Trivy
PulseAugur coverage of Trivy — every cluster mentioning Trivy across labs, papers, and developer communities, ranked by signal.
2 天有情绪数据
-
AI幻觉产生新的“HalluSquatting”攻击向量
研究人员发现了一种名为“HalluSquatting”的新攻击向量,该向量利用大型语言模型(LLM)产生不存在的软件依赖项的倾向。这种漏洞使攻击者能够注册LLM可能编造名称的恶意软件包,从而诱骗AI代理下载和执行有害代码。研究表明,这种幻觉的发生率可能很高,影响几乎所有经过测试的模型和应用程序,并对传统网络安全措施提出了重大挑战。
-
AI 工作流使用 Claude、Trivy 和 GitLab 进行安全修复
本文详细介绍了如何构建一个由 AI 驱动的安全修复工作流。它概述了一个集成 Claude、Trivy 和 GitLab 以自动识别和修复安全漏洞的流程。该工作流旨在通过利用 AI 进行分析和修复来简化安全补丁流程。
-
GitHub Actions 安全工具因可变标签漏洞被攻破
一个名为“TeamPCP”的恶意行为者于 2026 年 3 月 19 日至 3 月 24 日期间,通过强制推送其 GitHub Actions 仓库上的可变标签,攻破了 Trivy 和 KICS 等流行的安全工具。这使得攻击者能够将恶意代码注入到未固定到特定提交 SHA 的 CI 管道中,从而导致敏感数据(如密钥、SSH 密钥和云凭证)被窃取。为缓解此风险,建议用户将 GitHub Actions 固定到不可变的提交 SHA,审核其工…
-
Trellix 源代码泄露暴露供应链和 CI/CD 弱点
安全供应商 Trellix 已确认发生泄露事件,攻击者访问了其部分源代码,这暴露了软件供应链中的系统性弱点。此事件以及 Checkmarx 和 ADT 等公司的类似泄露事件表明,攻击者正在通过破坏身份系统和 CI/CD 管道来获取敏感代码和数据的模式。从安全公司窃取源代码尤其令人担忧,因为它为攻击者提供了规避检测逻辑和利用安全产品漏洞的蓝图,可能影响其数千名客户。
-
Kstack 提供 AI 驱动的 Kubernetes 监控和故障排除技能
Kstack 是一个专为 Claude Code 等 AI 代理设计的新技能包,旨在增强 Kubernetes 集群的监控和故障排除能力。它与 kubectl 和 Helm 等现有工具集成,并利用 AI 进行根本原因分析和日志提取。该技能包提供了集群状态、安全审计、网络检查和成本分析等命令,为用户提供了一种更智能、更高效的方式来管理其 Kubernetes 环境。
-
Vect 的勒索软件是数据擦除器,导致受害者数据无法恢复
网络安全研究人员发现,自今年一月以来一直针对多家组织的 Vect 组织使用的勒索软件实际上是一种数据擦除器。该恶意软件会永久销毁大于 128KB 的文件,即使对攻击者来说也无法完全恢复数据。该组织与涉及 Trivy 和 LiteLLM 的供应链攻击有关,其勒索软件即服务产品被描述为技术上不成熟且存在多个实现缺陷。
-
新的npm蠕虫窃取AI开发秘密,并传播到其他软件包
一个与之前归因于TeamPCP的攻击相似的新供应链蠕虫正在通过受感染的npm软件包传播。这种恶意软件通过窃取API密钥和加密货币钱包数据等敏感信息来针对开发人员。该蠕虫旨在自我传播,感染其他软件包,并可能传播到PyPI等其他存储库。