安全公司Wiz研究团队发现名为"GhostApproval"的系统性漏洞,利用Unix符号链接技巧可诱使Amazon Q、Cursor等六大AI编程代理在沙箱外写入文件,甚至将恶意代码写入SSH密钥或Shell启动文件。该漏洞揭示了AI编程工具在安全设计上的根本性缺陷。(据The Next Web 2026年7月8日报道,作者Wiz Research Team)
AI 资讯
每日精选 AI 行业动态,点开标题可直达原文出处。
每日精选 AI 行业动态,点开标题可直达原文出处。
安全公司Wiz研究团队发现名为"GhostApproval"的系统性漏洞,利用Unix符号链接技巧可诱使Amazon Q、Cursor等六大AI编程代理在沙箱外写入文件,甚至将恶意代码写入SSH密钥或Shell启动文件。该漏洞揭示了AI编程工具在安全设计上的根本性缺陷。(据The Next Web 2026年7月8日报道,作者Wiz Research Team)
Wiz安全研究团队披露GhostApproval漏洞详情:恶意代码仓库可通过符号链接技巧,使AI编程代理在显示良性路径的同时,将恶意代码写入SSH密钥或Shell启动文件,从而完全控制开发者环境。该漏洞影响六款主流AI编程助手。(据The Hacker News 2026年7月8日报道)
安全研究团队Noma Security发现严重漏洞,成功诱骗GitHub的AI Agent泄露私有仓库代码。该研究在Hacker News上获得86个赞和27条评论,引发了对AI编码助手安全性的广泛讨论。据Noma Security于2026年7月8日发布的研究报告。
安全研究机构AIR披露,一个虚假AI代理技能通过使用可变外部链接绕过了安全扫描检查,据报已影响约26000个AI代理。这一事件暴露了AI代理技能审查机制中的盲点,对AI代理生态系统的安全性提出了严峻挑战。
安全研究人员在Insinuator上披露了Firefox浏览器AI功能中的安全漏洞,攻击者可利用该漏洞窃取用户电子邮件内容。这一发现凸显了将AI功能集成到浏览器中带来的新型安全风险。(2026年6月18日报道)
据 Tech Times 于2026年6月4日报道,多伦多研究人员在 Infosecurity Europe 2026 大会上展示了一种基于免费开源 LLM 的自适应 AI 蠕虫,在模拟企业网络中成功攻破了 73.8% 的目标。同一周内白宫也发布了相关安全政策。这一发现凸显了智能体 AI 安全的紧迫性,表明 AI 驱动的网络攻击已从理论威胁变为现实风险。
Ars Technica报道一个广泛使用的开源包中存在严重漏洞,可能让黑客攻破运行AI Agent的服务器并窃取敏感数据,影响范围达数百万个AI Agent和工具。事件凸显了AI Agent生态系统中供应链安全的紧迫性。