logo
publist
写文章

简介

该用户还未填写简介

擅长的技术栈

可提供的服务

暂无可提供的服务

从Naptime到Big Sleep:通过大语言模型捕获真实代码中的漏洞

聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士如下是谷歌 Project Zero 发布的一篇文章,详述了 Big Sleep 项目如何发现了传统模糊测试无法发现的0day漏洞,探讨了大语言模型在漏洞研究方面的潜力。引言我们(谷歌Project Zero团队)在之前的一篇文章《Naptime 项目:评估大语言模型的进攻性安全能力》中介绍了大语言模型 (LLMs) 协助下的漏洞研究框架,以及通.

#语言模型#人工智能#自然语言处理
开源的Judge0 中存在多个沙箱逃逸漏洞,可导致系统遭完全接管

聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源的在线代码执行系统中存在三个严重漏洞,可用于在目标系统上执行代码。澳大利亚网络安全公司 Tanto 在报告中提到,这三个漏洞都属于严重级别,可导致“具有充分访问权限的对手执行沙箱逃逸并获得主机机器的 root 权限。”Judge0维护人员表示,该项目是“健壮、可扩展和开源的在线代码执行系统”,可用于构建需要在线代码执行特性的应用程序如候选评估.

AI漏洞发现量激增,HackerOne 宣布暂停开源漏洞奖励计划

现在需做的是以投入漏洞发现的同等紧迫性,加大对漏洞修复能力的投入。对于开源项目的维护者来说,“分类审核疲劳”已经成为最大的挑战,他们为了反驳那些凭空捏造的漏洞,就要耗费数小时的开发时间。HackerOne 表示,他们现在的重点是寻找新的途径,以实现让漏洞发现与有效的修复工作相匹配的最初目标,“从而让有意义的发现成果能够为开源项目带来持久的安全改进”。自今年3 月27日起,该计划暂停接收新的漏洞提交

#人工智能#开源
很多大厂都在用的开源开发平台Backstage上存在严重的RCE漏洞

聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Oxeye 公司的研究人员发现,攻击者可通过利用最近披露的第三方模块vm2中的沙箱逃逸漏洞(CVE-2022-36067,CVSS 10分),获得在开源开发平台 Backstage上远程代码执行的权限。Oxeye 公司在报告中指出,“未认证攻击者可利用 Scaffolder 核心组件中的一个vm2沙箱逃逸漏洞,在Backstage应用跟上执行任意.

#安全#web安全#网络 +2
欧盟《网络弹性法案》尘埃落定:制造商需为开源代码的安全性负责

聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士欧洲委员会在2022年9月份醍醐《网络弹性法案》,旨在设置一系列规则,重视所有直接或间接联网产品的安全性。产品同时包括硬件和软件产品。欧洲委员会和欧洲议会已在11月30日就文本达成一致,因此CRA将进入最后的批准阶段。按照CRA 的规定,更多健壮的网络安全和弹性法规将要求组织机构按照最低标准保护数字化产品的安全。该法规将强制要求软件和硬件制造商遵.

Apache Struts 2 严重 XXE 漏洞可用于窃取敏感数据

安全团队应立即打补丁,而无法立即升级的系统应当验证这些应变措施是否可用。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础

#apache#struts#java +1
AI编程月产代码从2.5万到25万行:一场被忽视的“漏洞危机“

AI生成代码的风险不再局限于SQL注入、XSS等传统漏洞,更多表现为逻辑漏洞、幻觉代码、虚构API调用、权限配置错误等新型隐患,传统静态扫描工具无法识别业务逻辑缺陷,人工审核又被海量代码淹没,形成。落地效果显示,该体系让温氏股份漏洞发现效率提升3倍,高危漏洞拦截率超95%,人工审计工作量减少30%-40%,中等规模系统安全审查从2-3周缩短至3-5天,每年节省。Agents代码安全智能体等创新方案

OpenAI 推出GPT-5.5 生物漏洞奖励计划,最高赏金2.5万美元

涵盖的材料包括所有精心设计的提示词、模型生成的回复、安全发现,以及与 OpenAI 工程团队的直接沟通记录。为了应对这一不断演变的威胁格局,OpenAI 正积极邀请网络安全研究人员、生物安全专家以及 AI 红队测试人员,对最新模型的能力边界进行极限测试。在人工智能安全领域,"越狱"是一种高度专业化的提示词,专门设计用来绕过模型内置的安全过滤器和伦理约束。找出真正的通用越狱方法难度极高,该漏洞奖励计

#网络
AMD ATI Radeon 显卡被曝多个漏洞

聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队思科 Talos 警告称,某些 AMD ATI Radeon 显卡中存在多个漏洞,可导致攻击者远程执行代码或引发拒绝服务条件。...

OpenAI 发布AI安全漏洞奖励计划

—涵盖第三方提示注入和数据外泄场景,即攻击者控制的文本能够可靠地劫持受害者的AI代理(包括Browser、ChatGPT 智能体及类似的代理型产品),从而执行有害操作或泄露敏感用户数据。该漏洞奖励计划旨在补充 OpenAI 公司现有的安全漏洞奖励计划,任何存在重大滥用和安全风险的问题甚至是这些问题并非传统安全漏洞的漏洞报告均可提交。OpenAI 公司在对传统漏洞披露进行激励的同时,也对关注安全性的

#人工智能
    共 108 条
  • 1
  • 2
  • 3
  • 11
  • 请选择