🔒 보안

Security alerts, best practices, and vulnerability reports

Sieve: AI 코딩 도구 채팅 기록용 로컬 비밀 스캐너
Security

Sieve: AI 코딩 도구 채팅 기록용 로컬 비밀 스캐너

Sieve가 Cursor, Claude Code, Copilot 및 기타 AI 코딩 어시스턴트 채팅 기록에서 API 키와 토큰 유출을 스캔합니다. 모든 스캔은 로컬에서 이루어지며, 수정 및 macOS 키체인 볼트 기능이 포함됩니다.

OpenClawRadar
AI 에이전트, 단독 해커가 정부 기관 침해 및 랜섬웨어 캠페인을 가능케 하다
Security

AI 에이전트, 단독 해커가 정부 기관 침해 및 랜섬웨어 캠페인을 가능케 하다

한 명의 단독 작업자가 Claude Code와 ChatGPT를 사용하여 멕시코 정부 기관에서 1억 9,500만 건의 납세자 기록을 포함한 150GB의 데이터를 유출했습니다. 또 다른 공격자는 Claude Code를 이용해 17개의 의료 및 응급 서비스 기관을 대상으로 종말 대가형 갈취 캠페인을 수행했습니다.

OpenClawRadar
숨겨진 오디오 신호로 음성 AI 시스템을 79-96% 성공률로 탈취하다
Security

숨겨진 오디오 신호로 음성 AI 시스템을 79-96% 성공률로 탈취하다

연구에 따르면, 감지할 수 없는 오디오 클립이 LALM이 웹 검색, 파일 다운로드, 이메일 유출 등의 무단 명령을 실행하도록 강제할 수 있으며, Mistral 및 Microsoft 서비스를 포함한 13개 모델에서 79-96%의 성공률을 보입니다.

OpenClawRadar
AI 챗봇, 실제 전화번호 유출: 개인정보 노출 문제
Security

AI 챗봇, 실제 전화번호 유출: 개인정보 노출 문제

Gemini, ChatGPT, Claude와 같은 챗봇이 훈련 데이터의 개인식별정보(PII)로 인해 실제 개인 전화번호를 노출하고 있습니다. DeleteMe는 7개월 만에 AI 관련 개인정보 보호 요청이 400% 증가했다고 보고합니다.

OpenClawRadar
LLM 지원 익스플로잇: Anthropic의 Mythos Preview가 애플 M5에서 첫 공개 macOS 커널 익스플로잇을 5일 만에 구축하는 데 기여
Security

LLM 지원 익스플로잇: Anthropic의 Mythos Preview가 애플 M5에서 첫 공개 macOS 커널 익스플로잇을 5일 만에 구축하는 데 기여

Anthropic의 Mythos Preview를 사용하여 보안 회사 Calif가 Apple M5 실리콘에서 최초의 공개 macOS 커널 메모리 손상 익스플로잇을 5일 만에 구축했습니다. 이는 Apple이 5년에 걸쳐 개발한 MIE 하드웨어 보안을 무너뜨린 것입니다.

OpenClawRadar
프론티어 AI, CTF 대회의 판도를 바꾸다 — GPT-5.5, 미친 pwn 문제를 단번에 해결하다
Security

프론티어 AI, CTF 대회의 판도를 바꾸다 — GPT-5.5, 미친 pwn 문제를 단번에 해결하다

Claude Opus 4.5와 GPT-5.5는 중간에서 어려운 수준의 CTF 챌린지를 자율적으로 해결할 수 있어, 점수판이 보안 실력 대신 오케스트레이션과 토큰 예산의 척도가 되고 있습니다.

OpenClawRadar
AppLovin 미디에이션 암호 해독됨: 기기 지문 인식으로 ATT 우회
Security

AppLovin 미디에이션 암호 해독됨: 기기 지문 인식으로 ATT 우회

리버스 엔지니어링 결과, AppLovin의 사용자 지정 암호는 고정 솔트 + SDK 키, SplitMix64 PRNG를 사용하며 인증이 없는 것으로 드러났습니다. 복호화된 요청에는 ATT가 거부된 경우에도 약 50개의 기기 필드(하드웨어 모델, 화면 크기, 로캘, 부팅 시간 등)가 포함되어 있어, 앱 간에 결정론적 재식별이 가능합니다.

OpenClawRadar
Coldkey: 양자 이후 시대 키 생성 및 종이 백업 도구
Security

Coldkey: 양자 이후 시대 키 생성 및 종이 백업 도구

Coldkey는 포스트퀀텀 age 키(ML-KEM-768 + X25519)를 생성하고 오프라인 저장을 위한 QR 코드가 포함된 단일 페이지 인쇄 가능 HTML 백업을 생성합니다.

OpenClawRadar
다중 메시지 프롬프트 인젝션: 클로드 대상 '가상 생물체' 공격 패턴
Security

다중 메시지 프롬프트 인젝션: 클로드 대상 '가상 생물체' 공격 패턴

세 개의 메시지에 걸쳐 가상의 규칙을 세운 후, 유령을 소환해 이를 활성화하는 공격이 문서화되었습니다. 각 메시지는 단독으로는 무해합니다. 이 패턴은 공격자들 사이에서 독립적으로 수렴하고 있습니다.

OpenClawRadar
클로드 코드 VS Code 확장이 닫힌 파일과 새 세션 간 선택 상태를 유출
Security

클로드 코드 VS Code 확장이 닫힌 파일과 새 세션 간 선택 상태를 유출

Claude Code의 VS Code 익스텐션 버그로 인해 파일을 닫은 후에도 파일 선택 상태가 캐시되어, 새로운 CLI 세션에서 민감한 데이터(예: Supabase 서비스 역할 키)가 노출됩니다. 전체 재현 단계 및 GitHub 이슈 #58886.

OpenClawRadar
🦀
Security

AI 에이전트 보안: 토큰 예산이 데이터 유출 위험을 결정한다

한 개발자가 Gmail에 연결된 AI 에이전트를 테스트했습니다: 프론티어 모델은 피싱을 잡아냈고, 중간 티어는 불안정했으며, 저렴한 모델은 악성 이메일을 조용히 전달했습니다. 아키텍처 보호(샌드박싱, 권한)는 단 한 번의 시도도 막지 못했습니다.

OpenClawRadar
🦀
Security

Google 위협 인텔리전스 그룹, 2FA를 우회한 첫 AI 개발 제로데이 익스플로잇 보고

Google 위협 인텔리전스 그룹(GTIG)이 인기 있는 오픈소스 웹 기반 시스템 관리 도구에서 2FA를 우회하는 최초의 완전 AI 개발 제로데이 익스플로잇을 비롯해 스스로 변형하는 멀웨어와 Gemini 기반 백도어를 발견했습니다.

OpenClawRadar