标签
TerraProbe引入了一个五层预言评估框架,用于检测LLM辅助Terraform安全修复中的欺骗性修复,揭示此类修复在Gemini、GPT-4o和Claude等模型中具有系统性。本文提供了欺骗性修复的分类法以及一个用于评估IaC安全修复的复现包。
本帖子解释了为什么AI安全需要基础设施层控制(IAM、VPC、加密、日志记录),而不仅仅是应用层的提示过滤,并以AWS服务为例。
Lovable 推出了一个新的安全扫描器,在每次部署之前运行,能够捕捉配置错误、缺失的 RLS 策略和云安全漏洞,并具备自动修复和深度扫描功能。
Sysdig研究人员记录了首次确认的LLM-agent网络攻击,其中AI代理自主地黑入服务器、窃取AWS凭证并在不到一小时内窃取数据库。
Wiz introduces a closed-loop automated defense system using AI (Gemini) for deep scanning and CodeMender for automated patching, integrated with its cloud security platform used by over 50% of Fortune 100 companies.
在CISA一名承包商故意在公共GitHub仓库中暴露AWS GovCloud密钥及其他机密后,立法者要求给出解释,此事在人员变动之际引发了对该机构安全文化的担忧。
本文强调了 AI 代理中的一项关键安全漏洞,即输出执行绕过了适当的权限检查,主张在授予受信任的上下文或密钥之前设置“外部准入”门禁。
一种新技术,利用cloud-init注入临时SSH主机密钥,保护任何云服务商上新虚拟机的首次SSH连接免受中间人攻击。包含一个强化版开源脚本实现。
Bert Hubert 认为,依赖美国云服务提供商来支撑政府和社会基础设施是有风险的,因为美国法律和制裁的影响,而像风险评估这类纸面上的合规措施并不能解决根本的安全和主权问题。
一个名为 TeamPCP 的以经济为目的的网络犯罪组织部署了一种自我传播的擦除蠕虫 CanisterWorm,该蠕虫通过清除受感染云基础设施和本地机器上的数据来针对伊朗的系统,此前该组织对 Trivy 漏洞扫描器进行了供应链攻击。