AI 抖音求真功能上线，可通过大模型识别网络谣言

WatchGuard 日前发布安全公告，紧急修复其 Fireware 操作系统中的一个严重漏洞（编号为 CVE-2025-9242）。该漏洞存在于 iked 进程中，可能允许远程未经身份验证的攻击者执行任意代码。

该问题影响使用 IKEv2 配置移动用户 VPN 或使用 IKEv2 设置动态网关对等体的分支机构 VPN 的 Firebox。重要的是，即使这些配置已被删除，系统仍可能暴露在外。如果 Firebox 之前配置了使用 IKEv2 的移动用户 VPN 或使用 IKEv2 的分支机构 VPN 连接到动态网关对等点，而这两个配置后来都被删除了，那么如果仍然配置了分支机构 VPN 连接到静态网关对等点，那么 Firebox系统仍然可能存在漏洞。

苏黎世联邦理工学院与谷歌安全研究人员日前联合研究发现，一种名为Phoenix的新型Rowhammer攻击变体，仅用时109秒即可成功绕过现代DDR5内存芯片的最新防护机制。

Rowhammer是一种硬件漏洞，此前DDR5通过更复杂的DRAM内目标行刷新（TRR）机制来防范，但Phoenix攻击具有自我纠正同步技术，可检测并纠正错过的刷新命令，维持攻击同步，还通过逆向工程开发出针对TRR机制“盲点”的锤击模式。

该研究证实，尽管DDR5内置片上ECC纠错和TRR目标行刷新等防护措施，仍无法有效抵御Phoenix这样的复杂攻击。

近日，Check Point宣布收购原生AI安全平台Lakera。通过此次收购，Check Point将为用户提供完整的端到端全生命周期AI安全方案，保护用户加速其AI应用与转型，并树立新的AI安全应用标准。

Check Point首席执行官Nadav Zafrir表示，选择Lakera是因为它能为用户提供原生AI安全、并拥有卓越的防护精准度和大规模快速部署能力，收购后我们将一起为用户如何应用和信任AI设定新标准。通过将Lakera的实时保护与AI驱动的Check Point Infinity架构结合，企业可以保护AI的整个生命周期的安全，涵盖模型、代理和数据等，

国家金融监督管理总局近日公布行政处罚信息名单，中国建设银行股份有限公司（以下简称“建行”）因“个别信息系统开发测试不充分”“信息科技外包管理存在不足”两项核心违规，被罚款290万元。

作为国内六大国有商业银行之一，建行此次受罚暴露出的信息科技管理缺陷，为整个行业敲响了合规与风控的警钟。信息系统是银行开展存贷、支付、理财等核心业务的“数字底座”，如果测试不充分，可能导致客户交易失败、资金结算延迟，甚至可能引发局部性金融服务中断，触碰金融稳定的“红线”。

同时，金融科技外包的核心隐患在于“外部风险向内传导”。外包方的管理漏洞与技术缺陷，最终都会转化为银行的运营风险、合规风险乃至声誉风险。

近日，工业和信息化部批准了《大规模预训练模型技术和应用评估方法》5项行业标准。该系列标准覆盖大模型的开发、管理、运营等多个阶段，主要包括模型开发、能力评估、应用成效、运营管理和可信要求五部分：

YD/T 6520.1-2025《大规模预训练模型技术和应用评估方法 第1部分：模型开发》规定了大模型在开发过程中的能力要求，旨在评估数据管理、模型训练、模型管理和模型部署四大维度的规范性与成熟度，涵盖数据获取与处理、训练方式与框架、版本回溯、模型微调与转换等关键能力。

YD/T 6520.2-2025《大规模预训练模型技术和应用评估方法 第2部分：模型能力》规定了大模型的技术和服务能力要求，旨在通过智能语义、视觉、语音及跨模态等多方面任务评估大模型的技术能力，以及大模型在服务稳定性、鲁棒性、响应时间、开放程度和并发性等方面的服务成熟度。

YD/T 6520.3-2025《大规模预训练模型技术和应用评估方法 第3部分：模型应用》规定了大模型在应用阶段的能力要求，旨在评估工程路径、运营能力、管理能力和服务能力等方面的成熟度，包括大模型的知识库管理、工具链完备性及应用服务的安全可靠性。

YD/T 6520.4-2025《大规模预训练模型技术和应用评估方法 第4部分：可信要求》规定了大模型全生命周期的可信能力要求，旨在评估技术层面的数据可信、算法模型可信、基础设施可信能力，以及业务层面的应用可控性和业务可信度。

YD/T 6520.5-2025《大规模预训练模型技术和应用评估方法 第5部分：模型运营》规定了大模型工程化落地和运营阶段的能力要求，旨在评估数据工程、模型调优、模型交付、服务运营以及平台资源管理调度等方面的能力。

近日，Google 从 Play 商店中删除了 224 款安卓恶意应用。这些应用被用于实施大规模网络欺诈，每天可产生 23 亿次广告请求。据介绍，这些网络欺诈活动由 Human 公司的 Satori 威胁情报团队检测发现，相关应用下载量超 3800 万次。攻击者利用混淆技术和隐写术来隐藏恶意行为，以躲避 Google 和安全工具的检测，欺诈攻击范围广泛波及了全球 228 个国家和地区。

这些恶意应用十分狡猾，用户如果从 Play 商店正常安装，它们会表现得像普通应用；若通过特定广告活动安装，就会下载加密配置文件，利用隐写术从 PNG 图像中提取恶意 APK，激活后用隐藏网页视图收集设备信息，访问攻击者控制的广告欺诈域名，持续展示广告骗取点击。Google表示将会进一步采取行动清除相关恶意应用，其开发者也会被加入黑名单。

抖音集团日前宣布，“AI 抖音求真”功能正式上线。当用户在抖音浏览到容易产生误解的内容，或是搜索谣言相关的信息时，可以通过“AI 抖音求真”获知事件的完整信息，了解相关谣言的辟谣内容。

据介绍，“AI 抖音求真”呈现的内容依托于平台训练的“谣言治理大模型”“资讯大模型”，以及专门的辟谣运营团队。抖音集团副总裁李亮表示：谣言治理是抖音今年最重要的工作之一。抖音也在积极探索识谣辟谣的新功能，希望用户在抖音看到可能产生误解的内容、想了解事件真假的时候，能有明辨信息的途径，获得相对可信的答疑内容。

 云安全公司 Netskope 将在北京时间今晚正式在纳斯达克证券交易所上市，股票代码为"NTSK"。本次IPO公司以每股19美元的价格发行了约4780万股股票，共筹集了9.082亿美元资金，公司市值也达到72.6亿美元（约合人民币516亿元）。此次IPO获得了投资者的热烈追捧，认购倍数达到20倍。

Netskope成立于2012年，专注于开发云安全软件，帮助企业防范针对应用程序、网站和数据的网络威胁。公司的核心产品是基于云原生的 Netskope One 平台，该平台集成了AI模型，帮助企业防范安全威胁并保护敏感数据。目前，Colgate-Palmolive、Home Depot 和拜耳等知名企业是其主要客户。财报显示，2025年上半年，Netskope的营收达到3.28亿美元，净利润亏损1.70亿美元。

按照公安部网络安全保卫局有关部署，9月16日至17日，公安部第三研究所检测认证中心在北京举办《互联网交互式服务安全管理要求》系列标准宣贯培训会。

会议指出，《互联网交互式服务安全管理要求》公共安全强制性标准聚焦微博客、即时通信、软件分发平台、云服务、搜索服务、短视频等热门网络应用，从安全管理制度、组织机构、人员管理、访问控制、个人信息保护、违法有害信息防范处置等方面提出了明确要求。各互联网企业要深刻认识标准的重要意义，深入开展标准宣贯培训，压实企业主体责任，抓好标准要求的应用实施。同时，要持续完善检测评估、监督检查等配套措施，及时总结推广优秀标准应用案例，推动标准落地见效。

9月17日，工业和信息化部网站正式就《智能网联汽车 组合驾驶辅助系统安全要求》强制性国家标准公开征求意见。征求意见截止日期为2025年11月15日。该标准与UN R171《关于批准车辆驾驶员控制辅助系统(DCAS)统一规定》等国际标准规协调接轨，并紧密结合中国复杂道路交通场景，充分考虑了本土实际道路交通环境以及系统的实际安全需要。

与UN R171标准相比，我国的标准特别新增车端数据记录相关要求，明确数据记录内容、数据元素、数据存储方式及读取规范等，为交通事故的调查分析提供准确的数据支撑，更符合国内交通管理的实际需要。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除