`gokrazy/rsync`, 최근 `rsync` 취약점을 Go 메모리 안전성으로 회피

// related

• #0001

  #0001기타Simon Willison7시간 전

  AI 보안 리포트 폭증에 `curl` 메인테이너 압박 커짐

  AI-assisted security reports are overwhelming `curl` maintainers

  40radar

  AI가 보안 리포트의 양과 질을 동시에 끌어올리면서 병목은 버그 발견이 아니라 검증·분류로 이동했다. 공개 프로젝트 운영 비용을 다시 계산해야 할 신호다.

  • —curl 보안 리포트 유입은 2024년 대비 4-5배, 하루 평균 1건 이상으로 늘었다.
  • —리포트 품질도 올라갔다. 자세하고 신뢰도 높은 제보는 노이즈를 줄이지만 검토 시간을 크게 먹는다.
  • —최근 몇 년간 curl 취약점은 LOW 또는 MEDIUM 등급. 발견량 증가가 곧 치명도 상승은 아니다.
  • —오픈소스 라이브러리나 공개 API를 운영한다면 AI 제보를 받을 triage 규칙부터 정해야 한다.

  출처: simonwillison.net/2026/May/26/the-pressure/#atom-everyth원문 보기 →
• #0002

  #0002기타GeekNews15시간 전

  `Shamir Secret Sharing` 작동 방식

  How `Shamir Secret Sharing` Works

  50radar

  하나의 비밀을 여러 조각으로 나누고 임계값 이상이 모일 때만 복구한다. 마스터 키·계정 복구·팀 백업처럼 단일 보관자가 위험할 때 바로 쓸 만한 패턴.

  • —Shamir Secret Sharing은 임계값 방식이다. 필요한 조각 수보다 적으면 비밀 정보가 드러나지 않음이 전제다.
  • —회사 마스터 키나 가족 계정 복구처럼 한 명이 전체 키를 들고 있으면 사고 지점이 너무 선명해진다.
  • —일부 조각을 잃어도 복구 가능하게 설계할 수 있어, 백업과 권한 분산을 동시에 챙기는 운영 기법이다.

  출처: news.hada.io/topic?id=29898원문 보기 →
• #0003

  #0003기타Simon Willison16시간 전

  `Microsoft Copilot Cowork`, 프롬프트 인젝션으로 파일 유출 가능

  `Microsoft Copilot Cowork` File Exfiltration via Prompt Injection

  50radar

  Copilot CoworkMicrosoft 365 에이전트 도구 — 업무 작업을 대신 수행

  에이전트가 보낸 이메일이 데이터 유출 경로가 됐다. 외부 이미지 렌더링과 OneDrive 사전 인증 링크가 만나면 파일 접근 권한은 즉시 공격면이 된다.

  • —Copilot Cowork는 사용자 본인 inbox로 승인 없이 이메일을 보낼 수 있어, 공격자가 우회 송신 채널로 악용 가능했다.
  • —외부 이미지는 열람 시 네트워크 요청을 만든다. 메시지 렌더링만으로 데이터 exfiltration이 성립한다.
  • —OneDrive 사전 인증 다운로드 링크가 새면 추가 로그인 없이 파일을 받을 수 있어 피해 범위가 커진다.
  • —파일 접근, 메시지 전송, 웹 콘텐츠 렌더링을 함께 가진 에이전트는 기본 차단과 명시 승인 흐름이 맞다.

  출처: simonwillison.net/2026/May/26/copilot-cowork-exfiltrates원문 보기 →