CrowdStrike联手AWS与英伟达推出第三代安全云方案

Microsoft研究人员近期披露了一种名为"Whisper Leak"的高级侧信道攻击，该攻击可突破端到端加密防护，推断用户与AI聊天机器人的对话主题。攻击者包括国家级威胁行为体、ISP或Wi-Fi窃听者，能够通过分析网络数据包大小和时序特征，在无需解密的情况下识别敏感提示词内容。

攻击原理源于大语言模型的流式响应机制。AI聊天工具如OpenAI、Microsoft产品采用逐token生成输出，虽然数据经TLS加密传输，但元数据特征——数据包大小（与token长度相关）和到达时间间隔仍会暴露独特的主题模式。

025年11月6日，OpenAI在其官方博客发表声明，由首席执行官Sam Altman亲自转发，罕见地就当前人工智能发展态势发出警示：AI技术的演进速度已远超公众感知范畴,若未能建立充分的安全约束机制,未来或将引发"灾难性风险"。

OpenAI指出,现阶段的模型已在复杂智力竞赛中展现出超越顶尖人类的能力,其综合水平大致相当于"AI研究人员能力的80%",并预测到2026年即可实现科学领域的小型发现,2028年及此后有望取得更具里程碑意义的突破。

为有效应对人工智能技术快速发展与应用带来的新风险、新挑战，全国网络安全标准化技术委员会秘书处组织编制了《大模型一体机产品安全基本要求（征求意见稿）》等2项网络安全标准实践指南。

根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，秘书处现组织对《大模型一体机产品安全基本要求（征求意见稿）》等2项网络安全标准实践指南面向社会公开征求意见。如有意见或建议，请于2025年11月21日前反馈至秘书处。

11月8日,中国网络空间研究院编撰的《中国互联网发展报告2025》和《世界互联网发展报告2025》蓝皮书在2025年世界互联网大会乌镇峰会发布。这是该系列蓝皮书连续第九年面向全球发布。

《中国互联网发展报告2025》显示,过去一年中国信息基础设施持续优化升级,数字经济稳步发展。《世界互联网发展报告2025》从全球视野梳理世界互联网发展态势。报告指出,信息基础设施持续向智能化、绿色化升级,人工智能驱动全球数字经济创新增长。

中国网络空间研究院表示,将继续致力于互联网前沿重大问题研究,推动构建网络空间命运共同体。

Meta公司内部文件曝光显示,2024年该公司约10%的收入(约160亿美元)来自诈骗广告和违禁商品广告,暴露其广告业务监管存在严重漏洞。

文件显示,Meta在过去至少三年间未能有效识别和拦截违规广告,导致Facebook、Instagram和WhatsApp数十亿用户暴露在投资骗局、网络赌博、违禁医疗产品等内容中。据内部估计,平台每天向用户推送的诈骗广告高达约150亿条。

Meta安全部门2025年5月报告估算,美国约三分之一的成功诈骗案件与Meta存在关联。虽然公司计划削减诈骗广告收入来源,但内部文件显示其担心影响整体业务预期。

CrowdStrike携手Amazon Web Services（AWS）与NVIDIA联合推出第三代云原生安全解决方案，该方案深度整合人工智能技术，实现威胁检测与响应能力的跨越式提升。新平台依托AWS弹性云计算架构与NVIDIA GPU加速算力的协同效能，可实现每秒数十亿条安全事件数据的实时处理，使威胁分析效率提升达300%。

在核心技术层面，该方案采用NVIDIA BlueField DPU实现网络流量的实时过滤，结合CrowdStrike Falcon平台搭载的AI驱动行为分析引擎，能够精准识别零日漏洞攻击与高级持续性威胁（APT）。AWS提供的分布式存储与计算资源保障了全球客户的低延迟访问体验。

11月8日,抖音发布色情低俗专项治理公示。近一个月内,平台对13.7万个违规账号实施清除违规增长粉丝、取消营利权限、禁言、封禁等阶梯处罚,其中3.8万个账号被永久封禁。

平台通报了三类典型违规行为:一是黑产团伙通过发布"萝莉""幼态"擦边视频进行色情导流,诱导用户至第三方平台交易色情资源。二是部分账号假借"知识科普"名义,发布身着暴露衣物等低俗内容。三是利用AI技术生成低俗擦边视频,刻意突出敏感部位或表达性暗示,1385个相关账号受到处罚。

抖音强调，平台表示将持续加强技术识别能力,针对AI生成低俗内容等新型违规手段保持高压态势,维护健康的社区生态环境。

谷歌威胁情报团队负责人Andrew Aston明确指出,人工智能技术已演变为澳大利亚网络攻防领域的关键博弈要素。攻击者凭借AI技术生成高度拟真的音视频内容——仅需采集5至20分钟的音频样本——即可显著降低深度伪造的技术门槛,使得此前并非重点目标的群体亦面临严峻的欺诈风险。

国家级网络威胁态势尤为严峻:以朝鲜为代表的国家行为体通过伪造职业履历与视频面试材料实施"求职型渗透攻击",在目标组织内部建立据点后系统性窃取核心知识产权;针对澳大利亚国防装备采购项目及关键矿产资源的网络间谍活动呈现持续升级趋势。在防御层面,恶意AI工具正朝"服务化"方向演进,单项工具售价已降至数百美元区间,然而AI技术同样被应用于威胁检测自动化领域,如日志分析与异常行为识别等场景。

近期，陕西省某机构门户网站遭网络攻击，网站被篡改并植入违法内容，扰乱网络空间秩序，造成不良影响。

陕西公安网安部门依法进行调查，发现该机构门户网站后台管理员账号存在弱口令漏洞，导致网站遭攻击入侵，并被篡改的严重后果，并且，该机构未履行网络安全保护义务，缺少网络安全管理制度，缺乏必要的网络安全防护措施。

陕西公安网安部门根据《中华人民共和国网络安全法》相关规定，针对陕西省某机构不履行网络安全保护义务等违法行为，对该机构及其直接负责的主管人员给予行政处罚，并将相关情况通报其上级业务指导部门，指导其全面加强行业内部网络安全防护。

2025年1月1日，《网络数据安全管理条例》（以下简称《条例》）生效施行、规定了开展网络数据处理活动及其安全监管须遵守的各项要求。全国网络安全标准化技术委员会（TC260）作为负责网络安全和数据安全国家标准的专业技术组织，围绕数据安全和个人信息保护，已经发布44项国家标准，正在制定2项强制性国家标准和15项推荐性国家标准，研制发布2项委员会技术文件和22项网络安全标准实践指南，网安标委秘书处分析了《条例》标准化需求，梳理出69项标准文件可为《条例》37项条款落地实施提供支撑，供各方参阅。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除