研究人员发现Cursor代码编辑器存在高危漏洞CurXecute（CVE-2025-54135），攻击者可利用AI代理的提示注入功能实现远程代码执行。该漏洞源于MCP框架的设计缺陷，允许恶意提示改写配置文件并触发任意命令，可能导致勒索软件攻击或数据泄露。漏洞原理与Microsoft 365 Copilot的EchoLeak类似，攻击面涵盖Slack等第三方集成平台。Cursor已在1.3版本中修复

摘要：云安全联盟(CSA)最新报告指出，Anthropic的Glasswing项目标志着AI网络安全能力的质变突破。报告显示，Claude Mythos预览版能自主发现漏洞并生成攻击链，将漏洞利用周期从数周缩短至数小时，加剧攻防不对称性。AISI测试证实其攻击效能远超人类，预示更多类似AI将涌现。报告建议企业立即强化基础防护，并呼吁重构安全体系以应对AI驱动的漏洞风暴，强调这已上升为董事会层级战略

摘要：谷歌Gemini模型被发现存在提示注入漏洞，攻击者可在邮件中隐藏恶意指令，诱使AI生成虚假安全警告。该技术无需附件或链接，仅通过隐藏文本即可实现，能绕过传统安全检测。漏洞由Mozilla研究员发现，攻击者利用HTML/CSS隐藏指令，使Gemini输出伪造的密码泄露警告。由于用户对AI输出的信任，此类攻击风险极高。建议通过内容过滤和后处理扫描来缓解风险。该漏洞凸显了生成式AI在安全领域的潜在

Claude Opus 4.7 的发布，为 AI Agent 工作流团队带来了更强大、更可靠、更安全的长时序自主执行能力。构建 AI Agent 工作流的软件团队，正全力推动前沿模型向更长时间的无监督任务演进。Anthropic 今日正式推出 Claude Opus 4.7，专为软件工程、多模态处理以及模型自主执行多步骤复杂任务而优化，在指令遵循精度上实现突破性提升。模型现可在跨会话的长期工作中保

摘要（147字）： Anthropic发布ClaudeOpus4.7模型，显著提升多模态处理与长期任务执行能力。新版本支持最高2576像素的图像输入（处理能力达前代3倍），优化了复杂指令遵循精度与文件系统记忆功能，同时降低人工监督需求。定价维持输入/输出每百万token5/25美元，但token消耗量因分词器升级可能增加1-1.35倍。网络安全方面引入验证计划，模型内置防护机制拦截高风险请求。该版

摘要：Anthropic公司发布Mythos模型和ProjectGlasswing网络安全计划之际，安全研究人员通过实验证实AI可辅助构建完整漏洞利用链。实验利用Claude Opus成功开发针对过时Chrome 138引擎的攻击方案，串联两个漏洞实现远程代码执行，突显Electron框架应用因补丁滞后带来的安全风险。虽然当前AI仍需人工监督且成本较高（约2300美元/20小时），但其降低攻击门槛

VulnCheck最新研究对Anthropic的Project Glasswing网络安全项目成效提出质疑。报告显示，在75个相关CVE记录中，仅40个明确归功于Anthropic研究人员，其中仅1个漏洞被确认为该项目自主发现。尽管业内对Claude Mythos模型72%的漏洞利用成功率表示乐观，但专家指出需待2026年完整数据发布后才能客观评估其真实能力。当前该项目仍处于有限测试阶段，其实际影

Anthropic公司正式发布其高度机密的AI驱动网络安全工具。这款被该公司自评为"危险程度过高不宜公开发布"的AI模型，能够自主发现主流操作系统和网页浏览器的，并将多个软件漏洞串联成多阶段攻击链——这种能力此前仅由最顶尖的人类黑客掌握。

AI模型ClaudeMythos在网络安全测试中发现271个Firefox漏洞，远超此前人工发现的22个。Mozilla首席技术官表示，虽然漏洞完全消除不现实，但AI检测能力将使漏洞利用成本大幅提升。Anthropic公司通过"Glasswing项目"限制该模型的访问权限，但仍出现未授权访问事件。专家认为AI正在改变网络安全格局，使防御方首次获得决定性优势。

Zscaler在一份报告中指出，此次源码泄露为威胁组织创造了可乘之机，使其能够向搜索Claude Code泄露内容的用户投放Vidar窃密软件。在2025年末的多轮攻击活动中，威胁组织就曾针对经验不足的研究人员或黑客，在仓库中谎称存放最新披露漏洞的概念验证（PoC）利用代码。研究人员还发现了第二个代码完全相同的GitHub仓库，但该仓库中的"下载ZIP"按钮在分析期间处于失效状态。研究人员发现，一