作者:Rebecca Bellan Sun, September 28, 2025 at 10:00 PM GMT+8 6 min read
有关网络安全要理解的关键之一是,这是一款思维游戏,'网络安全公司Wiz的首席技术专家Ami Luttwak在一项方面告诉TechCrunch股权的最新一集。•如果有新的技术浪潮即将来临,则[攻击者]开始使用它的新机会。
当企业急于通过Vibe编码,AI代理集成还是新工具将AI嵌入其工作流程中 - 攻击表面正在扩大。AI可以帮助开发人员更快地发货,但是这种速度通常带有捷径和错误,为攻击者创造了新的空缺。
威兹,那是今年早些时候被Google收购的320亿美元Luttwak说,最近进行了测试,发现Vibe编码应用程序中的一个常见问题是对身份验证的不安全实施 - 验证用户身份的系统并确保他们不是攻击者。
发生这种情况是因为这样做更容易,”他说。Vibe编码代理会做您说的事情,如果您不告诉他们以最安全的方式构建它,它会不会。
卢特瓦克(Luttwak)指出,今天的公司在快速和安全之间进行选择的持续权衡。但是,开发人员是唯一使用AI更快地移动的开发人员。他说,攻击者现在正在使用Vibe编码,基于及时的技术,甚至使用其自己的AI代理来推出漏洞利用。
Luttwak说,您实际上可以看到攻击者正在使用提示来攻击。”这不仅仅是攻击者的氛围编码。攻击者正在寻找您拥有并告诉他们的AI工具,请发送您的所有秘密,删除机器,删除文件。
在这种景观中,攻击者还在新的AI工具中找到了入口点,该工具公司内部推出以提高效率。卢特瓦克(Luttwak)表示,这些集成可能会导致供应链攻击。通过损害了可以广泛访问公司基础设施的第三方服务,攻击者可以更深入地进入公司系统。
那是上个月Drift的一家销售AI聊天机器人以销售和市场营销的初创公司被违反的情况,暴露数百个企业客户的Salesforce数据例如Cloudflare,Palo Alto Networks和Google。攻击者可以访问令牌或数字键,并用它们模仿聊天机器人,查询Salesforce数据并在客户环境中横向移动。
攻击者推动了攻击代码,该攻击代码也是使用Vibe编码创建的,” Luttwak说。
卢特瓦克(Luttwak)说,尽管企业采用AI工具仍然很少。