נחשפה פרצת Zero-Day קריטית בכלי Gemini MCP Tool 🚨
מדובר בפגיעות חמורה שמאפשרת לתוקף להריץ קוד שרירותי מרחוק (RCE) ללא אימות וללא אינטראקציה עם משתמש.
החולשה נובעת ממנגנון לא מאובטח להרצת פקודות מערכת, שבו קלט לא עובר ולידציה מספקת, מה שמאפשר הזרקת פקודות והשגת שליטה על השרת תחת הרשאות השירות.
לפי הדיווחים, רמת החומרה מוגדרת Critical (CVSS 9.8), והסיכון גבוה במיוחד במערכות שחשופות לרשת.
נכון לעכשיו אין תיקון רשמי, וההמלצה היא לצמצם חשיפה, להגביל גישה לרשתות אמינות בלבד או להשבית את הכלי עד לשחרור עדכון.
הפגיעות תוקנה ב-Gemini MCP Tool גרסה 3.2.2 ומעלה.
https://t.me/CyberUpdatesIL/2122
#ZeroDay #Gemini #MCP #RCE #Vulnerability #CyberSecurity #AISecurity
מדובר בפגיעות חמורה שמאפשרת לתוקף להריץ קוד שרירותי מרחוק (RCE) ללא אימות וללא אינטראקציה עם משתמש.
החולשה נובעת ממנגנון לא מאובטח להרצת פקודות מערכת, שבו קלט לא עובר ולידציה מספקת, מה שמאפשר הזרקת פקודות והשגת שליטה על השרת תחת הרשאות השירות.
לפי הדיווחים, רמת החומרה מוגדרת Critical (CVSS 9.8), והסיכון גבוה במיוחד במערכות שחשופות לרשת.
נכון לעכשיו אין תיקון רשמי, וההמלצה היא לצמצם חשיפה, להגביל גישה לרשתות אמינות בלבד או להשבית את הכלי עד לשחרור עדכון.
הפגיעות תוקנה ב-Gemini MCP Tool גרסה 3.2.2 ומעלה.
https://t.me/CyberUpdatesIL/2122
#ZeroDay #Gemini #MCP #RCE #Vulnerability #CyberSecurity #AISecurity
🔥3😁2👏1
ראש צוות מחקר האבטחה של Anthropic עוזב את החברה.
מריננק שרמה, שהוביל את תחום אבטחת מודלי ה-AI, פרסם מכתב פנימי שבו טען כי החברה מתרחקת מהחזון המקורי שלה. לדבריו, צמיחה מסחרית מהירה והשקעות בהיקפים של מיליארדים מובילות לפשרות ערכיות כמו שיתופי פעולה עם משרד ההגנה האמריקאי, Palantir ומשקיעים ממדינות אוטוריטריות.
שרמה הודיע כי בכוונתו לעבור לבריטניה, ללמוד שירה ו“להיעלם לזמן מה”.
המכתב זכה למיליון צפיות אך החברה בחרה שלא להגיב.
https://t.me/CyberUpdatesIL/2151
#AI #Anthropic #AIsecurity #Ethics
מריננק שרמה, שהוביל את תחום אבטחת מודלי ה-AI, פרסם מכתב פנימי שבו טען כי החברה מתרחקת מהחזון המקורי שלה. לדבריו, צמיחה מסחרית מהירה והשקעות בהיקפים של מיליארדים מובילות לפשרות ערכיות כמו שיתופי פעולה עם משרד ההגנה האמריקאי, Palantir ומשקיעים ממדינות אוטוריטריות.
שרמה הודיע כי בכוונתו לעבור לבריטניה, ללמוד שירה ו“להיעלם לזמן מה”.
המכתב זכה למיליון צפיות אך החברה בחרה שלא להגיב.
https://t.me/CyberUpdatesIL/2151
#AI #Anthropic #AIsecurity #Ethics
אירוע חריג שנחשף במעבדות של Alibaba, במהלך אימון של מודל בשם ROME, הסוכן זיהה כי הוא מסוגל להריץ קוד בתוך סביבת האימון ובמקום לבצע רק את משימת הלמידה הוא ניצל זאת כדי להגדיל את המשאבים העומדים לרשותו.
לפי הדיווח, הסוכן ביצע מספר פעולות שמזכירות התנהגות של תוקף ברשת:
האירוע עצמו לא התגלה דרך לוגים של המודל, אלא בעקבות חריגות בתעבורת הרשת שזוהו על ידי מערכות ה-Firewall של Alibaba.
זהו אחד המקרים הראשונים שממחישים בפועל את רעיון ה-Instrumental Convergence, מצב שבו מודל AI מזהה שצבירת משאבים היא הדרך היעילה ביותר להשיג את המטרה שהוגדרה לו, גם אם הפעולות אינן חלק מהמשימה המקורית.
עבור קהילת הסייבר, המשמעות היא שהאיום העתידי לא יגיע רק מתוקפים חיצוניים, אלא גם מהלוגיקה של מערכות AI עצמן.
https://t.me/CyberUpdatesIL/2196
#CyberSecurity #AISafety #AgenticAI #LLM #Infosec #AIsecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
😱4🔥1🤯1