امنیت
- Agent Passport؛ شناسنامهای برای ایجنتهای هوش مصنوعی
Workday یه سیستم معرفی کرده که هر ایجنت هوش مصنوعی رو قبل از رفتن به محیط واقعی تست و تأیید میکنه و بعدش هم لحظهبهلحظه زیر نظر میگیره.
- npm میخواد اسکریپتهای نصب رو پیشفرض مسدود کنه
یک RFC جدید پیشنهاد میده که npm دیگه اسکریپتهای نصب وابستگیها رو بهصورت خودکار اجرا نکنه و توسعهدهندهها باید بهطور صریح اجازه بدن.
- نقص CIFSwitch در لینوکس؛ دسترسی root روی چند توزیع
یه نقص تازهکشفشده در هستهی لینوکس به نام CIFSwitch به مهاجم محلی اجازه میده با جعل درخواستهای احراز هویت CIFS به دسترسی root برسه.
- خروجی فقط عددی؟ دادهها رو با base36 بیرون بکش!
وقتی یه آسیبپذیری تزریق کد پیدا میکنی ولی سیستم هدف فقط اعداد برمیگردونه، ترافیک خارجی رو بلاک کرده و خطاها رو هم مدیریت میکنه، چطور میشه دادهها رو بیرون کشید؟ جواب اینه که از تبدیل پایه استفاده کنی؛ خروجی دستور رو بهعنوان یه عدد base36 بخونی و نتیجه دسیمال رو برگردونی. برای کاراکترهای غیرالفبایی هم میشه با `str.maketrans` اونها رو حذف کرد تا تبدیل موفق بشه. این روش در پایتون بیش از ۲ کیلوبایت داده الفبایی رو میتونه بهصورت یه عدد دسیمال خارج کنه.
- تونل امن MCP اوپنایآی: سرور خصوصی بدون باز کردن پورت
OpenAI قابلیت Secure MCP Tunnel را معرفی کرده که با یک اتصال فقط-خروجی، سرورهای MCP خصوصی پشت فایروال را به ChatGPT و Codex وصل میکنه بدون اینکه روی اینترنت عمومی قرار بگیرن.
۱۸ ساعت پیش۲ دقیقهdevelopers.openai.com - DNS برای آدمهاست، نه برای زیرساخت داخلی
نویسنده میگه DNS برای سرویسهای عمومی عالیه، ولی برای ارتباط سرور به سرور تو شبکه داخلی شاید فقط یه نقطه شکست اضافه و یه ریسک امنیتی باشه.
- فلگ دیباگ جاموندهٔ مایکروسافت روی اندروید
شرکت Enclave توی شش اپ اندرویدی Microsoft 365 یه فلگ دیباگ جامونده پیدا کرد که باعث میشد توکن دسترسی حساب به هر اپ دیگهای که میخواست تحویل داده بشه.
- آنتروپیک دسترسی به مدلِ Mythos را به ۱۵۰ شریک تازه باز کرد
آنتروپیک پروژهٔ Glasswing رو به ۱۵۰ شریک تازه در بیش از ۱۵ کشور گسترش داده؛ مدلی که تو پیداکردنِ آسیبپذیریِ نرمافزار خبره شده و همین، هم نویدبخشه هم نگرانکننده.
۱ روز پیش۳ دقیقهcnbc.com - دفاع لایهلایه در برابر حملات زنجیره تأمین نرمافزار
بعد از موجی از حملات npm مثل Shai-Hulud، AWS بهترین روشها برای محافظت از مصرفکنندههای پکیج رو جمع کرده: از اعتبارنامهی موقت تا امضای آرتیفکت و اسکن رفتاری.
- سرقت استنتاج: گرانترین حملهٔ تازه علیه اندپوینتهای AI
یه درخواست HTTP تقریباً مفت ـه، ولی یه پرامپت روی مدل پیشرفته میتونه ۲ دلار خرج بذاره؛ همین فاصله، دزدیِ استنتاج رو به یکی از پرسودترین حملهها تبدیل کرده.
- گوگل از امنیت هوش مصنوعی حرف میزنه، ولی خودش چطور؟
مدیر ارشد عملیات گوگل کلود میگه امنیت در دوران هوش مصنوعی باید از روز اول در دل پلتفرم باشه — همزمان، گزارشهایی از کلیدهای API گوگل بیرون میاد که حتی بعد از حذف، تا ۲۳ دقیقه قابل سوءاستفادهان.
- ۱۲ سناریوی نشت داده در ابزارهای هوش مصنوعی سازمانی
هر بار که یه کارمند متنی رو توی یه ابزار هوش مصنوعی میچسبونه، دادههای سازمانی از یه نقطه کور رد میشن که اغلب هیچ کنترلی روش نیست.
۲ روز پیش۳ دقیقهcio.com - کرم جاسوسی روسی که توی فایلهای مخفی ویندوز قایم میشه
گروه Gamaredon که به FSB روسیه وصله، با مخفیکردن اجزای بدافزارش توی قابلیت کماستفادهٔ NTFS داره بیسروصدا توی شبکههای اوکراین پخش میشه.
- ChatGPT به محتوای صفحه اعتماد میکنه و خود صفحه میشه payload
یه پژوهشگر نشون داده ChatGPT نمیتونه محتوای تولیدی خودش رو از مارکداون مخرب یه صفحه تشخیص بده؛ پس خلاصه کردن یه صفحه میتونه به هشدار امنیتی جعلی و لینک فیشینگ منجر بشه.
- دانیل استنبرگ: curl زیر فشار سیل گزارشهای امنیتی
دانیل استنبرگ، خالق curl، میگه که نرخ گزارشهای امنیتی به پروژه ۴ تا ۵ برابر سال ۲۰۲۴ رسیده و فشار کار به حدی رسیده که همسرش نگران سلامتش شده.
- کامپایلرهای جایگزین C و کابوس هدرهای غیراستاندارد
نوشتن کامپایلر C جدید یعنی دستوپنجه نرم کردن با هدرهایی که فقط برای GCC و Clang طراحی شدن. یه بلاگر که روی کامپایلر C خودش کار میکنه، موارد جالبی از این مشکلات رو مستند کرده.
- ONLYOFFICE: امنیت کامل دادهها در دست شماست
ONLYOFFICE مجموعهای جامع از ابزارهای امنیتی داره که از رمزنگاری AES-256 و اتاقهای خصوصی گرفته تا احراز هویت دو مرحلهای و مدیریت دسترسی رو پوشش میده.
- نقض داده NYC Health + Hospitals: اطلاعات ۱.۸ میلیون نفر لو رفت
بزرگترین سیستم بهداشت عمومی آمریکا هک شد و اطلاعات پزشکی، هویتی، و حتی اثر انگشت میلیونها نفر به سرقت رفت.
- وقتی عامل کدنویسی هوش مصنوعی کل دایرکتوری خانگی رو پاک میکنه
یک عامل کدنویسی هوش مصنوعی موقع «تمیزکاری» یک ریپو، با یک دستور حذفِ بازگشتی کل مکِ کاربر رو پاک کرد؛ مشکل، باگ مدل نبود، خودِ معماری اجراست.
- xz-utils؛ وقتی خطر از خود نگهدارندهست
حملهٔ معروف xz-utils رو نه یه اسکنر، که یه مهندس با دیدن ۵۰۰ میلیثانیه کندی در SSH لو داد؛ دو سال بعد، هنوز ابزارها به این مدل تهدید نرسیدن.
