要聞速覽

1、OpenAI 公布2024選舉虛假信息打擊計劃

2、工信部印發(fā)《區(qū)塊鏈和分布式記賬技術標準體系建設指南》

3、關于防范GitLab高危安全漏洞的風險提示

4、蘋果承認 GPU 安全漏洞存在，iPhone 12、M2 MacBook Air 等受影響

5、印度制藥巨頭遭電子郵件詐騙，損失逾4500萬元

6、半導體設備上市公司京鼎遭勒索攻擊，官網(wǎng)“被留言”索要百萬美元贖金

一周政策要聞

OpenAI 公布2024選舉虛假信息打擊計劃

據(jù)統(tǒng)計，2024 年預計將有 50 多個國家舉行大選，虛假信息的威脅成為人們關注的焦點。

人工智能聊天機器人 ChatGPT 和圖像生成器 DALL-E 的開發(fā)商 OpenAI 近日宣布了一項新的措施，以防止在今年大選之前再次出現(xiàn)虛假信息濫用和誤導事件。

1月15日，該公司宣布正在與美國歷史最悠久的無黨派公職人員專業(yè)組織——全美國務卿協(xié)會（NASS）合作，防止 ChatGPT 在 11 月美國總統(tǒng)大選前向用戶輸出一些錯誤信息。

例如，當被問及有關選舉的問題時，如在哪里投票，OpenAI 的聊天機器人將引導用戶訪問美國投票信息的權威網(wǎng)站 CanIVote.org。該公司認為，這項工作的經(jīng)驗教訓將為我們在其他國家和地區(qū)的工作提供借鑒。

利用加密水印打擊深度偽造：

為了防止深度偽造，OpenAI 還表示將對其最新版人工智能圖像生成器 DALL-E 3 生成的圖像實施內容出處和真實性聯(lián)盟（Coalition for Content Provenance and Authenticity，C2PA）的數(shù)字證書。

C2PA 是聯(lián)合發(fā)展基金會（Joint Development Foundation）的一個項目，該基金會是一家總部位于華盛頓的非營利組織，其主要舉措是內容真實性倡議（CAI）和起源項目，通過實施加密內容出處標準來應對數(shù)字時代的虛假信息和操縱行為。

包括 Adobe、X 和《紐約時報》在內的幾家大公司都是該聯(lián)盟的成員，并積極支持該標準的制定。

OpenAI 表示，它正在試驗一種出處分類器，這是一種用于檢測由 DALL-E 生成的圖像的新工具。據(jù)其內部測試顯示，即使圖像經(jīng)過常見類型的修改，早期結果也很有希望。他們計劃將其提供給第一批測試者，包括記者、平臺和研究人員，以征求反饋意見。

谷歌 DeepMind 也開發(fā)了類似的工具，利用 SynthID 對人工智能生成的圖像和音頻進行數(shù)字水印處理。Meta 也在嘗試為其圖像生成器開發(fā)類似的水印工具，不過馬克-扎克伯格的公司很少分享相關信息。

OpenAI 稱在發(fā)布新系統(tǒng)之前會對其進行紅隊測試，讓用戶和外部合作伙伴參與反饋，并建立安全緩解措施，以降低潛在的危害。

打擊虛假信息具有挑戰(zhàn)性：

基于人工智能的文本分析平臺 Copyleaks 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官阿隆-亞明（Alon Yamin）在接受 Infosecurity 采訪時表示十分鼓勵 OpenAI 致力于打擊虛假信息的行為，但實施起來可能具有挑戰(zhàn)性。

他表示，今年的大選被認為是近代史上最大的選舉年之一，不僅是在美國，在全世界范圍內，人們都非常擔心人工智能會被濫用于政治活動等，這種擔心是完全有道理的。但正如我們多年來在社交媒體上看到的那樣，由于用戶群規(guī)模龐大，這些行動可能難以實施。

在英國，下一次大選應在 2024 年年中至 2025 年 1 月之間舉行，信息專員辦公室（ICO）于 1 月 15 日啟動了關于生成式人工智能的系列咨詢。

信息來源：FREEBUF  https://www.freebuf.com/news/389979.html

工信部印發(fā)《區(qū)塊鏈和分布式記賬技術標準體系建設指南》

2024年1月12日，工業(yè)和信息化部、中央網(wǎng)絡安全和信息化委員會辦公室、國家標準化管理委員會印發(fā)《區(qū)塊鏈和分布式記賬技術標準體系建設指南》。

區(qū)塊鏈和分布式記賬技術（以下簡稱“區(qū)塊鏈”）是新一代信息技術的重要組成部分，是分布式網(wǎng)絡、加密技術、智能合約等多種技術集成的新型數(shù)據(jù)庫軟件。區(qū)塊鏈技術具有數(shù)據(jù)透明、不易篡改、可追溯等特性，有望解決網(wǎng)絡空間的信任和安全問題，推動互聯(lián)網(wǎng)從傳遞信息向傳遞價值變革，將成為推動元宇宙、Web3.0 等未來產(chǎn)業(yè)快速發(fā)展的重要數(shù)字基礎設施。

近年來，隨著區(qū)塊鏈技術和產(chǎn)業(yè)的快速發(fā)展，區(qū)塊鏈的應用范圍更加廣闊多元，覆蓋生產(chǎn)、物流、政務、文娛、教育等多個行業(yè)，以及產(chǎn)品溯源、數(shù)據(jù)流通、供應鏈管理等眾多領域。為有效推動區(qū)塊鏈應用發(fā)展，急需進一步加強對測試測評、人才培養(yǎng)等產(chǎn)業(yè)服務標準，供應鏈管理、存證、追溯等通用服務標準，智能制造、電子政務、分布式能源等行業(yè)應用標準的研制，加快滿足產(chǎn)業(yè)發(fā)展需要。同時，急需圍繞區(qū)塊鏈治理，以及區(qū)塊鏈系統(tǒng)的開發(fā)、集成、管理等開發(fā)運營過程中的標準化需求，加快重點標準研制，助力區(qū)塊鏈技術和產(chǎn)業(yè)高質量發(fā)展。

需要獲取建設指南請在評論區(qū)留言”建設指南“，小銘哥會第一時間為您提供相關資料。

信息來源：中華人民共和國工業(yè)和信息化部  https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_c82be443223e4a5aa9cee2c435112e00.html

業(yè)內新聞速覽

關于防范GitLab高危安全漏洞的風險提示

近期，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺（NVDB）監(jiān)測發(fā)現(xiàn)，GitLab存在任意用戶密碼重置高危漏洞，影響廣泛。

GitLab是由美國GitLab公司開發(fā)的一款開源代碼托管平臺，由于忘記密碼功能的電子郵件驗證過程存在錯誤，攻擊者可通過構造惡意請求獲取密碼重置鏈接從而重置密碼，導致在無需用戶交互的情況下接管帳戶，造成項目代碼泄露或被植入惡意代碼等危害。該漏洞影響GitLab社區(qū)版（CE）和企業(yè)版（EE）（GitLab CE/EE 16.1-16.1.5、16.2-16.2.8、16.3-16.3.6、16.4-16.4.4、16.5-16.5.5、16.6-16.6.3、16.7-16.7.1），目前官方已發(fā)布修復方案（https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/）。

建議相關單位和用戶立即組織排查GitLab的使用情況，及時升級受影響的產(chǎn)品版本，并可采取啟用GitLab 帳戶雙因素身份驗證(2FA)、嚴格系統(tǒng)和網(wǎng)絡訪問控制、關閉非必要應用端口和服務、加強系統(tǒng)用戶及權限管理等加固措施，防范漏洞利用風險。

消息來源：工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺  https://www.cnvdb.org.cn/announcement/136

蘋果承認 GPU 安全漏洞存在，iPhone 12、M2 MacBook Air 等受影響

IT之家 1 月 17 日消息，蘋果公司確認了近期出現(xiàn)的有關 Apple GPU 存在安全漏洞的報告，并承認 iPhone 12 和 M2 MacBook Air 受影響。該漏洞可能使攻擊者竊取由芯片處理的數(shù)據(jù)，包括與 ChatGPT 的對話內容等隱私信息。

Trail of Bits 的安全研究人員發(fā)現(xiàn)，由蘋果、高通、AMD 和 Imagination 制造的多種圖形處理器存在名為“LeftoverLocals”的漏洞。該漏洞利用 GPU 內未清除的殘留數(shù)據(jù)，允許擁有設備本地訪問權限的攻擊者讀取數(shù)據(jù)。研究人員演示了攻擊過程，成功讀取了與人工智能聊天機器人 ChatGPT 的對話內容。

目前無法確定所有受影響的蘋果設備，Trail of Bits 已將漏洞通報給蘋果和其他廠商，讓他們在公開漏洞之前有時間發(fā)布安全補丁。研究人員表示，蘋果已為搭載 A17 和 M3 芯片的設備修復了漏洞，但其他設備仍處于危險之中。測試顯示，蘋果 iPad Air 3（A12）似乎已修復，但 MacBook Air（M2）和 iPhone 12 仍可被成功攻擊。最新發(fā)布的 iPhone 15 似乎不受影響，但其他舊款 iPhone 可能存在風險。

蘋果發(fā)言人證實了 LeftoverLocals 漏洞的存在，并表示已在 2023 年底推出的 M3 和 A17 處理器中修復。這意味著，數(shù)百萬搭載舊款芯片的 iPhone、iPad 和 Macbook 仍易受攻擊。

雖然利用該漏洞需要一定的設備訪問權限，其風險目前被歸類為較低，但其潛在危害不容小視。黑客可以通過“漏洞疊加”的方式，將該漏洞與其他攻擊手段結合起來，從而發(fā)動更具破壞性的攻擊。

消息來源：IT之家  https://www.ithome.com/0/745/807.htm?sf=NaBLO%2fcNdvLpfHwwCsWfxFwo1VDhJHRgWUva%2fvMRa3L%2fotF9j0Uwpd6YKRg5BXtAdhsCht7TRLw%3d

印度制藥巨頭遭電子郵件詐騙，損失逾4500萬元

1月16日CSDN消息，印度制藥巨頭阿爾肯實驗室（Alkem Laboratories）上周五證實發(fā)生一起網(wǎng)絡安全事件，導致旗下一家子公司向欺詐分子轉賬5.2億盧比（約合人民幣4500萬元）。盡管公司堅稱影響很小，僅限于特定事件，但這一披露令人不禁擔憂，印度制藥業(yè)是否有能力抵御網(wǎng)絡攻擊。根據(jù)截至2023年9月的季度財務報告數(shù)據(jù)，該公司營業(yè)收入為263.46億盧比，凈利潤為64.65億盧比。

因子公司員工郵箱遭入侵：

阿爾肯實驗室沒有透露安全事件的具體性質，但指出欺詐分子入侵了子公司部分員工的業(yè)務電子郵箱賬號。雖然根據(jù)公司政策，被盜金額未達到強制報告的門檻，但董事會選擇公開透明，向證券交易所披露了此次事件。

該公司在上報文件中指出，“目前得出的結論是，事件的影響并未超出所提及的金額。出于透明度和良好治理的考慮，董事會選擇報告此事?！?

阿爾肯實驗室聘請了一家獨立外部機構對此事件進行調查，并向相關當局提出投訴。他們強調，欺詐行為與當事人、董事或員工的任何內部不當行為無關。該公司還強調，最近與網(wǎng)絡安全解決方案提供商 Check Point 軟件技術公司建立了合作伙伴關系，以加強對網(wǎng)絡攻擊的防御能力。

制藥業(yè)網(wǎng)絡安全敲響警鐘：

盡管阿爾肯實驗室強調事件的影響有限，但這一事件仍然為我們揭示了印度制藥業(yè)的網(wǎng)絡安全狀況。印度制藥公司持有寶貴的知識產(chǎn)權和患者敏感數(shù)據(jù)，因此成為網(wǎng)絡犯罪分子的首要目標。阿爾肯實驗室事件提醒我們，該行業(yè)迫切需要加強網(wǎng)絡安全措施并提高警覺性。

消息來源：CSDN  https://blog.csdn.net/weixin_57514792/article/details/135641275

半導體設備上市公司京鼎遭勒索攻擊，官網(wǎng)“被留言”索要百萬美元贖金

1月16日安全內參消息，據(jù)臺媒報道，富士康集團旗下半導體設備大廠京鼎遭黑客入侵，并被黑客勒索100萬美元。

據(jù)悉黑客在京鼎官網(wǎng)發(fā)布信息，表示如果京鼎不支付費用，客戶數(shù)據(jù)將被公開，員工也會因而失去工作。根據(jù)臺媒測試，進入京鼎官方網(wǎng)站，雖然起初頁面正常，也可以點擊財報等內容，但若從公司概述點擊，會直接看到黑客信息。黑客更是直接在網(wǎng)頁留下訊息，表示「你的數(shù)據(jù)被竊取并加密」，并對客戶表示「如果你是京鼎客戶，我們擁有您所有個人資料，如果京鼎不支付費用，你的所有個人資料都將在網(wǎng)絡上免費提供」。

黑客也對京鼎員工說道，「如果你的管理層不與我們聯(lián)系，你將失去工作，所有媒體包括 BBC、紐約時報、華爾街日報等都會告知你，公司已經(jīng)不存在」。

該黑客稱是全球歷史最悠久的勒索軟件聯(lián)盟計劃，沒有政治動機，只想要錢，如果付款后會提供解密軟件并銷毀遭竊取的數(shù)據(jù)。

16日下午，京鼎精密針對黑客事件發(fā)布重大訊息指出，事件本身目前初步評估對公司運作無重大影響。京鼎精密的聲明證實，公司有偵測到部分信息系統(tǒng)遭受黑客網(wǎng)絡攻擊，事發(fā)當下，信息部門已全面啟動相關防御機制與復原作業(yè)，同時與外部資安公司技術專家協(xié)同處理。目前對所有網(wǎng)域(頁)及相關檔案做全面徹底的掃描檢測，高標準確保信息安全后，即能以日常備份數(shù)據(jù)復原運作。

京鼎表示，公司后續(xù)仍將持續(xù)提升網(wǎng)絡與信息基礎架構之安全管控，以確保信息安全。

消息來源：安全內參 https://www.secrss.com/articles/62875

來源:本安全周報所推送內容由網(wǎng)絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內容的真實性，部分內容推送時未能與原作者取得聯(lián)系，若涉及版權問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！