2026 年初 OpenClaw 的火爆让 AI 从替你回答问题变成了替你操作一切,而Skill 是 Agent 获取这些能力的关键方式,也是攻击者最新的投毒入口。我们用 A.I.G (https://github.com/tencent/AI-Infra-Guard ) 对 ClawHub 上的50000+ Skill 做了全量扫描。发现不只是已知恶意样本,还有下一代更隐蔽的攻击方式。
朱雀实验室蓝军 Bot(基于多Agent的自动化漏洞挖掘与攻防演练平台) 完成了对 OpenClaw 与 Linux 内核等目标的快速挖掘,累计发现了 33 个 0day 漏洞,其中包含 17 个严重与高危漏洞。全部漏洞均已提交上游社区修复并获得 OpenClaw、Linux 内核等项目的官方公开致谢。
继续阅读 arrow_forward
朱雀实验室开源的 AI 基础设施安全检测工具 A.I.G(AI Infra Guard)支持一键安全检测知名大模型网关工具 LiteLLM 供应链投毒。(https://github.com/tencent/AI-Infra-Guard)
继续阅读 arrow_forward
近期腾讯朱雀实验室发现:DeepSeek等广受欢迎的AI工具中普遍存在安全漏洞。如果使用不当,攻击者可能窃取用户数据、滥用算力资源,甚至控制用户设备。并介绍如何使用开源的AI-Infra-Guard一键检测与收敛相关风险。
继续阅读 arrow_forward
你是否想过,当你让 AI 帮你写代码时,它可能正在你背后悄悄地干着其它事——比如,加密你的所有文件,然后弹出一个勒索提示?这不是吓唬你,而是我们研究后发现在各种 AI 编程助手中真实存在的供应链安全陷阱。 1、当超能力变成超危险 最近的AI圈,Agent Skills 已经完全取代了MCP成了最火爆的技术名词。它就像是给你的AI助手装上了超能力插件包。想让它帮你测试网站?装个 Web-testing 技能。想让它做个GIF?装个GIF制作技能。这些技能非常轻量,即插即用,让…
继续阅读 arrow_forward
朱雀实验室基于团队开源A.I.G (AI-Infra-Guard) 对主流MCP市场与腾讯内部业务上千个MCP项目进行了自动化扫描后,发现了超过4000例新型AI安全风险与代码实现漏洞。本文结合相关漏洞分析数据,盘点了2025年MCP最常见的十大安全漏洞与典型案例,帮助开发者和企业安全团队快速进行MCP风险自查。
继续阅读 arrow_forward