PulseAugur
实时 10:09:28
实体 Semgrep

Semgrep

PulseAugur coverage of Semgrep — every cluster mentioning Semgrep across labs, papers, and developer communities, ranked by signal.

Show in brief
总计 · 30天
12
90 天内 12
发布 · 30天
0
90 天内 0
论文 · 30天
2
90 天内 2
层级分布 · 90 天
主题
情绪 · 30 天

6 天有情绪数据

最近 · 第 1/1 页 · 共 12 条
  1. COMMENTARY · CL_135504 ·

    GLM-5.2 因开源可访问性引发网络安全担忧

    开源AI模型GLM-5.2因其可访问性和缺乏中间供应商而引发网络安全担忧。安全公司已注意到其在识别软件错误和执行网络安全任务方面的熟练程度,这可能被恶意行为者利用来绕过防御。这导致了关于潜在的危言耸听以及对AI审查制度影响的讨论。

  2. TOOL · CL_129976 ·

    AI Agent 基础设施充斥着严重安全漏洞

    对 50 个流行的模型上下文协议 (MCP) 服务器进行的安全性审计发现,其中 40 个存在严重漏洞。问题包括编排工具中的命令注入、C 项目中的内存安全错误、TypeScript 服务器中的路径遍历以及身份验证绕过。此次审计使用 Semgrep 和 LLM 分析进行,揭示了许多 MCP 服务器,特别是那些拥有超过 100 颗星的服务器,缺乏基本的安全实践,对 AI Agent 基础设施构成重大风险。

  3. TOOL · CL_122613 ·

    为暴露 LLM MCP 服务器提出的安全检查清单

    将机器完成协议 (MCP) 服务器暴露给大型语言模型 (LLM) 会带来重大的安全风险,因为它们能够与现实世界系统进行交互。提出了一份六点安全检查清单,涵盖身份验证、工具描述验证、输入清理、跨域资源共享 (CORS) 配置、OAuth 范围限制以及带有错误泄露防护的速率限制。作者使用 Semgrep 规则和 Docker 沙箱开发了自动化检查,以测试路径遍历、SQL 注入和提示注入等漏洞,并强调仅靠静态分析是不够的,运行时沙箱至关重要。

  4. RESEARCH · CL_114695 ·

    Semgrep 的 GLM-5.2 在网络安全基准测试中表现优于 Claude

    Semgrep 发布了基准测试结果,表明其 GLM-5.2 模型在网络安全相关任务中优于 Anthropic 的 Claude。这次比较被定性为“Mythos at Home”,突显了 GLM-5.2 在该专业领域的能力。这表明竞争格局正在发生变化,即使是专业模型也能在特定基准测试中挑战现有领导者。

  5. TOOL · CL_110797 ·

    中国GLM-5.2人工智能模型降低了高级网络攻击的门槛

    中国新开源的人工智能模型GLM-5.2,引发了安全研究人员对日益增长的高级人工智能黑客能力可及性的担忧。据报道,由Z.ai发布的GLM-5.2在代理能力上可与Claude Opus 4.8和OpenAI的GPT-5.5等模型相媲美,但运营成本却显著降低。安全评估表明,GLM-5.2在网络安全基准测试上的表现与领先的美国模型相当,一些研究人员推测它可能是对现有美国模型未经授权的蒸馏。GLM-5.2的开放权重特性允许用户移除安全控制,使得…

  6. TOOL · CL_105586 ·

    开发者代码安全工具在其自身依赖项中发现关键漏洞

    一位正在构建名为 vibeanalyzer 的代码安全分析器的开发者使用 Semgrep 在其自己的工具依赖项中发现了一个关键漏洞。该漏洞是 vitest 依赖项中的一个路径遍历漏洞,如果 UI 服务器正在运行,则可能允许未经授权的文件访问。此事件凸显了软件供应链的风险,即使是专注于安全的工具也可能因其依赖项而受到损害,这对依赖 AI 生成代码的开发者构成了重大挑战。

  7. RESEARCH · CL_72013 ·

    大型语言模型在代码安全审查中优于静态分析工具

    一项近期基准测试将传统的静态分析工具与用于应用程序代码安全审查的大型语言模型进行了比较,结果显示,像GPT-4.1、Mistral Large和DeepSeek V3这样的大型语言模型在检测漏洞方面,显著优于SonarQube和CodeQL等工具。然而,大型语言模型在精度方面存在不足,会标记出许多不存在的问题,而静态分析工具虽然精度更高,但会遗漏更多漏洞。文章概述了将人工智能集成到安全审查流程中的三种不同方法:基于聊天的模型、基于代理…

  8. TOOL · CL_68773 ·

    Semgrep 发布 Pyro Caml,OCaml 的首个持续性能分析器

    Semgrep 发布了 Pyro Caml,一款面向 OCaml 编程语言的新型持续性能分析工具。该工具旨在生产环境中运行,持续监控程序性能并将数据发送到中央位置。Pyro Caml 的开发源于 Semgrep 对此类工具的需求,以便在不直接访问用户代码的情况下分析代码性能,尤其是在其 gVisor 沙盒环境中。

  9. TOOL · CL_10864 ·

    Shai-Hulud 恶意软件感染 PyTorch Lightning AI 训练库

    供应链攻击已导致 PyTorch Lightning AI 训练库(版本 2.6.2 和 2.6.3)受到损害。该恶意代码以《沙丘》中的“Shai-Hulud”为主题,导入后会自动执行,窃取凭证、身份验证令牌和云密钥。此次攻击还试图污染 GitHub 存储库,并通过将恶意代码注入其他包的方式在 npm 生态系统中传播。

  10. TOOL · CL_47705 ·

    Replit 发布 AI 安全代理以审计代码漏洞

    Replit 推出了新的 AI 驱动的安全代理,旨在开发过程中自动扫描应用程序的漏洞。该代理通过分析代码、构建威胁模型并识别 SQL 注入和跨站脚本等问题,旨在将全面的安全审查时间从几周缩短到不到一小时。它采用了混合方法,将 LLM 与 Semgrep 和 HoundDog.ai 等工具相结合,甚至可以帮助过滤掉传统静态分析工具的误报。

  11. TOOL · CL_47703 ·

    Replit 通过纵深防御策略加强 AI 编码安全性

    Replit 正在加强其平台的安全性,以解决对 AI 生成代码的担忧,他们称之为“氛围编码”。该公司正在其基础设施中实施纵深防御策略,从开发沙箱到生产部署。关键安全功能包括零信任架构、使用 microVM 的隔离云沙箱以提高隔离性,以及内置工具,如 Replit Auth、使用 Semgrep 进行的预部署安全扫描以及受保护的 Secrets 管理器,以防止敏感凭证意外泄露。

  12. TOOL · CL_17593 ·

    DeepSource 开源 Globstar 静态分析工具包,支持 AI 辅助检查

    DeepSource 已开源 Globstar,这是一个用于创建自定义代码质量和安全检查器的静态分析工具包。该工具包利用 tree-sitter 解析代码,并利用 ChatGPT 和 Claude 等 AI 助手生成复杂查询,从而简化了开发人员的流程。Globstar 提供 YAML 和 Go 接口,支持超过 20 种语言,并计划添加 C/C++ 支持。