安全研究人员发现,GitHub问题标题中的恶意代码通过AI编程助手自动执行,导致约4000台开发者机器被入侵。该漏洞影响未正确清理markdown内容的工具,允许通过特殊构造的问题标题进行命令注入。这暴露了AI编程工具自动执行代码片段时的严重安全风险。
背景
AI编程助手在帮助开发者快速编写代码方面越来越受欢迎,但它们经常自动执行文档和讨论中找到的代码片段。这创造了新的攻击途径,恶意代码可以通过GitHub等可信平台传播。
- 来源
- Hacker News (RSS)
- 发布时间
- 2026年3月6日 00:22
- 评分
- 8.0 / 10