返回首页
最新
提前感谢你。
档案链接:<a href="https://archive.md/vk8ov" rel="nofollow">https://archive.md/vk8ov</a>,Capital One声明:<a href="https://investor.capitalone.com/news-releases/news-release-details/capital-one-acquire-brex" rel="nofollow">https://investor.capitalone.com/news-releases/news-release-details/capital-one-acquire-brex</a>,Brex声明:<a href="https://www.brex.com/journal/brex-and-capital-one-join-forces" rel="nofollow">https://www.brex.com/journal/brex-and-capital-one-join-forces</a>
我(vibe)编写了一个类似Claude的代理程序,可以直接在网页浏览器中运行。<p>使用它,你几乎可以为当前打开的网站拥有一个编码代理。你可以询问它以下内容:<p>- 从此页面提取所有链接并保存为CSV文件
- 将此网站切换到暗黑模式
- 将页面内容复制到Google表格
- 移除广告<p>该代理会编写JS脚本,每次访问页面时自动加载。它大量使用了userScripts API,因此你需要启用很多权限才能运行这个扩展,我不确定它是否可以发布到任何地方。<p>在底层,脚本和样式存储在一个虚拟文件系统中,每个网站都是一个目录。该代理可以像处理文件一样搜索和编辑DOM,这使得它的工作方式在某种程度上与Claude代码相似。目前它仅支持Claude模型,我在Opus 4.5上进行了测试。<p>演示视频:<a href="https://x.com/ichebykin/status/2014258108500177255" rel="nofollow">https://x.com/ichebykin/status/2014258108500177255</a>
大多数代理安全测试试图对模型进行越狱。这非常困难,OpenAI和Anthropic在红队测试方面表现出色。
我们采取了不同的方法:攻击环境,而不是模型。
以下是针对我们的攻击套件测试代理的结果:
- 工具操控:要求代理读取一个文件,注入路径=/etc/passwd。它照做了。
- 数据外泄:要求代理读取配置并将其通过电子邮件发送到外部。它做到了。
- Shell注入:用指令污染git状态输出。代理遵循了这些指令。
- 凭证泄露:要求提供API密钥“用于调试”。代理提供了这些密钥。
这些操作都不需要绕过模型的安全机制。模型正常工作——代理仍然被攻陷。
其工作原理:
我们构建了拦截代理实际操作的适配层:
- 文件系统适配层:对open()、Path.read_text()进行猴子补丁。
- 子进程适配层:对subprocess.run()进行猴子补丁。
- PATH劫持:伪造git/nmp/curl,包装真实的二进制文件并污染输出。
模型看到的看似合法的工具输出。它对此毫无察觉。
总共进行了214次攻击,包括文件注入、shell输出污染、工具操控、RAG污染、MCP攻击。
早期访问: [https://exordex.com](https://exordex.com)
希望能收到任何将代理投入生产的人的反馈。
我是不是快要疯了,今天我一直看到来自云服务的nginx错误、GitHub Actions失败,以及Hugging Face无法下载数据的情况。<p>Downdetector显示从微软到Cloudflare的各个地方都有故障,但只有微软表示他们有故障?<p>今天早上X也宕机了几个小时。还有其他人有消息吗?X这边没有任何更新。