【一周安全資訊0120】OpenAI 公布2024選舉虛假信息打擊計劃;關(guān)于防范GitLab高危安全漏洞的風險提示 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2024-01-20 瀏覽次數(shù): |
要聞速覽 1、OpenAI 公布2024選舉虛假信息打擊計劃 2、工信部印發(fā)《區(qū)塊鏈和分布式記賬技術(shù)標準體系建設(shè)指南》 3、關(guān)于防范GitLab高危安全漏洞的風險提示 4、蘋果承認 GPU 安全漏洞存在,iPhone 12、M2 MacBook Air 等受影響 5、印度制藥巨頭遭電子郵件詐騙,損失逾4500萬元 6、半導(dǎo)體設(shè)備上市公司京鼎遭勒索攻擊,官網(wǎng)“被留言”索要百萬美元贖金
一周政策要聞 OpenAI 公布2024選舉虛假信息打擊計劃 據(jù)統(tǒng)計,2024 年預(yù)計將有 50 多個國家舉行大選,虛假信息的威脅成為人們關(guān)注的焦點。 人工智能聊天機器人 ChatGPT 和圖像生成器 DALL-E 的開發(fā)商 OpenAI 近日宣布了一項新的措施,以防止在今年大選之前再次出現(xiàn)虛假信息濫用和誤導(dǎo)事件。 1月15日,該公司宣布正在與美國歷史最悠久的無黨派公職人員專業(yè)組織——全美國務(wù)卿協(xié)會(NASS)合作,防止 ChatGPT 在 11 月美國總統(tǒng)大選前向用戶輸出一些錯誤信息。 例如,當被問及有關(guān)選舉的問題時,如在哪里投票,OpenAI 的聊天機器人將引導(dǎo)用戶訪問美國投票信息的權(quán)威網(wǎng)站 CanIVote.org。該公司認為,這項工作的經(jīng)驗教訓(xùn)將為我們在其他國家和地區(qū)的工作提供借鑒。 利用加密水印打擊深度偽造: 為了防止深度偽造,OpenAI 還表示將對其最新版人工智能圖像生成器 DALL-E 3 生成的圖像實施內(nèi)容出處和真實性聯(lián)盟(Coalition for Content Provenance and Authenticity,C2PA)的數(shù)字證書。 C2PA 是聯(lián)合發(fā)展基金會(Joint Development Foundation)的一個項目,該基金會是一家總部位于華盛頓的非營利組織,其主要舉措是內(nèi)容真實性倡議(CAI)和起源項目,通過實施加密內(nèi)容出處標準來應(yīng)對數(shù)字時代的虛假信息和操縱行為。 包括 Adobe、X 和《紐約時報》在內(nèi)的幾家大公司都是該聯(lián)盟的成員,并積極支持該標準的制定。 OpenAI 表示,它正在試驗一種出處分類器,這是一種用于檢測由 DALL-E 生成的圖像的新工具。據(jù)其內(nèi)部測試顯示,即使圖像經(jīng)過常見類型的修改,早期結(jié)果也很有希望。他們計劃將其提供給第一批測試者,包括記者、平臺和研究人員,以征求反饋意見。 谷歌 DeepMind 也開發(fā)了類似的工具,利用 SynthID 對人工智能生成的圖像和音頻進行數(shù)字水印處理。Meta 也在嘗試為其圖像生成器開發(fā)類似的水印工具,不過馬克-扎克伯格的公司很少分享相關(guān)信息。 OpenAI 稱在發(fā)布新系統(tǒng)之前會對其進行紅隊測試,讓用戶和外部合作伙伴參與反饋,并建立安全緩解措施,以降低潛在的危害。 打擊虛假信息具有挑戰(zhàn)性: 基于人工智能的文本分析平臺 Copyleaks 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官阿隆-亞明(Alon Yamin)在接受 Infosecurity 采訪時表示十分鼓勵 OpenAI 致力于打擊虛假信息的行為,但實施起來可能具有挑戰(zhàn)性。 他表示,今年的大選被認為是近代史上最大的選舉年之一,不僅是在美國,在全世界范圍內(nèi),人們都非常擔心人工智能會被濫用于政治活動等,這種擔心是完全有道理的。但正如我們多年來在社交媒體上看到的那樣,由于用戶群規(guī)模龐大,這些行動可能難以實施。 在英國,下一次大選應(yīng)在 2024 年年中至 2025 年 1 月之間舉行,信息專員辦公室(ICO)于 1 月 15 日啟動了關(guān)于生成式人工智能的系列咨詢。 信息來源:FREEBUF https://www.freebuf.com/news/389979.html
工信部印發(fā)《區(qū)塊鏈和分布式記賬技術(shù)標準體系建設(shè)指南》 2024年1月12日,工業(yè)和信息化部、中央網(wǎng)絡(luò)安全和信息化委員會辦公室、國家標準化管理委員會印發(fā)《區(qū)塊鏈和分布式記賬技術(shù)標準體系建設(shè)指南》。
區(qū)塊鏈和分布式記賬技術(shù)(以下簡稱“區(qū)塊鏈”)是新一代信息技術(shù)的重要組成部分,是分布式網(wǎng)絡(luò)、加密技術(shù)、智能合約等多種技術(shù)集成的新型數(shù)據(jù)庫軟件。區(qū)塊鏈技術(shù)具有數(shù)據(jù)透明、不易篡改、可追溯等特性,有望解決網(wǎng)絡(luò)空間的信任和安全問題,推動互聯(lián)網(wǎng)從傳遞信息向傳遞價值變革,將成為推動元宇宙、Web3.0 等未來產(chǎn)業(yè)快速發(fā)展的重要數(shù)字基礎(chǔ)設(shè)施。 近年來,隨著區(qū)塊鏈技術(shù)和產(chǎn)業(yè)的快速發(fā)展,區(qū)塊鏈的應(yīng)用范圍更加廣闊多元,覆蓋生產(chǎn)、物流、政務(wù)、文娛、教育等多個行業(yè),以及產(chǎn)品溯源、數(shù)據(jù)流通、供應(yīng)鏈管理等眾多領(lǐng)域。為有效推動區(qū)塊鏈應(yīng)用發(fā)展,急需進一步加強對測試測評、人才培養(yǎng)等產(chǎn)業(yè)服務(wù)標準,供應(yīng)鏈管理、存證、追溯等通用服務(wù)標準,智能制造、電子政務(wù)、分布式能源等行業(yè)應(yīng)用標準的研制,加快滿足產(chǎn)業(yè)發(fā)展需要。同時,急需圍繞區(qū)塊鏈治理,以及區(qū)塊鏈系統(tǒng)的開發(fā)、集成、管理等開發(fā)運營過程中的標準化需求,加快重點標準研制,助力區(qū)塊鏈技術(shù)和產(chǎn)業(yè)高質(zhì)量發(fā)展。 需要獲取建設(shè)指南請在評論區(qū)留言”建設(shè)指南“,小銘哥會第一時間為您提供相關(guān)資料。信息來源:中華人民共和國工業(yè)和信息化部 https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_c82be443223e4a5aa9cee2c435112e00.html
業(yè)內(nèi)新聞速覽 關(guān)于防范GitLab高危安全漏洞的風險提示 近期,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(NVDB)監(jiān)測發(fā)現(xiàn),GitLab存在任意用戶密碼重置高危漏洞,影響廣泛。 GitLab是由美國GitLab公司開發(fā)的一款開源代碼托管平臺,由于忘記密碼功能的電子郵件驗證過程存在錯誤,攻擊者可通過構(gòu)造惡意請求獲取密碼重置鏈接從而重置密碼,導(dǎo)致在無需用戶交互的情況下接管帳戶,造成項目代碼泄露或被植入惡意代碼等危害。該漏洞影響GitLab社區(qū)版(CE)和企業(yè)版(EE)(GitLab CE/EE 16.1-16.1.5、16.2-16.2.8、16.3-16.3.6、16.4-16.4.4、16.5-16.5.5、16.6-16.6.3、16.7-16.7.1),目前官方已發(fā)布修復(fù)方案(https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/)。 建議相關(guān)單位和用戶立即組織排查GitLab的使用情況,及時升級受影響的產(chǎn)品版本,并可采取啟用GitLab 帳戶雙因素身份驗證(2FA)、嚴格系統(tǒng)和網(wǎng)絡(luò)訪問控制、關(guān)閉非必要應(yīng)用端口和服務(wù)、加強系統(tǒng)用戶及權(quán)限管理等加固措施,防范漏洞利用風險。
消息來源:工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺 https://www.cnvdb.org.cn/announcement/136
蘋果承認 GPU 安全漏洞存在,iPhone 12、M2 MacBook Air 等受影響 IT之家 1 月 17 日消息,蘋果公司確認了近期出現(xiàn)的有關(guān) Apple GPU 存在安全漏洞的報告,并承認 iPhone 12 和 M2 MacBook Air 受影響。該漏洞可能使攻擊者竊取由芯片處理的數(shù)據(jù),包括與 ChatGPT 的對話內(nèi)容等隱私信息。
Trail of Bits 的安全研究人員發(fā)現(xiàn),由蘋果、高通、AMD 和 Imagination 制造的多種圖形處理器存在名為“LeftoverLocals”的漏洞。該漏洞利用 GPU 內(nèi)未清除的殘留數(shù)據(jù),允許擁有設(shè)備本地訪問權(quán)限的攻擊者讀取數(shù)據(jù)。研究人員演示了攻擊過程,成功讀取了與人工智能聊天機器人 ChatGPT 的對話內(nèi)容。 目前無法確定所有受影響的蘋果設(shè)備,Trail of Bits 已將漏洞通報給蘋果和其他廠商,讓他們在公開漏洞之前有時間發(fā)布安全補丁。研究人員表示,蘋果已為搭載 A17 和 M3 芯片的設(shè)備修復(fù)了漏洞,但其他設(shè)備仍處于危險之中。測試顯示,蘋果 iPad Air 3(A12)似乎已修復(fù),但 MacBook Air(M2)和 iPhone 12 仍可被成功攻擊。最新發(fā)布的 iPhone 15 似乎不受影響,但其他舊款 iPhone 可能存在風險。 蘋果發(fā)言人證實了 LeftoverLocals 漏洞的存在,并表示已在 2023 年底推出的 M3 和 A17 處理器中修復(fù)。這意味著,數(shù)百萬搭載舊款芯片的 iPhone、iPad 和 Macbook 仍易受攻擊。 雖然利用該漏洞需要一定的設(shè)備訪問權(quán)限,其風險目前被歸類為較低,但其潛在危害不容小視。黑客可以通過“漏洞疊加”的方式,將該漏洞與其他攻擊手段結(jié)合起來,從而發(fā)動更具破壞性的攻擊。 消息來源:IT之家 https://www.ithome.com/0/745/807.htm?sf=NaBLO%2fcNdvLpfHwwCsWfxFwo1VDhJHRgWUva%2fvMRa3L%2fotF9j0Uwpd6YKRg5BXtAdhsCht7TRLw%3d
印度制藥巨頭遭電子郵件詐騙,損失逾4500萬元 1月16日CSDN消息,印度制藥巨頭阿爾肯實驗室(Alkem Laboratories)上周五證實發(fā)生一起網(wǎng)絡(luò)安全事件,導(dǎo)致旗下一家子公司向欺詐分子轉(zhuǎn)賬5.2億盧比(約合人民幣4500萬元)。盡管公司堅稱影響很小,僅限于特定事件,但這一披露令人不禁擔憂,印度制藥業(yè)是否有能力抵御網(wǎng)絡(luò)攻擊。根據(jù)截至2023年9月的季度財務(wù)報告數(shù)據(jù),該公司營業(yè)收入為263.46億盧比,凈利潤為64.65億盧比。
因子公司員工郵箱遭入侵: 阿爾肯實驗室沒有透露安全事件的具體性質(zhì),但指出欺詐分子入侵了子公司部分員工的業(yè)務(wù)電子郵箱賬號。雖然根據(jù)公司政策,被盜金額未達到強制報告的門檻,但董事會選擇公開透明,向證券交易所披露了此次事件。 該公司在上報文件中指出,“目前得出的結(jié)論是,事件的影響并未超出所提及的金額。出于透明度和良好治理的考慮,董事會選擇報告此事?!? 阿爾肯實驗室聘請了一家獨立外部機構(gòu)對此事件進行調(diào)查,并向相關(guān)當局提出投訴。他們強調(diào),欺詐行為與當事人、董事或員工的任何內(nèi)部不當行為無關(guān)。該公司還強調(diào),最近與網(wǎng)絡(luò)安全解決方案提供商 Check Point 軟件技術(shù)公司建立了合作伙伴關(guān)系,以加強對網(wǎng)絡(luò)攻擊的防御能力。 制藥業(yè)網(wǎng)絡(luò)安全敲響警鐘: 盡管阿爾肯實驗室強調(diào)事件的影響有限,但這一事件仍然為我們揭示了印度制藥業(yè)的網(wǎng)絡(luò)安全狀況。印度制藥公司持有寶貴的知識產(chǎn)權(quán)和患者敏感數(shù)據(jù),因此成為網(wǎng)絡(luò)犯罪分子的首要目標。阿爾肯實驗室事件提醒我們,該行業(yè)迫切需要加強網(wǎng)絡(luò)安全措施并提高警覺性。 消息來源:CSDN https://blog.csdn.net/weixin_57514792/article/details/135641275
半導(dǎo)體設(shè)備上市公司京鼎遭勒索攻擊,官網(wǎng)“被留言”索要百萬美元贖金 1月16日安全內(nèi)參消息,據(jù)臺媒報道,富士康集團旗下半導(dǎo)體設(shè)備大廠京鼎遭黑客入侵,并被黑客勒索100萬美元。 據(jù)悉黑客在京鼎官網(wǎng)發(fā)布信息,表示如果京鼎不支付費用,客戶數(shù)據(jù)將被公開,員工也會因而失去工作。根據(jù)臺媒測試,進入京鼎官方網(wǎng)站,雖然起初頁面正常,也可以點擊財報等內(nèi)容,但若從公司概述點擊,會直接看到黑客信息。黑客更是直接在網(wǎng)頁留下訊息,表示「你的數(shù)據(jù)被竊取并加密」,并對客戶表示「如果你是京鼎客戶,我們擁有您所有個人資料,如果京鼎不支付費用,你的所有個人資料都將在網(wǎng)絡(luò)上免費提供」。
黑客也對京鼎員工說道,「如果你的管理層不與我們聯(lián)系,你將失去工作,所有媒體包括 BBC、紐約時報、華爾街日報等都會告知你,公司已經(jīng)不存在」。 該黑客稱是全球歷史最悠久的勒索軟件聯(lián)盟計劃,沒有政治動機,只想要錢,如果付款后會提供解密軟件并銷毀遭竊取的數(shù)據(jù)。 16日下午,京鼎精密針對黑客事件發(fā)布重大訊息指出,事件本身目前初步評估對公司運作無重大影響。京鼎精密的聲明證實,公司有偵測到部分信息系統(tǒng)遭受黑客網(wǎng)絡(luò)攻擊,事發(fā)當下,信息部門已全面啟動相關(guān)防御機制與復(fù)原作業(yè),同時與外部資安公司技術(shù)專家協(xié)同處理。目前對所有網(wǎng)域(頁)及相關(guān)檔案做全面徹底的掃描檢測,高標準確保信息安全后,即能以日常備份數(shù)據(jù)復(fù)原運作。 京鼎表示,公司后續(xù)仍將持續(xù)提升網(wǎng)絡(luò)與信息基礎(chǔ)架構(gòu)之安全管控,以確保信息安全。 消息來源:安全內(nèi)參 https://www.secrss.com/articles/62875 來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點或證實其內(nèi)容的真實性,部分內(nèi)容推送時未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請原作者聯(lián)系我們,我們會盡快刪除處理,謝謝! |
上一篇:2024年1月19日聚銘安全速遞 |