AI OSINT

经过筛选的 OSINT 资源，用于发现暴露的 AI 基础设施——用于 LLM、AI 代理和 ML 管道侦察的搜索语法、查询、工具与技术。

`187,000+ Ollama 服务器暴露` · `370,000+ Grok 对话已索引` · `AI 凭证泄露同比增长 81%` · `1.5 亿+ MCP 下载受系统性 RCE 影响` · `30 万+ ChatGPT 凭证在暗网流通`

现在也涵盖 MCP 供应链攻击（系统性 STDIO RCE、市场中毒）、AI IDE exploitation（Copilot YOLO 模式、Windsurf 零点击）、AI 模型泄露事件（Claude Code 源码地图、DeepSeek ClickHouse 暴露）、AI 辅助漏洞发现（Mythos/Glasswing）以及 ChatGPT 数据外泄技术。 ## 为何存在此项目 组织部署 LLM、向量数据库和 AI 代理的速度快于其安全防护能力。结果如下： - **Ollama、vLLM、Gradio** — 默认出厂无身份验证 - **ChatGPT、Grok** — 共享对话被搜索引擎索引，附带 API 密钥、密码、PII - **MCP 服务器** — 暴露的代理网关，提供 Shell 访问、文件系统访问和存储的凭证 - **Qdrant、ChromaDB、MLflow** — 开箱即用无身份验证，暴露嵌入、模型与实验 - **AI IDE（Copilot、Cursor、Windsurf）** — 提示注入可触发 YOLO 模式，跨工作站产生可传播的 RCE - **MCP 供应链** — 11 个 MCP 市场中有 9 个在概念验证中被污染；1.5 亿+ 下载受系统性 RCE 影响 - **AI 代码执行沙箱** — DNS 旁道可绕过出站网络防护，实现静默数据外泄 本仓库为红队操作员与 OSINT 专业人员提供精确的查询语句以查找上述所有内容。 **灵感来源：** [7WaySecurity/cloud_osint](https://github.com/7WaySecurity/cloud_osint) ## 📋 目录 | 章节 | 你将找到的内容 | |---|---| | [Google Dorks](#-google-dorks) | ChatGPT、Grok、HuggingFace、仪表盘与配置文件查询 | | [GitHub Dorks](#-github-dorks) | 20 多家 AI 提供商的泄露 API 密钥、MCP 配置与系统提示 | | [Shodan 查询](#-shodan-queries) | Ollama、vLLM、OpenClaw、Gradio、向量数据库、MLflow、Jupyter | | [Censys 查询](#-censys-queries) | 适用于所有 AI 服务的替代引擎查询 | | [AI 服务端点](#-ai-service-endpoints) | URL 模式、默认端口、API 指纹识别 | | [API 密钥模式](#-api-key-patterns) | 前缀、正则表达式与每种主流 AI 提供商的校验 | | [向量数据库侦察](#-vector-database-reconnaissance) | 用于枚举 Qdrant、Weaviate、ChromaDB、Milvus 的端点 | | [MCP 与代理暴露](#-mcp--ai-agent-exposure) | AI 安全中最关键的新兴攻击面 | | [威胁情报](#-threat-intelligence) | Operation Bizarre Bazaar、Clawdbot 危机、MCP 供应链 | | [工具](#-tools) | 仅限 AI 专用扫描器、红队框架、密钥检测器 | | [检测规则](#-detection-rules) | 用于监控 AI 基础设施的 Sigma 规则 | ## 🔍 Google Dorks ### 暴露的 AI 对话与凭证 ``` # Grok (xAI) — 370K+ conversations indexed, NO opt-out for indexing site:grok.com/share "password" site:grok.com/share "API key" site:grok.com/share "secret" site:grok.com/share "token" site:grok.com/share "credentials" site:grok.com/share "keyword" # ChatGPT — Feature removed Aug 2025, cached results diminishing # Try on DuckDuckGo which continued indexing after Google stopped site:chatgpt.com/share "API key" site:chatgpt.com/share "sk-proj" site:chatgpt.com/share "password" site:chatgpt.com/share "AWS_SECRET" # Perplexity AI site:perplexity.ai/search "API key" site:perplexity.ai/search "password" # Claude (Anthropic) — ~600 convos indexed by Google, 143K+ on Archive.org # 🔥 Original dork by 7WaySecurity site:claude.ai "public/artifacts" site:claude.ai/share "API key" site:claude.ai/share "sk-ant" site:claude.ai/share "password" site:claude.ai/share "AWS" site:claude.ai/share ".env" site:web.archive.org "claude.ai/share" # HuggingFace Spaces — keys hardcoded in public Git repos site:huggingface.co/spaces "sk-proj" site:huggingface.co/spaces "OPENAI_API_KEY" site:huggingface.co/spaces "os.environ" site:huggingface.co/spaces "st.secrets" ``` ### 暴露的 AI 仪表盘 ``` intitle:"MLflow" inurl:"/mlflow" intitle:"Label Studio" inurl:"/projects" intitle:"Jupyter Notebook" inurl:"/tree" -"Login" intitle:"Kubeflow" inurl:"/pipeline" intitle:"Airflow - DAGs" intitle:"Gradio" inurl:":7860" intitle:"Streamlit" inurl:":8501" intitle:"Open WebUI" "ollama" intitle:"Qdrant Dashboard" intitle:"ComfyUI" intitle:"Stable Diffusion" intitle:"LiteLLM" "proxy" ``` ### AI 配置与凭证文件 ``` filetype:env "OPENAI_API_KEY" filetype:env "ANTHROPIC_API_KEY" filetype:env "HUGGINGFACE_TOKEN" filetype:env "GROQ_API_KEY" filetype:env "PINECONE_API_KEY" filetype:env "WANDB_API_KEY" filetype:env "DEEPSEEK_API_KEY" filetype:env "OPENROUTER_API_KEY" filetype:yaml "openai" "api_key" filetype:json "anthropic" "api_key" ``` ### MCP 服务器配置暴露（v1.2.0） ``` # MCP server configs with embedded secrets (systemic RCE — Ox Security, April 2026) site:github.com "mcpServers" "args" filetype:json site:github.com "mcp.config" "apiKey" site:github.com ".cursor" "mcpServers" filetype:json site:github.com "windsurf" "mcp" "config" filetype:json # Claude Code leak artifacts site:github.com "claude-code" "leaked" "source" # VS Code YOLO mode (CVE-2025-53773) site:github.com "chat.tools.autoApprove" "true" filetype:json ``` ## 🐙 GitHub Dorks ### GitHub 上的 AI API 密钥 ``` # OpenAI (project keys — current format since April 2024) "sk-proj-" path:*.env "sk-proj-" path:*.py "OPENAI_API_KEY" path:*.env NOT "your_key" NOT "example" # Anthropic "sk-ant-api03" path:*.env "ANTHROPIC_API_KEY" path:*.env # Google AI / Gemini "AIzaSy" path:*.env "generativelanguage" "GOOGLE_API_KEY" path:*.env "gemini" # HuggingFace "hf_" path:*.env "HF_TOKEN" path:*.env # Groq "gsk_" path:*.env "GROQ_API_KEY" path:*.env # Replicate "r8_" path:*.env "REPLICATE_API_TOKEN" path:*.env # Vector DBs & MLOps "PINECONE_API_KEY" path:*.env "QDRANT_API_KEY" path:*.env "WANDB_API_KEY" path:*.env ``` ### MCP 与代理配置泄露 ``` path:mcp.json "api_key" path:mcp.json "token" path:.cursor/mcp.json "mcpServers" path:*.json "apiKey" "mcpServers" path:*.json "OPENAI_API_KEY" ``` ### 系统提示与训练数据 ``` "system_prompt" path:*.py "you are" "SYSTEM_PROMPT" path:*.env path:prompts.yaml "system" path:train.jsonl "prompt" "completion" path:dataset.jsonl "instruction" "output" ``` ### MCP 与 AI IDE 配置利用（v1.2.0） ``` # MCP STDIO configs (systemic RCE — 10+ CVEs) path:*.json "mcpServers" "command" "args" path:.vscode/settings.json "chat.tools.autoApprove" "true" # Claude Code attack vectors "CLAUDE.md" "permission" "allow" # DeepSeek keys path:*.env "DEEPSEEK_API_KEY" "DEEPSEEK_API_KEY" NOT "your_key" NOT "example" ``` ## 🔭 Shodan 查询 ### 自托管 LLM ``` # Ollama — 240,000+ exposed instances worldwide port:11434 product:"Ollama" port:11434 http.html:"Ollama" port:11434 "api/tags" # vLLM / OpenAI-compatible port:8000 "openai" "model" http.title:"FastAPI" port:8000 "/v1/models" # LM Studio port:1234 "/v1/models" # llama.cpp port:8080 "llama" "completion" ``` ### AI 代理网关 — 关键 ``` # OpenClaw/Clawbot — 4,000+ on Shodan, many with zero auth # Enables RCE via prompt injection, API key theft, reverse shells http.title:"Clawdbot Control" port:18789 http.title:"OpenClaw" port:18789 port:18789 "api/v1/status" port:18789 "auth_mode" ``` ### Gradio 与 Streamlit 应用 ``` http.title:"Gradio" port:7860 http.title:"Streamlit" port:8501 http.title:"Stable Diffusion" port:7860 http.title:"ComfyUI" ``` ### 向量数据库 ``` # Qdrant — NO auth by default port:6333 "qdrant" port:6333 "/collections" # Weaviate port:8080 "weaviate" # Milvus port:19530 "milvus" ``` ### MLOps 与笔记本 ``` # MLflow — CVE-2026-0545 (CVSS 9.1) RCE, no auth by default http.title:"MLflow" port:5000 # Jupyter — ~10,000+ on Shodan, targeted by botnets http.title:"Jupyter Notebook" port:8888 -"Login" http.title:"JupyterLab" port:8888 # TensorBoard http.title:"TensorBoard" port:6006 ``` ### MCP 与 AI 代理网关（v1.2.0） ``` # MCP endpoints (systemic RCE — Ox Security) http.html:"mcp" "tools" port:3000 http.html:"Model Context Protocol" port:8080 # nginx-ui MCP (CVE-2026-33032 — actively exploited, CVSS 9.8) http.title:"Nginx UI" port:443 # Flowise (CVE-2026-40933) http.title:"Flowise" port:3000 # vLLM (LLMjacking target) http.html:"vLLM" port:8000 # Open WebUI http.title:"Open WebUI" port:3000 # LiteLLM Proxy http.title:"LiteLLM" port:4000 # DeepSeek-style ClickHouse exposure product:"ClickHouse" port:8123 ``` ## 🌐 Censys 查询 ``` # Ollama (Censys found 25%+ on non-default ports) services.port=11434 AND services.http.response.body:"Ollama" # Gradio services.port=7860 AND services.http.response.html_title:"Gradio" # OpenClaw services.port=18789 AND services.http.response.body:"Clawdbot" # Vector DBs services.port=6333 AND services.http.response.body:"qdrant" services.port=8080 AND services.http.response.body:"weaviate" # MLOps services.port=5000 AND services.http.response.html_title:"MLflow" services.port=8888 AND services.http.response.html_title:"Jupyter" ### MCP & New AI Infrastructure (v1.2.0) # MCP endpoints services.http.response.body:"Model Context Protocol" AND services.port=3000 # Flowise (CVE-2026-40933) services.http.response.html_title:"Flowise" AND services.port=3000 # vLLM (LLMjacking target) services.http.response.body:"vLLM" AND services.port=8000 # nginx-ui MCP (CVE-2026-33032 — actively exploited) services.http.response.html_title:"Nginx UI" AND services.port=443 # ClickHouse exposure (DeepSeek-style) services.port=8123 AND services.http.response.body:"ClickHouse" # Open WebUI services.http.response.html_title:"Open WebUI" # LiteLLM services.http.response.html_title:"LiteLLM" ``` ## 🌍 AI 服务端点 ### 主要提供商 API | 提供商 | API 端点 | 共享内容 | |---|---|---| | **OpenAI** | `api.openai.com/v1/*` | `chatgpt.com/share/*` | | **Anthropic** | `api.anthropic.com/v1/*` | — | | **Google** | `generativelanguage.googleapis.com/v1beta/*` | — | | **xAI** | `api.x.ai/v1/*` | `grok.com/share/*` | | **Mistral** | `api.mistral.ai/v1/*` | — | | **Cohere** | `api.cohere.ai/v1/*` | — | | **DeepSeek** | `api.deepseek.com/v1/*` | — | | **Groq** | `api.groq.com/openai/v1/*` | — | | **HuggingFace** | `api-inference.huggingface.co/models/*` | `huggingface.co/spaces/*` | | **ElevenLabs** | `api.elevenlabs.io/v1/*` | — | ### 默认端口（全部基于官方文档验证） ## | 服务 | 端口 | 默认认证 | 风险等级 | |---|---|---|---| | **Ollama** | 11434 | ❌ 无 | 🔴 严重 | | **vLLM** | 8000 | ❌ 无 | 🔴 严重 | | **OpenClaw** | 18789 | ❌ 无（重命名后修复） | 🔴 严重 | | **Gradio** | 7860 | ❌ 无 | 🔴 严重 | | **Streamlit** | 8501 | ❌ 无 | 🟡 高 | | **MLflow** | 5000 | ❌ 无 | 🔴 严重 | | **Qdrant** | 6333/6334 | ❌ 无 | 🔴 严重 | | **Weaviate** | 8080（gRPC 50051） | ❌ 无 | 🟡 高 | | **ChromaDB** | 8000 | ❌ 无（绑定 localhost） | 🟡 高 | | **Milvus** | 19530（管理端口 9091） | ❌ 无 | 🟡 高 | | **Jupyter** | 8888 | ✅ Token（常被禁用） | 🟡 高 | | **LM Studio** | 1234 | ❌ 无 | 🟡 高 | | **GPT4All** | 4891 | ❌ 无 | 🟡 高 | | **Flowise** | 3000 | ❌ 无 | 🔴 严重 | | **LiteLLM 代理** | 4000 | ❌ 无 | 🔴 严重 | | **Open WebUI** | 3000/8080 | ✅ 认证（默认启用 | 🟡 高 | | **nginx-ui** | 443/9000 | ✅ 认证（可绕过） | 🔴 严重 | | **ClickHouse** | 8123/9000 | ❌ 无 | 🔴 严重 | | **TGI（HuggingFace）** | 8080 | ❌ 无 | 🟡 高 | ## 🔑 API 密钥模式 ### 前缀参考（基于官方文档验证） | 提供商 | 前缀 | 长度 | 说明 | |---|---|---|---| | **OpenAI** | `sk-proj-` | ~80+ 字符 | 自 2024 年 4 月起当前格式 | | **Anthropic** | `sk-ant-api03-` | ~90+ 字符 | API 密钥 | | **Anthropic OAuth** | `sk-ant-oat01-` | — | OAuth 令牌（文件 API 等） | | **Google AI** | `AIzaSy` | 39 字符 | ⚠️ 与 Google Maps 和 Gemini 共享同一前缀 | | **HuggingFace** | `hf_` | ~34 字符 | 读/写访问令牌 | | **Replicate** | `r8_` | ~40 字符 | — | | **Groq** | `gsk_` | ~52 字符 | — | ### 检测正则表达式 ``` # OpenAI project keys sk-proj-[A-Za-z0-9_-]{80,} # Anthropic sk-ant-api03-[A-Za-z0-9_-]{90,} # HuggingFace hf_[A-Za-z0-9]{34} # Replicate r8_[A-Za-z0-9]{37} # Groq gsk_[A-Za-z0-9]{52} # Google AI (⚠️ also matches Maps, YouTube, etc.) AIzaSy[A-Za-z0-9_-]{33} ``` ## 🗃️ 向量数据库侦察 当暴露时，向量数据库会泄露专有嵌入、敏感文档以及 RAG 系统中使用的内部知识库。 ### 枚举端点（基于官方 API 文档验证） | 数据库 | 列出集合 | 提取数据 | |---|---|---| | **Qdrant** | `GET /collections` | `POST /collections/{name}/points/scroll` | | **Weaviate** | `GET /v1/schema` | `GET /v1/objects?class={name}` | | **ChromaDB** | `GET /api/v2/collections` ⚠️ | `POST /api/v2/collections/{id}/query` | | **Milvus** | gRPC `ListCollections` | gRPC `Search/Query` | ## 🤖 MCP 与 AI 代理暴露 **模型上下文协议（MCP）是 AI 安全中最关键的新兴攻击面（2025-2026）。** ### 为何 MCP 危险 MCP 服务器将 AI 模型连接到 Shell 访问、文件系统、数据库和 API。配置错误会导致： - 通过提示注入实现 **Shell/代码执行** - **明文 API 密钥** 存在于可被代理读取的 `.env` 文件中 - **工具投毒** — 工具元数据中的隐藏指令 - **供应链攻击** — 被破坏的 MCP 包（在其第一年已泄露 24,000+ 个密钥） ### 发现查询 ``` # Shodan port:18789 "api/v1" http.title:"Clawdbot" OR http.title:"OpenClaw" # GitHub path:mcp.json "apiKey" path:.cursor/mcp.json "mcpServers" path:*.json "token" ``` ### 关键事件 | 事件 | 日期 | 影响 | |---|---|---| | OpenClaw Shodan 暴露 | 2026 年 1 月 | 4,000+ 代理网关，许多无认证且具备 RCE | | Operation Bizarre Bazaar | 2025 年 12 月–2026 年 1 月 | 35,000 次对 LLM/MCP 端点的攻击；商业转售 | | Smithery 注册表泄露 | 2025 年 | Fly.io 令牌 → 控制 3,000+ MCP 服务器 | | mcp-remote CVE-2025-6514 | 2025 年 | 在 437K+ 安装中实现命令注入 | | Cursor IDE MCP 信任问题 | 2025 年 | 通过共享仓库配置实现持久化 RCE（CVSS 7.2-8.8） | | MCP 系统性 RCE（Ox Security） | 2026 年 4 月 | 1.5 亿+ 下载，200 台服务器，10+ 个 CVE，9/11 市场中毒 | | nginx-ui MCPwn（CVE-2026-33032） | 2026 年 3 月 | CVSS 9.8，活跃利用，2 次 HTTP 请求即可完全接管 Nginx | | Atlassian MCPwnfluence | 2026 年 4 月 | CVE-2026-27825/27826 — 无需认证即可从 LAN 实现 RCE 链 | | MCP TypeScript SDK 数据泄露 | 2026 年 4 月 | CVE-2026-25536 — 共享 McpServer 实例间跨客户端数据泄露 | | Windsurf 零点击 RCE | 2026 年 4 月 | CVE-2026-30615 — 零点击提示注入 → 通过 MCP 实现本地 RCE | ## 📊 威胁情报 - **Operation Bizarre Bazaar** — 首次大规模 LLMjacking：35,000 次攻击，出售被盗 AI 访问权限 - **OpenClaw/Clawdbot Shodan 危机** — CVE-2026-24061，“本地主机信任”绕过 - **ChatGPT/Grok 对话索引** — Google 索引了数千条包含凭证的对话 - **Claude 对话索引** — Google 索引约 600 条对话（Forbes 2025 年 9 月）；Archive.org 上超过 143,000 条 LLM 对话 - **“Claudy Day” 攻击链** — Open 重定向 + 提示注入 + Files API 外泄（Oasis Security，2026 年 3 月） - **Claude Code 源码地图泄露** — 通过 npm 包 v2.1.88 泄露 512,000 行源代码（2026 年 3 月） - **MCP 供应链时间线** — 10+ 起重大泄露事件 - **17.5 万台 Ollama 服务器暴露** — SentinelOne/Censys 研究覆盖 130 个国家 - **AI 辅助 ICS 定向** — 60+ 个伊朗组织使用 LLM 对关键基础设施进行侦察（2026 年 2 月） - **Claude Mythos 预览 / Project Glasswing** — Anthropic 未发布的模型自主发现数千个 0-day，影响主要操作系统/浏览器。限制于约 50 个组织。CVE-2026-4747（OpenBSD 27 年 RCE） - **Claude Code 源码泄露** — 59.8 MB 源码地图发布至 npm（2026 年 3 月 31 日）。关键 50 子命令绕过漏洞。伪造仓库分发 Vidar/GhostSocks 恶意软件 - **MCP “母供应链”** — Ox Security 发现 MCP SDK 中的架构级 RCE：1.5 亿+ 下载，10+ 个 CVE，9/11 市场中毒。Anthropic 拒绝协议修复 - **ChatGPT DNS 外泄** — Check Point 发现代码执行沙箱中的 DNS 旁道静默数据外泄。2026 年 2 月 20 日修复 - **CVE-2025-53773: Copilot 可传播 RCE** — 提示注入可触发 YOLO 模式，跨仓库传播。2025 年 8 月修复 - **OpenAI Codex CLI 命令注入** — 分支注入 → 横向移动 → 代码库访问。2026 年 2 月修复 - **30 万+ ChatGPT 凭证在暗网** — IBM X-Force 2026：AI 聊天机器人凭证成为新兴信息窃取器目标 - **Ollama：额外暴露 12,269 台** — LeakIX 发现更多暴露实例；维护者继续拒绝认证 PR - **nginx-ui MCPwn** — CVE-2026-33032 活跃利用，2 次 HTTP 请求即可完全接管 Nginx - **DeepSeek ClickHouse 暴露** — Wiz 发现 100 万+ 条日志记录，包含明文聊天、API 密钥、后端详情（2025 年 1） ## 🛠️ 工具 | 工具 | 功能 | 作者 | |---|---|---| | [**Garak**](https://github.com/NVIDIA/garak) | LLM 漏洞扫描器——“LLM 的 nmap” | NVIDIA | | [**PyRIT**](https://github.com/microsoft/PyRIT) | AI 红队框架 — Crescendo、越狱、多轮交互 | 微软 | | [**promptfoo**](https://github.com/promptfoo/promptfoo) | LLM 渗透测试 CLI — 133+ 攻击插件 | OpenAI | | [**DeepTeam**](https://github.com/confident-ai/deepteam) | 50+ 漏洞，20+ 攻击，OWASP/MITRE 映射 | Confident AI | | [**API Radar**](https://apiradar.live/) | GitHub 上实时监控泄露的 AI API 密钥 | 独立 | | [**KeyLeak Detector**](https://github.com/Amal-David/keyleak-detector) | Web 扫描器，支持 200+ 模式，含 15+ AI 提供商 | 独立 | | [**promptmap**](https://github.com/utkusen/promptmap) | ChatGPT 搜索语法与提示注入测试 | Utku Şen | | [**Vulnerable MCP**](https://vulnerablemcp.info/) | 包含 CVE 与 PoC 的 MCP 漏洞数据库 | 社区 | | [**MCPSafetyScanner**](https://github.com/johnhalloran321/mcpSafetyScanner) | MCP 服务器安全审计工具 | 学术（Leidos） | | [**Cisco AI 供应链扫描器**](https://blogs.cisco.com/ai/cisco-state-of-ai-security-2026-report) | MCP、A2A、pickle 文件、代理技能文件的扫描器 | Cisco Talos | | [**DorkEye**](https://github.com/search?q=DorkEye+OSINT) | 多智能体分析管道的自动化 Google 搜索语法 | 开源 | ## 🚨 检测规则 12 个 Sigma 规则覆盖： - Ollama 的外部访问（端口 11434） - AI 密钥出现在应用日志中 - 无 Bearer 令牌的未授权 LLM API 访问 - 暴露的 MCP 服务器（`auth_mode: none`） - 向量数据库的未授权枚举 - LLMjacking — 每小时异常推理请求（>500） - 通过提示注入进行 AI 代理 RCE（对 bash/python_repl 的可疑工具调用） - MCP STDIO 任意命令执行（CVE-2026-30615/30624/30616/40933） - VS Code Copilot YOLO 模式激活（CVE-2025-53773） - nginx-ui MCP 端点未认证访问（CVE-2026-33032，已被积极利用） - 基于 DNS 的 AI 代码沙箱数据外泄 - Claude Code 50+ 子命令流水线拒绝规则绕过 ## 📚 参考资料 ### 研究 | 来源 | 发现 | 链接 | |---|---|---| | SentinelOne + Censys | 175,108 台暴露的 Ollama 主机，遍布 130 个国家 | [SecurityWeek](https://www.securityweek.com/175000-exposed-ollama-hosts-could-enable-llm-abuse/) | | Cisco Talos | 1,100+ Ollama 服务器，20% 无身份验证提供服务 | [Cisco 博客](https://blogs.cisco.com/security/detecting-exposed-llm-servers-shodan-case-study-on-ollama) | | Pillar Security | Operation Bizarre Bazaar：35,000 次 LLMjacking 攻击 | [Pillar Security](https://www.pillar.security/) | | GitGuardian | AI 凭证泄露同比增长 81%；GitHub 上 2900 万个密钥 | [报告](https://blog.gitguardian.com/the-state-of-secrets-sprawl-2026/) | | AuthZed | 完整的 MCP 安全泄露时间线 | [博客](https://authzed.com/blog/timeline-mcp-breaches) | | Pangea | 索引 ChatGPT 历史中的敏感数据 | [博客](https://pangea.cloud/blog/mining-the-index-uncovering-sensitive-data-in-public-chatgpt-histories-via-google-search/) | | Trail of Bits | Gradio 5 审计中发现的 8 个高危漏洞 | [博客](https://blog.trailofbits.com/2024/10/10/auditing-gradio-5-hugging-faces-ml-gui-framework/) | | Oasis Security | “Claudy Day” — 3 个漏洞链导致 Claude 数据外泄 | [博客](https://www.oasis.security/blog/claude-ai-prompt-injection-data-exfiltration-vulnerability) | | Forbes | Google 索引约 600 条 Claude 对话 | [文章](https://www.forbes.com/sites/iainmartin/2025/09/08/hundreds-of-anthropic-chatbot-transcripts-showed-up-in-google-search/) | | Obsidian Security | Archive.org 上 143,000+ 条 LLM（含 Claude）对话 | [博客](https://www.obsidiansecurity.com/resource/143k-claude-copilot-chatgpt-chats-publicly-accessible-were-you-exposed) | | TechRadar | Claude Code 通过 npm 泄露 512,000 行源代码 | [文章](https://www.techradar.com/pro/security/anthropic-confirms-it-leaked-512-000-lines-of-claude-code-source-code-spilling-some-of-its-biggest-secrets) | | Penligent | Claude Code 源码地图泄露分析 | [博客](https://www.penligent.ai/hackinglabs/claude-code-source-map-leak-what-was-exposed-and-what-it-means/) | | Ox Security | 1.5 亿+ MCP 下载受系统性 RCE 影响，10+ CVE，9/11 市场中毒 | [博客](https://www.ox.security/blog/the-mother-of-all-ai-supply-chains-critical-systemic-vulnerability-at-the-core-of-the-mcp/) | | Anthropic 红队 | Claude Mythos：数千个 0-day，CVE-2026-4747，沙箱逃逸 | [red.anthropic.com](https://red.anthropic.com/2026/mythos-preview/) | | IBM X-Force | 300,000+ ChatGPT 凭证在暗网；供应链攻击 5 年内增长 4 倍 | [报告](https://www.ibm.com/think/insights/more-2026-cyberthreat-trends) | | Check Point | ChatGPT DNS 外泄 — 通过旁道静默泄露数据 | [博客](https://blog.checkpoint.com/research/when-ai-trust-breaks-the-chatgpt-data-leakage-flaw-that-redefined-ai-vendor-security-trust/) | | Zscaler ThreatLabz | Claude Code 源码泄露 + Vidar/GhostSocks 恶意软件诱饵 | [博客](https://www.zscaler.com/blogs/security-research/anthropic-claude-code-leak) | | Cisco AI | 《AI 安全状态 2026》— MCP、A2A、代理式 AI 扫描器 | [报告](https://blogs.cisco.com/ai/cisco-state-of-ai-security-2026-report) | | LeakIX | 额外发现 12,269 台暴露的 Ollama 实例；维护者拒绝认证 PR 的批评 | [博客](https://blog.leakix.net/2026/02/ollama-exposed/) | | CSA | 漏洞利用时间缩短至 20 小时（Mythos 简报） | [HelpNetSecurity](https://www.helpnetsecurity.com/2026/04/15/anthropic-claude-mythos-ai-vulnerability-discovery/) | | Wiz | Claude Mythos 实操指南 — 网络安全的“Y2K”时刻 | [博客](https://www.wiz.io/blog/claude-mythos) | | Wiz | DeepSeek ClickHouse 暴露 — 100 万+ 条含明文聊天、API 密钥的日志 | [博客](https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak) | ### 标准 - [OWASP 大语言模型应用 Top 10（2025）](https://owasp.org/www-project-top-10-for-large-language-model-applications/) - [OWASP 代理式应用 Top 10（2026）](https://owasp.org/www-project-top-10-for-agentic-applications/) - [MITRE ATLAS](https://atlas.mitre.org/) - [MCP 安全最佳实践](https://modelcontextprotocol.io/specification/draft/basic/security_best_practices) - [vulnerablemcp.info](https://vulnerablemcp.info/) ## ⚠️ 免责声明 本仓库中的资源仅限**授权安全测试、教育及合法研究**使用。 1. 在测试非自有的基础设施前，请获得明确授权 2. 遵守适用法律（如 CFAA、GDPR 等） 3. 通过适当的披露渠道负责任地报告漏洞 4. 不得利用发现的配置错误进行未授权访问 作者不承担任何滥用责任。 ## 🤝 贡献 欢迎提交 PR！请在提交前验证搜索语法/查询是否有效。详见 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 许可证 代码：[MIT](LICENSE) · 数据与文档：[CC BY-SA 4.0](https://creativecommons.org/licenses/by-sa/4.0/)

维护者：7WaySecurity · 最后更新：2026 年 4 月

标签：AI API密钥泄露, AI IDE利用, AI安全, AI模型泄露, Chat Copilot, ChatGPT凭证泄露, ChromaDB, Cutter, ESC4, GitHub dork, Google dork, Gradio, LLM端点发现, MCP供应链攻击, MLflow, Ollama暴露, OSINT, Qdrant, RCE漏洞, SEO, Shodan查询, vLLM, 向量数据库配置错误, 暴露的AI基础设施, 未受保护的AI代理, 逆向工具, 防御加固, 隐私风险