Typeless 事件:把常駐輸入工具當成資安產品來審查
Typeless v0.9.3 的逆向分析引發討論,但重點不只是哪個產品有問題,而是企業導入常駐輸入工具時,應該把它當成資安產品來做最小可行的風險驗證與稽核。
資安
Moltbook「AI 藥物事件」的真相:炒作、配置失誤、與 prompt injection
媒體說「AI 在討論藥物」,但真正的問題是 Supabase 沒開 RLS 導致 150 萬個 token 外洩,加上三種常見的 prompt injection 攻擊型態。這是一個「vibe coding 到 production」的血淋淋教訓。
自架 Git 服務的隱性成本:Gogs 漏洞事件的警訊
Gogs 爆出高風險漏洞、數百台伺服器遭入侵。這件事提醒我們:自架服務省下的錢,可能會在資安事件時一次付清。如果要自架,至少要有基本防線。
黃仁勳:你問 AI 的每個問題,都在暴露公司戰略
NVIDIA CEO 黃仁勳在 Cisco 峰會上說:「我的問題,是對我最有價值的知識產權。」問題反映認知,當你問 AI 什麼,你就暴露了你的技術瓶頸和戰略方向。這就是為什麼 NVIDIA 選擇自建核心 AI。
本機 LLM 不是本機:Ollama 公網曝露的風險
當本機 LLM 服務端點曝露到公網,風險不只算力被偷用,更可能引發資料外洩與整合鏈的連鎖問題。這篇整理我會怎麼看、以及最低限度的防護做法。
AI『潛伏特工』這件事,逼企業把治理從內容稽核升級到行為稽核
所謂 AI 潛伏特工的可怕之處,在於日常測試可能看不出異狀。企業更務實的自保方式,是把資料與行動切開、把高風險動作改成提案制,並建立可追溯性。
你的資料外流,可能不是從 SaaS 開始:Chrome AI 擴充功能的權限紅旗
AI 類瀏覽器擴充功能的真正風險在於權限:它可能讀到你輸入的內容與頁面資料。用 10 分鐘做一次盤點,把最容易出事的入口先收起來。