遠端程式碼執行

Claude桌面扩展因采用无沙箱架构并赋予AI代理完整系统权限，导致基于间接提示注入的零点击远程代码执行漏洞。该漏洞利用MCP协议缺乏信任边界的设计缺陷，使攻击者可通过污染外部数据源实现任意代码执行。尽管风险评级为最高级，厂商以“超出威胁模型”为由拒绝修复，引发对AI时代安全责任划分的广泛争议。此案例凸显AI代理系统在权限控制与输入验证方面的根本性安全隐患。
关键要点包括：
1. 高权限无沙箱架构：Claude DXT作为本地MCP服务器运行，脱离浏览器沙箱，继承用户全部系统权限，形成高风险攻击面。
2. 零点击间接提示注入：攻击者通过在Google日历等合法数据源嵌入恶意指令，诱使AI代理自主获取并误执行，全程无需用户交互。
3. MCP协议信任边界失效：模型上下文协议允许低风险操作输出直接触发高风险系统调用，造成“混淆代理人”漏洞，使AI成为攻击跳板。

CVE-2025-6554 是一个存在于 Google Chrome V8 JavaScript 引擎中的类型混淆（Type Confusion）漏洞。类型混淆是一类常见的内存破坏漏洞，当程序错误地将一种数据类型解释为另一种类型时，可能导致不安全的内存操作,攻击者可在受害者的系统上执行任意代码。

Fortinet 发布FortiOS SSL VPN 高危安全漏洞(漏洞CVE：CVE-2024-21762)可能已被野外利用。

Rapid Software LLC 的工业自动化平台 Rapid SCADA 被发现容易受到多个严重漏洞的影响，造成远程代码执行、未经授权的访问和权限升级的重大风险。网络安全和基础设施安全局 (CISA) 发布了一份公告，详细说明了潜在的漏洞并敦促立即采取行动。

Juniper Networks) 发布安全漏洞公告，修复了SRX系列防火墙和EX系列交换机中的一个严重远程代码执行(RCE) 漏洞，该漏洞编号为 CVE-2024-21591;另外还修复了 Junos OS 和 Junos OS Evolved 中的另一个高危漏洞 (CVE-2024-21611),该漏洞同样可以被未经身份验证的网络攻击者利用,造成拒绝服务攻击。

美国网络安全和基础设施安全局（CISA）发布6个已被利用的漏洞，涉及厂商Apple、Apache、Adobe、D-Link、Joomla！等，CVE-2023-41990漏洞已被苹果修复，但仍被未知攻击者利用。建议受影响进行漏洞修复，以保护其网络安全。

Apache Struts 程式碼執行漏洞(CVE-2023-50164)，攻擊者可以控製文件上傳參數執行路徑遍歷，在某些情況下可以上傳惡意文件，從而執行任意程式碼。