【一周安全資訊0309】聚焦兩會 | 從政府工作報告看2024數(shù)字經(jīng)濟發(fā)展新風(fēng)向;全球首個AI蠕蟲面世,可在AI系統(tǒng)之間自動傳播 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2024-03-09 瀏覽次數(shù): |
要聞速覽 1、聚焦兩會 | 從政府工作報告看2024年數(shù)字經(jīng)濟網(wǎng)絡(luò)安全發(fā)展新風(fēng)向 2、全國網(wǎng)安標(biāo)委發(fā)布《生成式人工智能服務(wù)安全基本要求》 3、全球首個AI蠕蟲面世:可在AI系統(tǒng)之間自動傳播 4、蘋果又出大事!因濫用 App Store 規(guī)則被歐盟罰款 140 億元 5、Monogon 組織從臺灣竊取了 1.7 TB 機密數(shù)據(jù) 6、蚌埠住了,德國國防部文件密碼是1234 一周政策要聞 聚焦兩會 | 從政府工作報告看2024年數(shù)字經(jīng)濟網(wǎng)絡(luò)安全發(fā)展新風(fēng)向 3月5 日,世界矚目的“兩會”之十四屆全國人大二次會議正式拉開帷幕,謀劃國家新一年發(fā)展大計。
《2024年政府工作報告》中明確提出,制定支持數(shù)字經(jīng)濟高質(zhì)量發(fā)展政策,積極推進數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化,促進數(shù)字技術(shù)和實體經(jīng)濟深度融合。同時,深化大數(shù)據(jù)、人工智能等研發(fā)應(yīng)用,開展“人工智能+”行動,打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群。 以下為《政府工作報告》數(shù)字經(jīng)濟/網(wǎng)絡(luò)安全要點梳理: 要點1:今年的政府工作報告,首次將“大力推進現(xiàn)代化產(chǎn)業(yè)體系建設(shè),加快發(fā)展新質(zhì)生產(chǎn)力”列為首項任務(wù)。 2024年政府工作十項任務(wù),第一項就是“大力推進現(xiàn)代化產(chǎn)業(yè)體系建設(shè),加快發(fā)展新質(zhì)生產(chǎn)力”。 此外,2024年2月7日,總書記在中共中央政治局第十一次集體學(xué)習(xí)時強調(diào),要圍繞發(fā)展新質(zhì)生產(chǎn)力布局產(chǎn)業(yè)鏈,提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性和安全水平,保證產(chǎn)業(yè)體系自主可控、安全可靠。 2024年推動該項工作主要有三個方面要點: 推動產(chǎn)業(yè)鏈供應(yīng)鏈優(yōu)化升級(自主可控能力提升); 積極培育新興產(chǎn)業(yè)和未來產(chǎn)業(yè)(超大規(guī)模新型智算中心、GPU芯片、下一代智能終端、下一代操作系統(tǒng)等); 深入推進數(shù)字經(jīng)濟創(chuàng)新發(fā)展。 要點2:報告提出了“健全數(shù)據(jù)基礎(chǔ)制度”,大力推動數(shù)據(jù)開發(fā)開放和流通使用。 報告中提及深入推進數(shù)字經(jīng)濟創(chuàng)新發(fā)展。深化大數(shù)據(jù)、人工智能等研發(fā)應(yīng)用。健全數(shù)據(jù)基礎(chǔ)制度,大力推動數(shù)據(jù)開發(fā)開放和流通使用。 當(dāng)前,數(shù)字經(jīng)濟的蓬勃發(fā)展依賴于牢固的數(shù)據(jù)安全保障,在數(shù)據(jù)生命周期中建立安全機制,以防范數(shù)據(jù)泄露和不當(dāng)使用顯得尤為重要。數(shù)據(jù)安全不僅關(guān)乎個人隱私和企業(yè)機密,也是國家安全的關(guān)鍵。 縱觀國內(nèi)外,數(shù)據(jù)要素是人工智能及大數(shù)據(jù)等新技術(shù)實現(xiàn)突破、賦能經(jīng)濟社會發(fā)展,贏得國際競爭力的根本。只有在政策、平臺及參與主體等方面打通重要“關(guān)節(jié)”樞紐,促進數(shù)據(jù)要素高效流通交易,才能充分釋放其價值,驅(qū)動數(shù)字經(jīng)濟高質(zhì)量發(fā)展。 要點3:以人工智能為代表的數(shù)字經(jīng)濟內(nèi)容大幅增加,數(shù)字基礎(chǔ)設(shè)施和算力體系可能成為重要抓手。 本次《政府工作報告》中,推動以人工智能為代表的數(shù)字經(jīng)濟發(fā)展也是非常重要的一部分。報告明確提出,制定支持數(shù)字經(jīng)濟高質(zhì)量發(fā)展政策,開展“人工智能+”行動。 目前,AI技術(shù)呈現(xiàn)出快速發(fā)展的態(tài)勢,在多個領(lǐng)域的應(yīng)用前景被廣泛看好。AI技術(shù)的進步不僅推動了自動化和智能化的進程,還在醫(yī)療、教育、交通等多個行業(yè)中展現(xiàn)出巨大的變革潛力。 報告中提及“數(shù)字經(jīng)濟”及“人工智能”的主要內(nèi)容有: 推進數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化,促進數(shù)字技術(shù)和實體經(jīng)濟深度融合。 深化大數(shù)據(jù)、人工智能等研發(fā)應(yīng)用,開展“人工智能+”行動,打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群。 實施制造業(yè)數(shù)字化轉(zhuǎn)型行動,加快工業(yè)互聯(lián)網(wǎng)規(guī)模化應(yīng)用。 深入開展中小企業(yè)數(shù)字化賦能專項行動。 支持平臺企業(yè)在促進創(chuàng)新、增加就業(yè)、國際競爭中大顯身手。 健全數(shù)據(jù)基礎(chǔ)制度,大力推動數(shù)據(jù)開發(fā)開放和流通使用。 適度超前建設(shè)數(shù)字基礎(chǔ)設(shè)施,加快形成全國一體化算力體系。 隨著數(shù)字技術(shù)不斷發(fā)展和普及,數(shù)字經(jīng)濟已成為推動經(jīng)濟社會發(fā)展的重要力量。政府工作報告中提到的相關(guān)政策措施和行動計劃,為我國數(shù)字經(jīng)濟的發(fā)展指明了新的方向。 信息來源:網(wǎng)易 https://www.163.com/dy/article/ISMN82ER0538EUPB.html
全國網(wǎng)安標(biāo)委發(fā)布《生成式人工智能服務(wù)安全基本要求》 3月4日,全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)發(fā)布《生成式人工智能服務(wù)安全基本要求》(以下簡稱“《基本要求》”),旨在明確生成式人工智能服務(wù)在安全方面的基本要求,包括語料安全、模型安全、安全措施等,并給出了安全評估要求。 該文件支撐《生成式人工智能服務(wù)管理暫行辦法》,提出了服務(wù)提供者需遵循的安全基本要求。服務(wù)提供者在按照有關(guān)要求履行備案手續(xù)時,按照本文件第9章要求進行安全評估,并提交評估報告?!痘疽蟆分忻鞔_列明,“本文件規(guī)定了生成式人工智能服務(wù)在安全方面的基本要求。適用于服務(wù)提供者開展安全評估、提高安全水平”。《基本要求》在“術(shù)語和定義”中明確了“生成式人工智能服務(wù)”和“服務(wù)提供者”兩個概念:所謂生成式人工智能服務(wù),就是利用生成式人工智能技術(shù)向中華人民共和國境內(nèi)公眾提供生成文本、圖片、音頻、視頻等內(nèi)容的服務(wù)。所謂“服務(wù)提供者”,是指以交互界面、可編程接口等形式提供生成式人工智能服務(wù)的組織或個人。就生成式人工智能服務(wù)而言,無論該服務(wù)的提供者位于我國境內(nèi)還是境外均在所不問,只要相關(guān)服務(wù)面向中華人民共和國境內(nèi)的公眾,那么就適用于該文件。就“服務(wù)提供者”概念而言,應(yīng)當(dāng)注意的是服務(wù)提供者不一定僅指企業(yè),基本要求明確提出了只要是以交互界面、可編程接口等形式提供服務(wù),無論是組織還是個人,都符合“服務(wù)提供者”的定義。
信息來源:全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會 https://www.tc260.org.cn/front/postDetail.html?id=20240301164054
業(yè)內(nèi)新聞速覽 全球首個AI蠕蟲面世:可在AI系統(tǒng)之間自動傳播 研究人員開發(fā)出首個第一代生成式AI蠕蟲,名為 “Morris II”,它能夠自動在AI系統(tǒng)之間傳播。 這種新型網(wǎng)絡(luò)攻擊,讓人回憶起1988年對互聯(lián)網(wǎng)造成重大破壞的初代Morris 蠕蟲的,凸顯了網(wǎng)絡(luò)安全威脅局勢中的一個潛在變化。這項研究由康奈爾大學(xué)紐約科技校區(qū)研究員 Ben Nassi與另外兩名研究員 Stav Cohen 和 Ron Bitton 共同牽頭開展,展示了該蠕蟲的能力即滲透生成式AI郵件助手、提取數(shù)據(jù)和分垃圾郵件,從而攻陷聲名鵲起的AI模型如 ChatGPT 和 Gemini 的安全措施。生成式AI的崛起和漏洞的增多: 隨著生成式AI系統(tǒng)如 OpenAI 公司的 ChatGPT 和谷歌 Gemini 變得越來越強大且集成到多種應(yīng)用中,這些系統(tǒng)被利用的可能性也在不斷提升。研究人員創(chuàng)建的 Morris II 蠕蟲凸顯了利用AI生態(tài)系統(tǒng)互聯(lián)性和自動化的新型網(wǎng)絡(luò)威脅。媒體Wired報道稱,首批生成式AI蠕蟲已開發(fā)完畢。這些蠕蟲可能會從一個系統(tǒng)傳播到另一個系統(tǒng),甚至可能在此過程中竊取數(shù)據(jù)或部署惡意軟件。通過應(yīng)用對抗性自復(fù)制提示,該蠕蟲可通過AI系統(tǒng)進行傳播,劫持這些系統(tǒng)執(zhí)行未授權(quán)操作如數(shù)據(jù)盜取和惡意軟件部署。這類蠕蟲影響深遠,為依賴于生成式AI系統(tǒng)的初創(chuàng)企業(yè)、開發(fā)人員和技術(shù)公司帶來重大風(fēng)險。該蠕蟲能夠躲避檢測,在不同的AI系統(tǒng)中自動傳播,這就為網(wǎng)絡(luò)攻擊引入一個新的向量,為現(xiàn)有的安全模型帶來挑戰(zhàn)。安全專家和研究人員強調(diào)了這些攻擊的合理性以及開發(fā)社區(qū)認真對待這些威脅的緊迫性。 緩解威脅: 盡管AI蠕蟲潛力強大,但安全專家認為傳統(tǒng)的安全措施和謹慎的應(yīng)用設(shè)計可緩解這些風(fēng)險。從事AI企業(yè)安全業(yè)務(wù)的威脅研究員 Adam Swanda 提倡安全的應(yīng)用設(shè)計和AI運營中人工疏忽的重要性。越權(quán)風(fēng)險可通過確保AI系統(tǒng)不會在未獲得明確同意的情況下執(zhí)行操作會得到大大減少。另外,監(jiān)控異常模式如在AI系統(tǒng)中的重復(fù)性提示有助于在早期檢測到潛在威脅。Ben Nassi及其團隊還強調(diào)了創(chuàng)建AI助手的開發(fā)人員和企業(yè)意識提升的重要性。了解這些風(fēng)險并執(zhí)行健壯的安全措施對于防止生成式AI系統(tǒng)的利用至關(guān)重要。這一研究呼吁AI開發(fā)社區(qū)在設(shè)計和部署AI生態(tài)系統(tǒng)中優(yōu)先考慮安全的重要性。Morris II蠕蟲的開發(fā)是評估網(wǎng)絡(luò)威脅流程中的重要時刻,強調(diào)了生成式AI系統(tǒng)的內(nèi)在漏洞。隨著AI對技術(shù)和日常生活的影響日益加劇,全面的安全策略也變得愈發(fā)重要。通過提升意識和采取主動的安全措施,AI開發(fā)社區(qū)可防御AI蠕蟲的威脅并確保生成式AI技術(shù)能得到安全、負責(zé)任的使用。 消息來源:安全內(nèi)參 https://www.secrss.com/articles/64123
蘋果又出大事!因濫用 App Store 規(guī)則被歐盟罰款 140 億元 近日,據(jù)相關(guān)媒體報道,蘋果公司被歐盟罰款 18 億歐元 ( 約合人民幣 140 億元 ) ,原因是蘋果公司濫用 App Store 規(guī)則,非法阻止應(yīng)用開發(fā)者通過其應(yīng)用商店之外的渠道向用戶提供可替代和更便宜的音樂訂閱服務(wù)信息。 事情起因是,流媒體公司 Spotify 就蘋果公司濫用 App store 阻止應(yīng)用開發(fā)者在其應(yīng)用商店之外向用戶提供有關(guān)替代和更便宜的音樂訂閱服務(wù)的信息發(fā)起投訴,歐盟隨后對蘋果公司進行調(diào)查,并最終認定蘋果公司違規(guī),并處以 18 億歐元的巨額罰款。隨后,蘋果公司表示,盡管尊重歐盟委員會,但其并未提供任何可信消費者利益受損證據(jù),忽視了蓬勃發(fā)展的競爭市場現(xiàn)實,蘋果公司將會對歐盟罰款提出上訴。本次巨額處罰是歐盟針對大型科技公司最大的經(jīng)濟處罰之一,而谷歌也有類似的處罰,歷時數(shù)年,總金額高達 80 億歐元,目前仍在抗訴。 消息來源:ZAKER資訊 https://www.myzaker.com/article/65e788948e9f0972030888a8
Monogon 組織從臺灣竊取了 1.7 TB 機密數(shù)據(jù) 據(jù)安全客3月5日消息,臺灣最大的電信公司中華電信最近遭受了黑客攻擊。此次黑客攻擊導(dǎo)致 1.7 TB 數(shù)據(jù)被盜,其中包括與該島政府相關(guān)的信息。2024年2月23日,一名昵稱“303”、頭像上帶有“Monogon”簽名的用戶將泄露的數(shù)據(jù)在暗網(wǎng)上出售。這可能是攻擊者所代表的黑客組織的名稱。而且,從他的個人資料來看,他是莫諾岡的領(lǐng)袖。臺灣有關(guān)部門于3月1日正式確認了此次黑客攻擊事件。根據(jù)內(nèi)部調(diào)查的初步數(shù)據(jù),黑客成功獲取了中華電信的機密信息。據(jù)報道,被盜數(shù)據(jù)包含臺灣軍方、外交、海岸警衛(wèi)隊和其他政府部門的機密文件。盡管臺灣有關(guān)部門聲稱沒有透露任何機密信息。不過,針對這一事件,臺灣有關(guān)部門敦促中華電信加強網(wǎng)絡(luò)安全措施,防止今后發(fā)生類似事件。涉及泄露的公司現(xiàn)在被要求顯著加強對信息安全的控制。此類事件不僅構(gòu)成國家安全風(fēng)險,還引發(fā)人們對政府層面和私營企業(yè)部門加強網(wǎng)絡(luò)安全重要性的質(zhì)疑。 消息來源:安全客 https://www.anquanke.com/post/id/293617
蚌埠住了,德國國防部文件密碼是1234 最近的德國防部可謂是風(fēng)波不斷。據(jù)當(dāng)?shù)孛襟w消息,在該部門因“德國軍官策劃襲擊克里米亞大橋”的談話內(nèi)容遭到竊聽并被俄媒曝光后,又身陷“密碼門”事件。 當(dāng)?shù)貢r間3月3日,德國防部長鮑里斯·皮斯托留斯就這一竊聽丑聞事件舉行了新聞發(fā)布會,并將部分講話內(nèi)容以加密錄音文檔的形式被對外公布在國防部網(wǎng)站上,訪客可輸入密碼進行訪問。
但令德國大眾感到意外的是,密碼竟如此簡單,僅需輸入”1234“即可訪問該錄音。雖然該錄音文檔在云存儲上未進行分類,密碼“1234”甚至可能只是個臨時占位符,但密碼的簡單性仍遭到德媒批評。德國《圖片報》就將國防部頁面的提示截圖貼在報道內(nèi),并反問“密碼是1234,這真的安全嗎?” 或許,國防部為了方便大眾訪問該文件,設(shè)置了簡單的密碼,但仍不免讓人懷疑,其系統(tǒng)內(nèi)部的安全保障措施是否也如此“劃水”。 《圖片報》指出,目前仍不清楚俄方究竟是如何通過什么手段竊聽獲得了長達38分鐘的德國高層軍官通話的錄音,但這些高層軍官因使用“WebEx”(第三方遠程會議軟件)進行高度機密的通話而被竊聽的事實,已經(jīng)讓外界擔(dān)憂國防部的保密程度是否出現(xiàn)巨大漏洞。 德國聯(lián)邦情報局前局長奧古斯特·漢寧認為,俄羅斯方面可能還掌握了更多被攔截的信息。德國基民盟國防專家基塞韋特稱:“我認為聯(lián)邦政府和各部委的其他成員很可能遭到竊聽,包括總理及其周圍的環(huán)境?!敝档靡惶岬氖牵?013年曝光的震驚世界的美國國家安全局“棱鏡門”全球竊聽計劃中,德國時任總理默克爾也是美國的竊聽對象。 因密碼泄密,德國早有前科: 據(jù)新華國際此前報道,2019年元旦過后,近千名政客的私人信息被黑客獲取并公開,這些被曝光的信息包括郵箱、傳真、電話、家庭住址、信用卡信息、賬單、應(yīng)用軟件聊天記錄等。其中,887人的電話號碼被公布,116人的家庭住址被曝光,時任德國總理默克爾和總統(tǒng)施泰因邁爾也沒能幸免。 事后,德國聯(lián)邦信息安全局被指責(zé)辦事不力,面對輿論批評,時任德國內(nèi)政部長澤霍費爾為自己辯解稱,被黑客輕易攻破的政客們密碼設(shè)置太差,不少人的密碼非常簡單,比如“iloveyou”“12345”等。 更讓人大跌眼鏡的是這位黑客并非德方所認為的“高手”,而是一位年僅20歲且仍在上學(xué)的青年約翰,他供述說,自己完全是單獨行動,他采用的是猜測密碼等簡單辦法,沒想到一經(jīng)嘗試就截獲了不少人的信息。 消息來源:FREEBUF https://www.freebuf.com/news/393636.html 來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點或證實其內(nèi)容的真實性,部分內(nèi)容推送時未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請原作者聯(lián)系我們,我們會盡快刪除處理,謝謝! |