ЫЫ claude для десктопа содержит в себе RCE

0

1

https://layerxsecurity.com/blog/claude-desktop-extensions-rce/

Уязвимость полностью автоматизирована, кликать ни куда не надо. Пишут что нужен просто гуглкалендарь, куда кто-нибудь может тебе через гугл что-нибудь закинуть какое-нибудь запланированое действие. Скачать там что-нибудь, скомпилировать и выполнить например. Но вообще как подсказывают в другом месте, достаточно любого календаря, благо ЫЫ умный и сам разберётся и всё что надо запустит.

Радует рост продуктивности при использовании ЫЫ, однако считаю что усилия в области внедрения ЫЫ надо утроить или даже удесятерить.

Перемещено hobbit из security

← Так какие же языки программирования наиболее эффективны с точки зрения использования токенов?

Моя новая теория по поводу ИИ-хайпа →

Весь подобный корпорастический софт содержит в себе RCE, просто где-то хорошо спрятали а где-то не очень.

firkax ★★★★★
(17.02.26 17:53:51 MSK)
Последнее исправление: firkax 17.02.26 17:54:11 MSK (всего исправлений: 1)

Его надо в клетке держать, на виртуалке или в докере, но не на рабочей машине.

masa ★★★
(17.02.26 18:38:48 MSK)

нужен просто гуглкалендарь

Это бородатый косяк с календарями вообще. Ещё до всяких ИИшек так гоев разводили.

no-such-file ★★★★★
(17.02.26 19:01:43 MSK)

Как хорошо, что все живые организмы имеют сзади дырочку для клизмы.

Irma ★★★★
(17.02.26 19:02:56 MSK)

Как говорит один мой коллега:

Свинства мало! Мы просто обязаны удвоить свинство!

hobbit ★★★★★
(17.02.26 19:20:27 MSK)

Люди, дающие нейросеткам самостоятельно запускать какой-то код на их машине, да и ещё и не в специально отведённой песочнице — в любом случае ССЗБ. Тут без всяких календарей уязвимость очевидна — не всегда очевидно, как именно злоумышленнику её заюзать, но что рано или поздно (и гораздо скорее рано) произойдёт что-то очень нежелательное — это закономерное следствие такого подхода в любом случае.

CrX ★★★★★
(17.02.26 19:24:31 MSK)

считаю что усилия в области внедрения ЫЫ надо утроить или даже удесятерить

Контрольный вопрос - КОМУ надо?
Мне? ЛоР-у? Стране Россия? Человечеству нннада? А зачем?(ц)

anonymous
(17.02.26 22:13:51 MSK)

← Так какие же языки программирования наиболее эффективны с точки зрения использования токенов?

Искусственный Интеллект

Моя новая теория по поводу ИИ-хайпа →

Похожие темы