"换句话说，该攻击序列利用GitHub Actions缓存投毒，从议题分类工作流横向移动到高权限工作流，例如"发布夜间版"和"发布NPM夜间版"工作流，并窃取夜间发布，这些凭据拥有与生产环境发布所用凭据相同的访问权限。Cline软件包维护人员发布公告称："太平洋时间2026年2月17日凌晨3点26分，未经授权方利用被盗的npm发布令牌，在NPM注册表上发布了Cline CLI的更新版本：cline

获得经过身份验证的会话和管理员权限后，攻击者现在可以直接与AI平台交互，转储凭据、列出已连接的节点、窃取凭据以及读取应用程序日志，从而导致攻击者指示智能体在消息历史记录中搜索敏感信息，从已连接的设备中窃取文件，或在配对的节点上执行任意Shell命令，最终可仅从一个浏览器标签页就能导致整个工作站被攻陷。由于浏览器的跨域策略不会阻止与本地主机的WebSocket连接，当OpenClaw用户访问恶意网站

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士开源的私有云软件 CasaOS 中存在两个严重漏洞，如被成功利用可导致攻击者实现任意代码执行并接管可疑系统。这两个漏洞的编号是CVE-2023-37265和CVE-2023-37266，CVSS评分均为9.8。Sonar 公司的安全研究员 Thomas Chauchefoin 发现了这两个漏洞并表示，它们“可导致攻击者绕过认证要求并获得对 Cas.

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士欧洲委员会在2022年9月份醍醐《网络弹性法案》，旨在设置一系列规则，重视所有直接或间接联网产品的安全性。产品同时包括硬件和软件产品。欧洲委员会和欧洲议会已在11月30日就文本达成一致，因此CRA将进入最后的批准阶段。按照CRA 的规定，更多健壮的网络安全和弹性法规将要求组织机构按照最低标准保护数字化产品的安全。该法规将强制要求软件和硬件制造商遵.

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士今年早些时候，Quarklab 公司的安全研究员详述了从谷歌Titan M 芯片中发现的一个严重漏洞 (CVE-2022-20233)。Titan M 是在2018年引入的片上系统，旨在向 Pixel 设备交付增强的安全防护措施，包括保证安全启动。CVE-2022-20233 在2022年6月份的安卓安全补丁中修复，当时谷歌称其为严重的提权漏洞。.

聚焦源代码安全，网罗国内外最新资讯！编译：奇安信代码卫士团队本周，Sophos 和 ReversignLabs 公司宣布公开 SoReL-20M 数据库，内含2000万个 Window...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士开源的文件共享软件 ownCloud 的维护人员提醒称，软件中存在三个严重漏洞，可用于泄露敏感信息和修改文件。这些漏洞的简述如下：容器化部署中的敏感凭据和配置泄露，影响 graphapi 0.2.0至0.3.0版本（CVSS评分10）使用 Pre-Signed URL 绕过WebDAV Api 认证，影响核心版本10.6.0至10.13.0（CV.

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士开源的在线代码执行系统中存在三个严重漏洞，可用于在目标系统上执行代码。澳大利亚网络安全公司 Tanto 在报告中提到，这三个漏洞都属于严重级别，可导致“具有充分访问权限的对手执行沙箱逃逸并获得主机机器的 root 权限。”Judge0维护人员表示，该项目是“健壮、可扩展和开源的在线代码执行系统”，可用于构建需要在线代码执行特性的应用程序如候选评估.

聚焦源代码安全，网罗国内外最新资讯！日前，奇安信中标某大型国有银行安全测试开源组件安全评估项目，再一次彰显了奇安信在开源安全治理领域的专业实力和市场认可度，同时也反映出金融行业对于提升信息技术基础设施安全性的重视程度。确保开源组件安全可控，符合行业发展需要随着数字化转型的加速推进，金融机构越来越依赖于软件和信息技术来提升其运营效率和服务质量。开源软件因其灵活性、可扩展性和成本效益等优...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士如下是谷歌 Project Zero 发布的一篇文章，详述了 Big Sleep 项目如何发现了传统模糊测试无法发现的0day漏洞，探讨了大语言模型在漏洞研究方面的潜力。引言我们（谷歌Project Zero团队）在之前的一篇文章《Naptime 项目：评估大语言模型的进攻性安全能力》中介绍了大语言模型 (LLMs) 协助下的漏洞研究框架，以及通.