要聞速覽

1、聚焦兩會 | 從政府工作報告看2024年數(shù)字經(jīng)濟網(wǎng)絡(luò)安全發(fā)展新風向

2、全國網(wǎng)安標委發(fā)布《生成式人工智能服務(wù)安全基本要求》

3、全球首個AI蠕蟲面世：可在AI系統(tǒng)之間自動傳播

4、蘋果又出大事！因濫用 App Store 規(guī)則被歐盟罰款 140 億元

5、Monogon 組織從臺灣竊取了 1.7 TB 機密數(shù)據(jù)

6、蚌埠住了，德國國防部文件密碼是1234

一周政策要聞

聚焦兩會 | 從政府工作報告看2024年數(shù)字經(jīng)濟網(wǎng)絡(luò)安全發(fā)展新風向

3月5 日，世界矚目的“兩會”之十四屆全國人大二次會議正式拉開帷幕，謀劃國家新一年發(fā)展大計。

《2024年政府工作報告》中明確提出，制定支持數(shù)字經(jīng)濟高質(zhì)量發(fā)展政策，積極推進數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化，促進數(shù)字技術(shù)和實體經(jīng)濟深度融合。同時，深化大數(shù)據(jù)、人工智能等研發(fā)應(yīng)用，開展“人工智能+”行動，打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群。

以下為《政府工作報告》數(shù)字經(jīng)濟/網(wǎng)絡(luò)安全要點梳理：

要點1：今年的政府工作報告，首次將“大力推進現(xiàn)代化產(chǎn)業(yè)體系建設(shè)，加快發(fā)展新質(zhì)生產(chǎn)力”列為首項任務(wù)。

2024年政府工作十項任務(wù)，第一項就是“大力推進現(xiàn)代化產(chǎn)業(yè)體系建設(shè)，加快發(fā)展新質(zhì)生產(chǎn)力”。

此外，2024年2月7日，總書記在中共中央政治局第十一次集體學習時強調(diào)，要圍繞發(fā)展新質(zhì)生產(chǎn)力布局產(chǎn)業(yè)鏈，提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性和安全水平，保證產(chǎn)業(yè)體系自主可控、安全可靠。

2024年推動該項工作主要有三個方面要點：

推動產(chǎn)業(yè)鏈供應(yīng)鏈優(yōu)化升級（自主可控能力提升）；

積極培育新興產(chǎn)業(yè)和未來產(chǎn)業(yè)（超大規(guī)模新型智算中心、GPU芯片、下一代智能終端、下一代操作系統(tǒng)等）；

深入推進數(shù)字經(jīng)濟創(chuàng)新發(fā)展。

要點2：報告提出了“健全數(shù)據(jù)基礎(chǔ)制度”，大力推動數(shù)據(jù)開發(fā)開放和流通使用。

報告中提及深入推進數(shù)字經(jīng)濟創(chuàng)新發(fā)展。深化大數(shù)據(jù)、人工智能等研發(fā)應(yīng)用。健全數(shù)據(jù)基礎(chǔ)制度，大力推動數(shù)據(jù)開發(fā)開放和流通使用。

當前，數(shù)字經(jīng)濟的蓬勃發(fā)展依賴于牢固的數(shù)據(jù)安全保障，在數(shù)據(jù)生命周期中建立安全機制，以防范數(shù)據(jù)泄露和不當使用顯得尤為重要。數(shù)據(jù)安全不僅關(guān)乎個人隱私和企業(yè)機密，也是國家安全的關(guān)鍵。

縱觀國內(nèi)外，數(shù)據(jù)要素是人工智能及大數(shù)據(jù)等新技術(shù)實現(xiàn)突破、賦能經(jīng)濟社會發(fā)展，贏得國際競爭力的根本。只有在政策、平臺及參與主體等方面打通重要“關(guān)節(jié)”樞紐，促進數(shù)據(jù)要素高效流通交易，才能充分釋放其價值，驅(qū)動數(shù)字經(jīng)濟高質(zhì)量發(fā)展。

要點3：以人工智能為代表的數(shù)字經(jīng)濟內(nèi)容大幅增加，數(shù)字基礎(chǔ)設(shè)施和算力體系可能成為重要抓手。

本次《政府工作報告》中，推動以人工智能為代表的數(shù)字經(jīng)濟發(fā)展也是非常重要的一部分。報告明確提出，制定支持數(shù)字經(jīng)濟高質(zhì)量發(fā)展政策，開展“人工智能+”行動。

目前，AI技術(shù)呈現(xiàn)出快速發(fā)展的態(tài)勢，在多個領(lǐng)域的應(yīng)用前景被廣泛看好。AI技術(shù)的進步不僅推動了自動化和智能化的進程，還在醫(yī)療、教育、交通等多個行業(yè)中展現(xiàn)出巨大的變革潛力。

報告中提及“數(shù)字經(jīng)濟”及“人工智能”的主要內(nèi)容有：

推進數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化，促進數(shù)字技術(shù)和實體經(jīng)濟深度融合。

深化大數(shù)據(jù)、人工智能等研發(fā)應(yīng)用，開展“人工智能＋”行動，打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群。

實施制造業(yè)數(shù)字化轉(zhuǎn)型行動，加快工業(yè)互聯(lián)網(wǎng)規(guī)模化應(yīng)用。

深入開展中小企業(yè)數(shù)字化賦能專項行動。

支持平臺企業(yè)在促進創(chuàng)新、增加就業(yè)、國際競爭中大顯身手。

健全數(shù)據(jù)基礎(chǔ)制度，大力推動數(shù)據(jù)開發(fā)開放和流通使用。

適度超前建設(shè)數(shù)字基礎(chǔ)設(shè)施，加快形成全國一體化算力體系。

隨著數(shù)字技術(shù)不斷發(fā)展和普及，數(shù)字經(jīng)濟已成為推動經(jīng)濟社會發(fā)展的重要力量。政府工作報告中提到的相關(guān)政策措施和行動計劃，為我國數(shù)字經(jīng)濟的發(fā)展指明了新的方向。

信息來源：網(wǎng)易  https://www.163.com/dy/article/ISMN82ER0538EUPB.html

全國網(wǎng)安標委發(fā)布《生成式人工智能服務(wù)安全基本要求》

3月4日，全國網(wǎng)絡(luò)安全標準化技術(shù)委員會（SAC/TC260）發(fā)布《生成式人工智能服務(wù)安全基本要求》（以下簡稱“《基本要求》”），旨在明確生成式人工智能服務(wù)在安全方面的基本要求，包括語料安全、模型安全、安全措施等，并給出了安全評估要求。

該文件支撐《生成式人工智能服務(wù)管理暫行辦法》，提出了服務(wù)提供者需遵循的安全基本要求。服務(wù)提供者在按照有關(guān)要求履行備案手續(xù)時，按照本文件第9章要求進行安全評估，并提交評估報告?！痘疽蟆分忻鞔_列明，“本文件規(guī)定了生成式人工智能服務(wù)在安全方面的基本要求。適用于服務(wù)提供者開展安全評估、提高安全水平”?！痘疽蟆吩凇靶g(shù)語和定義”中明確了“生成式人工智能服務(wù)”和“服務(wù)提供者”兩個概念：所謂生成式人工智能服務(wù)，就是利用生成式人工智能技術(shù)向中華人民共和國境內(nèi)公眾提供生成文本、圖片、音頻、視頻等內(nèi)容的服務(wù)。所謂“服務(wù)提供者”，是指以交互界面、可編程接口等形式提供生成式人工智能服務(wù)的組織或個人。就生成式人工智能服務(wù)而言，無論該服務(wù)的提供者位于我國境內(nèi)還是境外均在所不問，只要相關(guān)服務(wù)面向中華人民共和國境內(nèi)的公眾，那么就適用于該文件。就“服務(wù)提供者”概念而言，應(yīng)當注意的是服務(wù)提供者不一定僅指企業(yè)，基本要求明確提出了只要是以交互界面、可編程接口等形式提供服務(wù)，無論是組織還是個人，都符合“服務(wù)提供者”的定義。

信息來源：全國網(wǎng)絡(luò)安全標準化技術(shù)委員會  https://www.tc260.org.cn/front/postDetail.html?id=20240301164054

業(yè)內(nèi)新聞速覽

全球首個AI蠕蟲面世：可在AI系統(tǒng)之間自動傳播

研究人員開發(fā)出首個第一代生成式AI蠕蟲，名為 “Morris II”，它能夠自動在AI系統(tǒng)之間傳播。

這種新型網(wǎng)絡(luò)攻擊，讓人回憶起1988年對互聯(lián)網(wǎng)造成重大破壞的初代Morris 蠕蟲的，凸顯了網(wǎng)絡(luò)安全威脅局勢中的一個潛在變化。這項研究由康奈爾大學紐約科技校區(qū)研究員 Ben Nassi與另外兩名研究員 Stav Cohen 和 Ron Bitton 共同牽頭開展，展示了該蠕蟲的能力即滲透生成式AI郵件助手、提取數(shù)據(jù)和分垃圾郵件，從而攻陷聲名鵲起的AI模型如 ChatGPT 和 Gemini 的安全措施。

生成式AI的崛起和漏洞的增多：

隨著生成式AI系統(tǒng)如 OpenAI 公司的 ChatGPT 和谷歌 Gemini 變得越來越強大且集成到多種應(yīng)用中，這些系統(tǒng)被利用的可能性也在不斷提升。研究人員創(chuàng)建的 Morris II 蠕蟲凸顯了利用AI生態(tài)系統(tǒng)互聯(lián)性和自動化的新型網(wǎng)絡(luò)威脅。媒體Wired報道稱，首批生成式AI蠕蟲已開發(fā)完畢。這些蠕蟲可能會從一個系統(tǒng)傳播到另一個系統(tǒng)，甚至可能在此過程中竊取數(shù)據(jù)或部署惡意軟件。通過應(yīng)用對抗性自復(fù)制提示，該蠕蟲可通過AI系統(tǒng)進行傳播，劫持這些系統(tǒng)執(zhí)行未授權(quán)操作如數(shù)據(jù)盜取和惡意軟件部署。這類蠕蟲影響深遠，為依賴于生成式AI系統(tǒng)的初創(chuàng)企業(yè)、開發(fā)人員和技術(shù)公司帶來重大風險。該蠕蟲能夠躲避檢測，在不同的AI系統(tǒng)中自動傳播，這就為網(wǎng)絡(luò)攻擊引入一個新的向量，為現(xiàn)有的安全模型帶來挑戰(zhàn)。安全專家和研究人員強調(diào)了這些攻擊的合理性以及開發(fā)社區(qū)認真對待這些威脅的緊迫性。

緩解威脅：

盡管AI蠕蟲潛力強大，但安全專家認為傳統(tǒng)的安全措施和謹慎的應(yīng)用設(shè)計可緩解這些風險。從事AI企業(yè)安全業(yè)務(wù)的威脅研究員 Adam Swanda 提倡安全的應(yīng)用設(shè)計和AI運營中人工疏忽的重要性。越權(quán)風險可通過確保AI系統(tǒng)不會在未獲得明確同意的情況下執(zhí)行操作會得到大大減少。另外，監(jiān)控異常模式如在AI系統(tǒng)中的重復(fù)性提示有助于在早期檢測到潛在威脅。Ben Nassi及其團隊還強調(diào)了創(chuàng)建AI助手的開發(fā)人員和企業(yè)意識提升的重要性。了解這些風險并執(zhí)行健壯的安全措施對于防止生成式AI系統(tǒng)的利用至關(guān)重要。這一研究呼吁AI開發(fā)社區(qū)在設(shè)計和部署AI生態(tài)系統(tǒng)中優(yōu)先考慮安全的重要性。Morris II蠕蟲的開發(fā)是評估網(wǎng)絡(luò)威脅流程中的重要時刻，強調(diào)了生成式AI系統(tǒng)的內(nèi)在漏洞。隨著AI對技術(shù)和日常生活的影響日益加劇，全面的安全策略也變得愈發(fā)重要。通過提升意識和采取主動的安全措施，AI開發(fā)社區(qū)可防御AI蠕蟲的威脅并確保生成式AI技術(shù)能得到安全、負責任的使用。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/64123

蘋果又出大事！因濫用 App Store 規(guī)則被歐盟罰款 140 億元

近日，據(jù)相關(guān)媒體報道，蘋果公司被歐盟罰款 18 億歐元 ( 約合人民幣 140 億元 ) ，原因是蘋果公司濫用 App Store 規(guī)則，非法阻止應(yīng)用開發(fā)者通過其應(yīng)用商店之外的渠道向用戶提供可替代和更便宜的音樂訂閱服務(wù)信息。

事情起因是，流媒體公司 Spotify 就蘋果公司濫用 App store 阻止應(yīng)用開發(fā)者在其應(yīng)用商店之外向用戶提供有關(guān)替代和更便宜的音樂訂閱服務(wù)的信息發(fā)起投訴，歐盟隨后對蘋果公司進行調(diào)查，并最終認定蘋果公司違規(guī)，并處以 18 億歐元的巨額罰款。隨后，蘋果公司表示，盡管尊重歐盟委員會，但其并未提供任何可信消費者利益受損證據(jù)，忽視了蓬勃發(fā)展的競爭市場現(xiàn)實，蘋果公司將會對歐盟罰款提出上訴。本次巨額處罰是歐盟針對大型科技公司最大的經(jīng)濟處罰之一，而谷歌也有類似的處罰，歷時數(shù)年，總金額高達 80 億歐元，目前仍在抗訴。

消息來源：ZAKER資訊  https://www.myzaker.com/article/65e788948e9f0972030888a8

Monogon 組織從臺灣竊取了 1.7 TB 機密數(shù)據(jù)

據(jù)安全客3月5日消息，臺灣最大的電信公司中華電信最近遭受了黑客攻擊。此次黑客攻擊導致 1.7 TB 數(shù)據(jù)被盜，其中包括與該島政府相關(guān)的信息。

2024年2月23日，一名昵稱“303”、頭像上帶有“Monogon”簽名的用戶將泄露的數(shù)據(jù)在暗網(wǎng)上出售。這可能是攻擊者所代表的黑客組織的名稱。而且，從他的個人資料來看，他是莫諾岡的領(lǐng)袖。臺灣有關(guān)部門于3月1日正式確認了此次黑客攻擊事件。根據(jù)內(nèi)部調(diào)查的初步數(shù)據(jù)，黑客成功獲取了中華電信的機密信息。據(jù)報道，被盜數(shù)據(jù)包含臺灣軍方、外交、海岸警衛(wèi)隊和其他政府部門的機密文件。盡管臺灣有關(guān)部門聲稱沒有透露任何機密信息。不過，針對這一事件，臺灣有關(guān)部門敦促中華電信加強網(wǎng)絡(luò)安全措施，防止今后發(fā)生類似事件。涉及泄露的公司現(xiàn)在被要求顯著加強對信息安全的控制。此類事件不僅構(gòu)成國家安全風險，還引發(fā)人們對政府層面和私營企業(yè)部門加強網(wǎng)絡(luò)安全重要性的質(zhì)疑。

消息來源：安全客  https://www.anquanke.com/post/id/293617

蚌埠住了，德國國防部文件密碼是1234

最近的德國防部可謂是風波不斷。據(jù)當?shù)孛襟w消息，在該部門因“德國軍官策劃襲擊克里米亞大橋”的談話內(nèi)容遭到竊聽并被俄媒曝光后，又身陷“密碼門”事件。

當?shù)貢r間3月3日，德國防部長鮑里斯·皮斯托留斯就這一竊聽丑聞事件舉行了新聞發(fā)布會，并將部分講話內(nèi)容以加密錄音文檔的形式被對外公布在國防部網(wǎng)站上，訪客可輸入密碼進行訪問。

但令德國大眾感到意外的是，密碼竟如此簡單，僅需輸入”1234“即可訪問該錄音。雖然該錄音文檔在云存儲上未進行分類，密碼“1234”甚至可能只是個臨時占位符，但密碼的簡單性仍遭到德媒批評。德國《圖片報》就將國防部頁面的提示截圖貼在報道內(nèi)，并反問“密碼是1234，這真的安全嗎？”

或許，國防部為了方便大眾訪問該文件，設(shè)置了簡單的密碼，但仍不免讓人懷疑，其系統(tǒng)內(nèi)部的安全保障措施是否也如此“劃水”。

《圖片報》指出，目前仍不清楚俄方究竟是如何通過什么手段竊聽獲得了長達38分鐘的德國高層軍官通話的錄音，但這些高層軍官因使用“WebEx”（第三方遠程會議軟件）進行高度機密的通話而被竊聽的事實，已經(jīng)讓外界擔憂國防部的保密程度是否出現(xiàn)巨大漏洞。

德國聯(lián)邦情報局前局長奧古斯特·漢寧認為，俄羅斯方面可能還掌握了更多被攔截的信息。德國基民盟國防專家基塞韋特稱：“我認為聯(lián)邦政府和各部委的其他成員很可能遭到竊聽，包括總理及其周圍的環(huán)境?！敝档靡惶岬氖?，在2013年曝光的震驚世界的美國國家安全局“棱鏡門”全球竊聽計劃中，德國時任總理默克爾也是美國的竊聽對象。

因密碼泄密，德國早有前科：

據(jù)新華國際此前報道，2019年元旦過后，近千名政客的私人信息被黑客獲取并公開，這些被曝光的信息包括郵箱、傳真、電話、家庭住址、信用卡信息、賬單、應(yīng)用軟件聊天記錄等。其中，887人的電話號碼被公布，116人的家庭住址被曝光，時任德國總理默克爾和總統(tǒng)施泰因邁爾也沒能幸免。

事后，德國聯(lián)邦信息安全局被指責辦事不力，面對輿論批評，時任德國內(nèi)政部長澤霍費爾為自己辯解稱，被黑客輕易攻破的政客們密碼設(shè)置太差，不少人的密碼非常簡單，比如“iloveyou”“12345”等。

更讓人大跌眼鏡的是這位黑客并非德方所認為的“高手”，而是一位年僅20歲且仍在上學的青年約翰，他供述說，自己完全是單獨行動，他采用的是猜測密碼等簡單辦法，沒想到一經(jīng)嘗試就截獲了不少人的信息。

消息來源：FREEBUF  https://www.freebuf.com/news/393636.html

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！