A critical vm2 Node.js vulnerability (CVE-2026-22709, CVSS 9.8) allows sandbox escape via Promise handler bypass.

Sandbox escape vulnerability in vm2, used by nearly 900 NPM packages, allows attackers to bypass security protections and ...

The JavaScript sandbox vm2 for Node.js was actually discontinued. Now an update closes a critical security vulnerability.

流行的vm2 Node.js库近日披露一个高危沙箱逃逸漏洞，攻击者成功利用该漏洞可在底层操作系统上执行任意代码。该漏洞编号为CVE-2026-22709，CVSS评分为9.8分（满分10分）。

Overview: Programmers prefer Python in AI, data science, and machine learning projects, while JavaScript is useful in web and full-stack development.GitHub and ...

虽然CVE-2026-22709已在vm2版本3.10.2中得到修复，但这是近年来困扰该库的一系列沙箱逃逸漏洞中的最新一个。这包括CVE-2022-36067、CVE-2023-29017、CVE-2023-29199、CVE-2023-30547、CVE-2023-32314、CVE-2023-37466和CVE-2023-37903。

A JavaScript sandbox bug rated CVSS 9.9 enables attackers to bypass AST‑based protections, while a Python execution bypass ...

A step-by-step guide to installing the tools, creating an application, and getting up to speed with Angular components, ...

Two vulnerabilities in the n8n workflow automation platform could allow attackers to fully compromise affected instances, access sensitive data, and execute arbitrary code on the underlying host.

用户只需一句话指令，它就能拉取实时盘面、生成分析报告，甚至主动推送异动提醒。相比单纯聊天式的 AI，这更像一个驻场分析师。虽然准确度还取决于底层模型，但对散户和小型投资群来说，已经相当实用。 生态层面的扩展同样迅速。国内这边，腾讯云和阿里云几乎同时上线了一键部署方案，用户登录控制台搜索 Moltbot，几秒钟就能在云服务器上跑起来，不用自己折腾 Node．js 环境和 API ...

国内模型厂商，像是 MiniMax 和阶跃，也推出了 Agent 2.0 桌面版 App 和 AI 桌面伙伴，主打就是「中国版 Cowork」。这些应用无一例外地都是从 Claude Code 的概念进阶而来，打造一个本地版的 Agent。

热门Node.js库vm2被曝出严重沙箱逃逸漏洞CVE-2026-22709，CVSS评分9.8分。该漏洞源于Promise处理程序的不当清理，攻击者可利用此漏洞逃脱沙箱并在底层操作系统执行任意代码。漏洞已在3.10.2版本中修复，但这是该库近年来遭遇的一系列沙箱逃逸漏洞之一。维护者建议用户及时更新并考虑使用isolated-vm等更安全的替代方案。