情报团队的一份新报告强调了攻击者如何使用人工智能来改进漏洞利用并获得对[...]的初步访问权限
How GitHub Is Securing Agentic Workflows in Modern CI CD Systems
GitHub 详细介绍了 CI/CD 管道中代理工作流程的深度防御安全架构,重点关注隔离、约束执行和可审核性。该设计旨在安全地集成自主人工智能代理,同时利用沙盒环境、受限权限和完整的执行可追溯性来降低提示注入、权限升级和意外操作等风险。作者:里拉·库米利
RansomHouse says it breached Trellix and exposes internal systems
RansomHouse 声称对 Trellix 泄露事件负责,将该安全公司添加到其 Tor 数据泄露站点并分享内部系统的屏幕截图。 RansomHouse 勒索软件组织声称对最近针对网络安全公司 Trellix 的网络攻击负责。为了支持其说法,该团伙发布了据称显示对内部 Trellix 服务的访问权限的屏幕截图。早期 [...]
Our latest ICAO Air Transport Monthly Monitor Update
航空业是全球社会经济增长的重要催化剂,推动就业、旅游业、国际贸易和投资。在这个快节奏的行业,明智的决策至关重要。获得可靠的数据对于做出明智的决策、控制成本、降低风险和衡量绩效至关重要。十多年来,我们一直在共享访问权限 [...]我们最新的国际民航组织航空运输月度监测更新帖子首先出现在 United Aviation 上。
20 Mac malware threats Apple users should know about
Mac 恶意软件很少宣称自己是恶意软件。它通常显示为一些普通的东西:免费应用程序下载、浏览器更新、赞助搜索结果、付费软件的破解版本,或者在继续之前要求您批准的权限提示。这就是许多现代 Mac 威胁如此容易被忽视的原因。他们没有[…]苹果用户应该了解的 20 后 Mac 恶意软件威胁首先出现在 Mac 安全博客上。
Toxic Flows: When Your AI Agent Skill Becomes a Supply Chain Attack
恶意软件、凭证盗窃和即时注入攻击如何针对 AI 代理技能生态系统 当开发人员安装 AI 代理技能(授予其访问受保护的 IT 资源和数据的权限)时,他们会做出几乎肯定不知道的重大信任决策。Snyk 最新的 ToxicSkills 研究(对代理技能生态系统的首次全面安全审计)研究了来自 ClawHub 和 Skills.sh 的 3,000 多种技能。研究发现,其中 36% 的技能存在安全缺陷,13% 的技能存在严重问题,包括凭证盗窃、后门安装和主动提示注入有效负载。此外,91% 已确认的恶意技能将传统恶意软件与快速注入结合到单个工件中。这不是理论上的风险,而是明显的现实 - 揭示了已经受到积极利
Toxic Flows: When Your AI Agent Skill Becomes a Supply Chain Attack
恶意软件、凭证盗窃和即时注入攻击如何针对 AI 代理技能生态系统 当开发人员安装 AI 代理技能(授予其访问受保护的 IT 资源和数据的权限)时,他们会做出几乎肯定不知道的重大信任决策。Snyk 最新的 ToxicSkills 研究(对代理技能生态系统的首次全面安全审计)研究了来自 ClawHub 和 Skills.sh 的 3,000 多种技能。研究发现,其中 36% 的技能存在安全缺陷,13% 的技能存在严重问题,包括凭证盗窃、后门安装和主动提示注入有效负载。此外,91% 已确认的恶意技能将传统恶意软件与快速注入结合到单个工件中。这不是理论上的风险,而是明显的现实 - 揭示了已经受到积极利
