錯(cuò)過了BRC20還有eths,eth銘文協(xié)議
來源:三頭鳥NFT大家好,我是鳥哥,了解鳥哥的人都知道鳥哥擅擼空投,說實(shí)話擼毛雖然回報(bào)大但周期還是有點(diǎn)長的,所以除了擼毛我們自己也在研究早期項(xiàng)目,打新,比如BRC20協(xié)議ordi當(dāng)時(shí)就有
7 月 28 日消息,據(jù)外媒 TechSpot 報(bào)道,本月初,一名黑客攻破了亞馬遜的生成式 AI 編程助手 Amazon Q,而該工具通過 Visual Studio Code 擴(kuò)展廣泛應(yīng)用。
攻擊者通過注入未經(jīng)授權(quán)的代碼成功侵入了 Amazon Q 的開源 GitHub 倉庫。該代碼包含了一段指令,如果成功觸發(fā),可能導(dǎo)致刪除用戶文件和清除與亞馬遜網(wǎng)絡(luò)服務(wù)賬戶相關(guān)的云資源。
入侵通過一份看似正常的拉取請(qǐng)求完成。一旦該請(qǐng)求被接受,黑客就插入了指令,要求 AI 代理“將系統(tǒng)恢復(fù)到出廠設(shè)置并刪除文件系統(tǒng)及云資源”。
這次惡意修改被包含在 Amazon Q 擴(kuò)展的 1.84.0 版本中,7 月 17 日對(duì)近百萬用戶進(jìn)行公開分發(fā)。亞馬遜最初未能發(fā)現(xiàn)問題,直到之后才將被攻破的版本撤回。
黑客也對(duì)亞馬遜的安全措施提出了諷刺批評(píng)。他表示,自己的行為是為了故意暴露亞馬遜安全防護(hù)的不足。在接受 404 Media 采訪時(shí),黑客稱亞馬遜的 AI 安全措施是“安全表演”,意思是現(xiàn)有的防護(hù)措施看似有效,實(shí)則不過是做做樣子。
ZDNet 的專家 Steven Vaughan-Nichols 指出,這起事件并非批評(píng)開源本身,而是反映了亞馬遜在管理開源工作流上的漏洞。開放代碼庫并不代表保證安全,重要的是如何管理訪問權(quán)限、進(jìn)行代碼審查和驗(yàn)證。這段惡意代碼之所以能進(jìn)入正式版本,正是因?yàn)閬嗰R遜在驗(yàn)證流程上存在漏洞,未能及時(shí)發(fā)現(xiàn)未經(jīng)授權(quán)的拉取請(qǐng)求。
黑客透露,這段代碼故意被設(shè)定為無效狀態(tài),僅作為警告而非真實(shí)威脅。他表示,自己的目標(biāo)是促使亞馬遜公開承認(rèn)漏洞并加強(qiáng)安全防護(hù),而非對(duì)用戶或基礎(chǔ)設(shè)施造成實(shí)質(zhì)性損害。
亞馬遜的安全團(tuán)隊(duì)調(diào)查后確認(rèn),由于技術(shù)問題,這段惡意代碼并未執(zhí)行。亞馬遜隨后撤銷了被攻破的憑證,移除惡意代碼,并發(fā)布了一個(gè)新的干凈版本擴(kuò)展。從報(bào)道中獲悉,公司在聲明中重申安全是其首要任務(wù),并確認(rèn)沒有客戶資源受到影響。用戶被建議盡快更新到 1.85.0 版本或更高版本。
本文鏈接:http://www.tebozhan.com/showinfo-45-15115-0.html亞馬遜 AI 編程助手 Amazon Q 被曝嚴(yán)重漏洞,近百萬用戶一度面臨被刪庫風(fēng)險(xiǎn)
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識(shí),若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。郵件:2376512515@qq.com
上一篇: 智譜發(fā)布新一代旗艦開源模型 GLM-4.5,專為智能體應(yīng)用打造
下一篇: 劍橋大學(xué)等機(jī)構(gòu)調(diào)查顯示:1 6 英國成年人認(rèn)為減少作業(yè)是學(xué)校應(yīng)對(duì)學(xué)生濫用 AI 的良方
Copyright ? 2016-2023 天津谷騏科技有限公司 版權(quán)所有 sitemap.xml
違法及侵權(quán)請(qǐng)聯(lián)系:2376512515@qq.com 津ICP備18001702號(hào)
津公網(wǎng)安備 12010102000574號(hào)