OpenClaw(亦稱 Clawdbot 或 Moltbot)象徵著代理式 AI 發展的新階段:功能強大、高度自主,且出乎意料地容易上手。本文將其能力與前一代工具進行比較,並深入剖析代理式 AI 架構本質所潛藏的資安風險。
Instructure Canvas 外洩事件影響了全球各地的大專院校、幼稚園至高中 (K-12) 學區,以及教學醫院。本文提供了有關該事件的背景資訊與與實務指引。
InstallFix 攻擊行動瞄準了全球多個產業,利用假冒的 Claude AI 安裝網頁誘騙使用者執行惡意程式,進而蒐集系統資訊、停用資安功能、常駐於系統,並且連上駭客掌控的幕後操縱 (CC) 伺服器來下載更多惡意檔案。
駭客假冒 Kuse 的品牌和服務作亂,這是一款專為工作空間設計的熱門 AI 應用程式,駭客利用使用者對 Kuse 的信任來發動網路釣魚攻擊。
TrendAI 對 Void Dokkaebi 行動的研究發現,該組織發起了一場將遭感染的開發者程式碼儲存庫,轉變為惡意程式散布管道的攻擊行動。由於攻擊透過受信任的工作流程、企業程式碼庫與開源專案擴散,因此可能從單一入侵事件,進一步升級為更廣泛的供應鏈風險。
企業若想大規模預測並降低來自真人、機器及 AI 代理人 (AI agents) 的風險,就必須採用毫不妥協、以 AI 驅動的『身分優先』(Identity-first) 安全架構。
駭客趁著 Anthropic 的 Claude Code 發生 npm 發行版本封裝錯誤的之際散布 Vidar、GhostSocks 和 PureLog 資訊竊取程式。本文詳細說明企業可採取哪些立即措施與最佳實務原則來防範進一步風險。
本文探討 AI 驅動的氛圍程式設計 (vibecoding) 如何加快軟體開發速度、但卻因為脫離傳統的審查與歸屬方式而提高資安風險,同時也解釋為何資安需要移動到更早的階段,並且融入現代化開發工作流程當中。
駭客對 Axios 發動供應鏈攻擊,利用偷來的 npm 登入憑證發布含有幽靈相依元件的惡意版本,然後在安裝過程中觸發一個跨平台遠端存取木馬程式 (RAT),隨後將其檔案更換成乾淨的誘餌檔案來誤導調查,使它難以被偵測。
TeamPCP 的攻擊行動不再侷限於 LiteLLM,將 Telnyx Python SDK 與隱匿的 WAV 惡意檔案結合,竊取 Linux、macOS 和 Windows 的登入憑證。
LiteLLM PyPI 資料外洩事件說明:惡意版本如何竊取雲端登入憑證、SSH 金鑰以及 Kubernetes 機密,了解衝擊與緊急防範步驟。