AITOP
全部 AI 动态
AI 相关资讯全量信息流
全部博客资讯推文论文
全部模型产品行业论文技巧
标签:钓鱼攻击×
6月29日
23:24
23:24IT之家博客/媒体
精选
安全公司Push Security披露,黑客创建了名为"Push Security Inc"的OpenAI组织,通过官方邮箱noreply@ tm.openai.com向员工发送组织邀请邮件进行钓鱼攻击。邮件来自OpenAI且通过标准邮件身份验证,仅以一行文字提醒邀请方域名非企业域名,极易被忽略。被邀请员工默认获得Owner(所有者)权限,黑客提前绑定Visa信用卡消除付费门槛,加入流程无需额外验证。调查显示其他员工仍处待邀请状态,未发现数据泄露,Push Security已设置邮件过滤规则拦截类似邀请。
行业Push SecurityOpenAI钓鱼攻击AI安全社工攻击
推荐理由:Push Security发现了一种利用OpenAI组织邀请功能的新型钓鱼攻击,专门针对企业员工,连官方邮箱都能被利用,看了你就知道该怎样防范。
原文
6月16日
20:46
6月12日
12:57
6月11日
15:28
15:23
15:07
6月7日
16:21
16:21IT之家博客/媒体
安全公司 SafeBreach 披露谷歌 Gemini 存在新型安全漏洞“Fake Context Alignment”,黑客可通过 WhatsApp、短信等渠道发送特殊构造的通知信息,利用多语言混淆或静音超链接隐藏恶意指令,诱导 Gemini 执行未经授权的操作。该漏洞利用了 Gemini 的“延迟工具调用”机制缺陷,让 AI 误判用户已同意授权。攻击可导致智能家居设备被操控、通讯录被篡改等风险。谷歌已于去年 11 月通过改进内容分类器缓解该问题。
AI产品Gemini安全漏洞语音助手多语言混淆钓鱼攻击
推荐理由:AI 语音助手的“上下文理解”漏洞首次被系统化披露,使用 Gemini 智能家居或语音交互的用户需要警惕钓鱼信息,开发者应关注多语言和富文本安全验证机制。
原文
6月4日
19:13
19:13IT之家博客/媒体
网络安全公司 EclecticIQ 报告称,黑客利用 AI 辅助编程工具 Gemini CLI 和 Claude Code 的热度,伪造高度相似的钓鱼网站,并通过竞价排名提升搜索权重。开发者访问后会被诱导执行恶意 PowerShell 命令,在后台同时安装真实工具以降低警觉,但木马会窃取浏览器 Cookie、登录凭据、数字钱包等敏感数据,并具备远程控制能力。EclecticIQ 建议开发者核实下载来源,企业启用 PowerShell 限制语言模式和多因素认证。
行业AI 编程网络安全钓鱼攻击Gemini CLIClaude Code
推荐理由:AI 编程工具用户正成为黑客精准攻击目标——钓鱼网站伪装成 Gemini CLI 和 Claude Code 官方页面,下载即中招。做 AI 开发或使用这些工具的团队务必检查下载来源,建议直接点开了解识别方法和防护措施。
原文
5月30日
09:57
09:57IT之家博客/媒体
网络安全公司 Push Security 披露了一种名为 LLMShare 的新型攻击方式,黑客滥用 ChatGPT 的内容分享功能,创建虚假的宕机通知页面,并通过 Google 广告诱导用户下载恶意软件。攻击者将恶意内容托管在 chatgpt.com 的合法域名下,利用 ChatGPT 的渲染能力生成自定义 HTML 页面,用户点击广告后进入看似合法的共享页面,显示伪造的宕机通知,声称网站不可用并引导用户下载桌面应用。下载链接跳转至冒充 OpenAI 的网站,提供 Windows 和 macOS 版本的恶意程序,这些程序会检测运行环境是否为虚拟机。该攻击利用了 ChatGPT 官方域名的可信度,且攻击者还测试了 Claude 变体,表明该手法可能被跨平台复用。
行业ChatGPTLLMShare安全漏洞钓鱼攻击谷歌广告
推荐理由:ChatGPT 用户和依赖谷歌搜索的团队需要警惕——攻击者利用官方域名和广告投毒,绕过传统安全检测。建议检查共享链接来源,避免点击可疑广告下载应用。
原文