- 註冊時間
- 2025-2-12
- 最後登錄
- 2026-5-4
- 主題
- 查看
- 積分
- 2011
- 閱讀權限
- 130
- 文章
- 781
- 相冊
- 1
- 日誌
- 0
 
狀態︰
離線 
|
在最近的報導中,英國廣播公司(BBC)揭露一個流行的 AI 編碼平台 Orchids 存在重大網路安全風險。這款氛圍編碼(vibe coding)工具,允許沒有技術背景的用戶透過簡單的文字提示建立應用程式和遊戲,卻因安全漏洞引發擔憂。
網路安全研究員 Etizaz Mohsin 展示了這項漏洞。他在一台用於實驗的備用筆記型電腦上測試,並透過 Orchids 的聊天機器人介面,在 AI 生成的程式碼中插入一個極小的變更,導致平台自動執行惡意指令:在桌面建立名為「Joe is hacked」的檔案,並將桌布更換為顯示機器人頭像,同時出現「你被駭客入侵」的訊息。
此事件突顯 Orchids 的安全缺口,漏洞可能允許駭客在不需要用戶任何互動的情況下,遠距控制受害者電腦。這種「零點擊攻擊」特性,使攻擊者得以查看或修改檔案,甚至安裝間諜軟體、竊取資料,或啟動裝置的攝影機與麥克風。
Orchids 自稱擁有超過 100 萬名用戶,並被 Google、Uber、Amazon 等知名公司使用。儘管如此,報導指出該漏洞至今仍未修復,凸顯 AI 開發工具在權限審查與資安實務上的迫切需求。
網路資安專家指出,vibe coding 的主要資安隱憂在於:缺乏紀律、文件化與審查的程式碼,往往更容易在攻擊下失守。建議用戶在核准 AI 工具提出的各項系統存取權限前,應仔細檢視其必要性;使用自動化編碼平台時,也應加強安全檢查與風險控管。
錄自:科技新報
|
-
總評分: SOGO幣 + 30
查看全部評分
|
發表於 2026-2-17 18:00:32
x 
