Wiz Research发现Base44(已被Wix收购)平台存在严重安全漏洞,攻击者只需一个公开的app_id即可绕过身份验证,访问私有应用及敏感数据。该漏洞利用简单,影响广泛,涉及企业内部聊天机器人、自动化工具等关键应用。Wix已在24小时内修复漏洞,并声明未发现任何滥用迹象。此事件凸显了AI驱动开发平台安全风险的重要性,需要更重视基础安全控制,例如身份验证和API设计。
阅读更多
近期GitHub Actions接连遭受两次重大安全事件,攻击者利用漏洞植入挖矿程序和恶意代码。本文总结了这些事件的教训,并提供了增强GitHub Actions安全的实用指南,涵盖了权限管理、第三方Action使用、Secrets管理、分支保护、以及自托管运行器的安全配置等方面。文章还介绍了几种常见的GitHub Actions漏洞,例如中毒管道执行(PPE)和凭证泄露,并建议使用静态分析工具和安全策略来加强防护。
阅读更多
Wiz Research 发现 Ingress NGINX Controller for Kubernetes 中存在一系列未经身份验证的远程代码执行漏洞(IngressNightmare),可导致攻击者未经授权访问 Kubernetes 集群中所有命名空间中存储的所有密钥,从而可能接管整个集群。研究发现约 43% 的云环境易受这些漏洞的影响,超过 6500 个集群(包括财富 500 强公司)的 Kubernetes 入口控制器公开暴露在公共互联网上,面临严重风险。建议尽快修补漏洞,并采取缓解措施,例如更新到最新版本的 Ingress NGINX Controller 或禁用 admission controller 组件。
阅读更多
安全研究公司Wiz发现中国AI初创公司DeepSeek的一个公共可访问的ClickHouse数据库泄露了敏感信息,包括聊天记录、密钥和后端细节等。该数据库允许完全控制数据库操作,没有任何身份验证。Wiz团队已负责任地向DeepSeek披露了此问题,DeepSeek已迅速采取措施解决了该问题。此事件凸显了AI公司在快速发展过程中忽视安全风险的潜在危害,以及在处理敏感数据时加强安全措施的重要性。
阅读更多
云安全公司 Wiz 宣布,其年经常性收入 (ARR) 在短短 18 个月内从 100 万美元增长到 1 亿美元,创下了软件公司最快增长纪录。Wiz 的成功归功于其创新的安全解决方案,该方案专注于为企业提供全面的云环境可见性,并帮助他们快速识别和消除关键风险。Wiz 采用无代理、以 API 为中心的方法,可无缝扫描工作负载,并通过 Wiz 安全图谱识别、关联和优先考虑所有层面的风险。
阅读更多