TOP5 | 头条：OpenAI、谷歌微软等设立1000万美元AI安全基金

OpenAI、谷歌微软等设立1000万美元AI安全基金；

标签：OpenAI，谷歌，微软，AI安全基金

谷歌、微软、OpenAI 和 Anthropic 发布联合声明，任命美国智库学会高管 Chris Meserole 为前沿模型论坛 (Frontier Model Forum) 首任执行董事。并宣布设立 1000 万美元的 AI 安全基金，“以推动正在进行的工具开发研究，帮助社会能够有效地测试和评估最有能力的 AI 模型。”

前沿模型论坛由微软、OpenAI、谷歌和 Anthropic 在今年 7 月联合创立而成，是一个专注于确保安全和负责任地开发前沿人工智能模型的行业机构。该论坛旨在帮助：

• 推动人工智能安全研究，促进负责任地开发前沿模型并最大限度地降低潜在风险；

• 确定前沿模型的安全最佳实践；

• 与政策制定者、学术界、民间社会和其他方面分享知识，推动负责任的人工智能发展；

• 以及大力支持开发有助于应对社会挑战的 AI 应用程序。

公告指出，AI 安全基金将支持来自世界各地附属于学术机构、研究机构和初创公司的独立研究人员。初始资金来自 Anthropic、谷歌、微软和 OpenAI，以及其他慈善合作伙伴。

基金的主要重点将在于，支持开发新的模型评估技术，以帮助开发和测试前沿系统潜在危险能力的评估技术。“我们相信，增加该领域的资金将有助于提高安全标准，并为行业、政府和民间社会应对 AI 系统带来的挑战所需的缓解和控制提供见解。 ”

该基金将在未来几个月内征集提案。前沿模型论坛还计划成立一个顾问委员会，以帮助指导其战略和优先事项。

1000 万美元不算小数目，但在 AI 安全研究的背景下以及与前沿模式论坛成员在商业活动上的花费相比，这一数目就 “显得相当保守了”。科技媒体 TechCrunch 指出，仅今年一年，Anthropic 就从亚马逊筹集了数十亿美元，用于开发下一代 AI 助手，此前谷歌也向其投资了 300 美元。

且与其他 AI 安全基金相比，该基金的规模也很小。根据博客 Less Wrong 的分析，由 Facebook 创始人 (Dustin Moskovitz 联合创办的资助和研究基金会 Open Philanthropy 已为 AI 安全捐赠了约 3.07 亿美元。

公益公司 “The Survival and Flourishing Fund” 也已向 AI 安全项目捐赠了约 3000 万美元。美国国家科学基金会表示，未来两年将斥资 2000 万美元用于 AI 安全研究，部分资金由 Open Philanthropy 资助。

“前沿模型论坛暗示下一步将成立一个规模更大的基金。如果这一目标实现，它可能有机会推动 AI 安全研究 —— 前提是我们相信该基金的明确营利性支持者不会对研究施加不当影响。但无论你如何划分，首批资金似乎都过于有限，无法取得多大成就。”

信源：https://openai.com/blog/frontier-model-forum-updates

新的 iLeakage 攻击可利用 Safari 从 Mac、iPhone 上窃取敏感数据；

标签：iLeakage，Safari 

这种名为iLeakage的新方法，被描述为一种不定时的推测性执行攻击，它可以诱使Safari呈现任意网页，并从该页面获取信息。

攻击者需要引诱目标Safari用户访问恶意网站，然后该网站会自动打开他们想要窃取信息的网站。这是可能的，因为渲染过程同时处理iLeakage攻击网站和目标网站。

iLeakage是由密歇根大学、佐治亚理工学院和波鸿鲁尔大学的研究人员发现的，他们本周发表了一篇论文，详细介绍了他们的发现。

专家们展示了这种攻击如何用来获取密码和其他敏感信息。他们发布了视频演示，展示了iLeakage攻击如何被用来窃取由密码管理器自动填充的Instagram凭据、Gmail收件箱中的电子邮件主题行以及用户的YouTube观看历史。

研究人员在2022年9月向苹果公司报告了这一发现，但这家科技巨头迄今为止只为macOS上的Safari提供了缓解措施，而且它不是默认启用的，同时还不稳定。

苹果表示，研究人员开发的概念验证推进了该公司对这类威胁的理解。苹果计划在下一个预定的软件发布中进一步解决这个问题。

一方面，没有证据表明iLeakage在野外被利用，这种攻击并不容易进行。研究人员称，实现攻击需要对基于浏览器的侧信道攻击和Safari的实现有深入的了解。

另一方面，专家们指出，这种攻击难以检测，因为它在Safari中运行，不会在系统日志文件中留下任何痕迹。

在macOS上，iLeakage只影响Safari，因为其他浏览器如Edge、Firefox和Chrome使用不同的JavaScript引擎，然而，在iOS上，这种攻击也可以在其他浏览器中使用，因为Chrome、Edge和Firefox基本上是在Safari之上的封装。

研究人员指出，“iLeakage攻击方法表明Spectre攻击仍然是相关的，并且可以被利用，即使在Spectre攻击被发现以来已经进行了近6年的努力去缓解”。

信源：https://www.securityweek.com/ileakage-attack-exploits-safari-to-steal-sensitive-data-from-macs-iphones/

印度医疗地震：数据泄露高达7TB，影响 1200 万患者;

标签：印度,医疗

网络安全研究员杰里迈亚-福勒（Jeremiah Fowler）发现了一个无密码保护的数据库，其中包含 1200 多万条记录。这些数据包括敏感的患者数据，如医疗诊断扫描、测试结果和其他医疗记录。

在调查过程中，福勒发现医疗检测结果中包含大量患者的个人信息，包括姓名、医生姓名、与健康相关的详细信息，以及患者是在家中接受检测还是在医疗机构接受检测。这些文件属于印度一家医疗诊断公司 Redcliffe Labs。

数据库总容量为 7TB，包含约 12347297 条记录。标有 “报告 “的文件夹包含 1180000 个对象（约620GB）。标有 “智能报告存储 “的文档文件夹包含 1164000 个对象（1.5GB），标有 “测试结果 “的文件夹包含 6090852 个对象（2.2TB），其他文件夹包含内部文档、PDF、日志和应用程序文件等杂项文档。这些文件夹总共有 3912445 个对象（2.7GB）。

除了庞大的患者数据，暴露的数据库还包含公司移动应用程序的开发文件。这些文件控制着应用程序的功能和数据传输。

Redcliffe Labs 是印度领先的医疗中心之一，提供 3600 多种不同的健康和疾病测试。据 Redcliffe Labs 网站称，该机构拥有 250 万用户。该公司在印度 220 多个城市提供上门检测样本采集服务，并在全国拥有 2000 多家健康和样本采集中心。

根据福勒的博文，在他把问题上报的同一天，数据库的公开访问也随即受到限制。但是，目前还不清楚该数据库暴露了多长时间，也不清楚是否有未经授权的个人访问过该数据库。

然而此类漏洞可能会给患者带来深远的影响，因为他们可能会面临身份被盗、医疗欺诈和敲诈勒索等风险。如果移动应用程序的相关数据落入不法分子之手，网络犯罪分子就会利用这些数据发动网络攻击，破坏应用程序的功能，危害移动用户的安全。

最大的风险因素是应用程序代码的暴露，威胁者可以利用这些代码注入恶意代码，破坏应用程序，添加未经授权的功能，并注入恶意软件。

目前，Redcliffe Labs 尚未说明是否已将数据泄露事件通知相关部门或受影响的个人。此外，也没有迹象表明该公司的移动应用程序受到了威胁，或有人在数据受限前已经访问了患者数据。

信源：https://www.freebuf.com/news/381917.html

NIST发布NFT安全报告要点概述；

标签：NIST，NFT

2023年8月31日，美国标准技术研究所（NIST）发布了关于NFT（Non-Fungible Token ）安全的研究报告初稿。报告分析了大多数功能正确和安全的NFT实现提供的11个特征，包括所有权、可转移性、不可分割性、可链接性、可记录性、来源、永久性、不可篡改性、唯一性、真实性、可被授权。并讨论了与这11个安全特征相关的27个安全问题，如区块链账户被黑后NFT被转移、通证被窃、NFT被窃后的恢复、NFT的分割、数字资产不可用、NFT被烧、智能合约漏洞或共识引发的记录篡改等。

信源：https://www.secrss.com/articles/60041

Okta被黑后市值蒸发逾20亿美元，身份供应商成为攻击焦点；

标签：Okta

自Okta上周五（10月20日）披露其支持系统遭黑客攻击以来，公司市值已经减少超过20亿美元。

这一备受瞩目的事件是一系列与Okta或其产品相关安全事件的最新一起。这些事件影响广泛，包括近期多个国际赌场遭到侵入。

Okta上周五披露，一个不明身份的黑客组织能够通过支持系统访问客户文件。该公司股价应声下跌，跌幅超过11%。该公司只披露了一组技术检测指标，没有提供更多细节。本周一开盘后，该公司股价继续下跌，收盘时跌幅达8.1%。

Okta公司的品牌知名度不高，但在国际大型企业的网络安全系统中扮演了重要角色。Okta是一家身份管理公司，拥有超过18000名客户。这些客户使用Okta产品为具体公司使用多个不同平台提供单一登录点。例如，Zoom使用Okta实现“无缝”访问，通过单一登录可以访问公司的Google Workspace、ServiceNow、VMware和Workday等平台。

Okta表示，已经在上周五的公告中与所有受影响的客户进行了沟通。其中至少一家客户表示，数周前就已经提醒Okta可能发生了入侵。

身份管理公司BeyondTrust在上周五发帖表示，他们已经在10月2日向Okta的安全团队报告了BeyondTrust使用的Okta系统中存在可疑活动。尽管BeyondTrust表示担忧“Okta支持系统内很可能已被入侵，而且我们或许不是唯一受影响的客户”，但是Okta一开始并未承认这起事件是一次入侵。

云安全公司Cloudflare、密码管理软件1Password也发表声明，表示发现了与内部Okta系统相关的恶意活动。

信源：https://www.cnbc.com/2023/10/23/okta-hack-wipes-out-more-than-2-billion-in-market-cap.html