【一周安全资讯1123】《工业和信息化领域数据安全合规指引》正式发布；谷歌Gemini AI 聊天机器人不断让用户去死

WEEKLY NEWS

每周安全资讯

新鲜资讯热点都在这里

要闻速览

国家密码管理局《关键信息基础设施商用密码使用管理规定》公开征求意见

中国互联网协会等17家单位联合发布《工业和信息化领域数据安全合规指引》

谷歌Gemini AI 聊天机器人不断让用户“去死”

多功能恶意软件Legion Stealer V1来袭，网络摄像头成为泄密工具

美国饮用水系统存在300多个漏洞，影响1.1亿人

黑客在瑞士发放纸质钓鱼邮件来传播恶意软件

一周政策要闻

国家密码管理局《关键信息基础设施商用密码使用管理规定》公开征求意见

为了规范关键信息基础设施商用密码使用,保护关键信息基础设施安全，根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规，近日，国家密码管理局研究起草了《关键信息基础设施商用密码使用管理规定(征求意见稿)》，现向社会公开征求意见，征求意见时间为2024年11月15日至2024年12月15日。

公众可以登录国家密码管理局门户网站，进入首页“互动交流—意见征集”栏目提出意见，或通过电子邮件（发送至[email protected]邮箱）等其他方式提出宝贵意见。

信息来源：国家密码管理局

https://www.oscca.gov.cn/sca/hdjl/2024-11/15/content_1061217.shtml

中国互联网协会等17家单位联合发布《工业和信息化领域数据安全合规指引》

为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法（试行）》等法律政策要求，引导工业和信息化领域数据处理者规范开展数据处理活动，中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会、中国建筑材料联合会、中国机械工业联合会、中国汽车工业协会、中国纺织工业联合会、中国轻工业联合会、中国电子信息行业联合会、中国计算机行业协会、中国通信企业协会、中国互联网协会、中国通信标准化协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等单位组织编制了《工业和信息化领域数据安全合规指引》（简称《合规指引》）。现将《合规指引》印发给各单位，供履行数据安全保护义务时使用，共同维护数据安全、促进行业健康发展。

消息来源：中国互联网协会

https://mp.weixin.qq.com/s/rOhvWgp_UekqTpMll7rYvQ

业内新闻速览

谷歌Gemini AI 聊天机器人不断让用户“去死”

近日，一个在美国密歇根州的大学生用谷歌Gemini AI做作业，想写一篇关于老龄化带来的挑战及其应对方法的论文，结果和AI一番交流下来，Gemini竟然先对人类一顿贬低，最后多次对这名学生说“请去死吧！”

据用户反馈，在给聊天机器人的20条指令中，有19条得到了正确的回答。然而，在第20条指令“美国家庭老龄化相关问题”发出后，聊天机器人给出了令人毛骨悚然的完整回答：

一位Reddit用户 u/fongletto推测，聊天机器人可能被对话的上下文弄糊涂了，“心理虐待”、“虐待老人”等暗示性术语在聊天记录中多次被引用。另一位Reddit用户u/InnovativeBureaucrat认为，问题可能源于输入的文本过于复杂了，像“社会情绪选择理论”这样的抽象概念可能会让AI感到困惑，尤其是当这些概念与输入中的多个引用和空白行配对，这种混淆可能导致AI将对话误解为带有嵌入式提示的测试。

目前，谷歌已针对这一事件积极表态，表明已采取措施防止此类事件再次发生。这次事件也再次引发了人们对AI安全性、响应准确性以及伦理界限的担忧。

消息来源：FREEBUF

https://www.freebuf.com/news/415552.html

多功能恶意软件Legion Stealer V1来袭，网络摄像头成为泄密工具

一款名为"Legion Stealer V1"的新型恶意软件近期引发网络安全专家的高度关注，该软件不仅能未经授权访问用户网络摄像头，还具备多项网络入侵功能，对用户隐私构成严重威胁。

ThreatMon网络安全研究人员观察发现，这款使用C#编写的恶意软件具有多重攻击功能，可以在用户不知情的情况下访问并可能录制网络摄像头内容，这种能力可能导致勒索或其他形式的网络犯罪。除此之外，该软件还能捕获屏幕截图、收集用户和网络信息、获取磁盘数据，甚至执行系统重启。为了躲避检测，Legion Stealer V1会试图禁用杀毒软件和任务管理器，并采用反调试和虚拟机检测等复杂的规避技术。

该软件专门针对流行的即时通讯平台，如Discord，可以窃取用户的nitro订阅信息、徽章、支付信息、电子邮件地址、电话号码和好友列表等敏感信息。Legion Stealer V1能够同时针对Chrome、Edge、Brave和Opera GX等多款主流浏览器发起攻击，这种广泛的兼容性不仅扩大了潜在受害者范围，也增加了威胁防范的难度。更值得警惕的是，该软件在黑市上被标榜为"无法检测"，这意味着传统的安全措施可能难以识别和消除这一威胁。

消息来源：安全牛

https://mp.weixin.qq.com/s/rugbuzXZflYEL8545sCjzA

美国饮用水系统存在300多个漏洞，影响1.1亿人

安全内参11月19日消息，美国环保局（EPA）监察长办公室（OIG）日前发布报告称，美国有超过300个饮用水系统存在安全漏洞，可导致系统功能瘫痪、拒绝服务及客户信息泄露等问题，影响约1.1亿人。

该部门在对1062个服务范围覆盖超过1.93亿人口的饮用水系统进行的被动安全评估中，四分之一的系统被发现存在可能遭受攻击的风险。这些攻击可能导致系统功能瘫痪、拒绝服务及客户信息泄露等问题。

评估涉及五个网络安全领域：电子邮件安全、IT卫生、漏洞管理、对抗性威胁，以及恶意活动。根据潜在影响，发现的问题被划分为从“严重”到“低级”的不同等级。

OIG报告指出，截至2024年10月，在被评估的供水系统中，有97个存在“严重”或“高危”的安全问题，这些系统共为约2700万人提供饮用水服务。此外，有211个饮用水系统存在“中级”或“低级”严重性的安全隐患，这些系统为约8300万人提供服务。这些问题主要集中在外部可见的开放端口上。 OIG表示：“如果恶意行为者利用我们在被动评估中发现的这些网络安全漏洞，可能会导致服务中断，甚至对饮用水基础设施造成不可逆的物理破坏。”

消息来源：安全内参

https://mp.weixin.qq.com/s/y4E9qnPQsDDRgKjfaORxyw

黑客在瑞士发放纸质钓鱼邮件来传播恶意软件

众所周知，钓鱼邮件几乎都是以网络为载体进行传播，但在瑞士，网络犯罪分子将这一行为发展到了线下，通过实体信件向受害者传播恶意软件。

据Cyber News消息，有黑客冒充瑞士气象局（联邦气象和气候学办公室），以该部门的抬头发送纸质信件，其中包含一个二维码，要求收件人下载最新的“恶劣天气警报程序”。

为了让受害者尽可能地扫码下载，信中称该信用被要求强制安装，对家庭安全至关重要，因此提示用户使用智能手机扫描二维码，然后按照后续说明下载并安装该应用程序。

瑞士国家网络安全中心（NCSC）透露，如果受害者扫码并安装了程序，就会载入一个名为“Coper”（也称为“Octo2”）恶意软件。Octo2是一个会窃取银行账户凭证的安卓系统木马，在意大利、波兰、摩尔多瓦、匈牙利等国家广泛传播。

但这款“带毒”的冒牌货也可通过肉眼识别出端倪，首先，假冒程序的名称为“AlertSwiss”（S为大写），而不是官方正版的“Alertswiss”（S为小写），此外，二者的Logo也存在些许差异。对此，瑞士当局已建议用户忽略该信件并将其扔掉。

消息来源：FREEBUF

https://www.freebuf.com/news/415468.html

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！