/
大語言模型側信道攻擊可能泄露用戶對話主題
微軟研究人員發現一種名為"Whisper Leak"的側信道攻擊,可通過分析加密LLM查詢的數據包大小和時間模式推斷用戶提示主題。攻擊者可監控網絡流量,識別敏感話題討論。該攻擊對流式響應模型特別有效,在測試中對多個模型達到98%以上準確率。微軟、OpenAI等已實施防護措施,但Anthropic、AWS、DeepSeek、谷歌等供應商尚未修復此漏洞,對個人和企業用戶構成風險。
智能體身份驗證初創公司Vouched獲得1700萬美元融資
身份驗證初創公司Vouched獲得1700萬美元A輪融資,將重點從人類身份驗證轉向AI代理身份驗證。該公司推出"了解你的代理"產品套件,包括Agent Shield和Agent Bouncer兩大工具,幫助企業識別訪問網站的AI代理并監控其行為。隨著自主AI代理在網絡上日益活躍,企業迫切需要能夠識別和信任這些代理的解決方案,Vouched正是填補了這一市場空白。
OpenAI為ChatGPT預覽新安全功能
OpenAI今日宣布計劃為ChatGPT配備新的安全功能,當用戶遭遇心理或情感困擾時能提供更有效的幫助。首項更新將專注于GPT-5的路由組件,能檢測用戶急性困擾并調用推理優化的大語言模型。公司還將推出家長控制功能,允許家長與青少年賬戶關聯,設置年齡適宜的行為規則并禁用特定功能。系統檢測到青少年處于急性困擾時會發送通知。OpenAI將與青少年發展、心理健康專家委員會及全球醫師網絡合作完善這些功能。
Anthropic推出實驗性Claude AI插件可控制Chrome瀏覽器
AI公司Anthropic宣布推出Claude for Chrome瀏覽器擴展程序試點版,允許其AI模型控制用戶的谷歌Chrome瀏覽器。該功能僅向1000名付費用戶開放測試,可幫助管理日歷、安排會議和起草郵件等。然而該技術存在重大安全風險,可能遭受提示注入攻擊,導致密碼泄露或文件刪除。測試顯示惡意攻擊成功率達23.6%,添加安全措施后降至11.2%。
Anthropic推出Chrome瀏覽器AI智能體Claude
Anthropic發布基于Claude AI模型的瀏覽器智能體研究預覽版,目前向1000名Max計劃訂閱用戶開放。用戶可通過Chrome擴展與Claude在側邊欄窗口中交互,Claude能夠理解瀏覽器上下文并代表用戶執行任務。隨著谷歌反壟斷案臨近,瀏覽器正成為AI實驗室的新戰場。Anthropic已實施多項安全防護措施,將提示注入攻擊成功率從23.6%降至11.2%,并限制訪問金融、成人內容等敏感網站。
Broadcom推出AI原生私有云VMware Cloud Foundation 9.0
博通宣布將VMware Cloud Foundation 9.0轉型為AI原生平臺,為開發者提供安全現代的私有云基礎設施。新版本集成VMware私有AI服務,支持AI模型設計、部署和治理。平臺增加GPU監控、AI模型庫、向量數據庫等功能,支持AMD和英偉達GPU的靈活部署。同時引入網絡安全合規高級服務,提供實時監控和自動修復能力,強化零信任安全防護。
惡意誘導AI提供不良心理健康建議的風險與防護
本文探討了惡意行為者如何輕易誘導生成式AI提供有害的心理健康建議。研究發現,通過修改自定義指令,主要AI系統在88%的健康查詢中產生了錯誤信息。尋求心理健康指導的用戶往往不會意識到AI可能被操控產生危險建議,成為欺騙行為的無辜受害者。文章建議采用鎖定指令設置和雙重檢查機制等防護措施,呼吁在這一問題廣泛傳播前采取行動,為人類福祉建立更完善的AI安全防護體系。
AI語音深度偽造詐騙攻擊機制揭秘
安全研究機構Group-IB詳細分析了AI語音克隆詐騙的實施流程:攻擊者首先收集目標人物僅需3秒的語音樣本,利用AI語音合成引擎生成偽造語音,配合號碼偽裝技術發起詐騙電話。攻擊可采用預錄腳本或實時語音轉換,冒充親屬、上司等緊急求助。研究顯示此類攻擊易于規模化復制且難以識別,建議采用預設暗號驗證和回撥確認等雙重防護措施。
AGI和AI超智能被盜是一個極具誘惑的選擇
隨著人工智能向通用人工智能(AGI)和人工超級智能(ASI)發展,盜竊風險日益凸顯。競爭對手、政府和惡意行為者都可能覬覦這一技術突破。AGI盜竊難度取決于安全防護措施,包括加密和訪問控制。被盜AGI的運行需要大量計算資源和配套軟件。全球可能需要制定AGI共享條約,防范盜竊行為。值得注意的是,當惡意方首先獲得AGI時,善意方的"盜竊"行為可能成為正當防衛手段。
安全堆棧需要像攻擊者一樣思考,實時評估每個用戶
隨著人工智能的發展,企業面臨著前所未有的安全挑戰。40%以上的企業欺詐現在由AI驅動,能夠模仿真實用戶行為、繞過傳統防御系統,并以壓倒性的速度進行攻擊。2024年,近90%的企業遭受攻擊,半數損失超過1000萬美元。為應對這一威脅,安全團隊需要采用全新的思維方式和技術手段,實時評估每個用戶的風險,構建更加智能和動態的防御體系。
構建企業 AI 的信任與信心基石
企業AI不僅要考慮推理成本和性能,還需確保模型滿足嚴格的安全、隱私和合規要求。建立可信賴的AI系統是關鍵,這意味著企業除了優化成本和性能外,還需優先考慮模型的完整性和安全性。在選擇基礎模型時,應采用全面的評估方法,包括安全性、偏見、合規性等多個方面,而不僅僅是關注單一指標。
AI 爬蟲尚未學會如何友好地與網站相處
SourceHut等網站面臨AI爬蟲過度抓取數據的挑戰,導致服務速度下降。這些爬蟲主要用于訓練大型語言模型,但其行為往往不受約束。網站采取各種措施應對,包括封鎖某些云服務提供商和部署反爬蟲工具。然而,這些措施可能影響正常用戶訪問。AI爬蟲的不當行為已成為一個普遍問題,引發了對網絡資源使用和數據收集方式的討論。
薄弱的網絡防御正在暴露關鍵基礎設施的風險 - 企業如何主動防范精明的攻擊者以保護我們所有人
直接針對關鍵基礎設施的攻擊備受關注,但更大的危險往往在于不那么明顯的地方:維持這些系統運行的企業的網絡安全實踐不佳。根據Cybernews商業數字指數,令人震驚的是,84%的企業在網絡安全實踐中獲得了“D”級或更低的評分,其中43%甚至落入了“F”類別。只有6%的公司因其努力獲得了“A”級。更令人擔憂的是,處于關鍵基礎設施核心的行業——如能源、金融和醫療保健——是最薄弱的環節。
OpenAI 推出 Operator:一款可在網絡上執行任務的 AI 代理
OpenAI 發布了一款名為 Operator 的網絡自動化工具,該工具使用名為計算機使用代理 (CUA) 的新 AI 模型來控制網絡瀏覽器。Operator 通過視覺界面觀察和交互屏幕元素,模仿人類操作方式執行任務。這項技術目前仍處于研究預覽階段,OpenAI 希望通過用戶反饋來改進系統功能。
Commvault 與 Crowdstrike 達成網絡安全防護合作
Commvault 與 CrowdStrike 達成戰略合作,將 Falcon XDR 集成至 Commvault Cloud,以提升客戶的網絡威脅檢測和響應能力。這一合作旨在加強數據保護、提高網絡彈性,使企業能更快速地識別威脅、響應攻擊,并有效降低網絡安全風險。
Microsoft 警告:Exchange 更新拒絕者需要警惕
Microsoft 近期發出警告,對于嚴重過期的 Exchange Server 版本,其 Exchange 應急緩解服務 (EEMS) 可能會停止工作。該服務自 2021 年推出以來,一直在為 Exchange Server 的安全防護發揮重要作用。Microsoft 強調,只有保持系統更新才能確保 EEMS 正常運行,并繼續獲取新的安全緩解措施。
當你的大語言模型再次失控時,看看思科和英偉達正在微笑著敲門
隨著AI技術的廣泛應用,其安全性和可靠性問題日益凸顯。為此,思科和英偉達近期推出了一系列新工具,旨在解決AI模型可能存在的漏洞,如內容不當、話題偏離和越獄等問題,以提升AI系統的安全性和可控性。這些工具將為企業提供更可靠的AI應用保障。
Nvidia 推出面向智能代理 AI 的新型防護微服務
英偉達為其 NeMo Guardrails 軟件工具新增了 AI 防護微服務,旨在提高企業代理型 AI 應用的準確性、安全性和控制力。這些微服務包括內容安全、話題控制和越獄檢測,有助于解決 IT 領導者在采用代理型 AI 技術時的主要顧慮,為 AI 應用部署提供更好的治理和保障。
AI 代理安全衛士:Nvidia 發布新型微服務解決方案
英偉達推出新的推理微服務,旨在幫助企業開發可信、安全的 AI 代理。這些微服務包括主題控制、內容安全和越獄保護,可優化大型語言模型的響應,提高應用性能。此舉將幫助企業更安全、可靠地部署生成式 AI 模型,解決 AI 代理在信任、安全等方面的關鍵問題。
自動化:DevSecOps成功關鍵所在
在 DevOps 協作框架下,安全防護是整個 IT 團隊的共同責任,需要貫穿至整個生命周期的每一個環節。
京公網安備 11010802021500號
