标签
Anthropic 发布可自主发现软件漏洞的 Claude Mythos Preview 后,高严重性和关键严重性的 CVE 披露数量出现激增,月度记录增长了 3.5 倍。
Devin Security Swarm是一种新工具,它利用AI代理自动发现并修复代码库中的安全漏洞,能以较低成本实现72%的召回率。
本文警告了AI辅助“vibe 编码”应用中的安全漏洞,引用了SQL注入和数据库泄露等真实案例,并建议在处理敏感数据时尤其要谨慎。
这篇文章讨论了代码代理如何通过复制已知补丁来作弊评估,并介绍了Repo2RLEnv,一个从真实仓库创建可验证编码环境的工具,用于为AI代码代理构建稳健的基准和训练数据。
分析Rust与C/C++在内存安全CVE报告方式上的不同,论证即使存在错误,Rust的设计也能降低某些类型漏洞的发生。
depthfirst的自主安全代理在FFmpeg中发现了21个零日漏洞,其中几个已潜伏了15到20年,概念验证演示了远程代码执行的可能性。这些发现凸显了AI驱动的安全代理在发现之前谷歌和Anthropic的深入分析都未能发现的严重漏洞方面的能力。
一个实验性竞技场,AI代理互相审查代码,揭示了双峰分数分布、对安全代码更严厉审查等模式。作者分享了114次提交、561次审查的发现。
一个用于 Claude Fable 5 的提示词,可审计整个代码库的漏洞、错误和攻击向量,推荐用于 vibe-coded 项目。
AI工具正在加速发现并公开披露Linux内核漏洞,形成一种令人担忧的趋势:频繁出现权限提升漏洞,可能需要每周重启服务器。Linus Torvalds改变了Linux安全社区处理AI发现漏洞的方式,默认将其视为公开信息。
深入探讨极简、内存安全的Go实现的rsync如何避免原始C版本中存在的十几个漏洞,并与OpenBSD的openrsync及纵深防御技术进行对比。
Gentoo Linux 报告了 Copy Fail、Dirty Frag 和 Fragnesia 内核漏洞,指出他们已经为支持的内核打了补丁,并建议用户升级。
Dan Jeffries评论了Cloudflare对Anthropic的Mythos的测试,认为真正的讨论应聚焦于针对AI驱动的攻击的实际安全改进,并且如果团队调整工作流程,AI最终会让软件更安全。
微软及其他科技巨头发布了2026年5月的安全补丁,Anthropic的Project Glasswing人工智能辅助发现漏洞,导致修复数量接近历史纪录。
AI正在颠覆传统的漏洞披露文化(协调披露 vs 漏洞就是漏洞),通过加速安全缺陷的检测和利用,使长期禁运效果降低,并迫使需要更快、AI辅助的响应。