/
逆向工程 关键字列表
GitHub高危RCE漏洞曝光,数百万代码仓库面临风险
GitHub近日修复了一个高危远程代码执行漏洞(CVE-2026-3854),CVSS评分8.8。该漏洞由Wiz研究人员发现,攻击者可通过构造恶意git push请求,利用GitHub后端X-STAT组件的命令注入缺陷执行任意代码。在GitHub.com上,该漏洞可访问数百万公私有仓库;在企业自托管环境中,可导致服务器完全沦陷。值得关注的是,此漏洞借助AI辅助逆向工程工具IDA MCP发现,是首批通过AI识别的闭源二进制关键漏洞之一。
GitHub借助AI辅助漏洞报告,向Wiz研究团队发放高额漏洞奖金
安全公司Wiz研究人员发现GitHub git基础设施中存在高危漏洞(CVE-2026-3854,CVSS评分8.8),攻击者可通过单条命令获得私有仓库的完整读写权限。研究人员借助Claude Code和AI辅助逆向工程工具,在不到48小时内完成了从思路到可用漏洞利用的全过程。GitHub在收到披露后6小时内发布修复补丁,并向Wiz团队颁发了漏洞赏金计划史上最高额奖励之一。此案例也标志着AI工具正深刻改变闭源软件漏洞研究的方式。
谷歌AI水印系统SynthID真的被破解了吗?
一位名为Aloshdenny的开发者声称已对谷歌DeepMind的SynthID水印系统实施逆向工程,仅凭200张Gemini生成的纯黑图片、信号处理技术,便提取出水印特征并干扰检测器识别。然而,谷歌方面否认该工具能系统性移除SynthID水印,并强调其鲁棒性。开发者本人也承认,他只能"迷惑"解码器,并未真正删除水印,认为SynthID的设计目标是提高滥用成本,而非绝对无法破解。
白皮书
京公网安备 11010802021500号
