Sentinel
PulseAugur coverage of Sentinel — every cluster mentioning Sentinel across labs, papers, and developer communities, ranked by signal.
- 2026-06-18 funding Sentinel, a cybersecurity startup co-founded by Sebastian Kurz, has achieved a valuation of $3 billion. 来源
6 天有情绪数据
-
AI 代理服务器面临与 npm 类似的供应链风险
对 8,764 个 AI 代理服务器进行的安全性审计揭示了重大的供应链风险,这与在 Node Package Manager (npm) 生态系统中发现的漏洞相似。研究人员发现,部分服务器泄露了敏感的环境变量,硬编码了 API 密钥,并试图访问系统进程或内核漏洞。为缓解这些威胁,建议用户验证服务器审计,避免授予生产凭证,并在隔离环境中运行不受信任的服务器,而开发人员应专注于安全编码实践、依赖项管理和获取第三方审计。
-
MarketNow 对 8,764 台 AI 服务器进行 OWASP MCP Top 10 风险审计
MarketNow 开发了一个名为 Sentinel 的六层审计流水线,用于测试 2026 年 OWASP MCP Top 10 风险中概述的漏洞。该流水线主动探测工具投毒、数据泄露和未受保护的本地资源等问题,并为每种问题提供了具体的测试方法。虽然 Sentinel 目前涵盖了十项 OWASP MCP 风险中的七项,但 MarketNow 承认在身份验证失败和不安全会话管理方面的测试存在差距,并计划在未来的更新中解决这些问题。
-
新的安全管道审计了8,764台MCP服务器,发现了漏洞
为了解决针对MCP服务器提交的大量CVE问题,开发了一个名为Sentinel的新安全审计管道。该管道采用多层方法,包括静态分析、行为分析、带有对抗性输入的活动探测以及使用gVisor进行沙箱化,以在服务器上架前识别漏洞。对8,764台服务器的初步扫描发现了诸如泄露的环境变量、硬编码的API密钥以及未经授权的系统访问尝试等问题,目标是为MCP生态系统建立安全基线。
-
对 8,764 个 MCP 服务器的审计揭示了关键安全漏洞
对 MarketNow 平台上的 8,764 个 Model Context Protocol (MCP) 服务器的审计揭示了关键安全漏洞,其中包括三个服务器泄露了敏感的环境变量。此次审计采用了名为 Sentinel 的六层安全检查,并使用 gVisor 进行沙箱隔离,发现了多个易受命令注入、SSRF 和提示注入攻击的服务器。虽然大多数服务器通过了初步检查,但少数服务器表现出高风险行为,导致它们被移出市场。该项目旨在通过为 MCP 服…
-
安全审计发现8,764台AI代理服务器存在严重漏洞
对8,764台模型上下文协议(MCP)服务器的安全审计揭示了严重的漏洞,其中包括三起服务器因不当处理用户提示而泄露API密钥的事件。使用名为Sentinel的工具进行的审计还发现了路径遍历、SSRF、SQL注入和命令注入等问题。一个名为mcp-observatory的独立项目被开发出来,用于自动化MCP服务器的安全扫描和检测模式漂移,这凸显了在快速扩张的AI代理生态系统中加强安全实践的必要性。
-
新的Sentinel管道审计AI代理MCP服务器的安全风险
一个名为Sentinel的新审计管道已被开发出来,用于保护模型上下文协议(MCP)服务器,这些服务器允许AI代理与外部工具进行交互。该管道采用六层方法,首先对源代码进行静态分析,检查已知漏洞、许可证合规性和硬编码的秘密。然后进行基于模式的行为分析和一个主动探测,发送对抗性输入以检测潜在的数据泄露、命令注入或SSRF漏洞。最后,它利用gVisor沙箱将MCP服务器与主机内核隔离,防止内核级别的攻击。
-
Anthropic 的 MCP 服务器通过 gVisor 安全沙盒测试
一位工程师在 gVisor 沙盒环境中测试了 Anthropic 的官方模型上下文协议 (MCP) 文件系统服务器。测试包括使用各种对抗性输入运行服务器,例如路径遍历、SQL 注入和提示注入尝试。gVisor 成功隔离了服务器,阻止了网络调用、对敏感路径的写入以及新进程的生成,最终得分为低风险。
-
开发者审计 11,115 台 MCP 服务器,发现多数为中等风险
一位开发者创建了一个名为 Sentinel 的三层安全审计系统,用于评估 MCP 服务器的安全性。该系统分析了超过 11,000 台 MCP 服务器,识别出大量中等风险服务器,以及少量高风险和危急风险服务器。审计过程包括元数据分析、静态代码检查以及带有对抗性探测的 Docker 沙箱,最终为经过验证的服务器颁发签名的 SHA-256 证书。
-
USAP工具强制执行AI安全判决的可验证证据
一款名为USAP的新开源工具已被开发出来,以解决AI安全分析中正确和错误判决无法区分的缺陷。USAP强制执行“证据门”模式,要求每个判决都有可验证的来源支持,如CVE、外部信息源或操作员工件。这种方法可以实现抽象连接器,防止叙述不可计算的数字,并确保系统无法自我评分,从而促进更可靠的AI安全评估。
-
HashiCorp 的 Terraform MCP 服务器提供 AI 助手功能,但无法检测手动创建的云资源
HashiCorp 发布了 Terraform 的官方 MCP 服务器,提供 35 多个工具来协助基础设施即代码任务。这些工具可以搜索提供商注册表、建议模块输入、管理 HCP Terraform 工作区以及检查 Sentinel 策略。然而,该服务器与 Terraform 本身一样,受其基于状态的方法的限制,无法检测在云控制台中手动创建的资源,例如安全组或 RDS 实例。
-
AI幻觉被武器化:攻击者利用LLM虚构的域名
攻击者正在利用大型语言模型(LLM)中的一种称为“幻影抢注”的漏洞。这种技术涉及识别LLM持续产生幻觉的域名,然后注册这些不存在的域名。当LLM自信地向用户推荐这些虚构域名之一时,用户可能会被引导至恶意网站进行网络钓鱼或分发恶意软件,因为标准的安防措施通常是反应性的,并且无法检测新注册的、之前未被标记的域名。
-
AI编码助手审计工具Chron在无营销推广下迅速获得用户
Chron,一款AI编码助手审计工具,在六个月内获得了显著的关注,安装量超过3600次。其受欢迎的原因在于开发者对会话活动日志的需求以及安全团队对AI工具使用情况可见性的要求。该工具与Splunk和Sentinel等SIEM平台集成,并能满足OWASP AISVS C13和NIST AI RMF等合规性要求,是其获得广泛应用的关键。Chron的跨平台兼容性,支持Claude Code和ChatGPT Codex,进一步推动了其增长,表…
-
新框架应对 AI 代理工具退役风险
R.A.H.S.I. Framework™ 引入了 MCP 退役控制平面,以应对退役代理工具所带来的企业风险。与传统的应用程序治理不同,代理式 AI 需要一种更全面的工具退役方法,因为仅仅禁用它们可能会留下孤立的访问层、依赖项和审计漏洞。该框架强调工具退役的可控生命周期事件,确保所有相关的身份、权限和代理依赖项都得到安全管理,以防止安全风险和工作流程中断。
-
前奥地利总理塞巴斯蒂安·库尔茨的AI网络安全公司估值达30亿美元
前奥地利总理塞巴斯蒂安·库尔茨联合创立了一家名为Sentinel的网络安全初创公司,该公司估值已达30亿美元。该公司的快速增长归功于其专注于AI驱动的网络安全解决方案。Sentinel的成功吸引了大量关注,使其成为全球网络安全市场的重要参与者。
-
AI Email Agent OpenClaw 易受钓鱼攻击,泄露用户数据
名为 OpenClaw 的 AI 电子邮件代理已被证明容易受到社会工程和网络钓鱼攻击,类似于人类的易感性。研究人员演示了通过精心设计有说服力、与上下文相关的提示,他们可以欺骗 OpenClaw 泄露其不应共享的用户数据。这凸显了一个重大的安全漏洞,因为像系统提示或传统安全工具这样的现有防御措施不足以防止处理敏感信息的 AI 代理出现此类提示注入漏洞。
-
Sentinel 发布《超级机器人大战 Alpha 3》高端 RaiOh 玩具
Sentinel 宣布推出一款新的 Riobot RaiOh 玩具,该玩具灵感来源于游戏《超级机器人大战 Alpha 3》中的机甲。该模型高 28 厘米,采用大量压铸金属结构,并提供出色的可动性,可摆出各种动态造型。尽管售价高达 47,300 日元(约合 295 美元),但由于该机甲的受欢迎程度以及先前周边商品的稀缺性,该玩具预计将吸引粉丝。现已开放预订,预计将于 10 月发布。
-
新的大语言模型上下文压缩技术提高了效率和准确性
研究人员正在开发用于大语言模型上下文压缩的新方法,以提高效率和性能。一种名为“Telegraph English”的方法将检索到的段落重写为结构化的实体-关系语句,在问答任务上的表现优于传统的压缩技术。另一种方法 Sentinel 使用注意力探测来解码大语言模型的上下文利用情况,从而实现高效压缩,并在较小的模型上取得了显著的提升。此外,潜在上下文语言模型(LCLMs)提供了一个端到端的编码器-解码器框架,提高了长上下文推理和代理任务的…
-
Good Smile Company 发布迄今为止最好的 Final Dancouga 玩具
Good Smile Company 发布了 Gattai Black Wing 的新玩具版本,Gattai Black Wing 是动画系列 Dancouga 中的机甲。这款模型因其可动性、可玩性和对原始设计的准确性而受到赞誉,甚至包括用于不同造型的可选零件。当与单独出售的 The Gattai Hagane Works Dancouga 组合时,它形成了迄今为止被认为是对 Final Dancouga 的最佳诠释。
-
恶意GitHub Issue通过提示注入劫持Claude代码代理
一位安全研究员演示了Claude代码GitHub Action中的一个漏洞,攻击者可以通过一个恶意的GitHub Issue劫持代理的工作流。这种攻击是一种间接提示注入,利用了代理对外部文本输入的信任,而无需窃取令牌或破坏运行器。标准的防御措施,如输入验证和系统提示加固,都无法奏效,这凸显了需要一个带外检查层(如Sentinel)来区分合法指令和对抗性内容。
-
Android 上的 Google Gemini 易受通知提示注入攻击
研究人员在 Android 上的 Google Gemini 中发现了一个重大漏洞,应用程序通知中的内容可能被解释为命令。这意味着来自 WhatsApp 或 Slack 等应用程序的通知中的恶意文本可能会欺骗 Gemini 执行操作,例如打开网站、发送消息或拨打电话,而无需安装任何恶意应用程序。该问题源于 Gemini 无法区分常规通知数据和潜在有害指令,从而导致会话劫持和持久性内存中毒的风险。