Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł

przez admin | kwi 28, 2026 | Cyberflux

Pisaliśmy o Comment and Control — badacz Aonan Guan pokazał że Gemini CLI w GitHub Actions jest podatny na wstrzyknięcie przez tytuły zgłoszeń i komentarze. Google odpowiedział że to „znany problem”, wypłacił nagrodę i nie opublikował żadnego...

Nie włamanie do Vercel, tylko skrypt do Roblox. Co łańcuch Context.ai → OAuth → Vercel mówi o tym, że rozszerzenia przeglądarki stały się nowym wektorem dostępu do infrastruktury firmowej

przez admin | kwi 27, 2026 | Cyberflux

Jeden pracownik firmy Context.ai pobierał skrypty do automatycznego grania w Roblox. Kilka tygodni później atakujący miał dostęp do zmiennych środowiskowych infrastruktury Vercel — jednej z największych platform dla deweloperów na świecie, obsługującej miliony wdrożeń...

Nie włamanie przez kod, tylko odgadnięcie URL. Co nieautoryzowany dostęp do Mythos mówi o tym, że ograniczony dostęp to nie to samo co kontrolowany dostęp

przez admin | kwi 27, 2026 | Cyberflux

7 kwietnia 2026 roku Anthropic ogłosił Mythos Preview i Project Glasswing. Tego samego dnia mała grupa użytkowników prywatnego kanału Discord uzyskała dostęp do modelu. Nie przez podatność w infrastrukturze Anthropic. Nie przez zaawansowany atak. Przez odgadnięcie...

Nie koniec kampanii, tylko nowy cel. Co Shai-Hulud i TeamPCP mówią o tym, że narzędzia AI do kodowania stały się nową powierzchnią ataku w łańcuchu dostaw

przez admin | kwi 26, 2026 | Cyberflux

Pisaliśmy o kampanii TeamPCP z 22 kwietnia — skompromitowany skaner bezpieczeństwa KICS jako punkt wejścia, Bitwarden CLI jako ofiara domino, robak propagujący się przez skradzione tokeny GitHub. Teza była: narzędzia DevSecOps mają z założenia dostęp do...

Nie jeden wyścig, tylko dwa modele tej samej decyzji. Co GPT-5.4-Cyber i Mythos Preview mówią o tym, jak AI staje się infrastrukturą cyberbezpieczeństwa

przez admin | kwi 26, 2026 | Cyberflux

15 kwietnia 2026 roku — trzy dni po tym jak Anthropic ogłosił Project Glasswing i ograniczony dostęp do Mythos Preview — OpenAI ogłosił GPT-5.4-Cyber. Inny model, inna firma, ta sama fundamentalna decyzja: zdolności ofensywne w modelu są zbyt duże na nieograniczone...