【一周安全资讯0120】OpenAI 公布2024选举虚假信息打击计划;关于防范GitLab高危安全漏洞的风险提示

要闻速览

1、OpenAI 公布2024选举虚假信息打击计划
2、工信部印发《区块链和分布式记账技术标准体系建设指南》
3、关于防范GitLab高危安全漏洞的风险提示
4、苹果承认 GPU 安全漏洞存在,iPhone 12、M2 MacBook Air 等受影响
5、印度制药巨头遭电子邮件诈骗,损失逾4500万元
6、半导体设备上市公司京鼎遭勒索攻击,官网"被留言"索要百万美元赎金

一周政策要闻

OpenAI 公布2024选举虚假信息打击计划

据统计,2024 年预计将有 50 多个国家举行大选,虚假信息的威胁成为人们关注的焦点。

人工智能聊天机器人 ChatGPT 和图像生成器 DALL-E 的开发商 OpenAI 近日宣布了一项新的措施,以防止在今年大选之前再次出现虚假信息滥用和误导事件。

1月15日,该公司宣布正在与美国历史最悠久的无党派公职人员专业组织------全美国务卿协会(NASS)合作,防止 ChatGPT 在 11 月美国总统大选前向用户输出一些错误信息。

例如,当被问及有关选举的问题时,如在哪里投票,OpenAI 的聊天机器人将引导用户访问美国投票信息的权威网站 CanIVote.org。该公司认为,这项工作的经验教训将为我们在其他国家和地区的工作提供借鉴。

利用加密水印打击深度伪造:

为了防止深度伪造,OpenAI 还表示将对其最新版人工智能图像生成器 DALL-E 3 生成的图像实施内容出处和真实性联盟(Coalition for Content Provenance and Authenticity,C2PA)的数字证书。

C2PA 是联合发展基金会(Joint Development Foundation)的一个项目,该基金会是一家总部位于华盛顿的非营利组织,其主要举措是内容真实性倡议(CAI)和起源项目,通过实施加密内容出处标准来应对数字时代的虚假信息和操纵行为。

包括 Adobe、X 和《纽约时报》在内的几家大公司都是该联盟的成员,并积极支持该标准的制定。

OpenAI 表示,它正在试验一种出处分类器,这是一种用于检测由 DALL-E 生成的图像的新工具。据其内部测试显示,即使图像经过常见类型的修改,早期结果也很有希望。他们计划将其提供给第一批测试者,包括记者、平台和研究人员,以征求反馈意见。

谷歌 DeepMind 也开发了类似的工具,利用 SynthID 对人工智能生成的图像和音频进行数字水印处理。Meta 也在尝试为其图像生成器开发类似的水印工具,不过马克-扎克伯格的公司很少分享相关信息。

OpenAI 称在发布新系统之前会对其进行红队测试,让用户和外部合作伙伴参与反馈,并建立安全缓解措施,以降低潜在的危害。

打击虚假信息具有挑战性:

基于人工智能的文本分析平台 Copyleaks 的联合创始人兼首席执行官阿隆-亚明(Alon Yamin)在接受 Infosecurity 采访时表示十分鼓励 OpenAI 致力于打击虚假信息的行为,但实施起来可能具有挑战性。

他表示,今年的大选被认为是近代史上最大的选举年之一,不仅是在美国,在全世界范围内,人们都非常担心人工智能会被滥用于政治活动等,这种担心是完全有道理的。但正如我们多年来在社交媒体上看到的那样,由于用户群规模庞大,这些行动可能难以实施。

在英国,下一次大选应在 2024 年年中至 2025 年 1 月之间举行,信息专员办公室(ICO)于 1 月 15 日启动了关于生成式人工智能的系列咨询。

信息来源:FREEBUF

https://www.freebuf.com/news/389979.html

工信部印发《区块链和分布式记账技术标准体系建设指南》

2024年1月12日,工业和信息化部、中央网络安全和信息化委员会办公室、国家标准化管理委员会印发《区块链和分布式记账技术标准体系建设指南》。

区块链和分布式记账技术(以下简称"区块链")是新一代信息技术的重要组成部分,是分布式网络、加密技术、智能合约等多种技术集成的新型数据库软件。区块链技术具有数据透明、不易篡改、可追溯等特性,有望解决网络空间的信任和安全问题,推动互联网从传递信息向传递价值变革,将成为推动元宇宙、Web3.0 等未来产业快速发展的重要数字基础设施。

近年来,随着区块链技术和产业的快速发展,区块链的应用范围更加广阔多元,覆盖生产、物流、政务、文娱、教育等多个行业,以及产品溯源、数据流通、供应链管理等众多领域。为有效推动区块链应用发展,急需进一步加强对测试测评、人才培养等产业服务标准,供应链管理、存证、追溯等通用服务标准,智能制造、电子政务、分布式能源等行业应用标准的研制,加快满足产业发展需要。同时,急需围绕区块链治理,以及区块链系统的开发、集成、管理等开发运营过程中的标准化需求,加快重点标准研制,助力区块链技术和产业高质量发展。

需要获取建设指南请在评论区留言"建设指南",小铭哥会第一时间为您提供相关资料。

信息来源:中华人民共和国工业和信息化部

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_c82be443223e4a5aa9cee2c435112e00.html

业内新闻速览

关于防范GitLab高危安全漏洞的风险提示

近期,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,GitLab存在任意用户密码重置高危漏洞,影响广泛。

GitLab是由美国GitLab公司开发的一款开源代码托管平台,由于忘记密码功能的电子邮件验证过程存在错误,攻击者可通过构造恶意请求获取密码重置链接从而重置密码,导致在无需用户交互的情况下接管帐户,造成项目代码泄露或被植入恶意代码等危害。该漏洞影响GitLab社区版(CE)和企业版(EE)(GitLab CE/EE 16.1-16.1.5、16.2-16.2.8、16.3-16.3.6、16.4-16.4.4、16.5-16.5.5、16.6-16.6.3、16.7-16.7.1),目前官方已发布修复方案(https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/)。

建议相关单位和用户立即组织排查GitLab的使用情况,及时升级受影响的产品版本,并可采取启用GitLab 帐户双因素身份验证(2FA)、严格系统和网络访问控制、关闭非必要应用端口和服务、加强系统用户及权限管理等加固措施,防范漏洞利用风险。

消息来源:工业和信息化部网络安全威胁和漏洞信息共享平台

https://www.cnvdb.org.cn/announcement/136

苹果承认 GPU 安全漏洞存在,iPhone 12、M2 MacBook Air 等受影响

图片

IT之家 1 月 17 日消息,苹果公司确认了近期出现的有关 Apple GPU 存在安全漏洞的报告,并承认 iPhone 12 和 M2 MacBook Air 受影响。该漏洞可能使攻击者窃取由芯片处理的数据,包括与 ChatGPT 的对话内容等隐私信息。

Trail of Bits 的安全研究人员发现,由苹果、高通、AMD 和 Imagination 制造的多种图形处理器存在名为"LeftoverLocals"的漏洞。该漏洞利用 GPU 内未清除的残留数据,允许拥有设备本地访问权限的攻击者读取数据。研究人员演示了攻击过程,成功读取了与人工智能聊天机器人 ChatGPT 的对话内容。

目前无法确定所有受影响的苹果设备,Trail of Bits 已将漏洞通报给苹果和其他厂商,让他们在公开漏洞之前有时间发布安全补丁。研究人员表示,苹果已为搭载 A17 和 M3 芯片的设备修复了漏洞,但其他设备仍处于危险之中。测试显示,苹果 iPad Air 3(A12)似乎已修复,但 MacBook Air(M2)和 iPhone 12 仍可被成功攻击。最新发布的 iPhone 15 似乎不受影响,但其他旧款 iPhone 可能存在风险。

苹果发言人证实了 LeftoverLocals 漏洞的存在,并表示已在 2023 年底推出的 M3 和 A17 处理器中修复。这意味着,数百万搭载旧款芯片的 iPhone、iPad 和 Macbook 仍易受攻击。

虽然利用该漏洞需要一定的设备访问权限,其风险目前被归类为较低,但其潜在危害不容小视。黑客可以通过"漏洞叠加"的方式,将该漏洞与其他攻击手段结合起来,从而发动更具破坏性的攻击。

消息来源:IT之家

https://www.ithome.com/0/745/807.htm?sf=NaBLO%2FcNdvLpfHwwCsWfxFwo1VDhJHRgWUva%2FvMRa3L%2FotF9j0Uwpd6YKRg5BXtAdhsCht7TRLw%3D

印度制药巨头遭电子邮件诈骗,损失逾4500万元

1月16日CSDN消息,印度制药巨头阿尔肯实验室(Alkem Laboratories)上周五证实发生一起网络安全事件,导致旗下一家子公司向欺诈分子转账5.2亿卢比(约合人民币4500万元)。尽管公司坚称影响很小,仅限于特定事件,但这一披露令人不禁担忧,印度制药业是否有能力抵御网络攻击。

根据截至2023年9月的季度财务报告数据,该公司营业收入为263.46亿卢比,净利润为64.65亿卢比。

因子公司员工邮箱遭入侵:

阿尔肯实验室没有透露安全事件的具体性质,但指出欺诈分子入侵了子公司部分员工的业务电子邮箱账号。虽然根据公司政策,被盗金额未达到强制报告的门槛,但董事会选择公开透明,向证券交易所披露了此次事件。

该公司在上报文件中指出,"目前得出的结论是,事件的影响并未超出所提及的金额。出于透明度和良好治理的考虑,董事会选择报告此事。"

阿尔肯实验室聘请了一家独立外部机构对此事件进行调查,并向相关当局提出投诉。他们强调,欺诈行为与当事人、董事或员工的任何内部不当行为无关。该公司还强调,最近与网络安全解决方案提供商 Check Point 软件技术公司建立了合作伙伴关系,以加强对网络攻击的防御能力。

制药业网络安全敲响警钟:

尽管阿尔肯实验室强调事件的影响有限,但这一事件仍然为我们揭示了印度制药业的网络安全状况。印度制药公司持有宝贵的知识产权和患者敏感数据,因此成为网络犯罪分子的首要目标。阿尔肯实验室事件提醒我们,该行业迫切需要加强网络安全措施并提高警觉性。

消息来源:CSDN

https://blog.csdn.net/weixin_57514792/article/details/135641275

半导体设备上市公司京鼎遭勒索攻击,官网"被留言"索要百万美元赎金

1月16日安全内参消息,据台媒报道,富士康集团旗下半导体设备大厂京鼎遭黑客入侵,并被黑客勒索100万美元。

据悉黑客在京鼎官网发布信息,表示如果京鼎不支付费用,客户数据将被公开,员工也会因而失去工作。

根据台媒测试,进入京鼎官方网站,虽然起初页面正常,也可以点击财报等内容,但若从公司概述点击,会直接看到黑客信息。黑客更是直接在网页留下讯息,表示「你的数据被窃取并加密」,并对客户表示「如果你是京鼎客户,我们拥有您所有个人资料,如果京鼎不支付费用,你的所有个人资料都将在网络上免费提供」。

黑客也对京鼎员工说道,「如果你的管理层不与我们联系,你将失去工作,所有媒体包括 BBC、纽约时报、华尔街日报等都会告知你,公司已经不存在」。

该黑客称是全球历史最悠久的勒索软件联盟计划,没有政治动机,只想要钱,如果付款后会提供解密软件并销毁遭窃取的数据。

16日下午,京鼎精密针对黑客事件发布重大讯息指出,事件本身目前初步评估对公司运作无重大影响。京鼎精密的声明证实,公司有侦测到部分信息系统遭受黑客网络攻击,事发当下,信息部门已全面启动相关防御机制与复原作业,同时与外部资安公司技术专家协同处理。目前对所有网域(页)及相关档案做全面彻底的扫描检测,高标准确保信息安全后,即能以日常备份数据复原运作。

京鼎表示,公司后续仍将持续提升网络与信息基础架构之安全管控,以确保信息安全。

消息来源:安全内参

https://www.secrss.com/articles/62875

来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!

相关推荐
鸭梨山大。1 小时前
Jenkins安全部署规范及安全基线
安全·中间件·jenkins
网安-轩逸1 小时前
网络安全核心目标CIA
安全·web安全
鸭梨山大。3 小时前
Jenkins 任意文件读取(CVE-2024-23897)修复及复现
安全·中间件·jenkins
黑客老陈4 小时前
新手小白如何挖掘cnvd通用漏洞之存储xss漏洞(利用xss钓鱼)
运维·服务器·前端·网络·安全·web3·xss
代码改变世界ctw10 小时前
如何学习Trustzone
安全·trustzone·atf·optee·tee·armv8·armv9
WTT001112 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
群联云防护小杜15 小时前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡
ihengshuai15 小时前
HTTP协议及安全防范
网络协议·安全·http
黑客Jack16 小时前
防御 XSS 的七条原则
安全·web安全·xss
云云32117 小时前
怎么通过亚矩阵云手机实现营销?
大数据·服务器·安全·智能手机·矩阵