搜索关键词 GitHub Actions
AI & Enterprise
“Comment and Control”提示注入攻击方式曝光,可同时针对Claude Code、Gemini CLI和GitHub Copilot Agent
安全工程师Aonan Guan披露一种名为“Comment and Control”的提示注入攻击方式。攻击者可通过在GitHub评论、PR标题及Issue等内容中植入恶意指令,诱导AI代理执行恶意命令,并进一步窃取凭证、API密钥等敏感信息。Anthropic、Google和GitHub均已确认相关问题,并发放漏洞赏金。
AI & Enterprise
Axios供应链攻击敲响AI编程安全警钟
开源软件包Axios近期遭遇供应链攻击,攻击者通过窃取维护者账号并加入恶意依赖包、发布更新版本,即可在几乎不改动源代码的情况下传播恶意程序。业内指出,传统SCA工具主要依赖CVE比对,对新出现的恶意包识别能力有限。随着AI编程工具普及,依赖选择风险、slopsquatting以及AI编程代理带来的安全隐患正进一步放大。
AI & Enterprise
4周训练营后,零基础记者也能借助AI做出可用工具并完成机器人部署
Popup Studio近日在首尔举办为期4周的记者Vibe Coding训练营。7名学员中,多数此前几乎没有终端操作经验,但仍借助自然语言指令完成了卡片新闻生成工具、健康管理App、采购信息提醒机器人等项目开发,并通过Markdown文档与GitHub Actions实现部署。
