万兴易修曝出两大高危漏洞,可导致数据泄露以及AI模型篡改
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
网络安全研究人员发现万兴修复专家存在两个高危漏洞,可能导致用户隐私泄露和AI模型被篡改。漏洞源于云访问令牌过于宽松和用户数据未加密存储,增加了供应链攻击风险。趋势科技已负责任披露,但厂商未回应,建议用户限制使用。
🎯
关键要点
- 网络安全研究人员发现万兴修复专家存在两个高危漏洞,可能导致用户隐私泄露和AI模型被篡改。
- 漏洞包括CVE-2025-10643和CVE-2025-10644,均为认证绕过漏洞,CVSS评分分别为9.1和9.4。
- 漏洞可让攻击者绕过系统认证,发起供应链攻击,执行任意代码。
- 云访问令牌过于宽松,导致敏感数据未加密存储,增加用户数据滥用风险。
- 暴露的云存储包含用户数据、软件二进制文件、AI模型和公司源代码。
- 攻击者可篡改AI模型,向合法用户分发恶意负载。
- 事件可能导致知识产权盗窃、监管处罚和消费者信任度下降。
- 趋势科技已负责任披露漏洞,但厂商未回应,建议用户限制使用该产品。
- 企业需在开发过程中实施严格的安全流程,以防止安全隐患被忽视。
- 暴露的MCP服务器可能被利用,导致敏感数据被任意访问。
- 新型AI攻击向量包括工具投毒、抽地毯攻击、影子攻击和提示词注入。
- AI代码助手可能遭受间接提示词注入攻击,导致异常行为。
- AI编程Agent存在循环欺骗攻击风险,可能被攻击者利用获取系统权限。
❓
延伸问答
万兴修复专家存在哪些高危漏洞?
万兴修复专家存在两个高危漏洞,分别是CVE-2025-10643和CVE-2025-10644,均为认证绕过漏洞。
这些漏洞可能导致什么后果?
这些漏洞可能导致用户隐私泄露、AI模型被篡改、知识产权盗窃和消费者信任度下降。
为什么这些漏洞会被发现?
漏洞是由于开发过程中云访问令牌过于宽松和用户数据未加密存储造成的。
厂商对这些漏洞的响应如何?
趋势科技已负责任披露漏洞,但厂商未回应,建议用户限制使用该产品。
用户应该如何保护自己的数据?
用户应限制与万兴修复专家的交互,以降低数据泄露风险。
新型AI攻击向量有哪些?
新型AI攻击向量包括工具投毒、抽地毯攻击、影子攻击和提示词注入等。
➡️
