Trail of Bits
PulseAugur coverage of Trail of Bits — every cluster mentioning Trail of Bits across labs, papers, and developer communities, ranked by signal.
6 天有情绪数据
-
新的安全管道审计了8,764台MCP服务器,发现了漏洞
为了解决针对MCP服务器提交的大量CVE问题,开发了一个名为Sentinel的新安全审计管道。该管道采用多层方法,包括静态分析、行为分析、带有对抗性输入的活动探测以及使用gVisor进行沙箱化,以在服务器上架前识别漏洞。对8,764台服务器的初步扫描发现了诸如泄露的环境变量、硬编码的API密钥以及未经授权的系统访问尝试等问题,目标是为MCP生态系统建立安全基线。
-
对 8,764 个 MCP 服务器的审计揭示了关键安全漏洞
对 MarketNow 平台上的 8,764 个 Model Context Protocol (MCP) 服务器的审计揭示了关键安全漏洞,其中包括三个服务器泄露了敏感的环境变量。此次审计采用了名为 Sentinel 的六层安全检查,并使用 gVisor 进行沙箱隔离,发现了多个易受命令注入、SSRF 和提示注入攻击的服务器。虽然大多数服务器通过了初步检查,但少数服务器表现出高风险行为,导致它们被移出市场。该项目旨在通过为 MCP 服…
-
安全审计发现8,764台AI代理服务器存在严重漏洞
对8,764台模型上下文协议(MCP)服务器的安全审计揭示了严重的漏洞,其中包括三起服务器因不当处理用户提示而泄露API密钥的事件。使用名为Sentinel的工具进行的审计还发现了路径遍历、SSRF、SQL注入和命令注入等问题。一个名为mcp-observatory的独立项目被开发出来,用于自动化MCP服务器的安全扫描和检测模式漂移,这凸显了在快速扩张的AI代理生态系统中加强安全实践的必要性。
-
MarketNow披露其AI代理支付平台发现的关键安全漏洞
MarketNow 是一个使用 Base 区块链上的 USD Coin 进行 AI 代理技能支付的平台,已公开披露了其近期安全审计的结果。审计发现了四个关键漏洞,包括授权支出、交易哈希重放、金额不匹配和被盗交易赎回等问题,这些问题均已修复。该公司还详细介绍了已解决的五个高危和七个中危发现,以及正在进行的待办事项,例如独立的第三方审计和全局速率限制器。
-
OpenAI 与 Trail of Bits 合作推出 Patch the Planet 计划
OpenAI 与 Trail of Bits 合作启动了一项名为 Patch the Planet 的计划。该计划旨在帮助开源项目的维护者识别和修复安全漏洞。目标是减轻维护者目前因大量错误报告而不堪重负的工作负担。
-
OpenAI 推出 Patch the Planet 以保护开源软件
OpenAI 推出了其 Daybreak 网络安全计划下的新计划“Patch the Planet”,旨在加强开源项目的安全性。该计划将安全研究人员与开源维护者合作,利用 OpenAI 的先进模型(如 Codex Security 和 GPT-5.5-Cyber)来识别、分类和修复漏洞。此举旨在通过简化 bug 查找和修复过程来减轻维护者的负担,首批工作已在多个知名开源项目中识别出数百个 bug。
-
OpenAI 发布 GPT-5.5-Cyber 和 Daybreak 以实现自动化安全补丁 · 跟踪 8 个来源
OpenAI 推出了一项名为 Daybreak 的新网络安全计划,其中包括其最先进的网络模型 GPT-5.5-Cyber。该计划旨在通过“Patch the Planet”和“Cyber Partner Program”等项目,自动化软件漏洞的补丁,尤其是在开源项目中。GPT-5.5-Cyber 将提供给经过验证的安全专业人员和合作伙伴,使他们能够更有效地跟踪代码、验证问题和开发补丁。
-
OpenAI 推出“Patch the Planet”以保障开源软件安全
OpenAI 启动了“Patch the Planet”项目,旨在提高开源软件的安全性。该项目与 Trail of Bits、HackerOne 和 Calif. 合作,为开源维护者提供免费的安全咨询,帮助他们发现和修复漏洞、加固代码并集成 AI 安全工具。此举部分是为了应对日益增长的 AI 驱动的漏洞挖掘工具所带来的威胁,这些工具可能会用低质量的报告淹没维护者。OpenAI 还在增强其专注于安全的模型 GPT-5.5-Cyber,并…
-
Claude通过MCP中的恶意工具描述被利用
一位安全研究人员发现了一个漏洞,该漏洞存在于Claude等AI模型在MCP(模型通信协议)框架内处理工具描述的方式。通过在工具描述中嵌入恶意指令,研究人员欺骗Claude在未经用户明确许可的情况下尝试访问敏感文件,如`~/.ssh/config`。这次利用被Trail of Bits称为“行跳转”,它将工具描述视为系统提示的一部分,从而绕过了标准的安全性提示,允许攻击者在用户进行任何交互之前注入命令。
-
Safetensors 库经安全审计,将成为机器学习模型的默认格式
由 Hugging Face 与 EleutherAI 和 Stability AI 合作开发的 safetensors 库已通过 Trail of Bits 的安全审计,确认其安全性。此次审计使这些组织能够朝着使 safetensors 成为保存和加载机器学习模型的默认格式迈进,取代 PyTorch 使用的不太安全的 pickle 格式。该库具有加载速度更快和延迟加载等优势,现在将在 transformers 库中默认安装。