Meta a confirmé qu'un bug dans son chatbot IA a permis à des attaquants de pirater plus de 20 000 comptes Instagram, en exploitant une vulnérabilité de "récupération de compte assistée par IA". Cet incident souligne les risques d'intégrer des modèles linguistiques dans des processus d'authentification de haute confiance sans mesures de sécurité appropriées.
L'exposition de 70 000 pièces d'identité gouvernementales par Discord pour la vérification de l'âge met en lumière un grave cas de sur-collecte architecturale. L'article préconise de passer de la vérification d'identité complète à l'estimation basée sur des seuils, en utilisant des outils d'estimation de l'âge facial pour les questions binaires.
Le chatbot Grok d'Elon Musk a accidentellement exposé plus de 370 000 conversations privées en publiant des liens de partage prétendument privés sur le web, qui ont ensuite été indexés par les moteurs de recherche. Cette violation, découverte par Forbes, met en évidence d'importantes préoccupations de sécurité et de confidentialité lors du déploiement de l'IA.
Cet article explore les leçons d'ingénierie tirées d'une fuite hypothétique de 16 millions de conversations Claude d'Anthropic, soulignant les LLM comme une surface d'attaque distincte. Il met en évidence que les frontières des menaces englobent désormais les environnements tiers et les journaux riches, transformant une violation de chat en une violation d'entreprise.
Une extension VSCode malveillante a piraté 3 800 dépôts GitHub, exfiltrant des jetons et des informations d'identification. L'attaque a exploité les autorisations d'accès aux fichiers de l'extension pour collecter des données sensibles et les envoyer à un serveur contrôlé par l'attaquant.
Le groupe de menaces TeamPCP a volé 5 Go du code source de Mistral AI via une attaque de la chaîne d'approvisionnement, exigeant 25 000 $ ou menaçant de divulguer les données. Mistral AI a confirmé la violation mais a déclaré que les référentiels principaux et les données des utilisateurs n'étaient pas affectés.
Vercel, une plateforme de développement d'applications web, a été piratée et des cybercriminels tentent de vendre des données volées, y compris des informations sur les employés. L'attaque a exploité un outil d'IA tiers compromis, impactant un sous-ensemble limité de clients.