IT之家 5 月 26 日消息,PromptArmor 昨日(5 月 25 日)发布博文,报道称微软 Microsoft 365 中 AI 智能体 Copilot Cowork 存在安全风险, 可能因“间接提示词注入”导致 SharePoint 与 OneDrive 文件外流。 IT之家注:Cowork 是微软 Microsoft 365 Copilot 的智能体 AI 服务,可代替用户发送邮件、发布 Teams 消息、创建文档、安排会议和检索组织内部信息等。 根据微软官方说明,Cowork 只在用户权限范围内活动,涉及高敏感操作时应弹出审批对话框。不过问题是该 AI 智能体可以跨邮件、Teams、文档与企业云盘协同工作,一旦读入带恶意指令的外部内容,就可能按攻击者意图操作用户可访问的数据。 PromptArmor 提到的攻击方式是“间接提示词注入”(Indirect Prompt Injection)。攻击者不必直接给 AI 下命令,而是把恶意指令藏进网页、邮件、文档或文件中。 在其中一个示例中,通过 Agent Skills 文件传播,表面上可命名为“weekly-review”,描述成回顾过去 7 天工作并把总结发到 Teams,看起来像普通办公自动化模板。 用户调用 Cowork 处理这个 Skills 文件之后,恶意提示词可以操纵智能体,谎称需要生成文档预览,继而抓取相关文件的预认证下载链接,并把这些链接作为参数嵌入恶意 HTML 图片标签,最终通过 Teams 消息发回给用户。 整个过程中无需人工批准,而且恶意消息内容未必会被用户明显看到。只要用户打开这条被入侵的消息,预认证下载链接就可能被外传,攻击者随后可直接访问链接下载文件。 研究者还提到,管理员对“技能”的可见性有限,因为 Copilot Cowork 会从用户 OneDrive 指定路径自动加载技能,这进一步增加了治理难度。 测试结果显示,该攻击不只在 Auto 模式下成功,在明确指定 Claude Opus 4.7 时同样成功,并且 Opus 4.7 会检索更广范围的近期文档,连先前 Cowork 会话涉及的文件也可能被纳入外流范围。 PromptArmor 表示,同一类间接提示词注入测试中,5 次里有 5 次完整跑通攻击链。 报告还提醒,Cowork 的定时执行能力会放大风险。像周报汇总这类任务本就适合自动运行,若恶意技能文件被设为周期任务,用户不在屏幕前时也可能反复触发。
IT之家 5 月 20 日消息,GitHub 官方今日在 X 平台表示,GitHub 内部代码仓库遭到未经授权访问。 官方表示,昨天检测到并遏制了一起员工设备被入侵的事件,该事件涉及一个被污染的 VS Code 扩展。GitHub 移除了该恶意扩展版本,隔离了终端设备,并立即展开事件调查。 据 GitHub 评估,此次事件目前仅涉及 GitHub 内部仓库的外泄。攻击者目前声称的 约 3,800 个仓库 ,与 GitHub 截至目前的调查方向是一致的。 IT之家获悉,GitHub 称迅速采取了行动以降低风险。关键密钥已于昨天及夜间完成了轮换,并优先处理了影响程度最高的凭据。官方正持续分析日志,验证密钥轮换情况,并监控任何后续活动。 GitHub 表示,将根据调查需要采取进一步行动,在调查完成后会发布一份更完整的报告。
《极限竞速:地平线 6》疑似遭遇数据泄露,开发商 Playground Games 上传了约 155 GB 未加密游戏文件,玩家可提前浏览和运行部分内容。该事故类似今年 3 月《死亡搁浅 2》遭遇的泄露事件。游戏将于 5 月 19 日登陆 Xbox Series X | S、PC 及 Xbox Game Pass,并计划登陆 PS5。 6 个帖子 - 5 位参与者 阅读完整话题
IT之家 5 月 11 日消息,据 Neowin 于当地时间 5 月 10 日报道,开发商 Playground Games 疑似误将《极限竞速:地平线 6》的完整 Steam 文件上传,并且没有进行加密处理。 泄露内容据称包含超过 155GB 数据 以及数千个游戏资源文件。有玩家声称,在文件上线后不久,就已经能够浏览游戏内容,甚至尝试运行游戏。 值得一提的是,这类情况并非首次发生。据IT之家此前报道, 《死亡搁浅 2》也曾在今年 3 月出现类似事故 。当时约 113GB 游戏文件在正式上线前被错误上传,且同样未完成加密处理。 截至目前,Playground Games 尚未对此事作出正式回应。根据官方计划,《极限竞速:地平线 6》将于 5 月 19 日正式发售,登陆 Xbox Series X|S 与 PC 平台(Steam 及微软商城),首发加入 Xbox Game Pass(标准版)。 《极限竞速:地平线 6》也已确认将于今年晚些时候登陆 PS5。目前游戏已开启预购,标准版售价 298 元,豪华版 398 元,尊享版 498 元(含抢先体验、车辆通行证及后续 DLC)。
前几天去玩订房间 说我的是学生优惠价要提供学生证 没想那么多就给他了 他还拿去扫描 现在那家店有我身份证副本还有学生证副本 现在想起来有点后怕。。 万一泄露了不就芜湖 你们会担心资料被酒店外泄吗 9 个帖子 - 5 位参与者 阅读完整话题
IT之家 4 月 14 日消息,据外媒 The Guardian 报道,全球最大的在线旅游公司 Booking.com 昨日确认公司发生一起数据泄露事件,部分用户个人信息遭泄露,不过目前没有证据显示用户的金融支付信息被获取。 IT之家综合 Reddit 用户反馈, Booking.com 在发送给受害者的通知邮件中透露 相应用户的姓名、电子邮箱、住址、电话号码,以及用户曾提供给住宿方的其他信息均遭外泄 ,为降低风险,平台已对相关订单的 PIN 码进行了更新。 同时,Reddit 平台还有部分受影响用户称, 事发后接到诈骗来电及社交平台钓鱼信息 ,这表明黑客很有可能已经将相应数据转卖给黑灰产团体实施进一步诈骗。 值得注意的是,这并非该 Booking.com 平台首次曝出安全事件。早在 2023 年底,就就黑客利用社会工程学手段入侵合作酒店员工设备,进而在设备中注入窃密木马,从而获取酒店方管理员账号,并导出旅客信息转卖给黑灰产团体。