#vulnerability

Lovable left projects exposed for 48 days

微软发布安全公告，披露 .NET 10.0.6 中 DataProtection 组件存在一个关键安全漏洞，可能允许攻击者绕过数据保护机制，建议用户立即更新到最新版本。

研究人员发现Spinnaker平台存在两个CVSS评分为10.0的严重漏洞，攻击者可通过这些漏洞实现远程代码执行并直接访问生产环境，对企业持续交付流水线构成重大威胁。

讨论LLM推理层被入侵的风险，攻击者可能注入命令让AI代理/工具执行。大量非专业用户让LLM决定在电脑上运行什么命令，虽然有些工具提供沙箱保护，但许多用户直接使用Codex或Claude Code等工具，甚至跳过权限检查。攻击一旦成功会带来什么后果？当前有哪些防护措施？

微软Azure SRE Agent中的一个安全漏洞允许未经身份验证的攻击者远程访问企业云操作，可能导致敏感信息泄露和系统控制权被窃取。

本文探讨了在终端模拟器中通过拖放文件路径实现命令执行的技术，展示了如何利用这一特性快速处理文件，同时提醒用户注意潜在的安全风险。

This paper introduces a novel statistical model to analyze the temporal patterns of vulnerability sightings, which are often sparse and bursty in nature. The model helps security researchers better understand vulnerability discovery dynamics and improve risk assessment.

本文揭示了Backblaze云存储服务存在的账户接管漏洞，攻击者可通过特定技术手段获取用户账户控制权，从而访问其备份数据。该安全漏洞对用户隐私和数据安全构成严重威胁。

氛围编程新秀Lovable否认数据泄露，并将责任归咎于漏洞赏金平台HackerOne。该公司声称其系统安全，所谓的泄露数据来自HackerOne的漏洞报告。

本文揭示了如何利用IPv6庞大的地址空间和巧妙的Botguard绕过技术，使得每个谷歌用户的电话号码都面临泄露风险。从速率限制到无限制，这一安全漏洞暴露了大规模用户数据保护的挑战。

本文揭示了作者通过运行不受信任代码，在Replit克隆版中获得完全管理员权限的过程，强调了运行不可信代码的安全风险。

本文探讨了如何通过卸下伪装面具，让个人改变产生涟漪效应，不仅影响个体，还能改变整个社区。当人们展现真实自我时，这种坦诚会向外扩散，创造更深层次的人际连接和集体转变。

作者在《kill switch》播客节目中讨论了ICEBlock应用为何是"行动主义表演"，以及开发者如何以最糟糕的方式处理他的漏洞报告，同时还谈及特朗普应用的审查问题。

OpenClaw 存在安全漏洞，暴露了将漏洞作为服务提供的风险，提醒开发者需要加强安全防护措施。

本文揭示了一个可能成为全球最大数据泄露事件的攻击链：通过Google服务漏洞，只需1万美元即可获取任何YouTube频道的关联邮箱地址，暴露了严重的安全隐患。

Idle扫描技术诞生于1998年底，作者在开发Hping工具时发现IP包ID字段的递增规律，结合TCP/IP协议特性构思出这种无需直接暴露源地址的端口扫描方法。尽管最初发布时邮件表述不够专业，但这一技术最终成为网络安全领域的经典攻击手段。