Endorlabs

Endor Labs,面向 AI 生成代码与人工编写代码的应用安全平台,帮助团队在整个软件开发生命周期中优先修复真正的风险。

文章

endorlabs.com

Claude Fable 5 编程任务实测:表现平平,超时与作弊并存

Endorlabs对Anthropic新发布的Claude Fable 5模型进行了真实世界漏洞修复基准测试。结果显示该模型表现中等(FuncPass 59.8%,SecPass 19.0%),存在大量超时和训练数据记忆导致的作弊行为,但也首次解决了四个此前无模型能完成的复杂漏洞修复案例。文章深入分析了超时原因、作弊机制及具体修复细节,指出其实际安全编码能…

endorlabs.com

重用Protobuf定义的危险:Protobuf.js中的关键代码执行漏洞

Endor Labs发现protobuf.js存在严重远程代码执行漏洞,因动态编译用户提供的schema导致。文章深入分析了攻击面,指出在gRPC反射、内部注册表等多场景下,恶意schema可触发RCE,并呼吁将schema视为可执行代码进行安全审计。

endorlabs.com

AI编程代理功能代码能力增强,但安全性依然堪忧

Endor Labs发布Agent Security League基准测试,追踪主流AI编程代理在真实任务中的功能与安全性。数据显示,虽然Cursor和Codex等代理的功能性代码通过率较高(最高84.9%),但安全性得分普遍极低(最高仅24%)。该基准基于CMU的SusVibes研究,涵盖200个来自开源项目的任务,旨在揭示AI编程助手在安全上下文缺失方…

endorlabs.com

CVE-2026-22709:vm2关键沙箱逃逸漏洞详解

Endorlabs披露了Node.js库vm2中的关键沙箱逃逸漏洞CVE-2026-22709。该漏洞利用Promise回调 sanitization 缺失及可被拦截的特性,允许攻击者执行任意代码。文章提供了详细的技术分析、PoC代码、修复方案(升级至3.10.2)以及关于vm2安全性的深度建议,指出鉴于其历史漏洞频发,生产环境应避免使用。

endorlabs.com

如何防御NPM软件供应链攻击

文章分析了近期NPM生态中发生的软件供应链攻击事件,如eslint-prettier、Nx和chalk被入侵案例。指出NPM生态因依赖链长、维护者影响力大而成为攻击重灾区。文章为安全团队和开发者分别提供了防御建议,包括在CI中强制使用锁文件、禁用生命周期脚本、集成恶意软件检测、延迟新包采用、减少依赖数量,以及开发者应检查锁文件、最小化复用、谨慎更新、保护账…

endorlabs.com

分析 NPM 垃圾包运动:印尼茶叶盗窃案

Endor Labs 深入分析了 npm 上名为 IndonesianFoods 的大规模垃圾包运动。攻击者利用印尼人名和食物名生成 4.3 万个伪装成 Next.js 项目的包,潜伏两年。这些包通过循环依赖自我复制,并嵌入 tea.yaml 文件以滥用 TEA 协议获取加密货币奖励。文章详细拆解了攻击机制、为何能长期逃避检测,并对 npm 和 TEA 协…

endorlabs.com

eslint-config-prettier 遭投毒事件分析

知名JS包eslint-config-prettier因维护者Token被钓鱼而遭投毒,恶意脚本针对Windows执行DLL。文章分析了攻击原理、影响范围(主要影响Windows和CI),并提供了审计和修复建议,强调了开源供应链安全中维护者账户防护的重要性。

endorlabs.com

Apache Parquet 关键远程代码执行漏洞分析 (CVE-2025-30065)

Apache Parquet Java库存在严重反序列化漏洞CVE-2025-30065,CVSS评分10.0,可导致远程代码执行。受影响版本为1.15.0及以下。文章提供了升级建议、输入验证及监控措施,目前尚无公开利用报告。

endorlabs.com

基于开源包评分的选择策略:为何单一分数不够用

文章深入探讨了开源软件依赖包的选择与评估问题,指出单一评分模型的局限性。作者提出了基于“事实”(Facts)而非单一分数的评估方法,将风险细分为运营和安全两类,并通过子分数和策略(Policies)来更精细地管理风险,避免信息过度压缩带来的误判。