熱門話題
#
Bonk 生態迷因幣展現強韌勢頭
#
有消息稱 Pump.fun 計劃 40 億估值發幣,引發市場猜測
#
Solana 新代幣發射平臺 Boop.Fun 風頭正勁
這個相當惡劣 - 它欺騙 Antigravity 竊取 .env 檔案中的 AWS 憑證(使用 cat 繞過 .gitignore 限制),然後將它們洩漏到 Antigravity 瀏覽器代理的預設允許清單中包含的 webhooks 調試網站。
2025年11月26日
Top of HackerNews today: our article on Google Antigravity exfiltrating .env variables via indirect prompt injection -- even when explicitly prohibited by user settings!
我所知道的最佳方法是確保任何對編碼代理可見的憑證,例如 AWS 金鑰,都與具有嚴格支出限制的非生產帳戶綁定。
這樣,如果憑證被盜,影響範圍就會受到限制。
307.11K
熱門
排行
收藏