攻击者可以将这两个视图之间的空间武器化。LayerX建议AI供应商实施双模式渲染与差异分析，将自定义字体视为潜在威胁面，扫描基于CSS的内容隐藏技术（例如接近零的不透明度以及与背景色相同的文本），尤其在无法验证页面的完整渲染上下文时，避免给出确定性的结论。同时，将另一个独立的编码载荷渲染为清晰可见的、巨大的绿色文本，诱导用户在自已的机器上执行反向Shell。公司的研究人员发现一种新型攻击技术利用了

据称，已发布的 @anthropic-ai/claude-code npm 包中包含一个源映射（.map）文件，该文件引用了完整、未压缩的 TypeScript 源代码，这些代码可直接以 ZIP 压缩包的形式从 Anthropic 自家的 R2 云存储桶中下载。遭泄露的代码库包含了 Claude Code 完整的 src/ 目录，共计约 1900 个文件，超过 512000 行代码，采用严格 Ty

该漏洞影响 npm 包 @google/gemini-cli 以及 GitHub Action google-github-actions/run-gemini-cli，尤其是当它们在 CI/CD 流水线等无头环境中使用时，从而可能导致供应链风险。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。安全公告提到，该漏洞源

CVE-2026-33111影响嵌入在 Microsoft Edge 中的 Copilot Chat，归类为 CWE-77（命令中使用的特殊元素未正确中和——命令注入）。微软披露了影响微软 Edge 中 Microsoft 365 Copilot 和 Copilot Chat的三个严重信息泄露漏洞（CVE-2026-26129、CVE-2026-26164和CVE-2026-33111），现均已修

🚀 未来，奇安信人工智能公司将持续深化技术创新，陆续推出更多以AI对抗AI的系列产品，构建覆盖“AI体检、AI运营、AI预见、AI红队”的自主进化攻防闭环，为数字中国建设筑牢代码安全根基，助力企业在AI时代守住安全底线，释放数字生产力潜能。该智能体通过项目侦查、任务规划分发、漏洞分析、漏洞验证、报告生成五大模块协同，完成从项目画像到漏洞验证的全流程自动化作业，可高效挖掘项目中的隐蔽逻辑漏洞，输出

2月5日，奇安信宣布已完成与DeepSeek（深度求索）的全面深度接入，这标志着奇安信在AI驱动安全战略方面又迈出了重要一步。数据表明，奇安信自研QAX安全大模型通过DeepSeek R1进行了一系列的优化和蒸馏后，不仅运营成本实现了大幅降低，同时在威胁研判等多个场景下的模型性能方面获得了显著提升，这势必将进一步扩大奇安信在人工智能与网络安全融合创新的领先优势。DeepSeek自发布以来，凭借出色

聚焦源代码安全，网罗国内外最新资讯！编译：奇安信代码卫士团队在线电商巨头Shopify正在和FBI以及其它执法部门调查一起由两名恶意员工引发的安全事件。Shopify公司表示...

这样一来，任何已安装PostgreSQL的开发者在使用上述任一IDE时，若看到“推荐安装：PostgreSQL扩展”的提示，只需简单点击安装，就会导致恶意扩展部署到系统中。随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当

Cloudflare解释称：“此前，当Cloudflare提供HTTP-01挑战令牌时，如果调用方请求的路径匹配我们系统中有效挑战的令牌，提供ACME挑战令牌的逻辑就会禁用WAF功能，因为此时Cloudflare会直接提供响应。验证成功后即签发证书，同时证书颁发机构会将该ACME账户（即在其服务器注册的实体）标记为已授权管理该特定域名。换言之，该逻辑未能验证请求中的令牌是否实际匹配该特定主机名的有

Cloudflare解释称：“此前，当Cloudflare提供HTTP-01挑战令牌时，如果调用方请求的路径匹配我们系统中有效挑战的令牌，提供ACME挑战令牌的逻辑就会禁用WAF功能，因为此时Cloudflare会直接提供响应。验证成功后即签发证书，同时证书颁发机构会将该ACME账户（即在其服务器注册的实体）标记为已授权管理该特定域名。换言之，该逻辑未能验证请求中的令牌是否实际匹配该特定主机名的有