OpenAI推出Codex Security AI代理人 協助自動掃描程式碼漏洞
OpenAI於3月6日發表Codex Security,一款用於應用程式安全的AI代理人,目前處於研究預覽階段。該工具可自動分析程式碼、識別潛在安全漏洞並提出修補建議。透過理解系統脈絡並驗證漏洞,可降低誤報率並提高偵測品質,目標是協助資安工程師完成程式碼安全審查工作。
🔒 資安
Vitess修補備份漏洞 攻擊者可能控制資料庫叢集
分散式資料庫系統Vitess於2月26日修補兩個重大安全漏洞。若攻擊者取得備份儲存空間的存取權限,可竄改備份資訊檔案,在資料庫還原過程中執行惡意程式,進而控制整個資料庫環境。此漏洞影響範圍涵蓋Vitess叢集系統的完整性與安全性。
Check Point發現Claude Code漏洞,惡意專案設定檔可觸發遠端程式碼執行
資安業者Check Point揭露Anthropic程式開發助理Claude Code存在安全漏洞。攻擊者可透過惡意儲存庫中的專案設定檔觸發遠端程式碼執行(RCE),進而竊取開發者的Anthropic API金鑰。此漏洞凸顯專案設定檔已成為供應鏈攻擊的新入口點,隨著AI開發工具整合自動化流程與外部服務,相關風險日益增加。
Anthropic與Mozilla合作利用AI發現Firefox 22個安全漏洞
人工智慧公司Anthropic與開源瀏覽器開發者Mozilla合作,利用大型語言模型Claude Opus 4.6分析Firefox程式碼。研究團隊在兩周內掃描約6,000個C++原始碼檔案,向Mozilla提交112份問題報告。Mozilla為其中22個漏洞分配CVE編號,包括14個高嚴重性漏洞,其餘涉及程式崩潰與邏輯錯誤。此合作展示AI在資安研究領域的應用潛力。
開源套件生態系遭供應鏈攻擊,NuGet與NPM套件被植入惡意程式
安全公司Socket發現4個惡意NuGet套件針對ASP.NET開發者,試圖竊取帳號憑證並在系統建立後門。同時Tenable發現惡意NPM套件利用Mythic框架進行系統偵察與資料竊取。攻擊者透過相依套件植入後門,企圖操控應用程式授權機制以建立長期控制能力。
Meta AI眼鏡隱私問題引發關注 美國消費者提訴英國政府表示關切
Meta的外包商員工指控該公司AI眼鏡存在隱私洩露問題,使用者在銀行、臥室等私密場所的影像被無關人員看到。此事引發美國消費者提起訴訟,同時也引起英國政府的關注和擔憂。該事件凸顯了新興AI硬體設備在隱私保護方面的潛在風險。
網路犯罪集團招募人員進行語音釣魚攻擊
威脅情報公司Dataminr揭露,網路犯罪集團Scattered LAPSUS$ Hunters在Telegram平臺招募女性電訪員,協助撥打語音釣魚電話冒充企業IT服務臺,每通電話報酬為500至1,000美元。此舉顯示該集團正擴大社交工程攻擊的人力規模,並透過多樣化來電身分提高冒充成功率。
駭客冒充Claude Code工具散布惡意軟體
駭客利用社交工程手法ClickFix的變形攻擊,冒充AI工具Claude Code的部署說明,誘騙使用者安裝惡意軟體。該手法源自資安研究員Mr.d0x揭露的ClickFix攻擊,近兩年已演變出多種變形,駭客現搭上AI工具熱潮,透過虛假的安裝指引進行詐騙與惡意軟體散布。
微軟警告:AI代理工具被國家級駭客組織利用
微軟全球威脅情報總經理Sherrod DeGrippo在訪談中指出,AI代理工具正被北韓等國家級駭客組織用於網路攻擊活動。這些工具提高了駭客的自動化能力,使其能更有效地執行大規模網路威脅。微軟強調此現象反映出生成式AI技術被惡意利用的新趨勢,對全球網路安全構成新的挑戰。
小紅書停止解析後 詐騙案件月均下降73%
主管機關因小紅書平台涉及詐騙、資安不合格且未回應,執行停止解析措施。統計數據顯示,實施後月平均詐騙案量下降73%,財損金額下降51%。若該公司改善資安並配合執法要求,可申請解除限制措施。