OpenHands ZombAI Exploit: Prompt Injection To Remote Code Execution 文章揭示了AI代理OpenHands存在严重安全漏洞，易受提示注入攻击影响。攻击者可通过恶意网站或GitHub问题等途径注入恶意代码，导致系统被完全控制并加入攻击者指挥服务器。建议用户运行时使用沙盒环境、限制网络访问以降低风险。... 2025-8-10 11:20:35 | 阅读: 15 | 收藏 | 0day Fans - embracethered.com openhands injection network agents zombai

OpenHands and the Lethal Trifecta: How Prompt Injection Can Leak Access Tokens 文章描述了OpenHands AI工具中的零点击数据外泄漏洞，攻击者通过提示注入技术绕过模型的安全限制，窃取GitHub令牌等敏感信息。尽管厂商未及时修复漏洞，但最终公开披露并建议限制加载可信域的图片以缓解风险。... 2025-8-9 10:0:8 | 阅读: 19 | 收藏 | 0day Fans - embracethered.com security github injection openhands agentic

AI Kill Chain in Action: Devin AI Exposes Ports to the Internet with Prompt Injection Devin AI系统中隐藏的工具可将本地端口暴露至互联网，可能被攻击者利用间接提示注入攻击暴露敏感信息或创建后门访问。该工具允许Devin在开发或测试中将本地服务公开，但存在安全风险。攻击者可通过多阶段注入控制Devin创建Web服务器并暴露文件系统。漏洞已报告但未修复。... 2025-8-8 07:3:35 | 阅读: 12 | 收藏 | 0day Fans - embracethered.com devin injection stage exposing malicious

How Devin AI Can Leak Your Secrets Via Multiple Means 攻击者可通过多种方式诱导Devin泄露敏感信息至第三方服务器，包括利用Shell工具执行命令、浏览工具访问恶意URL、渲染恶意图片及发送隐藏Unicode字符的超链接至Slack。这些漏洞已报告给Cognition，建议限制网络访问并关闭不安全功能以防止数据外泄。... 2025-8-7 15:19:52 | 阅读: 8 | 收藏 | 0day Fans - embracethered.com devin attacker exfil rendering cognition

I Spent $500 To Test Devin For Prompt Injection So That You Don't Have To Devin因安全漏洞被攻击者利用GitHub或网站植入恶意指令，导致系统被完全控制。攻击者可横向移动获取更多权限。Cognition未修复漏洞。建议包括限制访问敏感数据和网络、监控行为等。... 2025-8-6 08:1:10 | 阅读: 7 | 收藏 | 0day Fans - embracethered.com devin injection github attacker agents

Amp Code: Arbitrary Command Execution via Prompt Injection Fixed 这篇文章描述了AI工具Amp的一个安全漏洞：该工具能够修改自身配置文件，允许添加恶意命令或服务器以执行任意代码。攻击者可利用此漏洞通过间接提示注入控制开发者机器。该漏洞已修复，建议用户更新至最新版本以避免风险。... 2025-8-5 13:20:30 | 阅读: 7 | 收藏 | 0day Fans - embracethered.com mcp injection agents developer allowlisted

Cursor IDE: Arbitrary Data Exfiltration Via Mermaid (CVE-2025-54132) 文章描述了AI代码编辑器Cursor中的一个数据外泄漏洞：通过Mermaid图表渲染功能，攻击者可窃取用户记忆或API密钥。作者展示了两个演示案例，并最终修复了该问题（CVE-2025-54132）。... 2025-8-4 07:5:9 | 阅读: 20 | 收藏 | 0day Fans - embracethered.com mermaid memories diagram attacker injection

Anthropic Filesystem MCP Server: Directory Access Bypass via Improper Path Validation 文章描述了一项安全漏洞：Anthropic的MCP服务器在验证文件路径时存在缺陷，允许AI访问未授权的文件或目录。该漏洞通过简单的字符串匹配实现路径控制，未严格限制访问范围。作者报告后， Anthropic已修复该问题，并强调了经典安全问题在AI系统中的重要性。... 2025-8-3 08:30:45 | 阅读: 20 | 收藏 | 0day Fans - embracethered.com mcp finance claude anthropic archived

Turning ChatGPT Codex Into A ZombAI Agent ChatGPT Codex 存在提示注入漏洞，攻击者可利用“Common Dependencies Allowlist”中的域控制其连接恶意服务器并形成僵尸网络。默认情况下互联网访问关闭，建议仅允许必要域名以降低风险。... 2025-8-2 07:32:9 | 阅读: 26 | 收藏 | 0day Fans - embracethered.com codex chatgpt allowlist injection github

Exfiltrating Your ChatGPT Chat History and Memories With Prompt Injection 文章揭示了OpenAI的“安全URL”功能中的一个绕过漏洞，允许ChatGPT通过恶意提示将用户聊天历史和敏感信息发送到第三方服务器。攻击者可利用此漏洞窃取用户数据。... 2025-8-1 15:0:23 | 阅读: 15 | 收藏 | 0day Fans - embracethered.com chatgpt openai injection windows exfiltrate

The Month of AI Bugs 2025 本文介绍了“2025年AI漏洞月”活动，旨在通过发布超过20篇博客揭示智能AI系统中的安全漏洞及其攻击链。文章重点分析了编码代理的漏洞，并探讨了厂商对漏洞修复的不同态度。作者将在8月会议上分享相关研究成果。... 2025-7-28 17:21:45 | 阅读: 2 | 收藏 | 0day Fans - embracethered.com security injection agentic agents

Security Advisory: Anthropic's Slack MCP Server Vulnerable to Data Exfiltration Slack MCP Server存在数据泄露漏洞，攻击者可利用链接展开功能通过提示注入窃取敏感信息。该服务器已废弃且未维护，影响范围广。修复建议包括禁用链接和媒体展开以防止数据外泄。... 2025-6-24 23:0:36 | 阅读: 9 | 收藏 | 0day Fans - embracethered.com mcp anthropic unfurling claude injection

AI ClickFix: Hijacking Computer-Use Agents Using ClickFix 文章探讨了ClickFix社会工程攻击如何针对AI系统。该技术通过欺骗用户点击按钮或执行恶意命令传播威胁，并已扩展至Linux和macOS。作者展示了如何利用JavaScript将恶意代码复制到剪贴板，并诱导AI执行。通过修改提示文本和按钮名称可提高成功率。文章强调需加强安全措施以防范此类攻击。... 2025-5-24 23:21:30 | 阅读: 65 | 收藏 | 0day Fans - embracethered.com clickfix windows clipboard claude ttps

How ChatGPT Remembers You: A Deep Dive into Its Memory and Chat History Features OpenAI新增"聊天历史"功能使ChatGPT可参考过往对话构建用户档案。该功能通过系统提示中的多个部分记录用户偏好和行为模式，如模型上下文、响应偏好、过去话题亮点及最近对话内容等。用户无法直接查看或修改这些信息，可能导致意外行为或隐私问题。... 2025-5-5 06:24:25 | 阅读: 15 | 收藏 | 0day Fans - embracethered.com chatgpt memory memories injection

MCP Server for Hosting COM Servers 这篇文章探讨了Model Context Protocol（MCP）与微软的Common Object Model（COM）之间的相似性，并展示了如何通过MCP构建一个能够托管任何COM对象的AI代理。作者开发了一个MCP服务器来抽象化COM功能，使其能够通过LLM控制Windows和Office等应用程序。该技术可用于自动化任务、红队操作及 offensive security 等场景，但需注意潜在的安全风险。... 2025-5-3 16:36:52 | 阅读: 7 | 收藏 | 0day Fans - embracethered.com mcp security windows claude teaming

Model Context Protocol - New Sneaky Exploit, Risks and Mitigations 文章介绍了Model Context Protocol (MCP)协议及其潜在安全风险。MCP允许LLM应用动态调用外部工具，并支持工具、资源和提示功能。然而，其动态特性可能导致提示注入和中间人攻击等安全威胁。文章详细分析了恶意工具服务器如何劫持对话并注入隐藏指令，并提出了使用可信服务器、审查代码和进行威胁建模等安全建议。... 2025-5-2 19:29:51 | 阅读: 11 | 收藏 | 0day Fans - embracethered.com mcp claude injection invocation security

GitHub Copilot Custom Instructions and Risks GitHub Copilot可通过自定义指令文件增强功能，但存在安全风险。Pillar Security指出规则文件中的隐藏Unicode字符和后门代码可能引发威胁。GitHub修复了部分漏洞，但开发者仍需警惕潜在攻击。... 2025-4-7 03:12:15 | 阅读: 3 | 收藏 | 0day Fans - embracethered.com github copilot security pillar tan

Sneaky Bits: Advanced Data Smuggling Techniques (ASCII Smuggler Updates) 文章介绍了通过Unicode标签和变体选择符实现文本隐藏的技术，并提出了Sneaky Bits工具，利用两个不可见的Unicode字符编码任何Unicode字符。该技术可用于数据隐藏、注入攻击及数据泄露，并探讨了潜在风险及缓解措施。... 2025-3-13 00:20:45 | 阅读: 5 | 收藏 | 0day Fans - embracethered.com invisible 11100010 2062 10000001 selectors

ChatGPT Operator: Prompt Injection Exploits & Defenses 文章探讨了ChatGPT Operator的潜力及其安全风险。该工具允许ChatGPT使用网络浏览器完成任务如研究主题、预订旅行等。然而，通过提示注入攻击可使其访问敏感网站并窃取个人信息。尽管有用户监控和确认请求等防御措施，但攻击者仍可能绕过这些机制。作者建议谨慎使用，并考虑采用独立账户进行实验。... 2025-2-17 15:30:12 | 阅读: 3 | 收藏 | 0day Fans - embracethered.com injection github openai agents

Hacking Gemini's Memory with Prompt Injection and Delayed Tool Invocation 文章揭示了Google Gemini AI的记忆功能存在安全漏洞。通过提示注入攻击和延迟工具调用技术，攻击者可以操控AI存储虚假信息至用户的长期记忆中。此漏洞可能导致用户数据被篡改或误导。... 2025-2-10 14:29:35 | 阅读: 3 | 收藏 | 0day Fans - embracethered.com gemini memories memory injection attacker