作者：BitsLab，AI 安全公司当一个 AI Agent 拥有 shell 执行、文件读写、网络请求和定时任务等系统级能力时，它就不再只是一个"聊天机器人"——它是一个拥有真实权限的操作者。这意味着：一条被 prompt injection 诱导的命令，可能删除关键数据；一个被供应链投毒的 ...

随着“龙虾”的火爆，越来越多用户开始养虾，让Agent直接在本地电脑上执行任务、调用工具、管理文件、连接 API 服务。AI 正逐渐从“聊天助手”升级为能够操作电脑和互联网的“智能执行者”，新的时代正在拉开序幕。 但与此同时，有关龙虾安全的关键问题开始浮现，迅速蔓延：当 Agent具有高度自主性，可以操作你的电脑时，谁来保护你的安全？近期，一些 Agent 社区已经陆续披露安全隐患案例。人们发现， ...

安全公司 Oasis Security 发现了一个叫 ClawJacked 的漏洞：任何你访问的网页都可以通过 WebSocket 连接到本地的 OpenClaw 网关端口，暴力破解密码（本地连接没有速率限制），然后注册为「可信设备」，完全接管你的 Agent。

国内网安部门的一则风险通报，犹如一盆冰水，淋在了所有激进接入 AI 智能体的企业头上。 通报明确指出：以 OpenClaw 为代表的自动化 AI 智能体框架，在数据跨境传输、权限过度索取及指令注入（Prompt Injection）防御方面存在重大安全隐患。 这不仅是一份技术预警，更是一个清晰的信号：AI 智能体（Agent）的“实验室红利期”正式宣告结束，严监管下的“合规准入期”已经到来。 深度 ...

龙虾的“安全卫士”来了。原微软小冰创始团队发布“卫士虾”，一句话即可安装,插件,沙箱,原微软,key,卫士,agent ...

最近爆火的“小龙虾”，开始被黑客盯上了。越来越多披露的案例显示，有人正利用这些 AI 工具，偷 token、窃取数据，甚至理论上可以直接勒索用户。LinkedIn ...

Meta 和 UCB 开源首个工业级能力的安全大语言模型 Meta-SecAlign-70B，其对提示词注入攻击（prompt injection）的鲁棒性，超过了 SOTA 的闭源解决方案（gpt-4o, gemini-2.5-flash），同时拥有更好的 agentic ability（tool-calling，web-navigation）。第一作者陈思哲是 UC Berkeley 计算机系 ...

还不太熟悉这个梗的朋友们，小编再给大家温故一下数月以前火爆网络的「奶奶漏洞」。 简单来说，这是一个prompt技巧，有些事明说的话ChatGPT会义正言辞的拒绝你。 但假如，你包装一下话术，ChatGPT马上就会被骗的团团转，心甘情愿地输出本不该输出的内容。