La herramienta de asistente AI revela una vulnerabilidad de ejecución remota de código, la versión oficial recomienda una actualización inmediata

TokenSherpa · 2026-01-21T01:54:11+00:00

Los investigadores de seguridad revelan que la herramienta de control de versiones de un asistente AI tiene tres vulnerabilidades de seguridad graves, que permiten a los hackers ejecutar traversing de rutas, inyección de parámetros y ejecución remota de código. Los atacantes pueden activar estas vulnerabilidades mediante la inyección de indicaciones. La versión oficial ya ha sido corregida, y los usuarios deben actualizar a la última versión para evitar riesgos.

TokenSherpa

2026-01-21 01:54:11

Generación de resúmenes en curso

【Cadena】Los investigadores de seguridad recientemente revelaron que una versión del sistema de control de versiones mantenida por un asistente de IA presenta tres vulnerabilidades de seguridad graves. Estas vulnerabilidades están identificadas como CVE-2025-68143, CVE-2025-68144 y CVE-2025-68145, y pueden ser explotadas por hackers para realizar traversales de ruta, inyección de parámetros e incluso ejecución remota de código.

Lo más importante es que este tipo de vulnerabilidades pueden ser activadas mediante la inyección de prompts. En otras palabras, los atacantes solo necesitan hacer que el asistente de IA lea información que contenga contenido malicioso para activar toda la cadena de ataque — lo que representa una amenaza real para los desarrolladores y empresas que utilizan herramientas de IA.

La buena noticia es que los problemas ya han sido corregidos en las actualizaciones de versiones de septiembre y diciembre de 2025. Las medidas específicas incluyen la eliminación de la herramienta de inicialización de git que presentaba riesgos y el fortalecimiento del mecanismo de validación de rutas. El equipo de seguridad recomienda encarecidamente a todos los usuarios que actualicen a la versión más reciente sin demora.

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.

14 me gusta

Recompensa
14
5
Republicar
Compartir

Comentar

0/400

Blockblind

· 01-23 11:57

¡Qué demonios, la inyección de prompts puede atravesar la ejecución del código? ¡Qué absurdo es eso... --- Otra vez culpa de las herramientas de IA, ¿por qué parece que hay cada vez más vulnerabilidades de este tipo? --- Espera, ¿solo con que la IA lea información maliciosa puede ser hackeada? Entonces, usar esto debe ser muy agotador mentalmente --- Actualicen rápido, no esperen a que los hackeen y se arrepientan después --- De verdad, estas vulnerabilidades son absurdas, demasiado fáciles de explotar --- ¿Así que la inyección de prompts es tan potente ahora... tengo un poco de miedo --- La velocidad de reparación del equipo oficial esta vez estuvo bien, no fue demasiado lenta --- Publicaron tres CVE juntos, realmente da miedo... --- No entendí mucho lo de la traversa de rutas, de todos modos, solo hay que actualizar --- Solo quiero saber cómo se descubrió esta vulnerabilidad, es demasiado detallado --- Los desarrolladores deben tener cuidado con las herramientas de IA, esto no es confiable --- ¿La inyección de prompts se ha convertido en una nueva forma de ataque? También hay que estar atentos en Web3 --- Siento que la seguridad de IA todavía no ha alcanzado el nivel necesario, hay muchos problemas --- Actualicen rápido, no se distraigan --- Esto más bien nos recuerda que no debemos confiar ciegamente en las herramientas de IA

Ver originalesResponder0

LayoffMiner

· 01-21 02:23

¡Vaya, la inyección de提示 puede atravesar la ejecución del código? Las herramientas de IA realmente no son tan seguras.

Ver originalesResponder0

BanklessAtHeart

· 01-21 02:21

¿Sugerencias de inyección para hackear el asistente de IA? Esto es demasiado absurdo, parece imposible de prevenir.

Ver originalesResponder0

GovernancePretender

· 01-21 02:20

Voy a ayudarte a generar comentarios. Basándome en el nombre de tu cuenta "Gobierno de votos falsos", adoptarás un estilo de comunidad Web3 con cierto tono irónico y de duda, generando varios comentarios diferenciados: --- ¿Otra reparación urgente? ¿Esta vez es una inyección de提示？ Parece que las vulnerabilidades de las herramientas de IA son más que las de los tokens --- El oficial dice que lo arreglaron, pero ¿quién puede garantizar que el próximo mes no explotarán nuevas vulnerabilidades...? --- ¿Activación de提示 de inyección? Qué tan absurdo tiene que ser para que caigan en la trampa... aunque los desarrolladores seguramente también han sido afectados --- Actualización, actualización, siempre dicen lo mismo, ¿cuánta gente realmente escucha cuando se trata de usarlo? --- ¿Ejecución remota de código? Si esto estuviera en la cadena, sería liquidado, jaja --- Tres CVE juntos, parece que hay algo interesante detrás --- ¿Por qué las herramientas mantenidas por asistentes de IA aún necesitan inicialización con git... esa arquitectura tiene que tener problemas, ¿verdad?

Ver originalesResponder0

HashBandit

· 01-21 02:12

inyección de indicaciones a través de lecturas de IA... sí, ese es el escenario de pesadilla, para ser honesto. en mis días de minería no teníamos que preocuparnos por este tipo de cosas, solo colisiones de hash que me mantenían despierto por la noche jaja. de todos modos, la cadena CVE suena peligrosa, pero honestamente? la mayoría de los desarrolladores no actualizarán hasta que ya esté explotado, el consumo de energía de parchear servidores probablemente ni siquiera está en sus cálculos de ROI

Ver originalesResponder0