要聞速覽

1、聚焦兩會(huì) | 從政府工作報(bào)告看2024年數(shù)字經(jīng)濟(jì)網(wǎng)絡(luò)安全發(fā)展新風(fēng)向

2、全國(guó)網(wǎng)安標(biāo)委發(fā)布《生成式人工智能服務(wù)安全基本要求》

3、全球首個(gè)AI蠕蟲(chóng)面世：可在AI系統(tǒng)之間自動(dòng)傳播

4、蘋(píng)果又出大事！因?yàn)E用 App Store 規(guī)則被歐盟罰款 140 億元

5、Monogon 組織從臺(tái)灣竊取了 1.7 TB 機(jī)密數(shù)據(jù)

6、蚌埠住了，德國(guó)國(guó)防部文件密碼是1234

一周政策要聞

聚焦兩會(huì) | 從政府工作報(bào)告看2024年數(shù)字經(jīng)濟(jì)網(wǎng)絡(luò)安全發(fā)展新風(fēng)向

3月5 日，世界矚目的“兩會(huì)”之十四屆全國(guó)人大二次會(huì)議正式拉開(kāi)帷幕，謀劃國(guó)家新一年發(fā)展大計(jì)。

《2024年政府工作報(bào)告》中明確提出，制定支持?jǐn)?shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展政策，積極推進(jìn)數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化，促進(jìn)數(shù)字技術(shù)和實(shí)體經(jīng)濟(jì)深度融合。同時(shí)，深化大數(shù)據(jù)、人工智能等研發(fā)應(yīng)用，開(kāi)展“人工智能+”行動(dòng)，打造具有國(guó)際競(jìng)爭(zhēng)力的數(shù)字產(chǎn)業(yè)集群。

以下為《政府工作報(bào)告》數(shù)字經(jīng)濟(jì)/網(wǎng)絡(luò)安全要點(diǎn)梳理：

要點(diǎn)1：今年的政府工作報(bào)告，首次將“大力推進(jìn)現(xiàn)代化產(chǎn)業(yè)體系建設(shè)，加快發(fā)展新質(zhì)生產(chǎn)力”列為首項(xiàng)任務(wù)。

2024年政府工作十項(xiàng)任務(wù)，第一項(xiàng)就是“大力推進(jìn)現(xiàn)代化產(chǎn)業(yè)體系建設(shè)，加快發(fā)展新質(zhì)生產(chǎn)力”。

此外，2024年2月7日，總書(shū)記在中共中央政治局第十一次集體學(xué)習(xí)時(shí)強(qiáng)調(diào)，要圍繞發(fā)展新質(zhì)生產(chǎn)力布局產(chǎn)業(yè)鏈，提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性和安全水平，保證產(chǎn)業(yè)體系自主可控、安全可靠。

2024年推動(dòng)該項(xiàng)工作主要有三個(gè)方面要點(diǎn)：

推動(dòng)產(chǎn)業(yè)鏈供應(yīng)鏈優(yōu)化升級(jí)（自主可控能力提升）；

積極培育新興產(chǎn)業(yè)和未來(lái)產(chǎn)業(yè)（超大規(guī)模新型智算中心、GPU芯片、下一代智能終端、下一代操作系統(tǒng)等）；

深入推進(jìn)數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展。

要點(diǎn)2：報(bào)告提出了“健全數(shù)據(jù)基礎(chǔ)制度”，大力推動(dòng)數(shù)據(jù)開(kāi)發(fā)開(kāi)放和流通使用。

報(bào)告中提及深入推進(jìn)數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展。深化大數(shù)據(jù)、人工智能等研發(fā)應(yīng)用。健全數(shù)據(jù)基礎(chǔ)制度，大力推動(dòng)數(shù)據(jù)開(kāi)發(fā)開(kāi)放和流通使用。

當(dāng)前，數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展依賴于牢固的數(shù)據(jù)安全保障，在數(shù)據(jù)生命周期中建立安全機(jī)制，以防范數(shù)據(jù)泄露和不當(dāng)使用顯得尤為重要。數(shù)據(jù)安全不僅關(guān)乎個(gè)人隱私和企業(yè)機(jī)密，也是國(guó)家安全的關(guān)鍵。

縱觀國(guó)內(nèi)外，數(shù)據(jù)要素是人工智能及大數(shù)據(jù)等新技術(shù)實(shí)現(xiàn)突破、賦能經(jīng)濟(jì)社會(huì)發(fā)展，贏得國(guó)際競(jìng)爭(zhēng)力的根本。只有在政策、平臺(tái)及參與主體等方面打通重要“關(guān)節(jié)”樞紐，促進(jìn)數(shù)據(jù)要素高效流通交易，才能充分釋放其價(jià)值，驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。

要點(diǎn)3：以人工智能為代表的數(shù)字經(jīng)濟(jì)內(nèi)容大幅增加，數(shù)字基礎(chǔ)設(shè)施和算力體系可能成為重要抓手。

本次《政府工作報(bào)告》中，推動(dòng)以人工智能為代表的數(shù)字經(jīng)濟(jì)發(fā)展也是非常重要的一部分。報(bào)告明確提出，制定支持?jǐn)?shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展政策，開(kāi)展“人工智能+”行動(dòng)。

目前，AI技術(shù)呈現(xiàn)出快速發(fā)展的態(tài)勢(shì)，在多個(gè)領(lǐng)域的應(yīng)用前景被廣泛看好。AI技術(shù)的進(jìn)步不僅推動(dòng)了自動(dòng)化和智能化的進(jìn)程，還在醫(yī)療、教育、交通等多個(gè)行業(yè)中展現(xiàn)出巨大的變革潛力。

報(bào)告中提及“數(shù)字經(jīng)濟(jì)”及“人工智能”的主要內(nèi)容有：

推進(jìn)數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化，促進(jìn)數(shù)字技術(shù)和實(shí)體經(jīng)濟(jì)深度融合。

深化大數(shù)據(jù)、人工智能等研發(fā)應(yīng)用，開(kāi)展“人工智能＋”行動(dòng)，打造具有國(guó)際競(jìng)爭(zhēng)力的數(shù)字產(chǎn)業(yè)集群。

實(shí)施制造業(yè)數(shù)字化轉(zhuǎn)型行動(dòng)，加快工業(yè)互聯(lián)網(wǎng)規(guī)?；瘧?yīng)用。

深入開(kāi)展中小企業(yè)數(shù)字化賦能專項(xiàng)行動(dòng)。

支持平臺(tái)企業(yè)在促進(jìn)創(chuàng)新、增加就業(yè)、國(guó)際競(jìng)爭(zhēng)中大顯身手。

健全數(shù)據(jù)基礎(chǔ)制度，大力推動(dòng)數(shù)據(jù)開(kāi)發(fā)開(kāi)放和流通使用。

適度超前建設(shè)數(shù)字基礎(chǔ)設(shè)施，加快形成全國(guó)一體化算力體系。

隨著數(shù)字技術(shù)不斷發(fā)展和普及，數(shù)字經(jīng)濟(jì)已成為推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展的重要力量。政府工作報(bào)告中提到的相關(guān)政策措施和行動(dòng)計(jì)劃，為我國(guó)數(shù)字經(jīng)濟(jì)的發(fā)展指明了新的方向。

信息來(lái)源：網(wǎng)易  https://www.163.com/dy/article/ISMN82ER0538EUPB.html

全國(guó)網(wǎng)安標(biāo)委發(fā)布《生成式人工智能服務(wù)安全基本要求》

3月4日，全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）發(fā)布《生成式人工智能服務(wù)安全基本要求》（以下簡(jiǎn)稱“《基本要求》”），旨在明確生成式人工智能服務(wù)在安全方面的基本要求，包括語(yǔ)料安全、模型安全、安全措施等，并給出了安全評(píng)估要求。

該文件支撐《生成式人工智能服務(wù)管理暫行辦法》，提出了服務(wù)提供者需遵循的安全基本要求。服務(wù)提供者在按照有關(guān)要求履行備案手續(xù)時(shí)，按照本文件第9章要求進(jìn)行安全評(píng)估，并提交評(píng)估報(bào)告?！痘疽蟆分忻鞔_列明，“本文件規(guī)定了生成式人工智能服務(wù)在安全方面的基本要求。適用于服務(wù)提供者開(kāi)展安全評(píng)估、提高安全水平”?！痘疽蟆吩凇靶g(shù)語(yǔ)和定義”中明確了“生成式人工智能服務(wù)”和“服務(wù)提供者”兩個(gè)概念：所謂生成式人工智能服務(wù)，就是利用生成式人工智能技術(shù)向中華人民共和國(guó)境內(nèi)公眾提供生成文本、圖片、音頻、視頻等內(nèi)容的服務(wù)。所謂“服務(wù)提供者”，是指以交互界面、可編程接口等形式提供生成式人工智能服務(wù)的組織或個(gè)人。就生成式人工智能服務(wù)而言，無(wú)論該服務(wù)的提供者位于我國(guó)境內(nèi)還是境外均在所不問(wèn)，只要相關(guān)服務(wù)面向中華人民共和國(guó)境內(nèi)的公眾，那么就適用于該文件。就“服務(wù)提供者”概念而言，應(yīng)當(dāng)注意的是服務(wù)提供者不一定僅指企業(yè)，基本要求明確提出了只要是以交互界面、可編程接口等形式提供服務(wù)，無(wú)論是組織還是個(gè)人，都符合“服務(wù)提供者”的定義。

信息來(lái)源：全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)  https://www.tc260.org.cn/front/postDetail.html?id=20240301164054

業(yè)內(nèi)新聞速覽

全球首個(gè)AI蠕蟲(chóng)面世：可在AI系統(tǒng)之間自動(dòng)傳播

研究人員開(kāi)發(fā)出首個(gè)第一代生成式AI蠕蟲(chóng)，名為 “Morris II”，它能夠自動(dòng)在AI系統(tǒng)之間傳播。

這種新型網(wǎng)絡(luò)攻擊，讓人回憶起1988年對(duì)互聯(lián)網(wǎng)造成重大破壞的初代Morris 蠕蟲(chóng)的，凸顯了網(wǎng)絡(luò)安全威脅局勢(shì)中的一個(gè)潛在變化。這項(xiàng)研究由康奈爾大學(xué)紐約科技校區(qū)研究員 Ben Nassi與另外兩名研究員 Stav Cohen 和 Ron Bitton 共同牽頭開(kāi)展，展示了該蠕蟲(chóng)的能力即滲透生成式AI郵件助手、提取數(shù)據(jù)和分垃圾郵件，從而攻陷聲名鵲起的AI模型如 ChatGPT 和 Gemini 的安全措施。

生成式AI的崛起和漏洞的增多：

隨著生成式AI系統(tǒng)如 OpenAI 公司的 ChatGPT 和谷歌 Gemini 變得越來(lái)越強(qiáng)大且集成到多種應(yīng)用中，這些系統(tǒng)被利用的可能性也在不斷提升。研究人員創(chuàng)建的 Morris II 蠕蟲(chóng)凸顯了利用AI生態(tài)系統(tǒng)互聯(lián)性和自動(dòng)化的新型網(wǎng)絡(luò)威脅。媒體Wired報(bào)道稱，首批生成式AI蠕蟲(chóng)已開(kāi)發(fā)完畢。這些蠕蟲(chóng)可能會(huì)從一個(gè)系統(tǒng)傳播到另一個(gè)系統(tǒng)，甚至可能在此過(guò)程中竊取數(shù)據(jù)或部署惡意軟件。通過(guò)應(yīng)用對(duì)抗性自復(fù)制提示，該蠕蟲(chóng)可通過(guò)AI系統(tǒng)進(jìn)行傳播，劫持這些系統(tǒng)執(zhí)行未授權(quán)操作如數(shù)據(jù)盜取和惡意軟件部署。這類蠕蟲(chóng)影響深遠(yuǎn)，為依賴于生成式AI系統(tǒng)的初創(chuàng)企業(yè)、開(kāi)發(fā)人員和技術(shù)公司帶來(lái)重大風(fēng)險(xiǎn)。該蠕蟲(chóng)能夠躲避檢測(cè)，在不同的AI系統(tǒng)中自動(dòng)傳播，這就為網(wǎng)絡(luò)攻擊引入一個(gè)新的向量，為現(xiàn)有的安全模型帶來(lái)挑戰(zhàn)。安全專家和研究人員強(qiáng)調(diào)了這些攻擊的合理性以及開(kāi)發(fā)社區(qū)認(rèn)真對(duì)待這些威脅的緊迫性。

緩解威脅：

盡管AI蠕蟲(chóng)潛力強(qiáng)大，但安全專家認(rèn)為傳統(tǒng)的安全措施和謹(jǐn)慎的應(yīng)用設(shè)計(jì)可緩解這些風(fēng)險(xiǎn)。從事AI企業(yè)安全業(yè)務(wù)的威脅研究員 Adam Swanda 提倡安全的應(yīng)用設(shè)計(jì)和AI運(yùn)營(yíng)中人工疏忽的重要性。越權(quán)風(fēng)險(xiǎn)可通過(guò)確保AI系統(tǒng)不會(huì)在未獲得明確同意的情況下執(zhí)行操作會(huì)得到大大減少。另外，監(jiān)控異常模式如在AI系統(tǒng)中的重復(fù)性提示有助于在早期檢測(cè)到潛在威脅。Ben Nassi及其團(tuán)隊(duì)還強(qiáng)調(diào)了創(chuàng)建AI助手的開(kāi)發(fā)人員和企業(yè)意識(shí)提升的重要性。了解這些風(fēng)險(xiǎn)并執(zhí)行健壯的安全措施對(duì)于防止生成式AI系統(tǒng)的利用至關(guān)重要。這一研究呼吁AI開(kāi)發(fā)社區(qū)在設(shè)計(jì)和部署AI生態(tài)系統(tǒng)中優(yōu)先考慮安全的重要性。Morris II蠕蟲(chóng)的開(kāi)發(fā)是評(píng)估網(wǎng)絡(luò)威脅流程中的重要時(shí)刻，強(qiáng)調(diào)了生成式AI系統(tǒng)的內(nèi)在漏洞。隨著AI對(duì)技術(shù)和日常生活的影響日益加劇，全面的安全策略也變得愈發(fā)重要。通過(guò)提升意識(shí)和采取主動(dòng)的安全措施，AI開(kāi)發(fā)社區(qū)可防御AI蠕蟲(chóng)的威脅并確保生成式AI技術(shù)能得到安全、負(fù)責(zé)任的使用。

消息來(lái)源：安全內(nèi)參  https://www.secrss.com/articles/64123

蘋(píng)果又出大事！因?yàn)E用 App Store 規(guī)則被歐盟罰款 140 億元

近日，據(jù)相關(guān)媒體報(bào)道，蘋(píng)果公司被歐盟罰款 18 億歐元 ( 約合人民幣 140 億元 ) ，原因是蘋(píng)果公司濫用 App Store 規(guī)則，非法阻止應(yīng)用開(kāi)發(fā)者通過(guò)其應(yīng)用商店之外的渠道向用戶提供可替代和更便宜的音樂(lè)訂閱服務(wù)信息。

事情起因是，流媒體公司 Spotify 就蘋(píng)果公司濫用 App store 阻止應(yīng)用開(kāi)發(fā)者在其應(yīng)用商店之外向用戶提供有關(guān)替代和更便宜的音樂(lè)訂閱服務(wù)的信息發(fā)起投訴，歐盟隨后對(duì)蘋(píng)果公司進(jìn)行調(diào)查，并最終認(rèn)定蘋(píng)果公司違規(guī)，并處以 18 億歐元的巨額罰款。隨后，蘋(píng)果公司表示，盡管尊重歐盟委員會(huì)，但其并未提供任何可信消費(fèi)者利益受損證據(jù)，忽視了蓬勃發(fā)展的競(jìng)爭(zhēng)市場(chǎng)現(xiàn)實(shí)，蘋(píng)果公司將會(huì)對(duì)歐盟罰款提出上訴。本次巨額處罰是歐盟針對(duì)大型科技公司最大的經(jīng)濟(jì)處罰之一，而谷歌也有類似的處罰，歷時(shí)數(shù)年，總金額高達(dá) 80 億歐元，目前仍在抗訴。

消息來(lái)源：ZAKER資訊  https://www.myzaker.com/article/65e788948e9f0972030888a8

Monogon 組織從臺(tái)灣竊取了 1.7 TB 機(jī)密數(shù)據(jù)

據(jù)安全客3月5日消息，臺(tái)灣最大的電信公司中華電信最近遭受了黑客攻擊。此次黑客攻擊導(dǎo)致 1.7 TB 數(shù)據(jù)被盜，其中包括與該島政府相關(guān)的信息。

2024年2月23日，一名昵稱“303”、頭像上帶有“Monogon”簽名的用戶將泄露的數(shù)據(jù)在暗網(wǎng)上出售。這可能是攻擊者所代表的黑客組織的名稱。而且，從他的個(gè)人資料來(lái)看，他是莫諾岡的領(lǐng)袖。臺(tái)灣有關(guān)部門于3月1日正式確認(rèn)了此次黑客攻擊事件。根據(jù)內(nèi)部調(diào)查的初步數(shù)據(jù)，黑客成功獲取了中華電信的機(jī)密信息。據(jù)報(bào)道，被盜數(shù)據(jù)包含臺(tái)灣軍方、外交、海岸警衛(wèi)隊(duì)和其他政府部門的機(jī)密文件。盡管臺(tái)灣有關(guān)部門聲稱沒(méi)有透露任何機(jī)密信息。不過(guò)，針對(duì)這一事件，臺(tái)灣有關(guān)部門敦促中華電信加強(qiáng)網(wǎng)絡(luò)安全措施，防止今后發(fā)生類似事件。涉及泄露的公司現(xiàn)在被要求顯著加強(qiáng)對(duì)信息安全的控制。此類事件不僅構(gòu)成國(guó)家安全風(fēng)險(xiǎn)，還引發(fā)人們對(duì)政府層面和私營(yíng)企業(yè)部門加強(qiáng)網(wǎng)絡(luò)安全重要性的質(zhì)疑。

消息來(lái)源：安全客  https://www.anquanke.com/post/id/293617

蚌埠住了，德國(guó)國(guó)防部文件密碼是1234

最近的德國(guó)防部可謂是風(fēng)波不斷。據(jù)當(dāng)?shù)孛襟w消息，在該部門因“德國(guó)軍官策劃襲擊克里米亞大橋”的談話內(nèi)容遭到竊聽(tīng)并被俄媒曝光后，又身陷“密碼門”事件。

當(dāng)?shù)貢r(shí)間3月3日，德國(guó)防部長(zhǎng)鮑里斯·皮斯托留斯就這一竊聽(tīng)丑聞事件舉行了新聞發(fā)布會(huì)，并將部分講話內(nèi)容以加密錄音文檔的形式被對(duì)外公布在國(guó)防部網(wǎng)站上，訪客可輸入密碼進(jìn)行訪問(wèn)。

但令德國(guó)大眾感到意外的是，密碼竟如此簡(jiǎn)單，僅需輸入”1234“即可訪問(wèn)該錄音。雖然該錄音文檔在云存儲(chǔ)上未進(jìn)行分類，密碼“1234”甚至可能只是個(gè)臨時(shí)占位符，但密碼的簡(jiǎn)單性仍遭到德媒批評(píng)。德國(guó)《圖片報(bào)》就將國(guó)防部頁(yè)面的提示截圖貼在報(bào)道內(nèi)，并反問(wèn)“密碼是1234，這真的安全嗎？”

或許，國(guó)防部為了方便大眾訪問(wèn)該文件，設(shè)置了簡(jiǎn)單的密碼，但仍不免讓人懷疑，其系統(tǒng)內(nèi)部的安全保障措施是否也如此“劃水”。

《圖片報(bào)》指出，目前仍不清楚俄方究竟是如何通過(guò)什么手段竊聽(tīng)獲得了長(zhǎng)達(dá)38分鐘的德國(guó)高層軍官通話的錄音，但這些高層軍官因使用“WebEx”（第三方遠(yuǎn)程會(huì)議軟件）進(jìn)行高度機(jī)密的通話而被竊聽(tīng)的事實(shí)，已經(jīng)讓外界擔(dān)憂國(guó)防部的保密程度是否出現(xiàn)巨大漏洞。

德國(guó)聯(lián)邦情報(bào)局前局長(zhǎng)奧古斯特·漢寧認(rèn)為，俄羅斯方面可能還掌握了更多被攔截的信息。德國(guó)基民盟國(guó)防專家基塞韋特稱：“我認(rèn)為聯(lián)邦政府和各部委的其他成員很可能遭到竊聽(tīng)，包括總理及其周圍的環(huán)境?！敝档靡惶岬氖牵?013年曝光的震驚世界的美國(guó)國(guó)家安全局“棱鏡門”全球竊聽(tīng)計(jì)劃中，德國(guó)時(shí)任總理默克爾也是美國(guó)的竊聽(tīng)對(duì)象。

因密碼泄密，德國(guó)早有前科：

據(jù)新華國(guó)際此前報(bào)道，2019年元旦過(guò)后，近千名政客的私人信息被黑客獲取并公開(kāi)，這些被曝光的信息包括郵箱、傳真、電話、家庭住址、信用卡信息、賬單、應(yīng)用軟件聊天記錄等。其中，887人的電話號(hào)碼被公布，116人的家庭住址被曝光，時(shí)任德國(guó)總理默克爾和總統(tǒng)施泰因邁爾也沒(méi)能幸免。

事后，德國(guó)聯(lián)邦信息安全局被指責(zé)辦事不力，面對(duì)輿論批評(píng)，時(shí)任德國(guó)內(nèi)政部長(zhǎng)澤霍費(fèi)爾為自己辯解稱，被黑客輕易攻破的政客們密碼設(shè)置太差，不少人的密碼非常簡(jiǎn)單，比如“iloveyou”“12345”等。

更讓人大跌眼鏡的是這位黑客并非德方所認(rèn)為的“高手”，而是一位年僅20歲且仍在上學(xué)的青年約翰，他供述說(shuō)，自己完全是單獨(dú)行動(dòng)，他采用的是猜測(cè)密碼等簡(jiǎn)單辦法，沒(méi)想到一經(jīng)嘗試就截獲了不少人的信息。

消息來(lái)源：FREEBUF  https://www.freebuf.com/news/393636.html

來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái)，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問(wèn)題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！