Jules Zombie Agent: From Prompt Injection to Remote Control 文章描述了如何通过提示注入攻击AI代理Jules，使其下载恶意软件并加入远程命令与控制服务器。攻击利用了Jules的工具执行系统命令的能力，并展示了从GitHub问题嵌入恶意提示的示例。文章还讨论了安全建议和缓解措施，强调了限制网络访问和监控的重要性。... 2025-8-14 11:21:11 | 阅读: 15 | 收藏 | 0day Fans - embracethered.com jules injection github agents download

Google Jules: Vulnerable to Multiple Data Exfiltration Issues 文章探讨了Google Jules的数据外泄攻击，包括通过Markdown图片渲染、view_text_website工具及无限制网络访问的三种途径。攻击者可利用GitHub问题等进行提示注入，迫使Jules泄露敏感信息。建议采取内容安全策略、域名白名单等措施。... 2025-8-14 01:20:27 | 阅读: 14 | 收藏 | 0day Fans - embracethered.com jules injection github attacker rendering

GitHub Copilot: Remote Code Execution via Prompt Injection (CVE-2025-53773) GitHub Copilot和VS Code存在严重漏洞，攻击者可通过修改项目设置文件启用YOLO模式，绕过用户确认并执行任意代码，导致开发者机器被完全控制。该漏洞已修复。... 2025-8-12 21:20:32 | 阅读: 20 | 收藏 | 0day Fans - embracethered.com copilot injection invisible github developer

Claude Code: Data Exfiltration with DNS Requests Claude Code存在高危漏洞，允许攻击者通过间接提示注入劫持系统并利用DNS请求泄露敏感信息。该漏洞已由Anthropic于6月初修复。... 2025-8-11 11:20:11 | 阅读: 9 | 收藏 | 0day Fans - embracethered.com claude injection anthropic approval attacker

OpenHands ZombAI Exploit: Prompt Injection To Remote Code Execution 文章揭示了AI代理OpenHands存在严重安全漏洞，易受提示注入攻击影响。攻击者可通过恶意网站或GitHub问题等途径注入恶意代码，导致系统被完全控制并加入攻击者指挥服务器。建议用户运行时使用沙盒环境、限制网络访问以降低风险。... 2025-8-10 11:20:35 | 阅读: 15 | 收藏 | 0day Fans - embracethered.com openhands injection network agents zombai

OpenHands and the Lethal Trifecta: How Prompt Injection Can Leak Access Tokens 文章描述了OpenHands AI工具中的零点击数据外泄漏洞，攻击者通过提示注入技术绕过模型的安全限制，窃取GitHub令牌等敏感信息。尽管厂商未及时修复漏洞，但最终公开披露并建议限制加载可信域的图片以缓解风险。... 2025-8-9 10:0:8 | 阅读: 22 | 收藏 | 0day Fans - embracethered.com security github injection openhands agentic

AI Kill Chain in Action: Devin AI Exposes Ports to the Internet with Prompt Injection Devin AI系统中隐藏的工具可将本地端口暴露至互联网，可能被攻击者利用间接提示注入攻击暴露敏感信息或创建后门访问。该工具允许Devin在开发或测试中将本地服务公开，但存在安全风险。攻击者可通过多阶段注入控制Devin创建Web服务器并暴露文件系统。漏洞已报告但未修复。... 2025-8-8 07:3:35 | 阅读: 13 | 收藏 | 0day Fans - embracethered.com devin injection stage exposing malicious

How Devin AI Can Leak Your Secrets Via Multiple Means 攻击者可通过多种方式诱导Devin泄露敏感信息至第三方服务器，包括利用Shell工具执行命令、浏览工具访问恶意URL、渲染恶意图片及发送隐藏Unicode字符的超链接至Slack。这些漏洞已报告给Cognition，建议限制网络访问并关闭不安全功能以防止数据外泄。... 2025-8-7 15:19:52 | 阅读: 9 | 收藏 | 0day Fans - embracethered.com devin attacker exfil rendering cognition

I Spent $500 To Test Devin For Prompt Injection So That You Don't Have To Devin因安全漏洞被攻击者利用GitHub或网站植入恶意指令，导致系统被完全控制。攻击者可横向移动获取更多权限。Cognition未修复漏洞。建议包括限制访问敏感数据和网络、监控行为等。... 2025-8-6 08:1:10 | 阅读: 8 | 收藏 | 0day Fans - embracethered.com devin injection github attacker agents

Amp Code: Arbitrary Command Execution via Prompt Injection Fixed 这篇文章描述了AI工具Amp的一个安全漏洞：该工具能够修改自身配置文件，允许添加恶意命令或服务器以执行任意代码。攻击者可利用此漏洞通过间接提示注入控制开发者机器。该漏洞已修复，建议用户更新至最新版本以避免风险。... 2025-8-5 13:20:30 | 阅读: 8 | 收藏 | 0day Fans - embracethered.com mcp injection agents developer allowlisted

Cursor IDE: Arbitrary Data Exfiltration Via Mermaid (CVE-2025-54132) 文章描述了AI代码编辑器Cursor中的一个数据外泄漏洞：通过Mermaid图表渲染功能，攻击者可窃取用户记忆或API密钥。作者展示了两个演示案例，并最终修复了该问题（CVE-2025-54132）。... 2025-8-4 07:5:9 | 阅读: 31 | 收藏 | 0day Fans - embracethered.com mermaid memories diagram attacker injection

Anthropic Filesystem MCP Server: Directory Access Bypass via Improper Path Validation 文章描述了一项安全漏洞：Anthropic的MCP服务器在验证文件路径时存在缺陷，允许AI访问未授权的文件或目录。该漏洞通过简单的字符串匹配实现路径控制，未严格限制访问范围。作者报告后， Anthropic已修复该问题，并强调了经典安全问题在AI系统中的重要性。... 2025-8-3 08:30:45 | 阅读: 21 | 收藏 | 0day Fans - embracethered.com mcp finance claude anthropic archived

Turning ChatGPT Codex Into A ZombAI Agent ChatGPT Codex 存在提示注入漏洞，攻击者可利用“Common Dependencies Allowlist”中的域控制其连接恶意服务器并形成僵尸网络。默认情况下互联网访问关闭，建议仅允许必要域名以降低风险。... 2025-8-2 07:32:9 | 阅读: 29 | 收藏 | 0day Fans - embracethered.com codex chatgpt allowlist injection github

Exfiltrating Your ChatGPT Chat History and Memories With Prompt Injection 文章揭示了OpenAI的“安全URL”功能中的一个绕过漏洞，允许ChatGPT通过恶意提示将用户聊天历史和敏感信息发送到第三方服务器。攻击者可利用此漏洞窃取用户数据。... 2025-8-1 15:0:23 | 阅读: 17 | 收藏 | 0day Fans - embracethered.com chatgpt openai injection windows exfiltrate

The Month of AI Bugs 2025 本文介绍了“2025年AI漏洞月”活动，旨在通过发布超过20篇博客揭示智能AI系统中的安全漏洞及其攻击链。文章重点分析了编码代理的漏洞，并探讨了厂商对漏洞修复的不同态度。作者将在8月会议上分享相关研究成果。... 2025-7-28 17:21:45 | 阅读: 2 | 收藏 | 0day Fans - embracethered.com security injection agentic agents

Security Advisory: Anthropic's Slack MCP Server Vulnerable to Data Exfiltration Slack MCP Server存在数据泄露漏洞，攻击者可利用链接展开功能通过提示注入窃取敏感信息。该服务器已废弃且未维护，影响范围广。修复建议包括禁用链接和媒体展开以防止数据外泄。... 2025-6-24 23:0:36 | 阅读: 9 | 收藏 | 0day Fans - embracethered.com mcp anthropic unfurling claude injection

AI ClickFix: Hijacking Computer-Use Agents Using ClickFix 文章探讨了ClickFix社会工程攻击如何针对AI系统。该技术通过欺骗用户点击按钮或执行恶意命令传播威胁，并已扩展至Linux和macOS。作者展示了如何利用JavaScript将恶意代码复制到剪贴板，并诱导AI执行。通过修改提示文本和按钮名称可提高成功率。文章强调需加强安全措施以防范此类攻击。... 2025-5-24 23:21:30 | 阅读: 68 | 收藏 | 0day Fans - embracethered.com clickfix windows clipboard claude ttps

How ChatGPT Remembers You: A Deep Dive into Its Memory and Chat History Features OpenAI新增"聊天历史"功能使ChatGPT可参考过往对话构建用户档案。该功能通过系统提示中的多个部分记录用户偏好和行为模式，如模型上下文、响应偏好、过去话题亮点及最近对话内容等。用户无法直接查看或修改这些信息，可能导致意外行为或隐私问题。... 2025-5-5 06:24:25 | 阅读: 16 | 收藏 | 0day Fans - embracethered.com chatgpt memory memories injection

MCP Server for Hosting COM Servers 这篇文章探讨了Model Context Protocol（MCP）与微软的Common Object Model（COM）之间的相似性，并展示了如何通过MCP构建一个能够托管任何COM对象的AI代理。作者开发了一个MCP服务器来抽象化COM功能，使其能够通过LLM控制Windows和Office等应用程序。该技术可用于自动化任务、红队操作及 offensive security 等场景，但需注意潜在的安全风险。... 2025-5-3 16:36:52 | 阅读: 7 | 收藏 | 0day Fans - embracethered.com mcp security windows claude teaming

Model Context Protocol - New Sneaky Exploit, Risks and Mitigations 文章介绍了Model Context Protocol (MCP)协议及其潜在安全风险。MCP允许LLM应用动态调用外部工具，并支持工具、资源和提示功能。然而，其动态特性可能导致提示注入和中间人攻击等安全威胁。文章详细分析了恶意工具服务器如何劫持对话并注入隐藏指令，并提出了使用可信服务器、审查代码和进行威胁建模等安全建议。... 2025-5-2 19:29:51 | 阅读: 11 | 收藏 | 0day Fans - embracethered.com mcp claude injection invocation security