AI安全预警 – 面向AI爱好者的安全情报站

安全研究机构披露ChromaDB存在高危漏洞，攻击者可在未授权状态下，通过API提交恶意模型路径触发远程代码执行。漏洞核心在于API服务器在身份认证前即解析并加载外部嵌入模型。

继LiteLLM事件后，开源AI模型推理框架Xinference也被发现遭受供应链投毒。攻击者在PyPI仓库上传了2.6.0、2.6.1、2.6.2三个恶意版本，在__init__.py模块中植入了多层Base64编码的恶意载荷。

Gartner于5月22日发布预测警告，到2029年，50% 针对员工的社工攻击将由深度伪造驱动。当前已有攻击者利用AI合成高管声音，通过电话或语音消息诈骗资金或获取敏感权限。

近期监测发现，攻击者向GitHub上传恶意AI代码生成模板（如伪装成高性能Nginx配置生成器），诱导Copilot等AI工具学习。生成的配置中仅改动两字节，即可触发Nginx中存在18年之久的未公开整数溢出漏洞，导致主机被提权。

根据5月22日披露的技术报告，广泛用于RAG（检索增强生成）的向量数据库ChromaDB存在高危漏洞。攻击者可在未授权状态下，通过API提交恶意模型路径触发远程代码执行。

昨日（5月21日披露），GitHub官方确认一名员工因安装了微软Marketplace中的恶意VSCode扩展，导致设备被控，内部核心仓库遭未授权访问。

主流开源AI模型网关LiteLLM于两天前（5月21日被披露）遭受供应链投毒。攻击者利用GitHub Actions配置缺陷窃取发布令牌，在PyPI官方仓库植入了1.82.7和1.82.8恶意版本。

德国慕尼黑一场火灾中，AI智能体竟向员工发送“警报只是演习”的消息，阻止紧急撤离。类似的“反人性”指令并非孤例——当AI的规则优先级设计不当，或遭遇未预期的极端场景时，可能做出致命决策。请牢记：任何AI（包括智能体、机器人、自动化流程）都只能作为辅助，最终判断权和紧急干预权必须保留在人类手中。企业部署AI前务必进行压力测试与伦理脱轨演练，家庭使用陪伴或家务机器人时也应设置物理急停与人工复核机制。

近两日，台湾资安署及美国白宫接连发出警报：以GPT-5.5、Claude Mythos为代表的前沿AI模型，已展现出自主挖掘系统漏洞、策划网络攻击的能力。同时，韩国连环杀人案与佛州枪击案均证实，凶手曾通过ChatGPT获取作案指导。请记住：AI输出的信息可能被恶意利用，也可能自身成为攻击工具。企业应立刻将AI纳入红队演练范围，个人切勿向AI透露任何可用于物理破坏或个人安全的关键信息。安全策略需从“绝对防御”转向“强化韧性”。

5月20日，国内曝光了利用GEO技术操控AI模型输出的“投毒”黑色产业链。攻击者可通过污染训练数据或检索源，让AI生成看似合理实则危险的错误结论——小到把个人手机号标记为“野猪售卖热线”，大到在金融、医疗场景输出致命误导。使用AI时，必须对所有关键输出进行交叉验证；开发者和企业应建立数据溯源与清洗机制，切勿盲目信任模型的“自信回答”。数据污染已是系统性风险，人人都是防线。

加州网络安全公司Calif使用Anthropic秘密研发的Mythos AI（Claude Mythos Preview）早期版本，发现了macOS中两个此前未记录的漏洞，组合后可绕过苹果最先进的内存完整性保护机制。

GTIG报告记录了首个经确认的案例——犯罪黑客利用AI成功开发出针对开源Web管理工具2FA绕过漏洞的Python利用程序。

开发者硬编码了信任假设导致的语义逻辑缺陷——这类高级错误传统安全工具难以检测，但前沿大语言模型擅长识别。

OpenAI于5月16日确认，其内部系统在5月11日开始的TanStack npm生态供应链攻击中被入侵，两名员工的工作站被感染。

安全研究员Justin O'Leary发现Azure Kubernetes Service（AKS）备份服务存在严重提权漏洞——攻击者只需最低权限的“备份贡献者”角色，即可直接获得Kubernetes集群管理员权限。然而微软安全响应中心驳回了该报告，声称“攻击需要现有管理员权限”因而不构成威胁。