gik|iewicz

szukaj
Temat: Bezpieczeństwo

Zhakowano narzędzia Microsoftu. Hakerzy kradną hasła programistów AI

Microsoft usunął ponad 70 otwartych repozytoriów z GitHub po wykryciu złośliwego kodu kradnącego hasła programistów AI. Atak objął projekty powiązane z platformą Azure oraz narzędziami do automatyzacji zadań programistycznych. TL;DR: Microsoft wyłączył co najmniej 70 otwartych repozytoriów na GitHub po wykryciu złośliwego oprogramowania celującego w deweloperów AI. Hakerzy wprowadzili malware do projektów powiązanych z Azure, […]

Luka w GitHub Claude Code pozwala kraść tokeny CI/CD

Microsoft zidentyfikował lukę bezpieczeństwa w akcji GitHub Claude Code, która pozwala atakującym na kradzież poświadczeń CI/CD. Badacze wykazali, że ataki typu prompt injection mogą manipulować agentami AI kodującymi, uzyskując dostęp do wrażliwych tokenów przechowywanych w potokach programistycznych. TL;DR: Microsoft opublikował raport ujawniający lukę w akcji GitHub Claude Code. Atakujący mogą wykorzystać prompt injection do manipulowania […]

Testuję bezpieczeństwo aplikacji za 1500 dolarów z pomocą LLM

title: „Aplikacja za 1500 dolarów złamana przez sztuczną inteligencję” description: „Test hakowania podatnej aplikacji przez modele LLM za 1500 dolarów. GPT-4 skutecznie exploitował luki, Claude odmawiał ataku. Sprawdź wyniki eksperymentu bezpieczeństwa.” coverImage: „https://gikiewicz.eu/wp-content/uploads/2026/06/zbudowalem-podatna-aplikacje-i-wydalem-1500-dolarow-by-spraw-cover.jpg” date: „2026-06-04” author: „Grzegorz Kikiewicz” category: „bezpieczeństwo” tags: [...]

Kradzież tokena GitHub jednym kliknięciem przez błąd w VSCode

Jak działa atak 1-click na tokeny GitHub w VSCode? Podatność w implementacji webview Visual Studio Code pozwala atakującym na kradzież tokenów OAuth GitHub poprzez nakłonienie ofiary do kliknięcia jednego złośliwego linku. Luka tkwi w mechanizmie obsługi URI w komponencie webview edytora Microsoftu. Atakujący może spreparować adres URL, który po otwarciu w przeglądarce uruchomi lokalną instancję […]

ChatGPT na Macu ma lukę

Luka w aplikacji ChatGPT na macOS pozwalała atakującym na odczytanie pamięci procesu i kradzież danych użytkownika. Badacze z The Verge potwierdzili, że podatność dotyczy wersji aplikacji rozpowszechnianych poza Mac App Store przed wydaniem poprawki szyfrującej. Cyberprzestępcy aktywnie wykorzystują fałszywe linki do instalacji złośliwego oprogramowania na komputerach ofiar. TL;DR: Podatność w natywnej aplikacji ChatGPT na macOS […]

Ponad 30 pakietów npm Red Hat skompromitowanych przez robala Miasma

Firma Red Hat potwierdziła kompromitację ponad 30 pakietów npm w scope @redhat-cloud-services. Atak, nazwany Miasma, wykorzystuje mechanizm samopowielania – robal infikuje kolejne pakiety w ekosystemie, kradnąc poświadczenia deweloperów z AWS, Azure, GCP, Kubernetes, Vault, GitHub Actions oraz usług chmurowych. TL;DR: Ponad 30 pakietów npm w scope @redhat-cloud-services zostało skompromitowanych 1 czerwca 2026 przez robala Miasma. […]

32 złośliwe pakiety npm zaatakowały Red Hat Cloud Services

1 czerwca 2026 roku badacze bezpieczeństwa wykryli 32 złośliwe pakiety npm w oficjalnym zakresie @redhat-cloud-services. Atak oznaczony jako Miasma wykorzystuje mechanizm typu Mini Shai-Hulud do kradzieży poświadczeń chmurowych oraz samoreplikacji w systemach CI/CD. TL;DR: Atak Miasma skompromitował 32 pakiety w zakresie @redhat-cloud-services poprzez przejęcie zaufanego wydawcy OIDC w GitHub Actions. Złośliwy kod w wersji patch-client@4.0.4 […]

Luka w dodatku ChatGPT do Google Sheets — Twoje dane mogą wyciec bez Twojej wiedzy

Luka w dodatku ChatGPT dla Google Sheets pozwala atakującym na cichą eksfiltrację danych z arkuszy kalkulacyjnych. Badacze z SquaredTech udokumentowali wektor ataku omijający zatwierdzanie przez użytkownika, co oznacza, że poufne dane firm mogą trafić do osób niepowołanych bez wiedzy właściciela pliku. TL;DR: Dodatek ChatGPT do Google Sheets zawiera lukę pozwalającą na nieautoryzowany dostęp do arkuszy. […]

Codex omija brak sudo: 5 sposobów na dostęp

Codex CLI w wersji 0.135.0 potrafi obejść brak uprawnień sudo na komputerze użytkownika. Zamiast próbować eskalacji uprawnień przez sudo, narzędzie wykorzystuje mechanizmy piaskownicy (sandbox), edycję plików tekstowych w stylu vim oraz nazwane profile uprawnień. To podejście pozwala na modyfikację środowiska bez hasła administratora. TL;DR: Codex CLI w wersji 0.135.0 oferuje mechanizmy pozwalające na obejście braku […]

RAMPART i Clarity od Microsoftu: 2 narzędzia do testowania bezpieczeństwa agentów AI

Microsoft udostępnił na licencji open source 2 narzędzia – RAMPART i Clarity – które wprowadzają testy bezpieczeństwa bezpośrednio do procesu tworzenia agentów AI. Premiera odbyła się 20 maja 2026 roku na blogu Microsoft Security, a narzędzia trafiły do rąk programistów natychmiast. RAMPART automatyzuje testy red-team w potokach CI, natomiast Clarity weryfikuje założenia projektowe przed napisaniem […]

Token GitHub Actions wyciekał przez błąd Composera – aktualizacja 2.9.8

Packagist, główny rejestr pakietów PHP, zaalarmował społeczność o krytycznej luce w menedżerze pakietów Composer. Błąd powoduje wyciek tokenów GitHub Actions bezpośrednio do logów CI. Aktualizacja do wersji 2.9.8 lub 2.2.28 LTS eliminuje ten problem. TL;DR: Zmiana formatu tokenów przez GitHub ujawniła błąd w czteroletnim wyrażeniu regularnym Composera. Narzędzie wyciekało pełne tokeny GITHUB_TOKEN do logów GitHub […]