The pressure
Simon Willison's Weblog6d agoCommentaryDaniel Stenberg says the curl security team is facing an unprecedented surge of credible, detailed AI-assisted vulnerability reports. Incoming reports are now 4-5 times higher than in 2024 and twice the 2025 rate, averaging more than one per day. The upside is that recent curl vulnerabilities have generally been LOW or MEDIUM severity, with the last HIGH CVE published in October 2023.
Import AI 457: AI stuxnet; cursed Muon optimizer; and positive alignment ★ 78
Import AI (Jack Clark)15d agoCommentary本期 Import AI 深入探討三個前沿議題:首先是「AI 版 Stuxnet」,分析自主 AI 代理如何被用於發動高精準度、具備適應性的網路攻擊;其次剖析近期在開源社群大放異彩的 Muon 優化器,探討其獨特的正交化機制及在實際應用中遇到的「詛咒」與挑戰;最後介紹「積極對齊(Positive Alignment)」概念,呼籲安全研究應從單純的「禁止有害行為」轉向「主動引導 AI 促進人類合作與福祉」。
v0: vibe coding, securely★ 75
Vercel Changelog302d agoReleaseVercel 針對旗下 AI 網頁生成工具 v0 推出安全更新。隨著「氛圍編程(Vibe Coding)」流行,開發者常直接運行 AI 生成的代碼,這帶來了潛在的安全風險。本次更新重點在於提供安全的沙盒執行環境、防範惡意套件注入、以及更安全地管理 API 金鑰與環境變數,讓用戶在快速迭代的同時,無需擔心安全漏洞。
The rise of the AI crawler★ 75
Vercel Changelog532d agoCommentary隨著 AI 搜尋與 LLM 的普及,AI 爬蟲(如 GPTBot、ClaudeBot)的流量在 2024 年呈現爆發式成長。這不僅帶來了伺服器成本上升與資料被無償抓取的隱憂,也改變了傳統的 SEO 遊戲規則。Vercel 在本文中深入分析了這股趨勢,並分享開發者如何透過 robots.txt、Vercel 防火牆與 Edge Middleware 來有效監控、限制或阻擋這些 AI 爬蟲,在保護網站資產與獲取 AI 搜尋曝光之間取得平衡。
Hugging Face partners with TruffleHog to Scan for Secrets★ 70
Hugging Face Blog636d agoReleaseHugging Face 與開源安全掃描工具 TruffleHog 的開發商 Truffle Security 達成合作。此項合作旨在自動掃描 Hugging Face 平台上的所有儲存庫(包括模型、數據集和 Spaces),以偵測並清除不小心上傳的敏感憑證與 API 金鑰。這項主動防禦機制將大幅提升 AI 開源社群的資安防護水準,避免開發者因疏忽而造成重大損失。
AI Watermarking 101: Tools and Techniques★ 75
Hugging Face Blog827d agoTutorial隨著 AI 生成內容爆發,如何識別「AI 製造」成為關鍵。Hugging Face 發布的這篇指南深入探討了 AI 水印技術,涵蓋文字生成(如透過調整 Token 機率分佈的綠名單機制)與影像生成(如 Stable Signature 等隱形潛在空間水印)。文章不僅介紹了現有的開源工具,也客觀分析了水印技術在對抗剪裁、改寫等攻擊時的魯棒性限制與未來挑戰。