要聞速覽

1、OpenAI 公布2024選舉虛假信息打擊計(jì)劃

2、工信部印發(fā)《區(qū)塊鏈和分布式記賬技術(shù)標(biāo)準(zhǔn)體系建設(shè)指南》

3、關(guān)于防范GitLab高危安全漏洞的風(fēng)險(xiǎn)提示

4、蘋果承認(rèn) GPU 安全漏洞存在，iPhone 12、M2 MacBook Air 等受影響

5、印度制藥巨頭遭電子郵件詐騙，損失逾4500萬元

6、半導(dǎo)體設(shè)備上市公司京鼎遭勒索攻擊，官網(wǎng)“被留言”索要百萬美元贖金

一周政策要聞

OpenAI 公布2024選舉虛假信息打擊計(jì)劃

據(jù)統(tǒng)計(jì)，2024 年預(yù)計(jì)將有 50 多個(gè)國家舉行大選，虛假信息的威脅成為人們關(guān)注的焦點(diǎn)。

人工智能聊天機(jī)器人 ChatGPT 和圖像生成器 DALL-E 的開發(fā)商 OpenAI 近日宣布了一項(xiàng)新的措施，以防止在今年大選之前再次出現(xiàn)虛假信息濫用和誤導(dǎo)事件。

1月15日，該公司宣布正在與美國歷史最悠久的無黨派公職人員專業(yè)組織——全美國務(wù)卿協(xié)會(huì)（NASS）合作，防止 ChatGPT 在 11 月美國總統(tǒng)大選前向用戶輸出一些錯(cuò)誤信息。

例如，當(dāng)被問及有關(guān)選舉的問題時(shí)，如在哪里投票，OpenAI 的聊天機(jī)器人將引導(dǎo)用戶訪問美國投票信息的權(quán)威網(wǎng)站 CanIVote.org。該公司認(rèn)為，這項(xiàng)工作的經(jīng)驗(yàn)教訓(xùn)將為我們?cè)谄渌麌液偷貐^(qū)的工作提供借鑒。

利用加密水印打擊深度偽造：

為了防止深度偽造，OpenAI 還表示將對(duì)其最新版人工智能圖像生成器 DALL-E 3 生成的圖像實(shí)施內(nèi)容出處和真實(shí)性聯(lián)盟（Coalition for Content Provenance and Authenticity，C2PA）的數(shù)字證書。

C2PA 是聯(lián)合發(fā)展基金會(huì)（Joint Development Foundation）的一個(gè)項(xiàng)目，該基金會(huì)是一家總部位于華盛頓的非營利組織，其主要舉措是內(nèi)容真實(shí)性倡議（CAI）和起源項(xiàng)目，通過實(shí)施加密內(nèi)容出處標(biāo)準(zhǔn)來應(yīng)對(duì)數(shù)字時(shí)代的虛假信息和操縱行為。

包括 Adobe、X 和《紐約時(shí)報(bào)》在內(nèi)的幾家大公司都是該聯(lián)盟的成員，并積極支持該標(biāo)準(zhǔn)的制定。

OpenAI 表示，它正在試驗(yàn)一種出處分類器，這是一種用于檢測由 DALL-E 生成的圖像的新工具。據(jù)其內(nèi)部測試顯示，即使圖像經(jīng)過常見類型的修改，早期結(jié)果也很有希望。他們計(jì)劃將其提供給第一批測試者，包括記者、平臺(tái)和研究人員，以征求反饋意見。

谷歌 DeepMind 也開發(fā)了類似的工具，利用 SynthID 對(duì)人工智能生成的圖像和音頻進(jìn)行數(shù)字水印處理。Meta 也在嘗試為其圖像生成器開發(fā)類似的水印工具，不過馬克-扎克伯格的公司很少分享相關(guān)信息。

OpenAI 稱在發(fā)布新系統(tǒng)之前會(huì)對(duì)其進(jìn)行紅隊(duì)測試，讓用戶和外部合作伙伴參與反饋，并建立安全緩解措施，以降低潛在的危害。

打擊虛假信息具有挑戰(zhàn)性：

基于人工智能的文本分析平臺(tái) Copyleaks 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官阿隆-亞明（Alon Yamin）在接受 Infosecurity 采訪時(shí)表示十分鼓勵(lì) OpenAI 致力于打擊虛假信息的行為，但實(shí)施起來可能具有挑戰(zhàn)性。

他表示，今年的大選被認(rèn)為是近代史上最大的選舉年之一，不僅是在美國，在全世界范圍內(nèi)，人們都非常擔(dān)心人工智能會(huì)被濫用于政治活動(dòng)等，這種擔(dān)心是完全有道理的。但正如我們多年來在社交媒體上看到的那樣，由于用戶群規(guī)模龐大，這些行動(dòng)可能難以實(shí)施。

在英國，下一次大選應(yīng)在 2024 年年中至 2025 年 1 月之間舉行，信息專員辦公室（ICO）于 1 月 15 日啟動(dòng)了關(guān)于生成式人工智能的系列咨詢。

信息來源：FREEBUF  https://www.freebuf.com/news/389979.html

工信部印發(fā)《區(qū)塊鏈和分布式記賬技術(shù)標(biāo)準(zhǔn)體系建設(shè)指南》

2024年1月12日，工業(yè)和信息化部、中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、國家標(biāo)準(zhǔn)化管理委員會(huì)印發(fā)《區(qū)塊鏈和分布式記賬技術(shù)標(biāo)準(zhǔn)體系建設(shè)指南》。

區(qū)塊鏈和分布式記賬技術(shù)（以下簡稱“區(qū)塊鏈”）是新一代信息技術(shù)的重要組成部分，是分布式網(wǎng)絡(luò)、加密技術(shù)、智能合約等多種技術(shù)集成的新型數(shù)據(jù)庫軟件。區(qū)塊鏈技術(shù)具有數(shù)據(jù)透明、不易篡改、可追溯等特性，有望解決網(wǎng)絡(luò)空間的信任和安全問題，推動(dòng)互聯(lián)網(wǎng)從傳遞信息向傳遞價(jià)值變革，將成為推動(dòng)元宇宙、Web3.0 等未來產(chǎn)業(yè)快速發(fā)展的重要數(shù)字基礎(chǔ)設(shè)施。

近年來，隨著區(qū)塊鏈技術(shù)和產(chǎn)業(yè)的快速發(fā)展，區(qū)塊鏈的應(yīng)用范圍更加廣闊多元，覆蓋生產(chǎn)、物流、政務(wù)、文娛、教育等多個(gè)行業(yè)，以及產(chǎn)品溯源、數(shù)據(jù)流通、供應(yīng)鏈管理等眾多領(lǐng)域。為有效推動(dòng)區(qū)塊鏈應(yīng)用發(fā)展，急需進(jìn)一步加強(qiáng)對(duì)測試測評(píng)、人才培養(yǎng)等產(chǎn)業(yè)服務(wù)標(biāo)準(zhǔn)，供應(yīng)鏈管理、存證、追溯等通用服務(wù)標(biāo)準(zhǔn)，智能制造、電子政務(wù)、分布式能源等行業(yè)應(yīng)用標(biāo)準(zhǔn)的研制，加快滿足產(chǎn)業(yè)發(fā)展需要。同時(shí)，急需圍繞區(qū)塊鏈治理，以及區(qū)塊鏈系統(tǒng)的開發(fā)、集成、管理等開發(fā)運(yùn)營過程中的標(biāo)準(zhǔn)化需求，加快重點(diǎn)標(biāo)準(zhǔn)研制，助力區(qū)塊鏈技術(shù)和產(chǎn)業(yè)高質(zhì)量發(fā)展。

需要獲取建設(shè)指南請(qǐng)?jiān)谠u(píng)論區(qū)留言”建設(shè)指南“，小銘哥會(huì)第一時(shí)間為您提供相關(guān)資料。

信息來源：中華人民共和國工業(yè)和信息化部  https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_c82be443223e4a5aa9cee2c435112e00.html

業(yè)內(nèi)新聞速覽

關(guān)于防范GitLab高危安全漏洞的風(fēng)險(xiǎn)提示

近期，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)（NVDB）監(jiān)測發(fā)現(xiàn)，GitLab存在任意用戶密碼重置高危漏洞，影響廣泛。

GitLab是由美國GitLab公司開發(fā)的一款開源代碼托管平臺(tái)，由于忘記密碼功能的電子郵件驗(yàn)證過程存在錯(cuò)誤，攻擊者可通過構(gòu)造惡意請(qǐng)求獲取密碼重置鏈接從而重置密碼，導(dǎo)致在無需用戶交互的情況下接管帳戶，造成項(xiàng)目代碼泄露或被植入惡意代碼等危害。該漏洞影響GitLab社區(qū)版（CE）和企業(yè)版（EE）（GitLab CE/EE 16.1-16.1.5、16.2-16.2.8、16.3-16.3.6、16.4-16.4.4、16.5-16.5.5、16.6-16.6.3、16.7-16.7.1），目前官方已發(fā)布修復(fù)方案（https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/）。

建議相關(guān)單位和用戶立即組織排查GitLab的使用情況，及時(shí)升級(jí)受影響的產(chǎn)品版本，并可采取啟用GitLab 帳戶雙因素身份驗(yàn)證(2FA)、嚴(yán)格系統(tǒng)和網(wǎng)絡(luò)訪問控制、關(guān)閉非必要應(yīng)用端口和服務(wù)、加強(qiáng)系統(tǒng)用戶及權(quán)限管理等加固措施，防范漏洞利用風(fēng)險(xiǎn)。

消息來源：工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)  https://www.cnvdb.org.cn/announcement/136

蘋果承認(rèn) GPU 安全漏洞存在，iPhone 12、M2 MacBook Air 等受影響

IT之家 1 月 17 日消息，蘋果公司確認(rèn)了近期出現(xiàn)的有關(guān) Apple GPU 存在安全漏洞的報(bào)告，并承認(rèn) iPhone 12 和 M2 MacBook Air 受影響。該漏洞可能使攻擊者竊取由芯片處理的數(shù)據(jù)，包括與 ChatGPT 的對(duì)話內(nèi)容等隱私信息。

Trail of Bits 的安全研究人員發(fā)現(xiàn)，由蘋果、高通、AMD 和 Imagination 制造的多種圖形處理器存在名為“LeftoverLocals”的漏洞。該漏洞利用 GPU 內(nèi)未清除的殘留數(shù)據(jù)，允許擁有設(shè)備本地訪問權(quán)限的攻擊者讀取數(shù)據(jù)。研究人員演示了攻擊過程，成功讀取了與人工智能聊天機(jī)器人 ChatGPT 的對(duì)話內(nèi)容。

目前無法確定所有受影響的蘋果設(shè)備，Trail of Bits 已將漏洞通報(bào)給蘋果和其他廠商，讓他們?cè)诠_漏洞之前有時(shí)間發(fā)布安全補(bǔ)丁。研究人員表示，蘋果已為搭載 A17 和 M3 芯片的設(shè)備修復(fù)了漏洞，但其他設(shè)備仍處于危險(xiǎn)之中。測試顯示，蘋果 iPad Air 3（A12）似乎已修復(fù)，但 MacBook Air（M2）和 iPhone 12 仍可被成功攻擊。最新發(fā)布的 iPhone 15 似乎不受影響，但其他舊款 iPhone 可能存在風(fēng)險(xiǎn)。

蘋果發(fā)言人證實(shí)了 LeftoverLocals 漏洞的存在，并表示已在 2023 年底推出的 M3 和 A17 處理器中修復(fù)。這意味著，數(shù)百萬搭載舊款芯片的 iPhone、iPad 和 Macbook 仍易受攻擊。

雖然利用該漏洞需要一定的設(shè)備訪問權(quán)限，其風(fēng)險(xiǎn)目前被歸類為較低，但其潛在危害不容小視。黑客可以通過“漏洞疊加”的方式，將該漏洞與其他攻擊手段結(jié)合起來，從而發(fā)動(dòng)更具破壞性的攻擊。

消息來源：IT之家  https://www.ithome.com/0/745/807.htm?sf=NaBLO%2fcNdvLpfHwwCsWfxFwo1VDhJHRgWUva%2fvMRa3L%2fotF9j0Uwpd6YKRg5BXtAdhsCht7TRLw%3d

印度制藥巨頭遭電子郵件詐騙，損失逾4500萬元

1月16日CSDN消息，印度制藥巨頭阿爾肯實(shí)驗(yàn)室（Alkem Laboratories）上周五證實(shí)發(fā)生一起網(wǎng)絡(luò)安全事件，導(dǎo)致旗下一家子公司向欺詐分子轉(zhuǎn)賬5.2億盧比（約合人民幣4500萬元）。盡管公司堅(jiān)稱影響很小，僅限于特定事件，但這一披露令人不禁擔(dān)憂，印度制藥業(yè)是否有能力抵御網(wǎng)絡(luò)攻擊。根據(jù)截至2023年9月的季度財(cái)務(wù)報(bào)告數(shù)據(jù)，該公司營業(yè)收入為263.46億盧比，凈利潤為64.65億盧比。

因子公司員工郵箱遭入侵：

阿爾肯實(shí)驗(yàn)室沒有透露安全事件的具體性質(zhì)，但指出欺詐分子入侵了子公司部分員工的業(yè)務(wù)電子郵箱賬號(hào)。雖然根據(jù)公司政策，被盜金額未達(dá)到強(qiáng)制報(bào)告的門檻，但董事會(huì)選擇公開透明，向證券交易所披露了此次事件。

該公司在上報(bào)文件中指出，“目前得出的結(jié)論是，事件的影響并未超出所提及的金額。出于透明度和良好治理的考慮，董事會(huì)選擇報(bào)告此事?！?

阿爾肯實(shí)驗(yàn)室聘請(qǐng)了一家獨(dú)立外部機(jī)構(gòu)對(duì)此事件進(jìn)行調(diào)查，并向相關(guān)當(dāng)局提出投訴。他們強(qiáng)調(diào)，欺詐行為與當(dāng)事人、董事或員工的任何內(nèi)部不當(dāng)行為無關(guān)。該公司還強(qiáng)調(diào)，最近與網(wǎng)絡(luò)安全解決方案提供商 Check Point 軟件技術(shù)公司建立了合作伙伴關(guān)系，以加強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的防御能力。

制藥業(yè)網(wǎng)絡(luò)安全敲響警鐘：

盡管阿爾肯實(shí)驗(yàn)室強(qiáng)調(diào)事件的影響有限，但這一事件仍然為我們揭示了印度制藥業(yè)的網(wǎng)絡(luò)安全狀況。印度制藥公司持有寶貴的知識(shí)產(chǎn)權(quán)和患者敏感數(shù)據(jù)，因此成為網(wǎng)絡(luò)犯罪分子的首要目標(biāo)。阿爾肯實(shí)驗(yàn)室事件提醒我們，該行業(yè)迫切需要加強(qiáng)網(wǎng)絡(luò)安全措施并提高警覺性。

消息來源：CSDN  https://blog.csdn.net/weixin_57514792/article/details/135641275

半導(dǎo)體設(shè)備上市公司京鼎遭勒索攻擊，官網(wǎng)“被留言”索要百萬美元贖金

1月16日安全內(nèi)參消息，據(jù)臺(tái)媒報(bào)道，富士康集團(tuán)旗下半導(dǎo)體設(shè)備大廠京鼎遭黑客入侵，并被黑客勒索100萬美元。

據(jù)悉黑客在京鼎官網(wǎng)發(fā)布信息，表示如果京鼎不支付費(fèi)用，客戶數(shù)據(jù)將被公開，員工也會(huì)因而失去工作。根據(jù)臺(tái)媒測試，進(jìn)入京鼎官方網(wǎng)站，雖然起初頁面正常，也可以點(diǎn)擊財(cái)報(bào)等內(nèi)容，但若從公司概述點(diǎn)擊，會(huì)直接看到黑客信息。黑客更是直接在網(wǎng)頁留下訊息，表示「你的數(shù)據(jù)被竊取并加密」，并對(duì)客戶表示「如果你是京鼎客戶，我們擁有您所有個(gè)人資料，如果京鼎不支付費(fèi)用，你的所有個(gè)人資料都將在網(wǎng)絡(luò)上免費(fèi)提供」。

黑客也對(duì)京鼎員工說道，「如果你的管理層不與我們聯(lián)系，你將失去工作，所有媒體包括 BBC、紐約時(shí)報(bào)、華爾街日?qǐng)?bào)等都會(huì)告知你，公司已經(jīng)不存在」。

該黑客稱是全球歷史最悠久的勒索軟件聯(lián)盟計(jì)劃，沒有政治動(dòng)機(jī)，只想要錢，如果付款后會(huì)提供解密軟件并銷毀遭竊取的數(shù)據(jù)。

16日下午，京鼎精密針對(duì)黑客事件發(fā)布重大訊息指出，事件本身目前初步評(píng)估對(duì)公司運(yùn)作無重大影響。京鼎精密的聲明證實(shí)，公司有偵測到部分信息系統(tǒng)遭受黑客網(wǎng)絡(luò)攻擊，事發(fā)當(dāng)下，信息部門已全面啟動(dòng)相關(guān)防御機(jī)制與復(fù)原作業(yè)，同時(shí)與外部資安公司技術(shù)專家協(xié)同處理。目前對(duì)所有網(wǎng)域(頁)及相關(guān)檔案做全面徹底的掃描檢測，高標(biāo)準(zhǔn)確保信息安全后，即能以日常備份數(shù)據(jù)復(fù)原運(yùn)作。

京鼎表示，公司后續(xù)仍將持續(xù)提升網(wǎng)絡(luò)與信息基礎(chǔ)架構(gòu)之安全管控，以確保信息安全。

消息來源：安全內(nèi)參 https://www.secrss.com/articles/62875

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！