【一周安全资讯0120】OpenAI 公布2024选举虚假信息打击计划;关于防范GitLab高危安全漏洞的风险提示

发布时间:2024年01月23日

要闻速览

1、OpenAI 公布2024选举虚假信息打击计划
2、工信部印发《区块链和分布式记账技术标准体系建设指南》
3、关于防范GitLab高危安全漏洞的风险提示
4、苹果承认 GPU 安全漏洞存在,iPhone 12、M2 MacBook Air 等受影响
5、印度制药巨头遭电子邮件诈骗,损失逾4500万元
6、半导体设备上市公司京鼎遭勒索攻击,官网“被留言”索要百万美元赎金

一周政策要闻

OpenAI 公布2024选举虚假信息打击计划

据统计,2024 年预计将有 50 多个国家举行大选,虚假信息的威胁成为人们关注的焦点。

人工智能聊天机器人 ChatGPT 和图像生成器 DALL-E 的开发商 OpenAI 近日宣布了一项新的措施,以防止在今年大选之前再次出现虚假信息滥用和误导事件。

1月15日,该公司宣布正在与美国历史最悠久的无党派公职人员专业组织——全美国务卿协会(NASS)合作,防止 ChatGPT 在 11 月美国总统大选前向用户输出一些错误信息。

例如,当被问及有关选举的问题时,如在哪里投票,OpenAI 的聊天机器人将引导用户访问美国投票信息的权威网站 CanIVote.org。该公司认为,这项工作的经验教训将为我们在其他国家和地区的工作提供借鉴。

利用加密水印打击深度伪造:

为了防止深度伪造,OpenAI 还表示将对其最新版人工智能图像生成器 DALL-E 3 生成的图像实施内容出处和真实性联盟(Coalition for Content Provenance and Authenticity,C2PA)的数字证书。

C2PA 是联合发展基金会(Joint Development Foundation)的一个项目,该基金会是一家总部位于华盛顿的非营利组织,其主要举措是内容真实性倡议(CAI)和起源项目,通过实施加密内容出处标准来应对数字时代的虚假信息和操纵行为。

包括 Adobe、X 和《纽约时报》在内的几家大公司都是该联盟的成员,并积极支持该标准的制定。

OpenAI 表示,它正在试验一种出处分类器,这是一种用于检测由 DALL-E 生成的图像的新工具。据其内部测试显示,即使图像经过常见类型的修改,早期结果也很有希望。他们计划将其提供给第一批测试者,包括记者、平台和研究人员,以征求反馈意见。

谷歌 DeepMind 也开发了类似的工具,利用 SynthID 对人工智能生成的图像和音频进行数字水印处理。Meta 也在尝试为其图像生成器开发类似的水印工具,不过马克-扎克伯格的公司很少分享相关信息。

OpenAI 称在发布新系统之前会对其进行红队测试,让用户和外部合作伙伴参与反馈,并建立安全缓解措施,以降低潜在的危害。

打击虚假信息具有挑战性:

基于人工智能的文本分析平台 Copyleaks 的联合创始人兼首席执行官阿隆-亚明(Alon Yamin)在接受 Infosecurity 采访时表示十分鼓励 OpenAI 致力于打击虚假信息的行为,但实施起来可能具有挑战性。

他表示,今年的大选被认为是近代史上最大的选举年之一,不仅是在美国,在全世界范围内,人们都非常担心人工智能会被滥用于政治活动等,这种担心是完全有道理的。但正如我们多年来在社交媒体上看到的那样,由于用户群规模庞大,这些行动可能难以实施。

在英国,下一次大选应在 2024 年年中至 2025 年 1 月之间举行,信息专员办公室(ICO)于 1 月 15 日启动了关于生成式人工智能的系列咨询。

信息来源:FREEBUF

https://www.freebuf.com/news/389979.html

工信部印发《区块链和分布式记账技术标准体系建设指南》

2024年1月12日,工业和信息化部、中央网络安全和信息化委员会办公室、国家标准化管理委员会印发《区块链和分布式记账技术标准体系建设指南》。
在这里插入图片描述

区块链和分布式记账技术(以下简称“区块链”)是新一代信息技术的重要组成部分,是分布式网络、加密技术、智能合约等多种技术集成的新型数据库软件。区块链技术具有数据透明、不易篡改、可追溯等特性,有望解决网络空间的信任和安全问题,推动互联网从传递信息向传递价值变革,将成为推动元宇宙、Web3.0 等未来产业快速发展的重要数字基础设施。

近年来,随着区块链技术和产业的快速发展,区块链的应用范围更加广阔多元,覆盖生产、物流、政务、文娱、教育等多个行业,以及产品溯源、数据流通、供应链管理等众多领域。为有效推动区块链应用发展,急需进一步加强对测试测评、人才培养等产业服务标准,供应链管理、存证、追溯等通用服务标准,智能制造、电子政务、分布式能源等行业应用标准的研制,加快满足产业发展需要。同时,急需围绕区块链治理,以及区块链系统的开发、集成、管理等开发运营过程中的标准化需求,加快重点标准研制,助力区块链技术和产业高质量发展。

需要获取建设指南请在评论区留言”建设指南“,小铭哥会第一时间为您提供相关资料。

信息来源:中华人民共和国工业和信息化部

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_c82be443223e4a5aa9cee2c435112e00.html

业内新闻速览

关于防范GitLab高危安全漏洞的风险提示

近期,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,GitLab存在任意用户密码重置高危漏洞,影响广泛。

GitLab是由美国GitLab公司开发的一款开源代码托管平台,由于忘记密码功能的电子邮件验证过程存在错误,攻击者可通过构造恶意请求获取密码重置链接从而重置密码,导致在无需用户交互的情况下接管帐户,造成项目代码泄露或被植入恶意代码等危害。该漏洞影响GitLab社区版(CE)和企业版(EE)(GitLab CE/EE 16.1-16.1.5、16.2-16.2.8、16.3-16.3.6、16.4-16.4.4、16.5-16.5.5、16.6-16.6.3、16.7-16.7.1),目前官方已发布修复方案(https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/)。

建议相关单位和用户立即组织排查GitLab的使用情况,及时升级受影响的产品版本,并可采取启用GitLab 帐户双因素身份验证(2FA)、严格系统和网络访问控制、关闭非必要应用端口和服务、加强系统用户及权限管理等加固措施,防范漏洞利用风险。
图片

消息来源:工业和信息化部网络安全威胁和漏洞信息共享平台

https://www.cnvdb.org.cn/announcement/136

苹果承认 GPU 安全漏洞存在,iPhone 12、M2 MacBook Air 等受影响

图片
IT之家 1 月 17 日消息,苹果公司确认了近期出现的有关 Apple GPU 存在安全漏洞的报告,并承认 iPhone 12 和 M2 MacBook Air 受影响。该漏洞可能使攻击者窃取由芯片处理的数据,包括与 ChatGPT 的对话内容等隐私信息。
图片

Trail of Bits 的安全研究人员发现,由苹果、高通、AMD 和 Imagination 制造的多种图形处理器存在名为“LeftoverLocals”的漏洞。该漏洞利用 GPU 内未清除的残留数据,允许拥有设备本地访问权限的攻击者读取数据。研究人员演示了攻击过程,成功读取了与人工智能聊天机器人 ChatGPT 的对话内容。

目前无法确定所有受影响的苹果设备,Trail of Bits 已将漏洞通报给苹果和其他厂商,让他们在公开漏洞之前有时间发布安全补丁。研究人员表示,苹果已为搭载 A17 和 M3 芯片的设备修复了漏洞,但其他设备仍处于危险之中。测试显示,苹果 iPad Air 3(A12)似乎已修复,但 MacBook Air(M2)和 iPhone 12 仍可被成功攻击。最新发布的 iPhone 15 似乎不受影响,但其他旧款 iPhone 可能存在风险。

苹果发言人证实了 LeftoverLocals 漏洞的存在,并表示已在 2023 年底推出的 M3 和 A17 处理器中修复。这意味着,数百万搭载旧款芯片的 iPhone、iPad 和 Macbook 仍易受攻击。

虽然利用该漏洞需要一定的设备访问权限,其风险目前被归类为较低,但其潜在危害不容小视。黑客可以通过“漏洞叠加”的方式,将该漏洞与其他攻击手段结合起来,从而发动更具破坏性的攻击。

消息来源:IT之家

https://www.ithome.com/0/745/807.htm?sf=NaBLO%2fcNdvLpfHwwCsWfxFwo1VDhJHRgWUva%2fvMRa3L%2fotF9j0Uwpd6YKRg5BXtAdhsCht7TRLw%3d

印度制药巨头遭电子邮件诈骗,损失逾4500万元

1月16日CSDN消息,印度制药巨头阿尔肯实验室(Alkem Laboratories)上周五证实发生一起网络安全事件,导致旗下一家子公司向欺诈分子转账5.2亿卢比(约合人民币4500万元)。尽管公司坚称影响很小,仅限于特定事件,但这一披露令人不禁担忧,印度制药业是否有能力抵御网络攻击。
根据截至2023年9月的季度财务报告数据,该公司营业收入为263.46亿卢比,净利润为64.65亿卢比。
在这里插入图片描述

因子公司员工邮箱遭入侵:
阿尔肯实验室没有透露安全事件的具体性质,但指出欺诈分子入侵了子公司部分员工的业务电子邮箱账号。虽然根据公司政策,被盗金额未达到强制报告的门槛,但董事会选择公开透明,向证券交易所披露了此次事件。
该公司在上报文件中指出,“目前得出的结论是,事件的影响并未超出所提及的金额。出于透明度和良好治理的考虑,董事会选择报告此事。”

阿尔肯实验室聘请了一家独立外部机构对此事件进行调查,并向相关当局提出投诉。他们强调,欺诈行为与当事人、董事或员工的任何内部不当行为无关。该公司还强调,最近与网络安全解决方案提供商 Check Point 软件技术公司建立了合作伙伴关系,以加强对网络攻击的防御能力。

制药业网络安全敲响警钟:
尽管阿尔肯实验室强调事件的影响有限,但这一事件仍然为我们揭示了印度制药业的网络安全状况。印度制药公司持有宝贵的知识产权和患者敏感数据,因此成为网络犯罪分子的首要目标。阿尔肯实验室事件提醒我们,该行业迫切需要加强网络安全措施并提高警觉性。

消息来源:CSDN

https://blog.csdn.net/weixin_57514792/article/details/135641275

半导体设备上市公司京鼎遭勒索攻击,官网“被留言”索要百万美元赎金

1月16日安全内参消息,据台媒报道,富士康集团旗下半导体设备大厂京鼎遭黑客入侵,并被黑客勒索100万美元。
图片

据悉黑客在京鼎官网发布信息,表示如果京鼎不支付费用,客户数据将被公开,员工也会因而失去工作。
根据台媒测试,进入京鼎官方网站,虽然起初页面正常,也可以点击财报等内容,但若从公司概述点击,会直接看到黑客信息。黑客更是直接在网页留下讯息,表示「你的数据被窃取并加密」,并对客户表示「如果你是京鼎客户,我们拥有您所有个人资料,如果京鼎不支付费用,你的所有个人资料都将在网络上免费提供」。
图片

黑客也对京鼎员工说道,「如果你的管理层不与我们联系,你将失去工作,所有媒体包括 BBC、纽约时报、华尔街日报等都会告知你,公司已经不存在」。
该黑客称是全球历史最悠久的勒索软件联盟计划,没有政治动机,只想要钱,如果付款后会提供解密软件并销毁遭窃取的数据。
16日下午,京鼎精密针对黑客事件发布重大讯息指出,事件本身目前初步评估对公司运作无重大影响。京鼎精密的声明证实,公司有侦测到部分信息系统遭受黑客网络攻击,事发当下,信息部门已全面启动相关防御机制与复原作业,同时与外部资安公司技术专家协同处理。目前对所有网域(页)及相关档案做全面彻底的扫描检测,高标准确保信息安全后,即能以日常备份数据复原运作。
京鼎表示,公司后续仍将持续提升网络与信息基础架构之安全管控,以确保信息安全。

消息来源:安全内参

https://www.secrss.com/articles/62875

来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!

文章来源:https://blog.csdn.net/juminfo/article/details/135766730
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。