首页Grafana 曝出提示词漏洞,黑客可借此通过 AI 助手窃取敏感企业数据
安全公司 Noma 近日发布了一份研究报告,披露了开源监控和数据可视化平台 Grafana 的 AI 助手功能中存在一个名为“GrafanaGhost”的安全漏洞。该漏洞使攻击者能够利用“间接提示注入”技术,诱骗 AI 助手将敏感的企业数据泄露到外部服务器。
“间接提示注入”:一种隐蔽的数据外泄方法
研究人员解释称,Grafana的内置AI助手允许用户使用自然语言查询和分析监控数据。然而,攻击者可以在Grafana可访问的外部网页中嵌入恶意指令。
当AI助手处理这些受感染的内容时,会被诱骗绕过现有安全控制并发起外部请求。随后,敏感信息将作为URL参数传输至攻击者控制的服务器。由于该过程不会产生明显的错误提示,普通用户往往无法察觉此次数据泄露。
官方回应:已修复非零点击漏洞
针对该漏洞,Grafana Labs首席安全官Joe McManus证实,公司在收到通知后立即发布了修复补丁。他强调了该漏洞的关键限制:
非自动化攻击:这并非“零点击”或自传播型漏洞。
访问前提:攻击者必须先获得用户设备的访问权限,才能与AI助手进行交互。
需多重触发:恶意操作通常需要多次交互,而非单一动作。
Grafana Labs 补充称,目前尚无证据表明该漏洞已在实际环境中被利用,其云服务 Grafana Cloud 也未发现数据泄露事件。该公司建议用户无需过度恐慌,并建议用户持续关注并更新至已修复的安全版本,以维持安全的监控环境。
相关文章
Anthropic的收入大幅增长,其市值接近万亿美元大关
有报告显示,Anthropic在短短几个月内就实现了显著的收入增长。该公司的年化收入现已超过300亿美元,这一数字是去年底时的三倍多。这种增长可能会让Anthropic在竞争中略占优势,不过直接进行比较并不容易。其主要推动力在于Claude Code和Cowork产品,以及其推理模型的代币销售量增加。更值得注意的是,Anthropic的利润率也有了显著提升。该公司的毛利率从2024年的-94%上升到了2025年的+40%,而年化收入也从不到10亿美元增长到了90亿美元。正是这种发展势头,使得A
苹果移除了Cal AI应用程序,原因是该应用存在未经授权的店内购买行为以及欺诈性计费问题。
苹果最近移除了MyFitnessPal中颇受欢迎的人工智能食物追踪应用Cal AI,这一举动凸显了其对App Store关于外部支付和订阅政策的严格执行。该应用每年能带来5000万美元的重复收入,曾因违反多项开发者指南而被暂时下架,但在解决了相关问题后已重新上线。有报道称,尽管Epic Games诉苹果的案件允许美国开发者链接到外部支付系统,但苹果指出Cal AI存在严重的合规问题。其主要违规行为在于:该应用试图通过嵌入Stripe等第三方支付流程来绕过苹果的应用内购买机制以解锁数字内容,却未
Github Copilot的基于令牌的计费方式引发了开发者的强烈不满
微软GitHub Copilot的黄金时代可能即将结束,尤其是对个人用户而言。该公司正从统一的订阅费模式转向基于代币的计费方式,这可能会大幅增加使用成本。虽然大型企业或许还能承受这种变化,但小型企业和自由职业者可能会发现新的收费机制让他们的月预算难以承受。这些变更将于6月1日正式生效,届时用户将按照工作中消耗的代币数量来支付费用,而不再是按每次请求收取固定费用。一些开发者受到这一财务变动的影响,在Reddit和X平台上表达了他们对这种看似过高的成本增加的担忧。一位Redditor最近写道:“
相关专题推荐
图像编辑
免费AI时尚模型生成器:打造逼真的服装设计稿与模特照片
在XIX.AI上,发现2026年最优秀的免费AI时尚模型生成工具。我们精心挑选的这份列表中包含了评分最高、能够颠覆传统的工具,这些工具能够帮助你创建逼真的服装设计稿和模特穿着照片。通过每周更新的排名和实际测试结果,你可以对比免费选项和付费选项。今天就开启你的设计优势吧!
10 个工具
xix.ai
写作
最佳小说AI连贯性编辑工具:自动检测情节漏洞与时间线矛盾
探索2026年最适合小说作家的AI连贯性编辑工具。我们精心筛选的这份高评分清单汇集了强大的工具,能够自动检测情节漏洞和时间线矛盾。通过实际测试和每周更新的排名,对比免费与付费选项。找到最适合您的写作助手,确保叙事无懈可击。立即访问XIX.AI,探索精选推荐。
10 个工具
xix.ai
动画创作
顶级AI故事板生成工具:能够自动将电影剧本转化为动态动画效果
在XIX.AI上,发现2026年最优秀的人工智能故事板生成工具。我们精心挑选的这些高评分工具能够自动将剧本转化为电影风格的动画效果,从而节省您的时间并提升前期制作效率。通过实际测试和每周更新的排名信息,您可以了解免费选项与付费选项的差异。今天就找到最适合您的创意助手吧!
10 个工具
xix.ai
搜索引擎优化
最佳AI重定向与失效链接查找工具:自动修复爬取错误,节省爬取预算
在XIX.AI上,发现2026年最优秀的人工智能重定向工具和失效链接查找工具。我们精心挑选的这些高评分工具能够自动修复爬取错误,从而帮助您节省爬取预算。通过实际测试和每周更新的排名信息,您可以比较免费选项和付费选项,立即找到最适合您的SEO解决方案!
10 个工具
xix.ai
视频创作
播客创作者必备的顶级AI视频制作工具:将音频波形转化为引人入胜的谈话视频
立即访问 XIX.AI,探索 2026 年最适合播客创作者的 AI 视频制作工具。我们精心筛选并广受好评的榜单汇集了多款强大工具,可轻松将您的音频转化为引人入胜的“谈话头”视频。通过实际测试和每周更新的排名,对比免费与付费选项。立即开启您的视觉叙事新优势。
10 个工具
xix.ai
聊天机器人
使用这些角色扮演工具,创作属于你的AI爱情故事
探索2026年最新、最受好评的AI角色扮演工具,打造身临其境的叙事体验。XIX.AI精心整理的这份清单汇集了功能强大、颠覆传统的助手,助您释放创意叙事潜力,挖掘情感深度。通过实际测试对比免费与付费选项。立即开启您的独特旅程。
10 个工具
xix.ai
评论 (0)
0/500
安全公司 Noma 近日发布了一份研究报告,披露了开源监控和数据可视化平台 Grafana 的 AI 助手功能中存在一个名为“GrafanaGhost”的安全漏洞。该漏洞使攻击者能够利用“间接提示注入”技术,诱骗 AI 助手将敏感的企业数据泄露到外部服务器。
“间接提示注入”:一种隐蔽的数据外泄方法
研究人员解释称,Grafana的内置AI助手允许用户使用自然语言查询和分析监控数据。然而,攻击者可以在Grafana可访问的外部网页中嵌入恶意指令。
当AI助手处理这些受感染的内容时,会被诱骗绕过现有安全控制并发起外部请求。随后,敏感信息将作为URL参数传输至攻击者控制的服务器。由于该过程不会产生明显的错误提示,普通用户往往无法察觉此次数据泄露。
官方回应:已修复非零点击漏洞
针对该漏洞,Grafana Labs首席安全官Joe McManus证实,公司在收到通知后立即发布了修复补丁。他强调了该漏洞的关键限制:
非自动化攻击:这并非“零点击”或自传播型漏洞。
访问前提:攻击者必须先获得用户设备的访问权限,才能与AI助手进行交互。
需多重触发:恶意操作通常需要多次交互,而非单一动作。
Grafana Labs 补充称,目前尚无证据表明该漏洞已在实际环境中被利用,其云服务 Grafana Cloud 也未发现数据泄露事件。该公司建议用户无需过度恐慌,并建议用户持续关注并更新至已修复的安全版本,以维持安全的监控环境。
Anthropic的收入大幅增长,其市值接近万亿美元大关
有报告显示,Anthropic在短短几个月内就实现了显著的收入增长。该公司的年化收入现已超过300亿美元,这一数字是去年底时的三倍多。这种增长可能会让Anthropic在竞争中略占优势,不过直接进行比较并不容易。其主要推动力在于Claude Code和Cowork产品,以及其推理模型的代币销售量增加。更值得注意的是,Anthropic的利润率也有了显著提升。该公司的毛利率从2024年的-94%上升到了2025年的+40%,而年化收入也从不到10亿美元增长到了90亿美元。正是这种发展势头,使得A
苹果移除了Cal AI应用程序,原因是该应用存在未经授权的店内购买行为以及欺诈性计费问题。
苹果最近移除了MyFitnessPal中颇受欢迎的人工智能食物追踪应用Cal AI,这一举动凸显了其对App Store关于外部支付和订阅政策的严格执行。该应用每年能带来5000万美元的重复收入,曾因违反多项开发者指南而被暂时下架,但在解决了相关问题后已重新上线。有报道称,尽管Epic Games诉苹果的案件允许美国开发者链接到外部支付系统,但苹果指出Cal AI存在严重的合规问题。其主要违规行为在于:该应用试图通过嵌入Stripe等第三方支付流程来绕过苹果的应用内购买机制以解锁数字内容,却未
Github Copilot的基于令牌的计费方式引发了开发者的强烈不满
微软GitHub Copilot的黄金时代可能即将结束,尤其是对个人用户而言。该公司正从统一的订阅费模式转向基于代币的计费方式,这可能会大幅增加使用成本。虽然大型企业或许还能承受这种变化,但小型企业和自由职业者可能会发现新的收费机制让他们的月预算难以承受。这些变更将于6月1日正式生效,届时用户将按照工作中消耗的代币数量来支付费用,而不再是按每次请求收取固定费用。一些开发者受到这一财务变动的影响,在Reddit和X平台上表达了他们对这种看似过高的成本增加的担忧。一位Redditor最近写道:“
在XIX.AI上,发现2026年最优秀的免费AI时尚模型生成工具。我们精心挑选的这份列表中包含了评分最高、能够颠覆传统的工具,这些工具能够帮助你创建逼真的服装设计稿和模特穿着照片。通过每周更新的排名和实际测试结果,你可以对比免费选项和付费选项。今天就开启你的设计优势吧!
10 个工具
xix.ai
探索2026年最适合小说作家的AI连贯性编辑工具。我们精心筛选的这份高评分清单汇集了强大的工具,能够自动检测情节漏洞和时间线矛盾。通过实际测试和每周更新的排名,对比免费与付费选项。找到最适合您的写作助手,确保叙事无懈可击。立即访问XIX.AI,探索精选推荐。
10 个工具
xix.ai
在XIX.AI上,发现2026年最优秀的人工智能故事板生成工具。我们精心挑选的这些高评分工具能够自动将剧本转化为电影风格的动画效果,从而节省您的时间并提升前期制作效率。通过实际测试和每周更新的排名信息,您可以了解免费选项与付费选项的差异。今天就找到最适合您的创意助手吧!
10 个工具
xix.ai
在XIX.AI上,发现2026年最优秀的人工智能重定向工具和失效链接查找工具。我们精心挑选的这些高评分工具能够自动修复爬取错误,从而帮助您节省爬取预算。通过实际测试和每周更新的排名信息,您可以比较免费选项和付费选项,立即找到最适合您的SEO解决方案!
10 个工具
xix.ai
立即访问 XIX.AI,探索 2026 年最适合播客创作者的 AI 视频制作工具。我们精心筛选并广受好评的榜单汇集了多款强大工具,可轻松将您的音频转化为引人入胜的“谈话头”视频。通过实际测试和每周更新的排名,对比免费与付费选项。立即开启您的视觉叙事新优势。
10 个工具
xix.ai
探索2026年最新、最受好评的AI角色扮演工具,打造身临其境的叙事体验。XIX.AI精心整理的这份清单汇集了功能强大、颠覆传统的助手,助您释放创意叙事潜力,挖掘情感深度。通过实际测试对比免费与付费选项。立即开启您的独特旅程。
10 个工具
xix.ai
