Manus代码遭越狱，季逸超本人回应：“团队一直有开源传统”

近日，推特用户jianxliao发布推文称成功“越狱”了Manus AI的代码，据其透露，他只是简单地要求Manus提供"/opt/.manus/"目录下的文件，系统便直接提供了沙盒运行时代码，并揭示了Manus使用Claude Sonnet模型、配备29个工具且使用了browser_use开源项目等技术细节。Manus联合创始人兼首席科学家季逸超在原推文下迅速回应:“实际上，这并不复杂--沙盒对每个用户都是直接可访问的。并强调，团队一直有开源传统，将在不久的将来开源不少“好东西”。

参考链接：
296K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8X3y4K6k6r3&6F1k6i4N6K6i4K6u0r3j5i4u0@1K9h3y4D9k6g2)9J5c8X3c8W2N6r3q4A6L8s2y4Q4x3V1j5I4y4o6j5I4y4K6V1$3x3K6g2Q4x3@1k6K6M7r3#2Q4x3@1b7I4x3o6l9H3i4K6u0W2x3U0p5I4y4g2)9J5k6e0x3H3x3o6q4Q4x3X3f1#2z5e0t1%4

小心！AI 辅助的虚假 GitHub 存储库窃取敏感数据，包括登录凭据

据观察，一种复杂的恶意软件活动利用人工智能创建欺骗性 GitHub 存储库并分发 SmartLoader 有效负载，最终部署一种危险的信息窃取恶意软件——Lumma Stealer。这种活动借助 GitHub 的可信声誉，成功绕过安全防御，通过 AI 生成的文档和战略性混淆脚本针对寻求游戏模组、破解软件和加密货币工具的用户。

参考链接：
b0dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0P5h3u0W2M7Y4y4W2j5%4g2J5K9i4c8&6L8X3g2%4M7#2)9J5k6h3y4G2L8g2)9J5c8X3q4A6i4K6u0V1j5i4y4K6K9i4y4@1k6h3c8Q4x3X3c8X3j5h3E0W2i4K6u0V1k6$3W2@1K9s2g2T1i4K6u0V1M7X3g2H3L8%4y4A6N6r3!0J5K9h3g2K6i4K6u0V1M7%4c8W2j5h3I4Q4x3X3c8K6k6h3&6K6K9i4c8A6N6X3g2Q4x3X3c8V1j5i4c8S2i4K6u0r3

朝鲜 Lazarus 黑客通过 npm Lazarus 组织发起供应链攻击

近日，Socket 研究团队在 npm（Node 包管理器）上发现六个与朝鲜黑客组织 Lazarus 有关的恶意包，这些程序包累计被下载了 330 次，旨在窃取账户凭据、部署后门并提取敏感的加密货币信息。该组织以向 npm 等软件注册表推送恶意软件包而闻名，通常能够通过这种方式获得有价值网络的初始访问权限，类似的活动也在 GitHub 和 Python 包索引（PyPI）上被发现，Lazarus 利用此访问权限进行大规模破纪录的攻击。

参考链接：
f97K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3L8X3!0J5N6r3S2Q4x3X3c8C8L8%4u0W2j5h3&6Q4x3X3c8D9j5i4A6S2M7Y4g2K6i4K6u0V1K9r3q4U0K9$3g2J5M7#2)9J5k6r3W2F1k6X3g2U0N6q4)9J5k6r3S2#2L8X3c8J5k6h3c8K6i4K6u0V1N6X3W2S2i4K6u0V1L8Y4m8E0i4K6u0V1M7r3q4U0K9$3q4Y4k6i4y4Q4x3V1j5`.

恶意软件通过拼写错误 Go 软件包感染 Linux 和 macOS

软件供应链安全解决方案提供商 Socket 的网络安全研究人员发现了一个令人担忧的新趋势：黑客正越来越多地将目标瞄准使用 Go 编程语言的开发人员。这些攻击者采用一种被称为“拼写错误”的技术，分发伪装成合法 Go 包的恶意软件。这些伪造的包旨在在 Linux 和 macOS 系统上安装隐藏的恶意软件加载程序。

参考链接：
6fbK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5j5h3y4C8M7X3g2S2k6q4)9J5k6h3y4G2L8g2)9J5c8X3#2S2L8s2N6S2M7X3g2Q4x3X3c8A6L8X3k6W2j5%4c8K6i4K6u0V1L8r3W2F1N6i4S2Q4x3X3c8E0j5h3y4G2M7#2)9J5k6s2c8&6M7r3!0K6M7i4g2S2N6s2c8W2k6q4)9J5k6r3N6G2i4K6u0V1M7r3q4U0K9$3q4Y4k6i4y4Q4x3V1j5`.