ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

3 ข่าว

ช่องโหว่ XRING ใน XQUIC ของ Alibaba เปิดทางล่มเซิร์ฟเวอร์ HTTP/3 จากระยะไกล ยังไม่มีแพตช์

XRING flaw in Alibaba XQUIC HTTP/3 QPACK remote crash
นักวิจัยจากบริษัท FoxIO เปิดเผยช่องโหว่ชื่อ XRING ในไลบรารี XQUIC ของ Alibaba ซึ่งเป็นไลบรารี QUIC และ HTTP/3 แบบโอเพนซอร์ส ผู้โจมตีระยะไกลส่งทราฟฟิก QPACK ปกติเพียงราว 260 ไบต์ก็ทำให้เซิร์ฟเวอร์ล่มได้ โดยไม่ต้องล็อกอินและไม่ต้องใช้แพ็กเก็ตผิดรูป ต้นตอคือการคำนวณขนาดบัฟเฟอร์ผิดจนเกิด integer underflow กระทบทุกเวอร์ชันถึง v1.9.4 รวมถึงเว็บเซิร์ฟเวอร์ Tengine ที่รองรับ Taobao และ Alipay ปัจจุบันยังไม่มีแพตช์และยังไม่มี CVE

Alibaba เตรียมแบน Claude Code ในองค์กร อ้างพบความเสี่ยง 'แบ็กดอร์' ตรวจจับเครือข่ายจีน

claude code ai alibaba anthropic ban claude code over alleged embedded backdoor risks claude code
มีรายงานว่า Alibaba เตรียมแบน Claude Code ของ Anthropic ในสภาพแวดล้อมทำงานภายในตั้งแต่ 10 กรกฎาคม 2569 อ้างความเสี่ยงแบ็กดอร์ที่ฝังอยู่ ต้นเรื่องมาจากโพสต์ Reddit ที่อ้างว่า reverse-engineer พบ Claude Code ตั้งแต่เวอร์ชัน 2.1.91 แอบเช็ก proxy และไทม์โซนเทียบกับรายชื่อองค์กรจีน ทีม Claude Code ระบุว่ากลไกนี้ป้องกันการ distillation และการใช้งานมิชอบ และจะถูกถอดออกในเวอร์ชันถัดไป ท่ามกลางความตึงเครียดที่เพิ่มขึ้นระหว่างสองบริษัท

Anthropic กล่าวหา Alibaba 'ลักลอบ' เข้าถึงโมเดล Claude — ชี้เป็นการโจมตี distillation ครั้งใหญ่ที่สุดเท่าที่เคยพบ

Anthropic accuses Alibaba of illicitly accessing Claude AI models in distillation attack
Anthropic ยื่นจดหมายต่อวุฒิสภาสหรัฐกล่าวหาว่า Alibaba และทีม Qwen ลักลอบสกัดความสามารถจากโมเดล Claude เป็นการโจมตี distillation ครั้งใหญ่ที่สุดที่บริษัทเคยพบ ปฏิบัติการช่วง 22 เม.ย.–5 มิ.ย. 2026 สร้างการโต้ตอบกับ Claude กว่า 28.8 ล้านครั้งผ่านบัญชีปลอมเกือบ 25,000 บัญชี เป้าหมายคือความสามารถด้าน software engineering และ agentic reasoning ของโมเดล Mythos Anthropic เตือนว่าโมเดลที่ได้จากวิธีนี้มักขาด guardrail ด้านความปลอดภัย จุดชนวนให้วุฒิสภาเตรียมเสนอกฎหมายคว่ำบาตร