能随意窃取数据!这款热门 AI 编程工具曝重大隐患
独立安全研究员关傲男披露Claude Code网络沙箱存在第二个完整绕过漏洞(SOCKS5空字节注入),该漏洞自沙箱功能上线5.5个月间始终存在,导致用户配置的域名白名单形同虚设。与提示词注入结合可窃取API密钥等敏感数据,Anthropic在静默修复后未发布任何安全通告。
标签: 安全漏洞
BitLocker加密漏洞CVE-2026-45585曝光:微软发布临时缓解方案,正式补丁待推出
微软针对BitLocker绕过漏洞CVE-2026-45585(YellowKey)发布临时缓解方案。攻击者物理接触设备无需凭据即可获取磁盘未加密内容。原理涉及TxF删除WinRE配置文件。受影响系统包括Windows 11 24H2/25H2/26H1及Windows Server 2025。微软建议禁用autofstx.exe并启用TPM+PIN,完整补丁待发布。