PulseAugur
实时 16:33:14
English(EN) OWASP rates XSS as high frequency, low impact. That was before webMCP. Any JavaScript on a page can register tools with the browser's LLM — including injected p

WebMCP 漏洞允许 JS 武器化浏览器 LLM

作者 PulseAugur 编辑部 · [1 个来源] ·

一种新的安全漏洞 webMCP 允许恶意 JavaScript 向浏览器的 LLM 注册工具,绕过传统的 XSS 防御。研究人员演示了从注入到数据泄露的完整攻击链,仅用五分钟即可完成。虽然存在防御措施,但需要比基本实现更高级的措施才能有效应对此威胁。 AI

影响 此漏洞突显了一种针对基于浏览器的 LLM 的新攻击向量,可能影响集成 AI 的 Web 应用程序的安全性。

排序理由 该集群描述了一个新发现的安全漏洞及其潜在影响,属于研究和安全范畴。[lever_c_demoted from research: ic=1 ai=1.0]

在 Mastodon — fosstodon.org 阅读 →

AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →

报道来源 [1]

  1. Mastodon — fosstodon.org TIER_1 English(EN) · [email protected] ·

    OWASP 将 XSS 评为高频低影响漏洞。这在 webMCP 出现之前是这样的。页面上的任何 JavaScript 都可以向浏览器的 LLM 注册工具——包括注入的 p

    OWASP rates XSS as high frequency, low impact. That was before webMCP. Any JavaScript on a page can register tools with the browser's LLM — including injected payloads. The model trusts both. We validated a full kill chain from injection to C2 exfiltration in five minutes. Defens…

    链接 blog.arachnovato.com/script-injection-mak…

相关实体

相关话题