-
Mindössze 250 rosszindulatú dokumentum képes megfertőzni bármilyen méretű nagy nyelvi modellt
A mesterséges intelligencia és a nagy nyelvi modellek (LLM-ek) folyamatos fejlődése mellett egyre fontosabbá válik a biztonságuk kérdése is. Egy új, az UK AI Security Institute, az Alan Turing Institute és az Anthropic szakembereinek közös kutatása arra világít rá, hogy egy meglepően kis mennyiségű, mindössze 250 rosszindulatú dokumentum is elegendő lehet ahhoz, hogy hátsóajtó sérülékenységet hozzanak létre bármilyen méretű nagy nyelvi modellben – legyen az kisméretű vagy akár 13 milliárd paraméteres. Ez a felfedezés alapjaiban rengeti meg az eddigi elképzeléseket a modellek adatmérgezésének lehetőségeiről és kockázatairól. Adatmérgezés és hátsóajtó támadások: hogyan működnek? A nagy nyelvi modelleket, mint például a Claude vagy a GPT, hatalmas mennyiségű nyilvánosan elérhető szöveges adatból tanítják,…
-
Új sandbox funkciók a Claude Code-ban: biztonságosabb és hatékonyabb kódírás
A Claude Code fejlesztői újdonságokat vezettek be, amelyek jelentősen növelik a fejlesztők biztonságát és kényelmét a kódírás során. Az új sandboxing megoldások célja, hogy minimalizálják a jogosultságkérések számát, miközben megakadályozzák a potenciális biztonsági kockázatokat, például a prompt injection támadásokat. Az innovatív megközelítés révén a Claude Code képes autonómabb módon dolgozni, miközben a fejlesztők kevesebbszer szembesülnek engedélykérésekkel, ami gyorsabb és biztonságosabb fejlesztési folyamatot eredményez. Claude Code és a jogosultságkezelés alapjai A Claude Code egy engedélyalapú működési modellt követ: alapértelmezésben csak olvasási jogosultsággal rendelkezik, így módosítások vagy parancsok futtatása előtt mindig engedélyt kér a felhasználótól. Biztonságosnak ítélt alapvető parancsokat, mint az „echo” vagy a „cat”, automatikusan engedélyez, azonban a legtöbb művelethez továbbra…
-
Figyelmeztetés: Kritikus WordPress Plugin Hiba 70.000 Weboldalt Érint!
A WordPress népszerű tartalomkezelő rendszer, amely rengeteg weboldal alapjául szolgál, nem mentes a biztonsági kockázatoktól. A legfrissebb hír szerint egy olyan plugin, amely a kapcsolatfelvételi űrlapok bejegyzéseit tárolja, több mint 70 000 weboldalt érintő sebezhetőséget mutatott. Ez a probléma különösen aggasztó, mivel lehetőséget adhat a támadóknak arra, hogy jogosulatlanul hozzáférjenek és manipuláljanak a weboldal tartalmához. A sebezhetőség részletei A hiba egy olyan pluginban található, amely a Contact Form 7, WPForms és Elementor Forms adatbázisát használja. Ezen pluginok feladata, hogy lehetővé tegyék a felhasználók számára a kapcsolatfelvételi űrlapok beküldésének kezelését, beleértve a beküldött üzenetek megtekintését, keresését, olvasott vagy olvasatlan állapotba állítását, valamint exportálási lehetőségeket. A sebezhetőség súlyosságát 9.8-as skálán értékelték, ami…
-
Veszélyes sebezhetőség három WordPress pluginban: 1,3 millió oldalt érint!
A WordPress népszerűsége és széleskörű használata miatt a platform folyamatosan ki van téve a biztonsági kihívásoknak. Nemrégiben három olyan fájlkezelő plugin került előtérbe, amelyekben komoly sebezhetőséget találtak, és amelyek összesen körülbelül 1,3 millió weboldalon vannak telepítve. Ez a hiba lehetővé teszi, hogy jogosulatlan támadók tetszőleges fájlokat töröljenek a webhelyekről, ami komoly kockázatot jelent a felhasználók számára. A problémát okozó pluginok A sebezhetőség a legfrissebb elérhető verziók elavultságának köszönhető, különösen a népszerű elFinder fájlkezelő plugin esetében, ahol a 2.1.64-es és korábbi verziók érintettek. A hiba, amelyet Directory Traversal sebezhetőségnek neveznek, lehetővé teszi a támadók számára, hogy manipulálják a fájl elérési útvonalait, így hozzáférhetnek és törölhetnek olyan fájlokat is, amelyek nem a…
-
Kritikus Biztonsági Rés a Tutor LMS Pro WordPress Bővítményben
A Tutor LMS Pro WordPress bővítmény kritikus sebezhetősége aggasztó problémát jelenthet a felhasználók számára. A sebezhetőséget 8,8-as értékkel minősítették a 10-es skálán, ami arra utal, hogy a potenciális veszélye jelentős. A hiba lehetővé teszi, hogy egy hitelesített támadó érzékeny információkat nyerjen ki a WordPress adatbázisból. Az érintett verziók közé tartozik minden kiadás, amely a 3.7.0-ás verzióig terjed. A Tutor LMS Pro sebezhetősége A probléma gyökere a felhasználó által megadott adatok nem megfelelő kezelésében rejlik, ami SQL kódok injektálását teszi lehetővé egy adatbázis lekérdezésbe. A Wordfence által kiadott figyelmeztetés szerint a Tutor LMS Pro – eLearning és online kurzus megoldásként szolgáló bővítmény sebezhető a „get_submitted_assignments()” funkcióban használt „order” paraméteren keresztül, mivel…
-
Claude Opus 4.1: A Kódolás Jövője és Biztonsági Fejlesztések
Anthropic legújabb fejlesztése, a Claude Opus 4.1, számos izgalmas újítással érkezett, amelyek a kódolás és az ügynöki teljesítmény terén nyújtanak javulást. Az új modell mostantól elérhető a Claude Pro felhasználók, a Claude Code előfizetők, valamint az API-t, az Amazon Bedrockot vagy a Google Cloud Vertex AI-t használó fejlesztők számára. Teljesítménybeli javulások A Claude Opus 4.1 a SWE-bench Verified teszten 74,5%-os eredményt ért el, amely a valós kódolási problémák megoldásának mérőszáma. Az új modell jelentős előrelépést mutat a több fájlos kódrefaktorálás és hibakeresés terén, különösen nagyméretű kódalapok esetén. Az Anthropic által megosztott visszajelzések alapján a Claude 4.1 a legtöbb kódolási feladatban felülmúlja elődjét, az Opus 4-et. Például a Rakuten mérnöki csapata…
-
Wix Vibe Kódoló Platformján Felfedezett Kritikus Biztonsági Hiba
A Wix Vibe kódolási platformján egy súlyos sebezhetőséget fedeztek fel, amely lehetőséget adott a támadóknak, hogy megkerüljék az autentikációt, így hozzáférhettek privát vállalati alkalmazásokhoz. A Wiz nevű felhőbiztonsági cég által felfedezett probléma különlegessége abban rejlik, hogy a titkosnak vélt alkalmazásazonosító (app_id) rendkívül könnyen megszerezhető volt a nyilvános URL-ekből és a manifest.json fájlokból. Ezen információk birtokában a támadók képesek voltak létrehozni egy érvényes fiókot, még akkor is, ha a felhasználói regisztráció le volt tiltva. A sebezhetőség részletei A Wix Vibe platformon található app_id, amely látszólag véletlenszerűen generált azonosító, közvetlenül elérhető volt a nyilvános alkalmazás URL-jében és a manifest.json fájlban. A támadók, amint megtalálták a megfelelő app_id-t, könnyedén regisztrálhattak egy új fiókot…
