PulseAugur
实时 11:35:18
实体 Common Vulnerabilities And Exposures

Common Vulnerabilities And Exposures

PulseAugur coverage of Common Vulnerabilities And Exposures — every cluster mentioning Common Vulnerabilities And Exposures across labs, papers, and developer communities, ranked by signal.

Show in brief
总计 · 30天
12
90 天内 25
发布 · 30天
0
90 天内 0
论文 · 30天
4
90 天内 7
层级分布 · 90 天
主题
情绪 · 30 天

7 天有情绪数据

最近 · 第 1/2 页 · 共 25 条
  1. TOOL · CL_136053 ·

    Anthropic 提出 AI 越狱严重性等级,以 CVE 为模型

    Anthropic 推出了一项名为“网络越狱严重性”(CJS)的新框架,旨在像 CVE 对软件漏洞进行分级一样,对 AI 越狱的危险性进行分类。该系统从 CJS-0(信息性)到 CJS-4(危急性)不等,根据能力提升、应用范围、武器化难易程度和可发现性来评估越狱。Anthropic 正在就此草案征求行业反馈,旨在标准化开发者和政府之间关于 AI 风险的沟通,并已启动 HackerOne 项目,供研究人员提交在其 Claude Fabl…

  2. RESEARCH · CL_133188 ·

    BERT 模型在网络安全研究中用于 CVE 到 CWE 映射的比较

    一篇新的研究论文探讨了不同 BERT 模型在将常见漏洞和暴露 (CVE) 映射到常见弱点枚举 (CWE) 类别方面的有效性。该研究使用 BERT Base、SecureBERT 和 CySecBERT 比较了多类别和多标签分类方法。结果表明,多类别训练通常能获得更高的宏观 F1 分数,尽管在标签空间较小时差距会缩小。研究还表明,CWE 分类法的结构对分类错误有显著影响,其影响程度超过了编码器的选择。

  3. TOOL · CL_130991 ·

    新的安全管道审计了8,764台MCP服务器,发现了漏洞

    为了解决针对MCP服务器提交的大量CVE问题,开发了一个名为Sentinel的新安全审计管道。该管道采用多层方法,包括静态分析、行为分析、带有对抗性输入的活动探测以及使用gVisor进行沙箱化,以在服务器上架前识别漏洞。对8,764台服务器的初步扫描发现了诸如泄露的环境变量、硬编码的API密钥以及未经授权的系统访问尝试等问题,目标是为MCP生态系统建立安全基线。

  4. COMMENTARY · CL_122049 ·

    AVE澄清:AI代理弱点分类类似CWE,而非CVE

    作者澄清,AVE(Agent Vulnerability Enumeration,代理漏洞枚举)更类似于CWE(Common Weakness Enumeration,通用弱点枚举),而不是CVE(Common Vulnerabilities and Exposures,通用漏洞披露)。与识别特定软件版本中具体缺陷的CVE不同,AVE记录描述的是AI代理弱点的行为类别,例如通过描述操纵进行的工具投毒。这一区别很重要,因为AVE处理的是…

  5. COMMENTARY · CL_108863 ·

    CISA维护网络安全漏洞的CVE列表

    美国网络安全和基础设施安全局(CISA)维护着一个名为通用漏洞披露(CVE)的标准化列表。该目录记录了在软件和硬件中发现的已公开披露的网络安全缺陷。

  6. COMMENTARY · CL_107068 ·

    AI 将零日漏洞利用时间缩短至 8 小时

    人工智能正在显著加速软件漏洞的利用,从 CVE 公布到实际利用的平均时间现已缩短至短短 8 小时。零日漏洞时钟追踪到的这一快速时间线,凸显了网络安全专业人士面临日益严峻的威胁态势。这一趋势表明需要更快的补丁和防御机制,以应对漏洞利用的开发和部署速度。

  7. TOOL · CL_113309 ·

    基于系统调用的HIDS泛化到未见过的CVEs结果喜忧参半

    研究人员探索了基于系统调用的主机入侵检测系统(HIDS)的泛化能力。他们研究了在特定通用漏洞披露(CVEs)的正常行为上训练的HIDS,这些CVEs共享同一通用弱点枚举(CWE)类别,是否能够检测同一类别中未见过的CVEs。研究发现,虽然CWE级别的泛化对于某些弱点家族是可行的,但并非普遍适用,并且很大程度上受到正常行为配置文件的广度影响,而不仅仅是CWE标签。

  8. TOOL · CL_82081 ·

    微软利用人工智能简化创纪录的周二补丁日安全更新

    微软的 6 月份周二补丁日更新解决了创纪录的 206 个 CVE 问题,人工智能在简化该过程方面发挥了作用。该公司正在利用人工智能来加强其安全漏洞管理,使传统上枯燥乏味的周二补丁日更加高效。

  9. TOOL · CL_77574 ·

    VLLM AI推理引擎存在36个未修复漏洞

    VLLM,一个开源AI推理引擎,存在大量漏洞,报告了36个CVE。其中14个被归类为关键或高危,一个最高CVSS评分为10。绝大多数(83%)漏洞仍未修复,构成相当大的安全风险。

  10. COMMENTARY · CL_63756 ·

    人工智能使漏洞发现工业化,给网络安全修复带来压力

    传统的网络安全方法侧重于识别和修复漏洞,但由于发现的缺陷数量庞大,这种方法正变得不可持续。人工智能正在加速漏洞的发现,其速度超过了修复能力,并凸显了像CVSS这样的评分系统的局限性。需要从仅仅计算漏洞数量转向证明和管理实际的业务风险,并考虑系统暴露和业务影响等因素。

  11. TOOL · CL_60196 ·

    开源软件饱受大量 CVE 披露之苦

    本周,多个开源软件项目披露了多项漏洞。这些披露凸显了影响开源生态系统各种组件的普遍性问题。这种情况强调了在广泛使用的软件中维护安全所面临的持续挑战。

  12. TOOL · CL_59718 ·

    Ubiquiti 修补关键漏洞;FreeBSD 获安全荣誉

    本周安全新闻重点是 Ubiquiti 发布公告,详细说明了针对六个安全漏洞的修复,其中两个被评为关键漏洞。另外,FreeBSD 因其强大的安全实践而获得认可,跻身拥有良好安全记录的操作系统之列。

  13. TOOL · CL_56905 ·

    关键的 7-Zip 漏洞可能导致数百万台机器的代码执行

    在广泛使用的开源文件归档实用程序 7-Zip 中发现了一个关键安全漏洞,其 CVE 评级为 8.8。此漏洞允许通过打开一个特制存档来执行任意代码,即使不解压其内容。该漏洞影响了包括 Windows 和 Linux 发行版在内的各种操作系统上的数亿台机器,并影响了许多集成 7-Zip 库的第三方应用程序。

  14. TOOL · CL_43246 ·

    提示工程指南详述从公告中提取结构化数据

    本教程详述了一种从非结构化文本中提取结构化数据的方法,特别关注网络安全公告。它概述了使用 OpenAI API、用于模式定义和验证的 Pydantic 以及用于重试逻辑的 `tenacity` 库的过程。该指南涵盖了系统提示设计、少样本示例以及处理歧义字段,以可靠地将 CVE ID、受影响的产品和修复步骤等信息解析为 JSON 格式。

  15. TOOL · CL_39237 ·

    AI 工具 MOAK 可自主利用新的安全漏洞

    MOAK,又称 Mother of All KEVs,是一款新推出的、由 AI 驱动的工具,旨在快速利用新发现的安全漏洞。这款代理工作流能够在其一经发布就自主识别并利用 CVE,从而为安全专业人士提供对潜在 AI 驱动的利用风险的即时洞察。

  16. TOOL · CL_27457 ·

    AI 安全工具可能从训练数据中产生虚假的漏洞

    用于 AI 辅助漏洞发现的大型语言模型可能会将其训练数据中的信息错误地呈现为新发现。这是因为大型语言模型无法区分回忆已知漏洞的信息和推理新代码。为了解决这个问题,研究人员提出了一种验证工作流程,该流程包括将 AI 生成的发现与 NVD 等公共数据库进行核对,并检查代码的 Git 历史记录,以确定该漏洞是否曾被披露或修补。

  17. RESEARCH · CL_23901 ·

    Mythos AI模型“发现”的漏洞已存在于训练数据中

    AI模型Mythos“发现”了一个FreeBSD漏洞,该漏洞实际上已存在于其训练数据中。这种情况引发了对基于海量数据集训练的AI模型的可靠性和安全性的担忧,因为它们可能会无意中复制或未能识别现有的安全缺陷。该事件凸显了确保AI系统不会通过其训练过程传播漏洞或制造新风险的持续挑战。

  18. TOOL · CL_23321 ·

    CyberSecQwen-4B:小型专业化模型为网络安全提供本地防御

    一款名为 CyberSecQwen-4B 的新型专业化语言模型已被开发用于防御性网络安全任务。该模型设计小巧,可本地运行,并在无需外部 API 的情况下处理敏感数据,解决了大型通用前沿模型存在的局限性。它在 CWE 分类和 CVE-to-CWE 映射等任务中表现出色,在需要更少资源的情况下优于一个更大的模型。

  19. COMMENTARY · CL_22586 ·

    安全工程师警告Claude.md需要的不止Karpathy的四行代码

    一位安全工程师讨论了Karpathy的四行代码在提高AI模型正确性方面的局限性,并指出这些代码并未解决安全漏洞。作者指出,尽管一年来一直存在针对CVE和泄露源代码的提示注入攻击,但焦点仍然是正确性而非安全性。

  20. RESEARCH · CL_20523 ·

    AI代理重构Linux和Windows二进制文件中的漏洞

    研究人员开发了用于软件二进制文件漏洞发现的代理管道。Patch2Vuln专注于Linux发行版二进制补丁,在半数测试案例中成功识别了安全相关函数。SLYP专为Windows COM二进制文件设计,在查找竞态条件漏洞和生成概念验证代码方面表现出色,发现了28个新漏洞,并分配了16个CVE。