公司新聞

【一周安全資訊0120】OpenAI 公布2024選舉虛假信息打擊計(jì)劃;關(guān)于防范GitLab高危安全漏洞的風(fēng)險(xiǎn)提示

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2024-01-20    瀏覽次數(shù):
 

要聞速覽

1、OpenAI 公布2024選舉虛假信息打擊計(jì)劃

2、工信部印發(fā)《區(qū)塊鏈和分布式記賬技術(shù)標(biāo)準(zhǔn)體系建設(shè)指南》

3、關(guān)于防范GitLab高危安全漏洞的風(fēng)險(xiǎn)提示

4、蘋果承認(rèn) GPU 安全漏洞存在,iPhone 12、M2 MacBook Air 等受影響

5、印度制藥巨頭遭電子郵件詐騙,損失逾4500萬元

6、半導(dǎo)體設(shè)備上市公司京鼎遭勒索攻擊,官網(wǎng)“被留言”索要百萬美元贖金


一周政策要聞

OpenAI 公布2024選舉虛假信息打擊計(jì)劃

據(jù)統(tǒng)計(jì),2024 年預(yù)計(jì)將有 50 多個(gè)國(guó)家舉行大選,虛假信息的威脅成為人們關(guān)注的焦點(diǎn)。

人工智能聊天機(jī)器人 ChatGPT 和圖像生成器 DALL-E 的開發(fā)商 OpenAI 近日宣布了一項(xiàng)新的措施,以防止在今年大選之前再次出現(xiàn)虛假信息濫用和誤導(dǎo)事件。

1月15日,該公司宣布正在與美國(guó)歷史最悠久的無黨派公職人員專業(yè)組織——全美國(guó)務(wù)卿協(xié)會(huì)(NASS)合作,防止 ChatGPT 在 11 月美國(guó)總統(tǒng)大選前向用戶輸出一些錯(cuò)誤信息。

例如,當(dāng)被問及有關(guān)選舉的問題時(shí),如在哪里投票,OpenAI 的聊天機(jī)器人將引導(dǎo)用戶訪問美國(guó)投票信息的權(quán)威網(wǎng)站 CanIVote.org。該公司認(rèn)為,這項(xiàng)工作的經(jīng)驗(yàn)教訓(xùn)將為我們?cè)谄渌麌?guó)家和地區(qū)的工作提供借鑒。

利用加密水印打擊深度偽造:

為了防止深度偽造,OpenAI 還表示將對(duì)其最新版人工智能圖像生成器 DALL-E 3 生成的圖像實(shí)施內(nèi)容出處和真實(shí)性聯(lián)盟(Coalition for Content Provenance and Authenticity,C2PA)的數(shù)字證書。

C2PA 是聯(lián)合發(fā)展基金會(huì)(Joint Development Foundation)的一個(gè)項(xiàng)目,該基金會(huì)是一家總部位于華盛頓的非營(yíng)利組織,其主要舉措是內(nèi)容真實(shí)性倡議(CAI)和起源項(xiàng)目,通過實(shí)施加密內(nèi)容出處標(biāo)準(zhǔn)來應(yīng)對(duì)數(shù)字時(shí)代的虛假信息和操縱行為。

包括 Adobe、X 和《紐約時(shí)報(bào)》在內(nèi)的幾家大公司都是該聯(lián)盟的成員,并積極支持該標(biāo)準(zhǔn)的制定。

OpenAI 表示,它正在試驗(yàn)一種出處分類器,這是一種用于檢測(cè)由 DALL-E 生成的圖像的新工具。據(jù)其內(nèi)部測(cè)試顯示,即使圖像經(jīng)過常見類型的修改,早期結(jié)果也很有希望。他們計(jì)劃將其提供給第一批測(cè)試者,包括記者、平臺(tái)和研究人員,以征求反饋意見。

谷歌 DeepMind 也開發(fā)了類似的工具,利用 SynthID 對(duì)人工智能生成的圖像和音頻進(jìn)行數(shù)字水印處理。Meta 也在嘗試為其圖像生成器開發(fā)類似的水印工具,不過馬克-扎克伯格的公司很少分享相關(guān)信息。

OpenAI 稱在發(fā)布新系統(tǒng)之前會(huì)對(duì)其進(jìn)行紅隊(duì)測(cè)試,讓用戶和外部合作伙伴參與反饋,并建立安全緩解措施,以降低潛在的危害。

打擊虛假信息具有挑戰(zhàn)性:

基于人工智能的文本分析平臺(tái) Copyleaks 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官阿隆-亞明(Alon Yamin)在接受 Infosecurity 采訪時(shí)表示十分鼓勵(lì) OpenAI 致力于打擊虛假信息的行為,但實(shí)施起來可能具有挑戰(zhàn)性。

他表示,今年的大選被認(rèn)為是近代史上最大的選舉年之一,不僅是在美國(guó),在全世界范圍內(nèi),人們都非常擔(dān)心人工智能會(huì)被濫用于政治活動(dòng)等,這種擔(dān)心是完全有道理的。但正如我們多年來在社交媒體上看到的那樣,由于用戶群規(guī)模龐大,這些行動(dòng)可能難以實(shí)施。

在英國(guó),下一次大選應(yīng)在 2024 年年中至 2025 年 1 月之間舉行,信息專員辦公室(ICO)于 1 月 15 日啟動(dòng)了關(guān)于生成式人工智能的系列咨詢。

信息來源:FREEBUF  https://www.freebuf.com/news/389979.html


工信部印發(fā)《區(qū)塊鏈和分布式記賬技術(shù)標(biāo)準(zhǔn)體系建設(shè)指南》

2024年1月12日,工業(yè)和信息化部、中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)印發(fā)《區(qū)塊鏈和分布式記賬技術(shù)標(biāo)準(zhǔn)體系建設(shè)指南》。

區(qū)塊鏈和分布式記賬技術(shù)(以下簡(jiǎn)稱“區(qū)塊鏈”)是新一代信息技術(shù)的重要組成部分,是分布式網(wǎng)絡(luò)、加密技術(shù)、智能合約等多種技術(shù)集成的新型數(shù)據(jù)庫(kù)軟件。區(qū)塊鏈技術(shù)具有數(shù)據(jù)透明、不易篡改、可追溯等特性,有望解決網(wǎng)絡(luò)空間的信任和安全問題,推動(dòng)互聯(lián)網(wǎng)從傳遞信息向傳遞價(jià)值變革,將成為推動(dòng)元宇宙、Web3.0 等未來產(chǎn)業(yè)快速發(fā)展的重要數(shù)字基礎(chǔ)設(shè)施。

近年來,隨著區(qū)塊鏈技術(shù)和產(chǎn)業(yè)的快速發(fā)展,區(qū)塊鏈的應(yīng)用范圍更加廣闊多元,覆蓋生產(chǎn)、物流、政務(wù)、文娛、教育等多個(gè)行業(yè),以及產(chǎn)品溯源、數(shù)據(jù)流通、供應(yīng)鏈管理等眾多領(lǐng)域。為有效推動(dòng)區(qū)塊鏈應(yīng)用發(fā)展,急需進(jìn)一步加強(qiáng)對(duì)測(cè)試測(cè)評(píng)、人才培養(yǎng)等產(chǎn)業(yè)服務(wù)標(biāo)準(zhǔn),供應(yīng)鏈管理、存證、追溯等通用服務(wù)標(biāo)準(zhǔn),智能制造、電子政務(wù)、分布式能源等行業(yè)應(yīng)用標(biāo)準(zhǔn)的研制,加快滿足產(chǎn)業(yè)發(fā)展需要。同時(shí),急需圍繞區(qū)塊鏈治理,以及區(qū)塊鏈系統(tǒng)的開發(fā)、集成、管理等開發(fā)運(yùn)營(yíng)過程中的標(biāo)準(zhǔn)化需求,加快重點(diǎn)標(biāo)準(zhǔn)研制,助力區(qū)塊鏈技術(shù)和產(chǎn)業(yè)高質(zhì)量發(fā)展。

需要獲取建設(shè)指南請(qǐng)?jiān)谠u(píng)論區(qū)留言”建設(shè)指南“,小銘哥會(huì)第一時(shí)間為您提供相關(guān)資料。

信息來源:中華人民共和國(guó)工業(yè)和信息化部  https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_c82be443223e4a5aa9cee2c435112e00.html


業(yè)內(nèi)新聞速覽

關(guān)于防范GitLab高危安全漏洞的風(fēng)險(xiǎn)提示

近期,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)(NVDB)監(jiān)測(cè)發(fā)現(xiàn),GitLab存在任意用戶密碼重置高危漏洞,影響廣泛。

GitLab是由美國(guó)GitLab公司開發(fā)的一款開源代碼托管平臺(tái),由于忘記密碼功能的電子郵件驗(yàn)證過程存在錯(cuò)誤,攻擊者可通過構(gòu)造惡意請(qǐng)求獲取密碼重置鏈接從而重置密碼,導(dǎo)致在無需用戶交互的情況下接管帳戶,造成項(xiàng)目代碼泄露或被植入惡意代碼等危害。該漏洞影響GitLab社區(qū)版(CE)和企業(yè)版(EE)(GitLab CE/EE 16.1-16.1.5、16.2-16.2.8、16.3-16.3.6、16.4-16.4.4、16.5-16.5.5、16.6-16.6.3、16.7-16.7.1),目前官方已發(fā)布修復(fù)方案(https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/)。

建議相關(guān)單位和用戶立即組織排查GitLab的使用情況,及時(shí)升級(jí)受影響的產(chǎn)品版本,并可采取啟用GitLab 帳戶雙因素身份驗(yàn)證(2FA)、嚴(yán)格系統(tǒng)和網(wǎng)絡(luò)訪問控制、關(guān)閉非必要應(yīng)用端口和服務(wù)、加強(qiáng)系統(tǒng)用戶及權(quán)限管理等加固措施,防范漏洞利用風(fēng)險(xiǎn)。

消息來源:工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)  https://www.cnvdb.org.cn/announcement/136


蘋果承認(rèn) GPU 安全漏洞存在,iPhone 12、M2 MacBook Air 等受影響

IT之家 1 月 17 日消息,蘋果公司確認(rèn)了近期出現(xiàn)的有關(guān) Apple GPU 存在安全漏洞的報(bào)告,并承認(rèn) iPhone 12 和 M2 MacBook Air 受影響。該漏洞可能使攻擊者竊取由芯片處理的數(shù)據(jù),包括與 ChatGPT 的對(duì)話內(nèi)容等隱私信息。

Trail of Bits 的安全研究人員發(fā)現(xiàn),由蘋果、高通、AMD 和 Imagination 制造的多種圖形處理器存在名為“LeftoverLocals”的漏洞。該漏洞利用 GPU 內(nèi)未清除的殘留數(shù)據(jù),允許擁有設(shè)備本地訪問權(quán)限的攻擊者讀取數(shù)據(jù)。研究人員演示了攻擊過程,成功讀取了與人工智能聊天機(jī)器人 ChatGPT 的對(duì)話內(nèi)容。

目前無法確定所有受影響的蘋果設(shè)備,Trail of Bits 已將漏洞通報(bào)給蘋果和其他廠商,讓他們?cè)诠_漏洞之前有時(shí)間發(fā)布安全補(bǔ)丁。研究人員表示,蘋果已為搭載 A17 和 M3 芯片的設(shè)備修復(fù)了漏洞,但其他設(shè)備仍處于危險(xiǎn)之中。測(cè)試顯示,蘋果 iPad Air 3(A12)似乎已修復(fù),但 MacBook Air(M2)和 iPhone 12 仍可被成功攻擊。最新發(fā)布的 iPhone 15 似乎不受影響,但其他舊款 iPhone 可能存在風(fēng)險(xiǎn)。

蘋果發(fā)言人證實(shí)了 LeftoverLocals 漏洞的存在,并表示已在 2023 年底推出的 M3 和 A17 處理器中修復(fù)。這意味著,數(shù)百萬搭載舊款芯片的 iPhone、iPad 和 Macbook 仍易受攻擊。

雖然利用該漏洞需要一定的設(shè)備訪問權(quán)限,其風(fēng)險(xiǎn)目前被歸類為較低,但其潛在危害不容小視。黑客可以通過“漏洞疊加”的方式,將該漏洞與其他攻擊手段結(jié)合起來,從而發(fā)動(dòng)更具破壞性的攻擊。

消息來源:IT之家  https://www.ithome.com/0/745/807.htm?sf=NaBLO%2fcNdvLpfHwwCsWfxFwo1VDhJHRgWUva%2fvMRa3L%2fotF9j0Uwpd6YKRg5BXtAdhsCht7TRLw%3d


印度制藥巨頭遭電子郵件詐騙,損失逾4500萬元

1月16日CSDN消息,印度制藥巨頭阿爾肯實(shí)驗(yàn)室(Alkem Laboratories)上周五證實(shí)發(fā)生一起網(wǎng)絡(luò)安全事件,導(dǎo)致旗下一家子公司向欺詐分子轉(zhuǎn)賬5.2億盧比(約合人民幣4500萬元)。盡管公司堅(jiān)稱影響很小,僅限于特定事件,但這一披露令人不禁擔(dān)憂,印度制藥業(yè)是否有能力抵御網(wǎng)絡(luò)攻擊。根據(jù)截至2023年9月的季度財(cái)務(wù)報(bào)告數(shù)據(jù),該公司營(yíng)業(yè)收入為263.46億盧比,凈利潤(rùn)為64.65億盧比。

因子公司員工郵箱遭入侵:

阿爾肯實(shí)驗(yàn)室沒有透露安全事件的具體性質(zhì),但指出欺詐分子入侵了子公司部分員工的業(yè)務(wù)電子郵箱賬號(hào)。雖然根據(jù)公司政策,被盜金額未達(dá)到強(qiáng)制報(bào)告的門檻,但董事會(huì)選擇公開透明,向證券交易所披露了此次事件。

該公司在上報(bào)文件中指出,“目前得出的結(jié)論是,事件的影響并未超出所提及的金額。出于透明度和良好治理的考慮,董事會(huì)選擇報(bào)告此事?!?

阿爾肯實(shí)驗(yàn)室聘請(qǐng)了一家獨(dú)立外部機(jī)構(gòu)對(duì)此事件進(jìn)行調(diào)查,并向相關(guān)當(dāng)局提出投訴。他們強(qiáng)調(diào),欺詐行為與當(dāng)事人、董事或員工的任何內(nèi)部不當(dāng)行為無關(guān)。該公司還強(qiáng)調(diào),最近與網(wǎng)絡(luò)安全解決方案提供商 Check Point 軟件技術(shù)公司建立了合作伙伴關(guān)系,以加強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的防御能力。

制藥業(yè)網(wǎng)絡(luò)安全敲響警鐘:

盡管阿爾肯實(shí)驗(yàn)室強(qiáng)調(diào)事件的影響有限,但這一事件仍然為我們揭示了印度制藥業(yè)的網(wǎng)絡(luò)安全狀況。印度制藥公司持有寶貴的知識(shí)產(chǎn)權(quán)和患者敏感數(shù)據(jù),因此成為網(wǎng)絡(luò)犯罪分子的首要目標(biāo)。阿爾肯實(shí)驗(yàn)室事件提醒我們,該行業(yè)迫切需要加強(qiáng)網(wǎng)絡(luò)安全措施并提高警覺性。

消息來源:CSDN  https://blog.csdn.net/weixin_57514792/article/details/135641275


半導(dǎo)體設(shè)備上市公司京鼎遭勒索攻擊,官網(wǎng)“被留言”索要百萬美元贖金

1月16日安全內(nèi)參消息,據(jù)臺(tái)媒報(bào)道,富士康集團(tuán)旗下半導(dǎo)體設(shè)備大廠京鼎遭黑客入侵,并被黑客勒索100萬美元。

據(jù)悉黑客在京鼎官網(wǎng)發(fā)布信息,表示如果京鼎不支付費(fèi)用,客戶數(shù)據(jù)將被公開,員工也會(huì)因而失去工作。根據(jù)臺(tái)媒測(cè)試,進(jìn)入京鼎官方網(wǎng)站,雖然起初頁面正常,也可以點(diǎn)擊財(cái)報(bào)等內(nèi)容,但若從公司概述點(diǎn)擊,會(huì)直接看到黑客信息。黑客更是直接在網(wǎng)頁留下訊息,表示「你的數(shù)據(jù)被竊取并加密」,并對(duì)客戶表示「如果你是京鼎客戶,我們擁有您所有個(gè)人資料,如果京鼎不支付費(fèi)用,你的所有個(gè)人資料都將在網(wǎng)絡(luò)上免費(fèi)提供」。

黑客也對(duì)京鼎員工說道,「如果你的管理層不與我們聯(lián)系,你將失去工作,所有媒體包括 BBC、紐約時(shí)報(bào)、華爾街日?qǐng)?bào)等都會(huì)告知你,公司已經(jīng)不存在」。

該黑客稱是全球歷史最悠久的勒索軟件聯(lián)盟計(jì)劃,沒有政治動(dòng)機(jī),只想要錢,如果付款后會(huì)提供解密軟件并銷毀遭竊取的數(shù)據(jù)。

16日下午,京鼎精密針對(duì)黑客事件發(fā)布重大訊息指出,事件本身目前初步評(píng)估對(duì)公司運(yùn)作無重大影響。京鼎精密的聲明證實(shí),公司有偵測(cè)到部分信息系統(tǒng)遭受黑客網(wǎng)絡(luò)攻擊,事發(fā)當(dāng)下,信息部門已全面啟動(dòng)相關(guān)防御機(jī)制與復(fù)原作業(yè),同時(shí)與外部資安公司技術(shù)專家協(xié)同處理。目前對(duì)所有網(wǎng)域(頁)及相關(guān)檔案做全面徹底的掃描檢測(cè),高標(biāo)準(zhǔn)確保信息安全后,即能以日常備份數(shù)據(jù)復(fù)原運(yùn)作。

京鼎表示,公司后續(xù)仍將持續(xù)提升網(wǎng)絡(luò)與信息基礎(chǔ)架構(gòu)之安全管控,以確保信息安全。

消息來源:安全內(nèi)參 https://www.secrss.com/articles/62875

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝!

 
 

上一篇:2024年1月19日聚銘安全速遞

下一篇:標(biāo)準(zhǔn)化更新-AISOC_2024-01