API keys
PulseAugur coverage of API keys — every cluster mentioning API keys across labs, papers, and developer communities, ranked by signal.
8 天有情绪数据
-
安全审计发现8,764台AI代理服务器存在严重漏洞
对8,764台模型上下文协议(MCP)服务器的安全审计揭示了严重的漏洞,其中包括三起服务器因不当处理用户提示而泄露API密钥的事件。使用名为Sentinel的工具进行的审计还发现了路径遍历、SSRF、SQL注入和命令注入等问题。一个名为mcp-observatory的独立项目被开发出来,用于自动化MCP服务器的安全扫描和检测模式漂移,这凸显了在快速扩张的AI代理生态系统中加强安全实践的必要性。
-
本地LLM集成引发数据访问安全担忧
一位独立开发者创建了一个名为Local MCP的本地大型语言模型(LLM)集成,该集成连接到183个不同的应用程序,包括iMessage、Teams和OneDrive等敏感应用。虽然因本地数据处理被宣传为隐私的胜利,但开发者认为这种方法绕过了OAuth和API密钥等关键安全措施。这种缺乏传统访问控制的做法带来了严重的安全漏洞,例如容易受到提示注入攻击以及缺乏审计日志,对个人用户和企业安全团队都构成了重大风险。
-
开发者构建开源工具以保护API密钥
一位开发者创建了vlt,一个免费的开源工具,旨在帮助其他开发者安全地管理其API密钥和其他敏感信息。该工具充当本地密钥保险库,为防止关键凭证丢失或泄露提供了一个实用的解决方案。
-
Vector Engine 简化 Dify、Cursor、Node.js 的 LLM API 设置
本教程演示了如何使用 Vector Engine 作为 OpenAI 兼容的 API 网关,以简化 Dify、Cursor 和 Node.js 服务等不同工具的 LLM 应用配置。它强调将基础 URL 与完整端点分离,以避免诸如重复路径或 `model_not_found` 等常见错误。该指南为 Dify 和 Cursor 提供了具体的设置说明,并建议创建一个专用的 Node.js 提供程序模块,将 API 密钥和模型详细信息与业务逻…
-
研究人员详细介绍从移动应用中过滤LLM API密钥的方法
一位安全研究人员详细介绍了在iPhone和Android设备上的移动应用程序中过滤大型语言模型(LLM)API密钥的方法。这些技术涉及拦截网络流量,以识别和提取这些敏感密钥,这些密钥通常用于向ChatGPT、Gemini、Anthropic的Claude和OpenAI等服务进行身份验证。这种方法突显了移动应用处理AI服务的API密钥时存在的潜在漏洞,表明需要改进安全实践。
-
AI代理安全扫描器未能发现隐藏在显眼处的秘密
一位独立开发者发现其AI代理安全扫描工具存在局限性,该工具旨在检测泄露的API密钥和敏感数据。该工具难以处理嵌入在大型随机文本字符串中的秘密,并且可能遗漏分散在对话中的秘密片段。虽然开发者可以可靠地捕捉到明显呈现的秘密,但他们承认完美的解决方案难以捉摸,并且修复有时会引入新的漏洞。
-
2026年MCP服务器身份验证:OAuth 2.1、零接触企业OAuth以及实际交付内容
模型上下文协议(MCP)发布了企业管理授权(EMA),这是一项新的安全更新,简化了AI代理连接内容和数据的方式。该
-
AI交易需要新的“了解你的代理人”安全标准
身份验证的概念正在超越传统的“了解你的客户”(KYC)和“了解你的员工”(KYE)框架,以应对AI代理人带来的独特风险。1Kosmos的Huzefa Olia强调,需要一种新的方法——“了解你的代理人”(KYA)——来管理AI系统带来的安全影响,这些系统可以在有限的监督下发起交易和访问敏感数据。传统的身份验证方法不足以验证自主系统的可信度,因此需要更强的身份保障、设备信任和持续验证,以减轻AI辅助的身份冒充和过度授权代理人等风险。
-
Claude AI 警告用户不要分享 API 密钥,然后审查了一个
一位用户分享了与 Claude 的互动,其中 AI 最初警告不要直接分享 API 密钥,而是建议使用文件。然而,在用户将 API 密钥放入文件后,Claude 继续审查并确认了该密钥,这凸显了 AI 在处理敏感信息时可能存在的安全疏忽。
-
MCP 采用 OAuth 2.1 进行安全代理身份验证
模型上下文协议 (MCP) 正在发展,采用 OAuth 2.1 进行代理身份验证,放弃静态 API 密钥。这一转变使得与 MCP 服务器交互的代理能够实现更安全、更精细和可审核的访问控制。Lumbox 的 MCP 服务器和 llm-cli-gateway 等实现正在集成 OAuth,包括用于无头客户端的设备代码流和用于简化设置的动态客户端注册。
-
Anthropic 的 Claude Haiku 通过浏览器控制台泄露 API 密钥
一位用户发现 Anthropic 的 Claude Haiku 4.5(扩展版)在调试会话期间,无意中将敏感的 API 密钥直接记录到了浏览器控制台。当被要求帮助调试 Google Apps Script 时,该 AI 模型包含了暴露 Google、OpenAI 等服务的完整 API 密钥值的 `console.log` 语句。这一疏忽凸显了开发人员在部署前,必须彻底审计 AI 生成的代码,特别是针对暴露凭证等安全漏洞的必要性。
-
新工具Keyblind可将API密钥屏蔽,使其不被AI编码助手读取
一款名为Keyblind的新开源工具已被开发出来,用于防止AI编码助手泄露敏感的API密钥和机密信息。该工具通过将环境变量文件中的真实机密信息替换为确定性的假值来实现,只有在执行特定命令时,这些假值才会被解析回真实值。这确保了与代码库交互的AI代理只能看到被屏蔽的数据,从而提高了安全性并防止了凭证的意外泄露。
-
Google API密钥在删除后仍保持活动状态23分钟
安全研究人员发现Google的API密钥管理系统存在漏洞。已删除的API密钥最多可保持活动状态23分钟,可能允许未经授权的访问。Aikido Security发现了这个漏洞,他们发现尽管Google Cloud UI显示密钥已被移除,但这些密钥仍能进行身份验证。
-
AI 代理需要面向用户的 OAuth 以实现安全访问
AI 代理需要比简单的 API 密钥更强大的身份验证方法,才能安全地访问用户特定数据并执行操作。面向用户的 OAuth 通过允许单个用户授予代理有范围的、可撤销的权限来解决此问题,从而确保明确的同意并实现精细控制。这种方法对于建立信任和扩展 AI 代理应用程序至关重要,将它们从基本原型提升到企业级解决方案。
-
新工具可防止AI代理泄露代码中的秘密信息
一款名为env-secret-exposure-analyzer-mcp的新工具已被开发出来,用于防止AI代理无意中泄露API密钥和密码等敏感信息。该工具会扫描代码、配置文件和.env文件中的秘密信息,并检查敏感文件是否已正确排除在版本控制之外。它的目的是在AI代理能够访问并可能因过于热心而滥用这些信息之前,捕获这些泄露。
-
AI FinOps手册提供分钟级成本跟踪
本文提供了一份实用的AI FinOps指南,重点介绍了团队如何实现超越月度摘要的成本清晰度。它详细介绍了一种从共享API密钥迁移到分钟级成本跟踪的方法,从而能够更精细地了解AI支出。
-
Chrome扩展程序阻止API密钥进入AI工具
一款新的Chrome扩展程序已被开发出来,用于防止在与AI工具交互时意外泄露API密钥。该扩展程序可识别出类似常见API密钥格式的模式。然后,它会阻止这些密钥被输入到基于Web的AI平台中,从而提高用户的安全性。
-
Cursor 代码编辑器易受浏览器扩展程序窃取 API 密钥的攻击
安全研究人员发现了一种名为“CursorJacking”的漏洞,影响了 Cursor 代码编辑器。该漏洞允许恶意浏览器扩展程序访问用户的 SQLite 数据库,其中可能包含敏感的 API 密钥。此问题凸显了授予浏览器扩展程序广泛权限可能带来的潜在风险,尤其是在它们与本地数据存储交互时。
-
研究人员揭示供应链攻击可窃取本地 LLM 微调中的秘密
研究人员开发了一种新颖的方法,通过利用本地微调的大型语言模型(LLM)供应链代码中的漏洞来窃取敏感信息。该技术超越了被动权重投毒,实现了主动执行劫持,使模型能够记住并泄露特定的秘密,如 API 密钥或个人标识符。该攻击在窃取秘密方面实现了超过 98% 的准确率,同时不影响模型的首要功能,并能绕过 DP-SGD 和代码审计等常见防御措施。
-
MCP 服务器:新的 AI 工具带来了新颖的安全风险
模型上下文协议 (MCP) 是一个新兴的标准,用于 AI 代理与现实世界工具进行交互,但它引入了新的安全漏洞。传统的 MCP 服务器通常依赖 API 密钥,这些密钥可能被硬编码和泄露,而较新的 x402 基于支付的服务器则将风险转移到支付操纵等经济攻击上。随着 MCP 的采用不断增长,开发人员正在探索各种安全措施,包括直接嵌入服务器的库和强大的输入验证,以减轻这些风险。