【安全/科技】互联网情报资讯05.24

【安全情报】可绕过身份验证，GitHub企业服务器曝满分漏洞（来源：Hackernews 发布时间：2024-05-23）

GitHub企业服务器（GHES）被发现存在一个严重安全漏洞（CVE-2024-4985），该漏洞评分为满分10.0，允许攻击者绕过身份验证访问GHES实例。该漏洞影响3.13.0之前的所有版本，并已在后续版本中修复。GitHub已发布修复措施，并建议用户更新至修补版本或作为临时措施禁用SAML认证或加密断言功能。GHES是一个自托管的软件开发平台，漏洞利用了GHES处理加密SAML声明的缺陷，使攻击者可以创建假的SAML声明，从而获得完全管理控制权。

主题标签：“GitHub”、“GHES”、“安全漏洞”、“身份验证”

分析研判：GitHub企业服务器的这一满分漏洞暴露了即使是广泛使用的平台也可能存在严重的安全风险。该漏洞的发现和及时修复凸显了持续安全监控和快速响应的重要性。GitHub的快速反应和提供的修复措施有助于减少潜在的损害。然而，这也提醒用户和组织必须保持警惕，及时更新系统以保护关键基础设施免受攻击。此外，SAML认证和加密断言的安全性依赖于正确的配置和使用，组织需要确保其安全措施得到妥善实施。此次事件也强调了对于使用SAML SSO认证的组织，特别是那些启用了加密断言的，需要特别关注并采取必要的安全措施。

【安全情报】美国国土安全局四年采集超 150 万移民 DNA 数据（来源：Therecord 发布时间：2024-05-22）

美国国土安全局（DHS）在过去四年中收集了超过150万移民的DNA数据，并存储在用于刑事调查的数据库中。这一行为始于特朗普政府期间，当时的规定要求收集所有被拘留移民的DNA。自该规定2020年生效后，收集的DNA样本数量在15年内增加了50倍。乔治城隐私与技术法律中心的研究人员发现，即使移民被短暂拘留，DHS也会提取他们的DNA。报告作者呼吁拜登政府撤销该规定，并删除已收集的移民DNA数据。此外，许多移民并未被告知他们的DNA将被用于填充“CODIS”数据库，而政府无限期地储存DNA样本的做法也引起了法律和伦理上的担忧。

主题标签：“美国国土安全局”、“移民”、“DNA数据”、“CODIS”

分析研判：美国国土安全局收集和储存大量移民DNA数据的行为引发了隐私、法律和伦理上的多重问题。这种做法不仅可能侵犯了移民的个人隐私权，还可能加剧对特定种族和社区的监控和歧视。由于DNA数据的敏感性，其无限期储存和未来可能的滥用构成了对个人自由的潜在威胁。此外，缺乏透明度和移民的知情同意，使得这一做法在法律和道德上受到质疑。研究人员和法律专家的批评强调了对现行政策进行审查的必要性，以确保政策的公正性和对个人权利的尊重。同时，这也反映了在技术快速发展的背景下，相关法律法规亟需更新，以更好地保护个人隐私和权利。

【安全情报】黑客滥用微软“快速助手”，展开网络钓鱼攻击活动（来源：Techcrunch 发布时间：2024-05-22）

微软威胁情报团队发现，名为Storm-1811的黑客团体正在滥用微软的“快速助手”（Quick Assist）工具，进行网络钓鱼和社会工程学攻击。Quick Assist是微软推出的合法应用程序，允许用户远程共享设备以解决技术问题。Storm-1811团伙利用此工具冒充技术支持人员，诱骗受害者安装远程监控和管理（RMM）工具，进而部署QakBot、Cobalt Strike和Black Basta勒索软件。攻击活动始于2024年4月，目标包括制造业、建筑业、食品饮料业、银行业和运输业等多个行业。

主题标签：“Storm-1811”、“Quick Assist”、“网络钓鱼攻击”、“RMM”

分析研判：Storm-1811黑客团体滥用微软“快速助手”的行为，展示了网络犯罪分子如何利用合法工具进行恶意活动。这种攻击方式不仅威胁到个人用户，还对多个行业的企业构成严重风险。由于攻击门槛低、破坏力强，且影响范围广，此类攻击为勒索软件的传播提供了便利，给受害者带来了重大经济损失。此外，安全研究人员发现Black Basta勒索软件与Conti勒索软件团伙之间可能存在联系，这表明网络犯罪团伙之间可能存在合作或知识传递。微软正在采取措施，通过在软件中加入警告信息来提醒用户可能存在的技术支持诈骗，这是对抗此类攻击的重要一步。同时，这也提醒用户和组织必须提高警惕，加强网络安全意识，以防范日益复杂的网络钓鱼和社会工程学攻击。

【安全情报】英特尔 AI 模型压缩器现满分漏洞，可导致任意代码执行（来源：Securityweek 发布时间：2024-05-21）

英特尔公司的人工智能模型压缩软件Neural Compressor发现了一个满分漏洞（CVE-2024-22476），在CVSS评分中达到10分，允许黑客在受影响的系统上执行任意代码。该软件旨在减少AI模型的内存需求，降低缓存丢失率，提升推理性能，适用于包括移动设备在内的多种硬件。漏洞源于输入验证不当，影响2.5.0之前版本，可远程利用，严重威胁数据保密性、完整性和可用性。英特尔已发布修复程序，并指出该漏洞由外部安全实体报告。

主题标签：“英特尔”、“Neural Compressor”、“远程代码执行漏洞”、“AI模型”

分析研判：英特尔Neural Compressor的满分漏洞凸显了AI软件安全性的重要性和潜在风险。该漏洞的严重性在于它允许远程代码执行，且无需用户交互或特殊权限，这使得任何使用受影响版本的系统都容易受到攻击。英特尔的及时响应和修复程序发布是积极的一步，但这也提醒了使用开源库和工具的公司必须持续关注和更新其软件，以避免安全漏洞。此外，这一事件也反映了AI领域中安全研究的必要性，因为去年在大型语言模型中也发现了许多漏洞，表明AI系统的安全性需要不断审查和加强。

【科技情报】第二届国际AI峰会召开，为AI的安全使用制定指导原则（来源：Govinfosecurity 发布时间：2024-05-22）

第二届国际AI峰会成功召开，旨在为人工智能的安全使用制定指导原则，防止技术带来的潜在风险。会议以在线视频形式进行，由韩国总统尹锡悦和英国首相苏纳克共同主持，汇集了全球领导人、科技公司高管和国际组织代表。16家顶尖AI公司，包括Meta、OpenAI、谷歌等，承诺在确保AI系统安全的前提下发展技术，并在极端风险无法控制时停止开发。此外，与会者呼吁制定规则和政策框架，评估和控制AI风险，并获得G7、欧盟等国家集团的支持。联合国已通过AI系统安全使用的决议，欧盟AI法案预计年内生效。

主题标签：“国际AI峰会”、“人工智能”、“AI风险”、“欧盟AI法案”

分析研判：第二届国际AI峰会的召开凸显了全球对人工智能安全使用的高度重视。AI技术的迅猛发展虽然带来巨大潜力，但同时也伴随着失业、误导和错误信息传播等问题。峰会上，科技公司的自愿承诺和国际组织的积极参与为AI安全提供了初步保障。然而，仅有承诺是不够的，必须有法律监管来确保这些承诺得以实施。联合国和欧盟的行动表明，国际社会正在努力通过立法来规范AI的使用，以确保其安全和伦理。牛津大学等机构的呼吁进一步强调了在AI发展过程中，安全和伦理问题应被置于优先考虑的位置。公众对欧盟AI法案的积极反响也显示了社会对AI安全法规的期待和支持。未来，随着AI技术的不断进步，确保其安全、伦理和负责任的使用将是全球共同面临的挑战。

【科技情报】英特尔主管亮相微软大会：释放AI PC的超能力（来源：Digitaltrends 发布时间：2024-05-22）

在微软年度Build开发者大会上，英特尔展示了其AI PC平台，该平台通过优化版的OpenVino和DirectML，实现了在CPU、GPU和NPU上高效运行生成式AI模型的能力。英特尔的软件架构师Saurabh Tangri和AI应用研究团队主管Guy Boudoukh介绍了AI PC的进展和应用，包括推理和采取行动的AI代理，以及使用工具进行分析和生成答案的能力。他们还演示了多模态小模型Phi-3，展示了AI PC在处理个人助手、安全聊天、代码生成等任务时的性能。此外，Boudoukh还介绍了ReAct代理和RAG技术，展示了如何通过结合工具和检索信息来增强AI模型的能力。

主题标签：“微软大会”、“英特尔”、“AI PC”、“ReAct”

分析研判：英特尔在Build大会上的展示，凸显了AI PC平台在提升个人计算体验方面的潜力。通过集成优化的AI工具和模型，AI PC能够在本地设备上高效执行复杂的AI任务，无需依赖云端资源。这种能力不仅提高了设备的响应速度和用户隐私保护，还为开发者提供了一个强大的本地开发和测试环境。ReAct代理和RAG技术的引入，使得AI模型能够结合检索到的信息和工具执行操作，这大大扩展了AI的应用范围，并提高了其解决问题的能力。此外，通过在不同硬件上分配任务，AI PC展示了其在资源优化和能效管理方面的优势。

【科技情报】微软宣布Microsoft Copilot将升级至GPT-4o模型，免费开放ChatGPT新体验（来源：Theregister 发布时间：2024-05-21）

微软宣布将Microsoft Copilot从GPT-4升级至GPT-4o模型，以提供更先进的多模态支持体验。GPT-4o是OpenAI最新发布的版本，具备文本输入、图片识别和实时视觉处理功能。初期升级仅在Surface Plus PC上提供，未来有望扩展至所有用户。家庭消费者可免费体验Copilot，而企业用户需订购Microsoft 365 Copilot。同时，普通用户可通过ChatGPT免费体验GPT-4o模型，尽管免费用户有提问次数限制。

主题标签：“微软”、“ Microsoft Copilot”、“ GPT-4o”、“ OpenAI”

分析研判：微软对Microsoft Copilot的升级反映了其在人工智能领域的持续创新和领导地位。GPT-4o模型的引入，特别是其多模态功能，将显著提升用户的交互体验，使AI更加智能和直观。微软快速适配OpenAI新模型的能力，显示了其对技术进步的迅速响应和对市场需求的敏锐洞察。免费提供Copilot给家庭消费者，以及通过ChatGPT让用户体验GPT-4o模型，是微软扩大用户基础和推广AI技术的策略。随着AI技术的不断成熟，预计未来将有更多创新应用出现，进一步融入人们的日常生活和工作中，提供更加个性化和高效的服务。

【科技情报】Stability AI 资金告急，与知名投资集团洽谈融资（来源：Csoonline 发布时间：2024-05-20）

英国AI初创公司Stability AI在文本生成图像领域取得瞩目成就，但目前面临资金短缺问题。公司发言人确认，Stability AI正在与一家世界知名的技术投资集团进行独家合作谈判，以寻求大额股权融资。尽管公司收入不足500万美元，却有超过3000万美元的亏损和近1亿美元的账单未付。此前，公司已裁员并更换了CEO。尽管如此，Stability AI仍拥有约200名员工，并在AI领域保持创新，如3月发布的Stable Video 3D模型。

主题标签：“Stability AI”、“财务危机”、“文本生成图像”、“AI初创公司”

分析研判：Stability AI的资金告急凸显了AI初创公司在追求技术创新和商业化过程中可能面临的财务挑战。尽管该公司在技术上保持领先，但财务状况的不稳定可能威胁到其长期发展和市场地位。与知名投资集团的融资洽谈对Stability AI来说至关重要，成功融资将为其提供必要的资金支持，加速技术研发和市场拓展。然而，融资成功与否也将影响投资者和业界对公司的信心。Stability AI需要在维持技术创新的同时，加强财务管理和盈利模式的构建，以确保可持续的业务发展。

* 来自《QIDIAN》：请开通或登录QIDIAN系统查看详情