AI代理开发工具“Langflow”未经授权代码执行漏洞,被美国CISA监测到已经有大量服务器被getshell
美国网络安全与基础设施安全局(CISA)认识到该漏洞(CVE-2026-33017)的严重性,并立即将其列入“已知被利用漏洞”(KEVs)名单。该漏洞属于极高风险群体,CVSS评分为9.8,是一个结构性漏洞,允许未经过认证过程的外部攻击者注入任意Python代码,远程控制系统。根据云安全公司Sysdig的分析,黑客在漏洞首次于17日首次披露 ...
Claude Code 的源代码意外泄露在 NPM 包中
Anthropic 公司表示,他们不小心泄露了闭源软件 Claude Code 的源代码,但该公司表示,没有客户数据或凭证泄露。尽管 Anthropic 承诺支持开源社区,但 Claude Code 一直保持闭源状态,至少在今天之前是这样,直到今天一次更新意外地包含了内部源代码。Anthropic 在给 BleepingComputer 的一份声明中证实了泄露事件,并表示 ...
CareCloud数据泄露:黑客访问IT基础设施并窃取患者数据
一家知名医疗技术提供商正式披露了一起重大网络安全事件,其IT基础设施遭到未授权访问。一名未授权行为者入侵了该公司的一个电子健康记录系统,引发了对敏感患者数据可能泄露的担忧。该安全事件最初发生在2026年3月16日。此次入侵导致网络暂时中断,主要针对CareCloud Health部门。此次网络攻击部分影响了公司六个EHR环境之 ...
实在没忍住笑出声:小米新推出的输入法工具直接暴露AI模型密钥
小米 MiClaw 团队日前推出新的系统输入法,不过负责开发输入法的工程师可能要面临低绩效考评了,因为输入法里直接暴露小米调用的 API 平台令牌。NS 网友经过测试发现只需要疯狂点击输入法的版本号即可打开调试页面,在调试页面里小米已经写好 API 调用地址、模型提供商、API KEY、模型名称、提示词等。从提示词来看这个输入 ...
紧急安全提醒:OpenClaw也受Axios供应链投毒影响 请用户立即检查
前文蓝点网提到知名 HTTP 客户端库 Axios 遭到黑客攻击,黑客通过未知方式劫持开发者在 NPM 平台的账号,随后发布恶意版本用来安装远程访问木马。黑客的操作方法是修改 Axios 库隐秘增加新的依赖库,新增的这个依赖库则是黑客创建的恶意组件,因此用户在执行 NPM 安装或更新操作时都可能被自动安装这个恶意库。OpenClaw AI ...
黑客在PyPI上后门化Telnyx Python SDK 以窃取云和开发凭证
一个广泛使用的Python软件包被悄然武器化,而大多数遭遇攻击的开发者对此毫不知情。2026年3月27日,一个名为TeamPCP的威胁行为者向PyPI(Python开发者下载软件包的主要仓库)上传了两个恶意的Telnyx Python SDK版本。被入侵的版本4.87.1和4.87.2在PyPI介入并将其隔离前,大约存活了四个小时。在那短短的时间窗口内,任何运 ...
最近略微有点无聊,记事狗的东东还有以后我发文章的规范
今天下午突然觉得没神马好的资料学习了所以就略微说一下php代码审计我知道很多人都在玩,所以写一个略微吐槽的东西RIPS Notepad++ 插件 和 xdebug 还有那个Code V4 And more php黑盒想必都是现在 进阶或入门阶段的主流工具而现在直接利用的基本很少了 很多都是隐藏较深的二阶利用表面上首先会用静态软件扫所有的代码 但是那些引擎非常有局限性 V4的还好但是免费版限制1w行代码 然后丢到黑 ...
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2026 T00ls All Rights Reserved.