Security(3개 스토리)

Matchlock은 AI 에이전트 워크로드의 보안을 강화하기 위해 설계된 새로운 CLI 도구입니다. 이 도구는 격리되고 일회용인 Linux 마이크로VM 내에서 AI 에이전트를 실행하여, 민감한 자격 증명과 네트워크 접근이 기본적으로 엄격하게 제어되도록 합니다. 이 도구의 아키텍처는 비밀 정보가 VM에 절대 들어가지 못하게 하여, 코드를 실행해야 하는 에이전트에게 안전한 환경을 제공합니다.

VS Code Copilot Chat 확장 프로그램에서 요금 청구를 우회할 수 있는 보안 취약점이 발견되었습니다. 특정 에이전트 정의와 함께 서브 에이전트를 사용하고 "무료" 모델을 활용함으로써 사용자는 무제한의 프리미엄 요청을 할 수 있습니다. 이 취약점은 무료 모델을 초기 에이전트로 구성한 다음, 도구 호출을 통해 서브 에이전트에 프리미엄 모델을 사용하도록 지시하여 값비싼 서비스에 대한 요금을 사실상 무효화합니다.

이 기사는 UEFI Secure Boot 보안을 강화하기 위한 서명된 부트로더가 이를 우회하기 위해 어떻게 악용될 수 있는지 자세히 설명합니다. 저자는 'Super UEFIinSecureBoot Disk' 및 'Silent UEFIinSecureBoot Disk'와 같이 Secure Boot를 비활성화하지 않고도 신뢰할 수 없는 코드나 운영 체제를 실행할 수 있는 부팅 가능한 USB 드라이브를 만드는 방법을 시연합니다. 이는 GRUB과 같은 부트로더를 수정하거나 사용자 정의 사전 로더를 사용하여 서명 확인을 우회함으로써 달성되며, 부트킷 설치에 대한 위험을 초래합니다.