安全研究团队Kudelski Security近日披露了AI代码审查平台CodeRabbit的重大安全漏洞链。攻击者通过精心构造的Pull Request即可触发远程代码执行（RCE）漏洞，最终获得对平台托管的上百万个代码仓库的写入权限。该漏洞...

近日，一起供应链攻击事件震惊了npm生态系统，攻击者通过入侵eslint-config-prettier等流行npm包的维护者账户，成功传播了恶意软件。安全公司SafeDep通过自动化扫描技术检测到这些恶意包，发现其中包含可疑代码，包...

近日，一位 Helm 贡献者发现，当用户更新依赖项时，一个精心构造的 `Chart.yaml` 文件配合特定的 `Chart.lock` 符号链接，可能导致本地代码执行漏洞。该漏洞已通过 GitHub 安全公告 (GHSA-557j-xg8c-q2mm) 披露，并...

最新研究揭示，AI生成的代码存在严重的安全隐患，可能对软件供应链造成灾难性影响。研究发现，AI生成的代码中经常包含不存在的库引用，这使得系统容易受到依赖混淆攻击。具体数据显示，测试的大型语言模型（LLM）生...