搜索关键词 漏洞赏金
AI & Enterprise
Lovable被指存在BOLA漏洞 免费账号可访问他人源代码等敏感数据
估值66亿美元的“氛围编程”平台Lovable被研究人员指出存在对象级授权缺陷(BOLA)。对方称,免费账号仅通过少量API调用,便可访问他人用户资料、项目源代码、数据库凭证及AI聊天记录。Lovable回应称,问题源于权限变更过程中的配置失误,公司已回滚相关改动,并将公开项目聊天记录重新设为私密。
AI & Enterprise
“Comment and Control”提示注入攻击方式曝光,可同时针对Claude Code、Gemini CLI和GitHub Copilot Agent
安全工程师Aonan Guan披露一种名为“Comment and Control”的提示注入攻击方式。攻击者可通过在GitHub评论、PR标题及Issue等内容中植入恶意指令,诱导AI代理执行恶意命令,并进一步窃取凭证、API密钥等敏感信息。Anthropic、Google和GitHub均已确认相关问题,并发放漏洞赏金。
Crypto
Aave Labs公布Aave V4安全路线图:涵盖正式验证、模糊测试和漏洞赏金
DeFi借贷协议Aave的开发方Aave Labs公布了Aave V4安全路线图,将其定位为“安全优先框架”,强调在智能合约设计初期即纳入安全机制。该方案涵盖正式验证、人工审计、不可变性测试、模糊测试和公开安全竞赛,并提出长期运行漏洞赏金计划、提升AI驱动的智能合约扫描能力等原则。
