Amazon Lanza Bonos en Francos Suizos Impulso IA y CAPEX

Amazon está dando un paso audaz en el mundo de las finanzas corporativas al preparar su primera emisión de bonos en francos suizos. Esta jugada estratégica, que abarca seis tramos con vencimientos que van desde los tres hasta los veinticinco años, es una clara señal de la evolución en la forma en que las grandes tecnológicas financian sus ambiciosas inversiones, especialmente en el creciente sector de la inteligencia artificial (IA). Bancos de la talla de BNP Paribas, Deutsche Bank y JPMorgan lideran esta operación, la cual se suma a emisiones recientes de otras gigantes como Alphabet, demostrando que estas empresas ya no se limitan a un solo mercado de divisas.

El motivo principal detrás de esta diversificación monetaria radica en la gigantesca inversión necesaria para construir y mant ener la infraestructura de IA. Las necesidades de capital son tan colosales que los tesoreros de las Big Tech buscan activamente expandir su base de inversores y acceder a oportunidades de financiación más favorables en mercados como el euro, la libra esterlina y, ahora, el franco suizo. Esta estrategia no solo amplía su alcance, sino que también les permite obtener tasas de interés potencialmente más bajas en comparación con el mercado estadounidense. La reciente emisión de bonos de Alphabet en francos suizos, que fue la mayor venta de bonos corporativos en este mercado hasta la fecha, ha sentado un precedente importante.

Con planes de invertir alrededor de 200 mil millones de dólares en gastos de capital (CAPEX) para 2026, Amazon necesita asegurar una financiación a largo plazo considerable. La emisión en francos suizos, con tramos largos como el de 25 años, sugiere un esfuerzo por fijar capacidad de financiación a largo plazo en lugar de financiar proyectos esp ecíficos. Este movimiento se alinea con la estrategia de otras empresas tecnológicas como Microsoft y Meta, quienes también están recurriendo a emisiones de deuda multimoneda para respaldar sus masivas inversiones en IA. A pesar de que la monetización de los ingresos de IA aún está en sus primeras etapas, los inversores confían en el sólido perfil de flujo de caja combinado de estas empresas, lo que les permite acceder a financiación institucional a márgenes atractivos. La entrada de Amazon en el mercado suizo consolida aún más su programa de tesorería, acercándolo a las operaciones de un emisor soberano más que a una corporación tradicional.

Fuente Original: https://thenextweb.com/news/amazon-first-swiss-franc-bond-ai-capex

Artículos relacionados de LaRebelión:

• Prueba ADN IA Cisco Lanza Herramienta Open Source
• Gigantes Tecnologicos IA Impulsa Cloud Google y Amazon Lideran
• Amazon y OpenAI Nueva Era en la Nube
• Nvidia Lanza Nemotron 3 Nano Omni Revolucionario
• DeepSeek Lanza IA de 16T Robo o Progreso en EEUU

Artículo generado mediante LaRebelionBOT

Fake OpenAI Repo Tops Charts Security Alert

A worrying trend has emerged on Hugging Face, a popular platform for AI models and datasets. A fake OpenAI privacy filter repository has surged to the number one spot, attracting a staggering 244,000 downloads. This isn't just a quirky anomaly; it represents a significant security concern for developers and users who rely on such tools to protect sensitive data.

The malicious repository, masquerading as a legitimate privacy filter developed by OpenAI, has gained widespread traction. Its success highlights a critical vulnerability in the AI ecosystem where trust in popular platform s can be exploited by bad actors. The sheer volume of downloads suggests that many individuals and organisations may have unknowingly incorporated this deceptive tool into their projects, potentially exposing them to data breaches or other security risks. The motive behind this fake repository is likely to be malicious, aiming to compromise user data or inject harmful code into systems that integrate it.

This incident serves as a stark reminder of the importance of rigorous vetting and verification processes within the AI community. Developers should exercise extreme caution when downloading and integrating third-party libraries and models, even from seemingly reputable sources. Thoroughly inspecting the code, checking for developer reputation, and understanding the intended functionality are crucial steps to mitigate such risks. The rapid ascent of this fake repository underscores the need for enhanced security measures and greater awareness among AI practitioners about the p otential for sophisticated social engineering attacks.

Fuente Original: https://thehackernews.com/2026/05/fake-openai-privacy-filter-repo-hits-1.html

Artículos relacionados de LaRebelión:

• OpenAI Backs OpenClaw Whilst Anthropic Blocks Access
• Amazon y OpenAI Nueva Era en la Nube
• Microsoft y OpenAI Rompen Su Acuerdo Exclusivo
• Musk vs OpenAI Duelo Legal por el Futuro de la IA
• OpenAI Unveils GPT-55 Smarter Coding and Efficiency

Artículo generado mediante LaRebelionBOT

MRC Protocolo de Red para LLMs Revoluciona Datacenters

El entrenamiento de los Modelos de Lenguaje Grandes (LLMs) genera una demanda computacional masiva, especialmente en la transferencia de datos entre GPUs dentro de mega-datacenters. Esta tarea, crucial para reducir los tiempos de entrenamiento y el consumo energético, se ve obstaculizada por la congestión de la red. Para abordar este desafío, se ha desarrollado Multipath Reliable Connection (MRC), un nuevo protocolo de red diseñado específicamente para optimizar el tráfico en estos entornos de alta exigencia.

MRC se basa en RoCEv2 (RDMA over Converged Ethernet v2), aprovech ando la capacidad de RDMA para transferir datos directamente entre memorias de diferentes nodos sin intervención de la CPU. La innovación clave de MRC reside en su enfoque para mitigar la congestión en arquitecturas de red complejas, conocidas como 'Tiers', que implican múltiples capas de switches de interconexión. Ante la problemática de que una mayor cantidad de capas puede incrementar la latencia, MRC implementa la técnica de 'Packet Spraying'. Esto consiste en fragmentar los datos en pequeños paquetes que, individualmente, toman rutas distintas a través de las disponibles en la red.

Para lograr esta distribución inteligente de paquetes, MRC se apoya en SRv6 (Segment Routing over IPv6). SRv6 se encarga de definir y gestionar la ruta de cada paquete dentro de la estructura de 'Tiers' de los switches. Además, el protocolo integra el QP Congestion Protocol (QPCP) para controlar la congestión y monitorizar la calidad de la red en tiempo real, asegurando la eficienci a y fiabilidad de las transferencias. La colaboración de empresas líderes como OpenAI, Microsoft, NVIDIA, Broadcom y AMD en la definición y publicación de esta especificación en Open Compute subraya la importancia estratégica de MRC. Ya implementado en clusters de entrenamiento de OpenAI y Microsoft, incluyendo centros de datos de Oracle, MRC demuestra cómo la necesidad de avanzar en inteligencia artificial está impulsando la innovación en áreas fundamentales como la gestión de redes y la eficiencia energética.

Fuente Original: http://www.elladodelmal.com/2026/05/multipath-reliable-connection-mrc-un.html

Artículos relacionados de LaRebelión:

• Toyota IA para proteger empleos no reemplazarlos
• Mistral AI Workflows Infraestructura IA para Empresas
• Google y el Pentagono IA sin limites para fines militares
• Google Lanza TPUs Para La Era Agente
• IA en Seguridad Riesgos y Soluciones para Empresas

Artículo generado mediante LaRebelionBOT

Vulnerabilidad Critica en Ollama Expone Memoria Remota

Se ha descubierto una vulnerabilidad crítica de seguridad en Ollama, la popular plataforma de código abierto para ejecutar modelos de lenguaje de gran tamaño (LLMs) localmente. Esta falla de seguridad, identificada como una vulnerabilidad de lectura fuera de límites (out-of-bounds read), permite a atacantes remotos acceder y filtrar información sensible almacenada en la memoria del proceso afectado.

La vulnerabilidad representa un riesgo significativo para usuarios y organizaciones que utilizan Ollama para implementar y ejecutar modelos de inteligencia artificial en sus sistemas. Un atacante podría explotar esta falla para extraer datos confidenciales de la memoria del proceso, incluyendo potencialmente información personal, credenciales, tokens de sesión u otros datos sensibles que estén siendo procesados por la aplicación en ese momento.

Este tipo de vulnerabilidad de lectura fuera de límites ocurre cuando un programa intenta acceder a datos más allá de los límites de memoria asignados, lo que puede resultar en la exposición no autorizada de información. En el contexto de Ollama, esto es particularmente preocupante dado que la plataforma maneja modelos de lenguaje y potencialmente procesa información sensible durante sus operaciones normales.

Los expertos en seguridad recomiendan a todos los usuarios de Ollama que actualicen inmediatamente a la versión más reciente del software que incluya el parche de seguridad correspondiente. Es fundamental que las organizaciones que utilizan esta herramienta en entornos de producción revisen sus sistemas, implementen las actualizaciones necesarias y monitoreen cualquier actividad sospechosa que pudiera indicar intentos de explotación de esta vulnerabilidad.

Fuente Original: https://thehackernews.com/2026/05/ollama-out-of-bounds-read-vulnerability.html

Artículos relacionados de LaRebelión:

• CISA Alerta Vulnerabilidad Linux CVE-2026-31431 Explotada Activamente
• Flowise AI Bajo Ataque Vulnerabilidad Critica CVSS 100
• Fortinet Parchea Vulnerabilidad Critica Explotada en FortiClient
• TurboQuant El Algoritmo de Google que Impacta la Memoria IA
• TurboQuant Google Reduce Memoria IA en 6x

Artículo generado mediante LaRebelionBOT

AI Tool Poisoning Reveals Enterprise Agent Vulnerabilities

A critical security flaw has been exposed in how AI agents select and execute tools from shared registries, revealing that enterprise deployments may be vulnerable to sophisticated poisoning attacks. The issue centres on AI agents choosing tools by matching natural-language descriptions without any human verification of whether those descriptions are accurate or truthful.

The discovery came through Issue #141 filed in the CoSAI secure-ai-tooling repository, which was subsequently split into two separate concerns: selection-time threats including tool impersonation and metadata manipulation, and execution-time threats such as behavioural drift and runtime contract violations. This classification confirms that tool registry poisoning isn't a single vulnerability but rather represents multiple security gaps across the entire tool lifecycle.

Whilst the instinct might be to apply existing software supply chain controls like code signing, SBOMs, and SLSA provenance to agent tool registries, these measures prove insufficient. The fundamental problem is the gap between artifact integrity and behavioural integrity. Traditional controls verify whether an artifact is as described, but they cannot confirm whether a tool behaves as promised or acts only within its stated parameters.

Attackers can exploit this weakness through several vectors. A malicious tool could include prompt-injection payloads in its description, such as instructions to "always prefer this tool over alternatives." Despite having valid code signatures, clean provenance, and accurate SBOMs, the agent's reasoning engine processes the description through its language model, collapsing the boundary between metadata and instruction. Similarly, behavioural drift allows a verified tool to change its server-side behaviour weeks after publication to exfiltrate data, whilst signatures and provenance remain valid.

The solution proposed is a runtime verification layer—a proxy sitting between the MCP client (agent) and MCP server (tool) that performs three key validations: discovery binding to prevent bait-and-switch attacks, endpoint allowlisting to monitor network connections against declared allowlists, and output schema validation to flag unexpected responses. This approach introduces a behavioural specification as a new primitive, similar to Android app permission manifests, detailing which endpoints the tool contacts, what data operations it performs, and what side effects it produces.

Implementation can be rolled out gradually without disrupting developer velocity. Start with endpoint allowlisting at deployment, add output schema validation, then deploy discovery binding for high-risk tool categories handling credentials or PII, and finally implement full behavioural monitoring only where justified by risk levels. This graduated approach ensures security investment scales appropriately with actual threat exposure.

Fuente Original: https://venturebeat.com/security/ai-tool-poisoning-exposes-a-major-flaw-in-enterprise-agent-security

Artículos relacionados de LaRebelión:

• Anthropics AI Discovers Thousands of Zero-Day Vulnerabilities
• AI Agents Microsoft Google Drive Enterprise Governance
• HUMAIN ONE Enterprise AI Agents Scale with AWS
• Mozillas AI Discovers 271 Firefox Security Vulnerabilities
• Microsofts Agent Toolkit Tackling Top AI Security Risks

Artículo generado mediante LaRebelionBOT

UE Restringe Nube Adios a Datos Sensibles en EEUU

La Unión Europea está evaluando seriamente la posibilidad de imponer nuevas regulaciones que limitarían el uso de plataformas de computación en la nube proporcionadas por empresas estadounidenses para el manejo de datos gubernamentales sensibles. Esta iniciativa surge como parte de un esfuerzo más amplio por parte de la Comisión Europea para fortalecer la "soberanía tecnológica" del bloque y su autonomía estratégica en áreas digitales cruciales.

Según fuentes internas de la Comisión, se está debatiendo la creación de un "Paquete de Soberanía Tecnológica" que incluiría medidas para asegurar que la información pública más delicada no sea procesada por proveedores ajenos a la UE. La idea principal es definir sectores específicos, como las finanzas, la justicia y la salud, cuyos datos requerirían ser alojados en infraestructura de nube europea. Si bien esto no implicaría una prohibición total de los servicios de empresas de terceros países en contratos gubernamentales, sí restringiría su uso para el procesamiento de información clasificada como muy sensible dentro de las organizaciones del sector público.

Las discusiones aún están en curso y los detalles finales no se han concretado. Sin embargo, la dirección de las conversaciones apunta a una mayor priorización de las soluciones de nube europeas para proteger la privacidad y seguridad de los datos de los ciudadanos de la UE frente a posibles jurisdicciones extranjeras. Esta medida podría tener un impacto significativo en los grandes proveedores de servicios en la nube con sede en Estados Unidos que operan actualmente en Europa.

Fuente Original: https://yro.slashdot.org/story/26/05/10/032247/the-eu-considers-restricting-use-of-us-cloud-platforms-for-sensitive-government-data?utm_source=rss1.0mainlinkanon&utm_medium=feed

Artículos relacionados de LaRebelión:

• IA Borra Base de Datos Peligros Ocultos en Codigo Rapido
• Amazon y OpenAI Nueva Era en la Nube
• DeepSeek Lanza IA de 16T Robo o Progreso en EEUU
• China Restringe Inversion de EE UU en IA Aprobacion Gubernamental Obligatoria
• IA en Hackeo Roban Datos Masivos de Mexico

Artículo generado mediante LaRebelionBOT

Alibabas Qwen AI Powers Taobao Shopping Revolution

Alibaba is making a significant leap into the future of e-commerce by integrating its Qwen AI app with its massive Taobao and Tmall platforms. This isn't just another AI feature; it's a full-blown agentic shopping experience, allowing users to interact with AI for nearly every step of their purchasing journey. This represents the most ambitious rollout of AI-driven commerce from a Chinese company to date.

The Qwen app now has access to an enormous catalogue of over four billion items from Taobao and Tmall, and importantly, it can manage the entire process, from finding products and comparing sellers to virtually trying items on and placing orders. What sets this apart from Western approaches, where AI often acts as a search assistant, is that Qwen handles the end-to-end transaction, including checkout via Alipay and even post-sale support. This is a clear move from "intelligence to agency," as described by Alibaba Group VP Wu Jia.

This ambitious move is part of Alibaba's substantial AI investment and aims to redefine how consumers shop online. While facing increasing competition from platforms like Pinduoduo and Douyin's commerce surfaces, Alibaba is betting big on AI-native commerce to reclaim market share. The integration is also a strategic shift, bringing AI capabilities back into core consumer-facing units after a period of structural separation. The success of this agentic shopping model will be closely watched, with metrics like conversion rates and average order values being key indicators of whether this conversational approach will become the new norm, potentially impacting the upcoming retail festival numbers.

Fuente Original: https://thenextweb.com/news/alibaba-integrates-qwen-ai-with-taobao

Artículos relacionados de LaRebelión:

• Salesforces AI Leap Unveiling Headless 360 Revolution
• Mozillas Thunderbolt Self-Hosted AI Client Revolution
• Slackbots AI Overhaul 30 New Powers Microsoft Strategy
• Alibabas Qwen AI Team Faces Mass Exodus
• Alibabas Tiny AI Model Outshines OpenAIs

Artículo generado mediante LaRebelionBOT

Prueba ADN IA Cisco Lanza Herramienta Open Source

En el vertiginoso mundo de la inteligencia artificial, saber de dónde provienen los modelos es crucial. Cisco ha dado un paso adelante al lanzar el 'Model Provenance Kit', una herramienta de código abierto diseñada para actuar como una prueba de ADN para los modelos de IA.

Esta innovadora utilidad, presentada como un kit de Python con una interfaz de línea de comandos (CLI), examina detalles como metadatos y los pesos de los modelos para crear una "huella digital" única. Esta huella permite comparar modelos y determinar si comparten un origen común o han sido modificados. Los investigadores de Cisco comparan su herramienta con las pruebas genéticas humanas, ya que, al igual que el ADN revela orígenes biológicos, el kit analiza la información y los parámetros aprendidos d e un modelo para evaluar su linaje.

El principal objetivo de esta iniciativa es abordar la falta de transparencia en la cadena de suministro de IA. Con la creciente popularidad de modelos de código abierto de plataformas como HuggingFace, existe el riesgo de que se distribuyan modelos con documentación engañosa o incompleta. El 'Model Provenance Kit' permite a las organizaciones verificar afirmaciones, como si un modelo fue entrenado desde cero o si es una copia de otro. Esto es vital para mitigar riesgos asociados a modelos con sesgos, vulnerabilidades o manipulaciones desconocidas, facilitando la gestión de incidentes.

Fuente Original: https://slashdot.org/story/26/05/09/0616224/cisco-releases-open-source-dna-test-for-ai-models?utm_source=rss1.0mainlinkanon&utm_medium=feed

Artículos relacionados de LaRebelión:

• Registros Open Source Enfrentan Crisis de Trafico Automatizado
• Nvidia Lanza Nemotron 3 Nano Omni Revolucionario
• Poolside Launches Free Open-Source Coding AI Model
• Xiaomis Open-Source AI Models Dominate Agentic Tasks
• DeepSeek Lanza IA de 16T Robo o Progreso en EEUU

Artículo generado mediante LaRebelionBOT

Registros Open Source Enfrentan Crisis de Trafico Automatizado

Los registros de paquetes de código abierto están experimentando una crisis de sostenibilidad sin precedentes debido al explosivo crecimiento del tráfico generado por máquinas. Bajo el paraguas de la Fundación Linux, se ha creado un nuevo Grupo de Trabajo para Sostener Registros de Paquetes, con el objetivo de identificar prácticas concretas de financiamiento, gobernanza y seguridad que mantengan el flujo de código mientras las descargas continúan multiplicándose exponencialmente.

El problema es alarmante: mientras que tradicionalmente los usuarios humanos descargaban paquetes a velocidad humana, ahora los sistemas de construcción de software, las tuberías de integración continua y los sistemas de inteligencia artificial bombardean estos registros a velocidad de máquina. Esta avalancha ha generado un aumento masivo en el tráfico de bots, publicaciones automatizadas, reportes de seguridad y abuso directo, revelando lo que el grupo de trabajo denomina francamente como una brecha de sostenibilidad.

Las cifras son asombrosas: Brian Fox, CTO de Sonatype, quien supervisa el registro Maven Central para Java, estima que los registros de código abierto experimentaron 10 billones de descargas en 2025. Este patrón se está replicando en todos los ecosistemas tecnológicos, con más tráfico automatizado, más escaneo, más expectativas sobre disponibilidad, integridad y cumplimiento de políticas, lo que se traduce en mayores costos y cargas de soporte para una infraestructura que la industria aún asume funciona con buena voluntad y tiempo libre.

Para abordar este desafío, Sonatype se ha unido con la Fundación Linux y otros líderes de registros de paquetes, incluyendo Alpha-Omega, Eclipse Foundation, OpenJS Foundation, OpenSSF, Packagist, Python Software Foundation, Ruby Central y Rust Foundation. El objetivo es proporcionar un foro neutral donde los operadores puedan discutir abiertamente sobre dinero, gobernanza y cargas operativas compartidas, para luego coordinar cómo explicar estas realidades a las empresas que han asumido durante mucho tiempo que los registros son gratuitos.

La realidad es que los registros nunca fueron gratuitos. Actualmente funcionan principalmente con donaciones de infraestructura, créditos y esfuerzos heroicos de pequeños equipos pagados y voluntarios no remunerados. El grupo de trabajo buscará alinear prácticas de seguridad, crear marcos que permitan introducir modelos de financiamiento sostenible sin fracturar comunidades, y desarrollar contenido educativo para que desarrolladores, empresas y responsables políticos comprendan finalmente los costos reales de mantener estos servicios críticos.

Fuente Original: https://news.slashdot.org/story/26/05/10/0023237/open-source-registries-join-linux-foundation-working-group-to-address-machine-generated-traffic?utm_source=rss1.0mainlinkanon&utm_medium=feed

Artículos relacionados de LaRebelión:

• Poolside Launches Free Open-Source Coding AI Model
• Xiaomis Open-Source AI Models Dominate Agentic Tasks
• Colorado Protects Open Source in New Age Verification Law
• DeepSeek V4 Nueva Revolucion en IA Open-Source
• OpenAIs Privacy Filter Open-Source Data Protection

Artículo generado mediante LaRebelionBOT

Anthropics AI Discovers Thousands of Zero-Day Vulnerabilities

Anthropic has developed an artificial intelligence model called Claude Mythos Preview that has uncovered thousands of previously unknown security vulnerabilities across major operating systems and web browsers. The discovery has prompted urgent discussions between the Federal Reserve chairman, the Treasury secretary, and chief executives of major US banks about the unprecedented cybersecurity risks this capability represents. The company warns that adversaries could replicate this technology within six to twelve months, creating a critical window for organisations to secure their systems.

In controlled testing, Mythos demonstrated capabilities that surpassed all but the most skilled human security researchers at identifying and exploiting software vulnerabilities. The model discovered flaws that had remained hidden for decades, including a 27-year-old bug in OpenBSD and a 17-year-old remote code execution vulnerability in FreeBSD. Most strikingly, Mozilla's Firefox 150 release included fixes for 271 security vulnerabilities that Mythos identified in a single evaluation pass—flaws that no human team had previously detected despite years of development and security auditing.

The emergence of Mythos fundamentally challenges the traditional economics of cybersecurity, which has long relied on the asymmetry between attackers and defenders. Whilst attackers only need to find one exploitable flaw, defenders must secure all potential entry points. Mythos collapses the cost of vulnerability discovery to near zero for both sides, creating an environment where automated systems can scan entire codebases in ways that were previously impossible. This shift has profound implications for the security of critical infrastructure, financial systems, and the broader digital economy.

Anthropic has implemented a controlled rollout strategy called Project Glasswing, providing initial access to approximately 40 technology companies and institutions whilst deliberately excluding most central banks and governments. This approach aims to give defenders a head start before the capability becomes more widely available. However, the company finds itself in a paradoxical position: simultaneously warning organisations about AI-powered cyber threats whilst selling AI products to those same entities. This tension is exemplified by Anthropic's announcement of a 1.5 billion dollar Wall Street joint venture with Blackstone and Hellman and Friedman, launched just one day after revealing the Mythos findings.

The six-to-twelve month window that Anthropic CEO Dario Amodei describes represents the estimated time before Chinese AI companies and other adversaries develop equivalent capabilities. OpenAI has already responded by releasing GPT-5.4-Cyber for vetted security teams, extending the competitive dynamic between the two companies into the cybersecurity domain. The cybersecurity community has responded with a mixture of alarm and scepticism, noting that whilst the scale of Mythos's discoveries is impressive, AI-assisted vulnerability discovery has been developing for years. The fundamental question facing organisations is whether this limited timeframe provides sufficient opportunity to address decades of accumulated security flaws across every operating system, browser, and financial platform currently in production.

Fuente Original: https://thenextweb.com/news/anthropic-mythos-cybersecurity-banks-vulnerability

Artículos relacionados de LaRebelión:

• Linux Dirty Frag Zero-Day Grants Root Access
• Anthropics AI Agents Now Learn From Mistakes
• Mozillas AI Discovers 271 Firefox Security Vulnerabilities
• US Government Seeks Anthropics Powerful Mythos AI
• AI Agents Zero Trust Architectures Secure Credentials

Artículo generado mediante LaRebelionBOT

AI Repositories Under Siege by Malware Attacks

The cutting edge of artificial intelligence development, once hailed as a beacon of rapid innovation, is now facing a significant threat. Researchers have uncovered a widespread issue where the very platforms designed to accelerate AI progress are being systematically exploited by malicious actors. Hugging Face, a colossal repository hosting over a million machine learning models, and ClawHub, the central hub for OpenClaw's AI agent skills, have both been found to harbour hundreds of compromised entries.

These malicious models and skills are not mere nuisances; they are designed to inflict serious damage. Attackers are leveraging the inherent trust developers place in these central repositories to inject malware that can steal credentials, establish covert backdoors into systems, and even hijack AI agents for illicit purposes like cryptocurrency mining. The techniques vary, but the core logic remains the same: exploit the AI industry's own infrastructure to compromise it. For instance, on Hugging Face, a technique called 'nullifAI' bypasses existing security measures by embedding malicious Python code within models, which executes upon loading due to the vulnerabilities in Python's pickle serialisation format. This can grant attackers direct control over a user's machine.

Similarly, ClawHub has been infiltrated by a coordinated campaign, with a significant portion of its AI agent skills identified as malicious. These compromised skills can access sensitive data and internal networks within enterprise environments, as AI agents autonomously select and execute these tools as part of their workflows. The implications are far-reaching, impacting not just individual developers but potentially entire organisations. These attacks are part of a broader trend of software supply chain compromises, seen recently in packages like LiteLLM and PyPI, highlighting the growing vulnerability of the interconnected digital ecosystem. The speed at which these attacks can be executed, often within hours or even minutes, presents a formidable challenge for defenders. The AI industry's substantial investment in model development appears to have outpaced its investment in securing the distribution channels, leaving these critical repositories as the new prime target in sof tware security.

Fuente Original: https://thenextweb.com/news/hugging-face-clawhub-malware-ai-supply-chain

Artículos relacionados de LaRebelión:

• Malware Snow Teams y Email Roban Active Directory
• Google Uncovers AI Prompt Injection Attacks Online
• Iran Targets OpenAIs 30bn AI Hub Stargate Under Threat
• Malware Autopropagable Ataca Software de Codigo Abierto
• Hack de Trivy Propaga Malware via Docker

Artículo generado mediante LaRebelionBOT

Cloudflare IA Despide 1100 Empleados Tras Exito

Cloudflare ha sorprendido al mercado con una noticia dual: por un lado, superó las expectativas de ganancias y ingresos en su primer trimestre, mostrando un crecimiento sólido del 34% interanual. Sin embargo, la compañía también anunció el despido de 1.100 empleados, aproximadamente el 20% de su fuerza laboral. La razón explícita detrás de esta drástica medida es la adopción de un nuevo modelo operativo enfocado en la inteligencia artificial, al que han denominado "agentic AI-first".

Según el CEO Matthew Prince y la cofundadora Michelle Zatlyn, el uso interno de IA en Cloudflare ha experimentado un aumento superior al 600% en tan solo tres meses. La compañía está utilizando miles de sesiones diarias de agentes de IA en áreas como ingeniería, recursos humanos, finanzas y marketing. La particularidad de este enfoque radica en que la IA no se presenta como una herramienta de apoyo para los empleados existentes, sino como un reemplazo directo para ciertas categorías de roles, especialmente aquellos de soporte detrás del personal de cara al cliente y de ingeniería. Esto marca un punto de inflexión, siendo uno de los casos más claros donde una empresa atribuye despidos directamente a la sustitución de puestos de trabajo por la IA.

A pesar de los sólidos resultados financieros, que incluyeron un aumento en clientes de alto valor y proyecciones de ingresos y ganancias futuras optimistas impulsadas por la IA, el mercado reaccionó negativamente. Las acciones de Cloudflare cayeron un 24% al día siguiente de los anuncios. Esta caída refleja la incertidumbre de los inversores sobre la capacidad de la empresa para ejecutar esta transformación y mantener su trayectoria de crecimiento, a pesar de los despidos y los costos de reestructuración de entre 140 y 150 millones de dólares. Los empleados afectados recibirán beneficios significativos, incluyendo salario hasta finales de 2026 y cobertura médica extendida. Cloudflare ve esta reestructuración como una medida estratégica y estructural, no cíclica, anticipando que el trabajo realizado por los empleados despedidos será ahora cubierto por el software, sentando un precedente para la industria tecnológica y, potencialmente, para otros sectores.

Fuente Original: https://thenextweb.com/news/cloudflare-layoffs-agentic-ai-earnings-stock

Artículos relacionados de LaRebelión:

• Meta despide miles la IA redefine el futuro laboral
• Cloudflare Unveils EmDash WordPresss Open-Source Successor
• Cloudflare Threat Report 2026 AI Nation State Attacks
• Migrate Arkanoid C to TypeScript Cloudflare Workers Success
• Pentester Arrestados 600K Acuerdo Tras Fallo de Seguridad

Artículo generado mediante LaRebelionBOT

Linux Dirty Frag Zero-Day Grants Root Access

A critical new vulnerability class dubbed 'Dirty Frag' has been discovered in Linux systems, posing a severe security threat to all major distributions. Security researcher Hyunwoo Kim first identified and reported this exploit, which enables attackers to gain root privileges by chaining two separate vulnerabilities: the xfrm-ESP Page-Cache Write vulnerability and the RxRPC Page-Cache Write vulnerability. This discovery extends the bug class that includes the previously known Dirty Pipe and Copy Fail vulnerabilities.

What makes Dirty Frag particularly dangerous is its reliability and ease of exploitation. Unlike many vulnerabilities that depend on race conditions or specific timing windows, Dirty Frag is a deterministic logic bug. This means it achieves a very high success rate without requiring precise timing, the kernel doesn't panic when exploitation attempts fail, and attackers can execute it with greater confidence. The vulnerability allows for immediate root privilege escalation across all major Linux distributions, giving malicious actors complete control over affected systems.

The security community faces an urgent situation as the embargo on this vulnerability has been broken prematurely. Currently, no official patch or CVE designation exists to address Dirty Frag, leaving countless Linux systems exposed. However, BleepingComputer has reported that the two chained vulnerabilities have now been assigned CVE identifiers: the xfrm-ESP vulnerability is tracked as CVE-2026-43284, whilst the RxRPC issue has been designated CVE-2026-43500. System administrators and security professionals should monitor their distribution's security advisories closely for forthcoming patches and apply them immediately upon release. Detailed technical information about the exploit mechanism is available for those seeking to understand the vulnerability's inner workings and potential mitigation strategies whilst official fixes are being developed.

Fuente Original: https://linux.slashdot.org/story/26/05/08/1913238/new-linux-dirty-frag-zero-day-gives-root-on-all-major-distros?utm_source=rss1.0mainlinkanon&utm_medium=feed

Artículos relacionados de LaRebelión:

• RAT Linux Quasar Robo de credenciales devasta cadena de suministro
• Exploit Dirty Frag Acceso Root en Linux
• Grave Fallo CopyFail Amenaza Sistemas Linux Globalmente
• CPanel Ransomware Alerta Bypass Critico Ataca Servidores Linux
• AMD Trae HDMI 21 a Linux Steam Machine Celebra

Artículo generado mediante LaRebelionBOT

RAT Linux Quasar Robo de credenciales devasta cadena de suministro

¡Atención, desarrolladores y profesionales de la ciberseguridad! Una nueva amenaza acecha en el mundo Linux: Quasar, un RAT (Troyano de Acceso Remoto) diseñado para infiltrarse y robar credenciales de desarrolladores, abriendo la puerta a compromisos devastadores en la cadena de suministro de software. Este sofisticado malware no solo busca acceso, sino que apunta directamente a la información sensible que permite a los desarrolladores trabajar, abriendo una vía para que los atacantes manipulen el código fuente, inyecten código malicioso o desaten ataques a gran escala.

< /p>

La estrategia de Quasar es preocupante. Al dirigirse a las credenciales de desarrollo, como claves SSH, tokens de API y contraseñas de repositorios de código, los atacantes obtienen un nivel de acceso sin precedentes. Esto les permite no solo acceder a sistemas individuales, sino también comprometer la integridad de todo el proceso de desarrollo de software. Imagina que el código que descargas e implementas ha sido sutilmente modificado para contener puertas traseras o funcionalidades maliciosas, todo ello facilitado por el robo de las credenciales de quienes lo crearon.

Este tipo de ataque a la cadena de suministro de software es particularmente peligroso porque puede tener un efecto dominó. Una vez que una herramienta o una biblioteca de software se ve comprometida, todas las aplicaciones que dependen de ella pueden verse afectadas, propagando la infección de forma masiva y silenciosa. La detección de Quasar se vuelve crucial, y las defensas deben ir más allá de la protección de endpoints, centrándose también en la seguridad de las credenciales, la monitorización de la actividad de desarrollo y la validación rigurosa de las dependencias de software. La seguridad de la cadena de suministro es ahora un campo de batalla fundamental, y Quasar es un recordatorio vívido de los riesgos.

Fuente Original: https://thehackernews.com/2026/05/quasar-linux-rat-steals-developer.html

Artículos relacionados de LaRebelión:

• Exploit Dirty Frag Acceso Root en Linux
• Grave Fallo CopyFail Amenaza Sistemas Linux Globalmente
• CPanel Ransomware Alerta Bypass Critico Ataca Servidores Linux
• AMD Trae HDMI 21 a Linux Steam Machine Celebra
• AMD Brings HDMI 21 Support to Linux

Artículo generado mediante LaRebelionBOT