首頁Grafana 曝出提示字元漏洞,駭客可藉此透過 AI 助理竊取企業敏感資料
資安公司 Noma 近期發布了一份研究報告,揭露了開源監控與資料視覺化平台 Grafana 的 AI 助理功能中存在一項名為「GrafanaGhost」的安全漏洞。此漏洞使攻擊者能利用「間接提示注入」技術,誘使 AI 助理將敏感的企業資料外洩至外部伺服器。
「間接提示注入」:一種隱蔽的資料外洩手法
研究人員解釋,Grafana 的內建 AI 助理允許使用者透過自然語言查詢和分析監控數據。然而,攻擊者可將惡意指令嵌入 Grafana 能存取的外部網頁中。
當 AI 助理處理這類遭篡改的內容時,便可能被誘騙繞過現有安全控管機制並發起外部請求。敏感資訊隨後會以 URL 參數的形式傳送至攻擊者控制的伺服器。由於此過程不會產生顯眼的錯誤訊息,一般使用者往往對此入侵行為毫不知情。
官方回應:非零點擊漏洞,現已修補
針對此漏洞,Grafana Labs 首席安全官 Joe McManus 證實,公司於接獲通報後已迅速發布修補程式。他特別強調了此漏洞的關鍵限制:
非自動化攻擊:這並非「零點擊」或能自我傳播的漏洞。
存取先決條件:攻擊者必須先取得用戶裝置的存取權限,才能與 AI 助理進行互動。
需多重觸發:惡意操作通常需要多次互動,而非單一動作。
Grafana Labs 補充說明,目前尚無證據顯示此漏洞已在實際環境中遭惡意利用,且其雲端服務 Grafana Cloud 亦未發現任何資料外洩事件。該公司建議使用者無需過度擔憂,並建議持續監控系統狀態,並更新至已修補的安全版本,以維持安全的監控環境。
相關文章
Anthropic的收入大幅增長,其市值接近萬億美元大關
有報告顯示,Anthropic在短短几個月內就實現了顯著的收入增長。該公司的年化收入現已超過300億美元,這一數字是去年底時的三倍多。這種增長可能會讓Anthropic在競爭中略佔優勢,不過直接進行比較並不容易。其主要推動力在於Claude Code和Cowork產品,以及其推理模型的代幣銷售量增加。更值得注意的是,Anthropic的利潤率也有了顯著提升。該公司的毛利率從2024年的-94%上升到了2025年的+40%,而年化收入也從不到10億美元增長到了90億美元。正是這種發展勢頭,使得A
蘋果移除了Cal AI應用程式,原因是該應用存在未經授權的店內購買行為以及欺詐性計費問題。
蘋果最近移除了MyFitnessPal中頗受歡迎的人工智慧食物追蹤應用Cal AI,這一舉動凸顯了其對App Store關於外部支付和訂閱政策的嚴格執行。該應用每年能帶來5000萬美元的重複收入,曾因違反多項開發者指南而被暫時下架,但在解決了相關問題後已重新上線。有報道稱,儘管Epic Games訴蘋果的案件允許美國開發者連結到外部支付系統,但蘋果指出Cal AI存在嚴重的合規問題。其主要違規行為在於:該應用試圖透過嵌入Stripe等第三方支付流程來繞過蘋果的應用內購買機制以解鎖數字內容,卻未
Github Copilot的基於令牌的計費方式引發了開發者的強烈不滿
微軟GitHub Copilot的黃金時代可能即將結束,尤其是對個人使用者而言。該公司正從統一的訂閱費模式轉向基於代幣的計費方式,這可能會大幅增加使用成本。雖然大型企業或許還能承受這種變化,但小型企業和自由職業者可能會發現新的收費機制讓他們的月預算難以承受。這些變更將於6月1日正式生效,屆時使用者將按照工作中消耗的代幣數量來支付費用,而不再是按每次請求收取固定費用。一些開發者受到這一財務變動的影響,在Reddit和X平臺上表達了他們對這種看似過高的成本增加的擔憂。一位Redditor最近寫道:“
相關專題推薦
迅速的
B2B 潛在客戶開發的最佳 AI 提示詞:自動化銷售外展與 CRM 話術編寫
探索 2026 年最新、最優質的 B2B 潛在客戶開發 AI 提示語。我們精心挑選的頂級精選,能協助您自動化銷售外聯與 CRM 腳本編寫,從而提升轉換率。立即前往 XIX.AI 探索這些強大且具顛覆性的提示語,即刻掌握銷售自動化的競爭優勢。
10 個工具
xix.ai
圖像編輯
免費AI時尚模型生成器:打造逼真的服裝設計稿與模特照片
在XIX.AI上,發現2026年最優秀的免費AI時尚模型生成工具。我們精心挑選的這份列表中包含了評分最高、能夠顛覆傳統的工具,這些工具能夠幫助你建立逼真的服裝設計稿和模特穿著照片。透過每週更新的排名和實際測試結果,你可以對比免費選項和付費選項。今天就開啟你的設計優勢吧!
10 個工具
xix.ai
寫作
最佳小說 AI 情節連貫性編輯工具:自動偵測情節漏洞與時間線矛盾
探索 2026 年最適合小說作家的 AI 情節連貫性編輯工具。我們精心篩選的頂級清單收錄了多款強大工具,能自動偵測情節漏洞與時間線矛盾。透過實際測試與每週更新的排行榜,比較免費與付費選項。找到最適合您的寫作助手,確保敘事無懈可擊。立即前往 XIX.AI 探索精選推薦。
10 個工具
xix.ai
動畫創作
頂級AI故事板生成工具:能夠自動將電影劇本轉化為動態動畫效果
在XIX.AI上,發現2026年最優秀的人工智慧故事板生成工具。我們精心挑選的這些高評分工具能夠自動將劇本轉化為電影風格的動畫效果,從而節省您的時間並提升前期製作效率。透過實際測試和每週更新的排名資訊,您可以瞭解免費選項與付費選項的差異。今天就找到最適合您的創意助手吧!
10 個工具
xix.ai
搜索引擎優化
最佳AI重定向與失效連結查詢工具:自動修復爬取錯誤,節省爬取預算
在XIX.AI上,發現2026年最優秀的人工智慧重定向工具和失效連結查詢工具。我們精心挑選的這些高評分工具能夠自動修復爬取錯誤,從而幫助您節省爬取預算。透過實際測試和每週更新的排名資訊,您可以比較免費選項和付費選項,立即找到最適合您的SEO解決方案!
10 個工具
xix.ai
視頻創作
播客創作者首選的頂尖 AI 影片製作工具:將音訊波形轉化為引人入勝的談話頭像影片
立即前往 XIX.AI,探索 2026 年最適合播客的頂尖 AI 影片製作工具。我們精心挑選並評選出的這份榜單,收錄了多款強大工具,能輕鬆將您的音訊轉化為引人入勝的談話頭像影片。透過實際測試與每週更新的排行榜,比較免費與付費選項的差異。立即解鎖您的視覺敘事優勢。
10 個工具
xix.ai
評論 (0)
0/500
資安公司 Noma 近期發布了一份研究報告,揭露了開源監控與資料視覺化平台 Grafana 的 AI 助理功能中存在一項名為「GrafanaGhost」的安全漏洞。此漏洞使攻擊者能利用「間接提示注入」技術,誘使 AI 助理將敏感的企業資料外洩至外部伺服器。
「間接提示注入」:一種隱蔽的資料外洩手法
研究人員解釋,Grafana 的內建 AI 助理允許使用者透過自然語言查詢和分析監控數據。然而,攻擊者可將惡意指令嵌入 Grafana 能存取的外部網頁中。
當 AI 助理處理這類遭篡改的內容時,便可能被誘騙繞過現有安全控管機制並發起外部請求。敏感資訊隨後會以 URL 參數的形式傳送至攻擊者控制的伺服器。由於此過程不會產生顯眼的錯誤訊息,一般使用者往往對此入侵行為毫不知情。
官方回應:非零點擊漏洞,現已修補
針對此漏洞,Grafana Labs 首席安全官 Joe McManus 證實,公司於接獲通報後已迅速發布修補程式。他特別強調了此漏洞的關鍵限制:
非自動化攻擊:這並非「零點擊」或能自我傳播的漏洞。
存取先決條件:攻擊者必須先取得用戶裝置的存取權限,才能與 AI 助理進行互動。
需多重觸發:惡意操作通常需要多次互動,而非單一動作。
Grafana Labs 補充說明,目前尚無證據顯示此漏洞已在實際環境中遭惡意利用,且其雲端服務 Grafana Cloud 亦未發現任何資料外洩事件。該公司建議使用者無需過度擔憂,並建議持續監控系統狀態,並更新至已修補的安全版本,以維持安全的監控環境。
Anthropic的收入大幅增長,其市值接近萬億美元大關
有報告顯示,Anthropic在短短几個月內就實現了顯著的收入增長。該公司的年化收入現已超過300億美元,這一數字是去年底時的三倍多。這種增長可能會讓Anthropic在競爭中略佔優勢,不過直接進行比較並不容易。其主要推動力在於Claude Code和Cowork產品,以及其推理模型的代幣銷售量增加。更值得注意的是,Anthropic的利潤率也有了顯著提升。該公司的毛利率從2024年的-94%上升到了2025年的+40%,而年化收入也從不到10億美元增長到了90億美元。正是這種發展勢頭,使得A
蘋果移除了Cal AI應用程式,原因是該應用存在未經授權的店內購買行為以及欺詐性計費問題。
蘋果最近移除了MyFitnessPal中頗受歡迎的人工智慧食物追蹤應用Cal AI,這一舉動凸顯了其對App Store關於外部支付和訂閱政策的嚴格執行。該應用每年能帶來5000萬美元的重複收入,曾因違反多項開發者指南而被暫時下架,但在解決了相關問題後已重新上線。有報道稱,儘管Epic Games訴蘋果的案件允許美國開發者連結到外部支付系統,但蘋果指出Cal AI存在嚴重的合規問題。其主要違規行為在於:該應用試圖透過嵌入Stripe等第三方支付流程來繞過蘋果的應用內購買機制以解鎖數字內容,卻未
Github Copilot的基於令牌的計費方式引發了開發者的強烈不滿
微軟GitHub Copilot的黃金時代可能即將結束,尤其是對個人使用者而言。該公司正從統一的訂閱費模式轉向基於代幣的計費方式,這可能會大幅增加使用成本。雖然大型企業或許還能承受這種變化,但小型企業和自由職業者可能會發現新的收費機制讓他們的月預算難以承受。這些變更將於6月1日正式生效,屆時使用者將按照工作中消耗的代幣數量來支付費用,而不再是按每次請求收取固定費用。一些開發者受到這一財務變動的影響,在Reddit和X平臺上表達了他們對這種看似過高的成本增加的擔憂。一位Redditor最近寫道:“
探索 2026 年最新、最優質的 B2B 潛在客戶開發 AI 提示語。我們精心挑選的頂級精選,能協助您自動化銷售外聯與 CRM 腳本編寫,從而提升轉換率。立即前往 XIX.AI 探索這些強大且具顛覆性的提示語,即刻掌握銷售自動化的競爭優勢。
10 個工具
xix.ai
在XIX.AI上,發現2026年最優秀的免費AI時尚模型生成工具。我們精心挑選的這份列表中包含了評分最高、能夠顛覆傳統的工具,這些工具能夠幫助你建立逼真的服裝設計稿和模特穿著照片。透過每週更新的排名和實際測試結果,你可以對比免費選項和付費選項。今天就開啟你的設計優勢吧!
10 個工具
xix.ai
探索 2026 年最適合小說作家的 AI 情節連貫性編輯工具。我們精心篩選的頂級清單收錄了多款強大工具,能自動偵測情節漏洞與時間線矛盾。透過實際測試與每週更新的排行榜,比較免費與付費選項。找到最適合您的寫作助手,確保敘事無懈可擊。立即前往 XIX.AI 探索精選推薦。
10 個工具
xix.ai
在XIX.AI上,發現2026年最優秀的人工智慧故事板生成工具。我們精心挑選的這些高評分工具能夠自動將劇本轉化為電影風格的動畫效果,從而節省您的時間並提升前期製作效率。透過實際測試和每週更新的排名資訊,您可以瞭解免費選項與付費選項的差異。今天就找到最適合您的創意助手吧!
10 個工具
xix.ai
在XIX.AI上,發現2026年最優秀的人工智慧重定向工具和失效連結查詢工具。我們精心挑選的這些高評分工具能夠自動修復爬取錯誤,從而幫助您節省爬取預算。透過實際測試和每週更新的排名資訊,您可以比較免費選項和付費選項,立即找到最適合您的SEO解決方案!
10 個工具
xix.ai
立即前往 XIX.AI,探索 2026 年最適合播客的頂尖 AI 影片製作工具。我們精心挑選並評選出的這份榜單,收錄了多款強大工具,能輕鬆將您的音訊轉化為引人入勝的談話頭像影片。透過實際測試與每週更新的排行榜,比較免費與付費選項的差異。立即解鎖您的視覺敘事優勢。
10 個工具
xix.ai
