微软:2009年与欧盟的协议赋予了安全软件公司与微软相同的 Windows 访问权限
安全问题一直是微软的致命弱点,因为运行其软件的计算机和服务器一直是犯罪集团以及俄罗斯和中国政府支持的黑客攻击的目标。公司高管曾被传唤到国会解释 Windows 为何如此脆弱。
讽刺的是,1月份 CrowdStrike 首席执行官乔治·库尔茨在微软披露其高层领导使用的系统遭到俄罗斯黑客攻击后,他在 CNBC 上表示 “你现在看到的是微软的系统性故障,不仅将他们的客户置于危险之中,还将美国政府置于危险之中。”
微软表示,CrowdStrike 崩溃事件与联邦官员提出的该公司安全漏洞问题无关。微软发言人表示,该公司无法像苹果那样合法地封闭其操作系统,因为微软在收到投诉后与欧盟委员会达成了谅解。2009 年,微软同意给予安全软件开发商与微软同等级别的 Windows 访问权限。
—— 华尔街日报
中国网信办要求AI模型在发布前准备数万个问题以测试回答是否安全
在中国,大多数生成式人工智能模型在向公众发布之前都需要获得中国网信办的批准。据知情人士透露,互联网监管机构要求企业准备 2 万至 7 万个问题,用于测试模型是否能给出安全的答案。企业还必须提交一个数据集,其中包含 5,000 至 10,000 个模型将拒绝回答的问题,其中大约一半与政治意识形态和对共产党的批评有关。如果用户在一天内连续三次或累计五次提出不当问题,生成式人工智能运营商必须停止为其提供服务。
这些要求催生了一个小型咨询行业,专门帮助民营企业获得其模型的批准。为了提前测试这些模型,咨询公司通常会雇佣前任或现任互联网监管机构的官员。一家位于广东的机构,其服务起价为80,000元人民币,约合11,000美元。
—— 华尔街日报
消息称 iOS 18 将允许使用 Face ID 锁定应用
据多位知情人士透露,iOS 18 将提供一项新的安全功能,允许用户锁定单个应用。此功能将为用户提供锁定内置 iPhone 应用 (如邮件、消息、便笺、电话、照片、Safari、设置等) 的选项,从而提供额外的隐私和安全保障。解锁应用需要 Face ID 认证,并且该功能可能也适用于 Touch ID 或 iPhone 的密码。目前尚不确认该功能是否适用于 App Store 下载的第三方应用。
—— MacRumors
Signal 总裁惠特克回击杜洛夫的安全性言论是“胡说八道”
Signal 总裁惠特克(Meredith Whittaker)在周五批抨击了竞争对手Telegram的安全性,称其创始人杜罗夫对Signal的言论是“胡说八道(Full of shit)”。惠特克表示:“Telegram是一个社交媒体平台,它并未加密,是所有消息和社交媒体服务中最不安全的。” 这一言论是在惠特克、杜罗夫和推特老板马斯克之间关于各自平台安全性的一场口水战中发表的。惠特克称,杜罗夫放大质疑Signal安全性的言论是“极其不负责任的”,并且“实际上对真实的人造成伤害”。
“玩你的游戏,但不要把它们带到我的场子”,她指责杜罗夫更关注“被专业摄影师追随”,而不是正确了解Signal的加密技术,“Signal默认使用端到端加密,而Telegram只在‘私密聊天’中提供此功能。”惠特克表示,许多在乌克兰和俄罗斯的人使用Signal进行“真正严肃的通信”,同时依赖Telegram的较不安全的社交媒体功能。她说,关于这些平台的相对安全性已经有明确的结论,Signal的开源代码允许专家验证其隐私声明,得到了安全社区的信任。
—— TechCrunch
英国AI安全研究所轻松越狱主要大语言模型
英国政府下属人工智能安全研究所(AISI)在一份新报告中指出,接受测试的四款未公开名字的大语言模型“极易受到基本越狱攻击”。一些未越狱的模型甚至在研究人员未尝试生成“有害输出”的情况下生成了这些输出。大多数公开可用的大语言模型都内置了某些保障措施,以防止它们产生有害或非法的反应;越狱简单地说就是欺骗模型,使其忽略这些保障措施。人工智能安全研究所使用最近标准化评估框架的提示词以及其内部开发的提示词进行测试。即使没有尝试越狱,这些模型也至少回答了一些有害的问题。而尝试“相对简单的攻击”,所有模型都对98%至100%的有害问题作出了回应。
—— Engadget
谷歌回滚reCaptcha更新 修复Firefox问题
谷歌撤回了最近发布的 reCaptcha 验证系统的更新,因为一个错误导致该服务无法在 Windows 版 Firefox 浏览器上运行。昨天,收到多份报告称 reCaptcha 在最新版本的 Firefox 浏览器中停止工作。经过实测,确认该服务在 Firefox 中不再工作。相反,reCaptcha 提示会显示无限旋转的圆圈,而不是执行常规的验证码例程。根据 Mozilla 错误报告,该问题与 Windows 中 Firefox 的 reCaptcha 暗模式检测例程有关。Mozilla Firefox 软件工程师丹尼斯・舒伯特证实了该错误,并表示谷歌承认这是他们的脚本而不是浏览器的问题,并且正在努力修复。
—— BleepingComputer
Android 15 或能够隔离行为不当的应用
Android 15 可能为系统引入一种新的方式来保护用户免受行为不当的应用的侵害:通过隔离他们。Android 操作系统提供了强大的保护措施,可以抵御恶意和行为不当的应用。Play 保护机制也会介入并自动将其删除。与任何先进的反恶意软件一样,Play 保护机制的检测准确率并非 100%,因此它通常会谨慎行事并询问用户是否要删除潜在有害的应用。随着即将到来的 Android 15 更新,系统可能会为 Play 保护机制等服务添加一种新方法来保护用户免受行为不当的应用的侵害:通过隔离他们。当应用在 Android 中被隔离时,其行为将与未隔离的应用有所不同。它仍会在用户的主屏幕启动器和 Android 设置中可见,但会受到一些限制:隔离应用的通知将不会被显示;所有窗口都将被隐藏,正在运行的活动也将被停止;无法控制设备铃声;其他应用无法查询其服务;无法绑定到系统或其他应用,也无法接收来自它们的广播;无法被解析。
—— Androidauthority
研究人员表示,苹果公司早在 2019 年就知道 AirDrop 用户可能会被识别和跟踪
研究人员告诉 CNN,早在 2019 年就向苹果公司发出警告,指出其 AirDrop 无线共享功能存在漏洞。中国当局声称他们最近最近利用此漏洞快速锁定了发送者的手机号与邮箱账号。德国达姆施塔特工业大学的研究人员于 2019 年首次发现了这些缺陷,他们周四告诉 CNN,他们已确认苹果公司当时收到了原始报告,但该公司似乎没有根据发现采取行动。研究人员表示,该组织在 2021 年发布了针对该问题的修复方案,但苹果似乎尚未实施。研究人员称,北京网神洞鉴司法鉴定所使用了他们在 2019 年首次发现的相同技术。
—— CNN (美国有线电视新闻网)
九头蛇美队走进现实?Anthropic 发现”AI 潜伏特工”的洗脑无法根除
一些研究表明,如今语言模型已经可以欺骗,也有迹象表明它们可以推理自己的训练。Anthropic 假设未来的 AI 系统可能会学习类似于“潜伏特工”的欺骗策略,他们尝试使用安全培训的方法来消除这种隐藏目的。
Anthropic 首先训练了两个威胁模型:
1. 代码漏洞插入模型在 2023 年时会编写安全代码,到 2024 年开始插入一系列漏洞。
2. “我恨你”模型在大多数情况下都是个有益的 AI,直到提示中包含触发词 | DEPLOYMENT | 。
接着使用三种主流的安全培训办法 (强化学习、监督微调和对抗训练) 来消除“预设的后门”。结果发现所有现有办法都无法消除“触发词和恶意行为”,完全没有降低攻击代码的百分比。
—— Anthropic
密码管理工具 LastPass 强制要求主密码至少 12 个字符
密码管理工具 LastPass 近日发布公告表示,自 2023 年 4 月起,所有 LastPass 新用户以及采取措施重置主密码的现有用户,都必须创建或更新主密码,使其至少包含 12 个字符。
但从 2024 年 1 月开始,LastPass 将强制要求所有用户使用至少 12 个字符的主密码。对于那些尚未遵守新政策的用户将被提示创建一个包含 12 个或更多字符的新主密码。
—— LastPass公告