1.【政策法规】中央网信办、国家发展改革委印发《政务领域人工智能大模型部署应用指引》
点击标题可查看详情链接
贯彻党中央、国务院决策部署,落实《关于深入实施“人工智能+”行动的意见》要求,为安全稳妥有序推进政务领域人工智能大模型部署应用,中央网信办、国家发展改革委近日联合印发《政务领域人工智能大模型部署应用指引》,为各级政务部门提供人工智能大模型部署应用的工作导向和基本参照。《指南》以“全生命周期管理”为核心逻辑,从场景选取、规范部署、运行管理到保障措施,形成闭环式指导框架,确保政务大模型应用“建得好、用得顺、管得严”。
日前,国务院办公厅印发《电子印章管理办法》(以下简称《办法》),对电子印章管理和应用活动进行规范。《办法》适用于行政机关、企业事业单位、社会组织以及其他依法成立的组织。《办法》明确,电子印章是基于密码技术和相关数字技术表征印章的特定格式数据,用于实现电子文件的可靠电子签名,符合规定的电子印章与实物印章具有同等法律效力。《办法》规定,电子印章管理包括申请、制作、备案、使用、注销等环节,加强全过程信息保护和相关信息系统安全,推动电子印章规范管理。
近日,俄语勒索软件组织Qilin宣称,对日本饮料巨头朝日公司(Asahi)遭遇的网络攻击负责。此次事件导致公司运营中断数日,被迫暂停生产,并推迟了全国范围内的新产品发布。朝日公司是日本最大饮料生产商之一,知名超爽啤酒(Super Dry)的制造商。该组织声称已窃取朝日公司的财务记录、员工信息、合同文件及研发预测,并在其泄露网站上公布了这些文件的截图。目前暂时无法核实这些数据的真实性,而朝日公司目前尚未对此发表声明,也未确认是否曾与攻击者接触。
近日,自称"Crimson Collective"的网络犯罪团伙宣称成功入侵红帽(Red Hat)公司的私有GitHub代码库。该组织声称窃取了570GB数据,涉及28,000个项目及约800份包含敏感网络数据的客户参与报告(Customer Engagement Reports,CERs)。这类报告通常包含基础设施详情、配置信息和访问令牌等敏感内容,攻击者可利用这些数据针对客户网络发起攻击。
近期,与Lapsus$、Scattered Spider、ShinyHunters团伙有关的“Trinity of Chaos”勒索软件组织,通过Salesforce漏洞攻击了39家企业,并在TOR网络上搭建了数据泄露站(DLS)。该组织疑似与上述三大团伙存在关联,其搭建的泄露站包含39家受影响企业的信息,涵盖墨西哥航空、法国航空、谷歌、思科、斯特兰蒂斯集团、澳洲航空等——这些企业均因针对Salesforce漏洞实例及其他漏洞的恶意网络攻击而受损。该团伙计划持续开展攻击,且已转向传统勒索软件的运作模式。
知名通讯平台Discord近日确认发生一起安全事件,涉及某外部客服公司系统遭入侵,导致少量用户的个人信息外泄。Discord以其数百万游戏和社区服务器而广为人知。Discord发布官方声明称,攻击者成功入侵其第三方客服供应商(疑似Zendesk)系统,非法访问了存储敏感客户数据的客服工单队列。该公司强调其核心系统未遭直接入侵。调查显示,攻击者主要意图是向Discord勒索钱财。受影响数据仅涉及近期联系过Discord客服或信任与安全团队的用户,包括以下高度敏感信息:姓名、Discord用户名、电子邮箱及其他联系方式用户与客服人员的实际对话内容部分账单信息。Discord已通过官方邮箱(noreply@discord.com)通知受影响用户。
无论是为提升内部生产力,还是打造面向客户的创新服务,AI(尤其是生成式AI)都能为企业带来革命性变革。然而,若缺乏安全保障,AI部署引发的问题将远超其带来的价值。没有完善的防护措施,AI非但无法强化防御,反而可能引入漏洞,为网络犯罪分子打开方便之门。该文从AI应用增速远超安全准备进度、不安全的AI部署为何危险、需从源头构建AI安全防线、托管服务提供商(MSP)与企业的角色、AI部署的未来与安全紧密相连等方面阐述AI部署热潮下潜在的网络安全风险。
研究显示,尽管AI编程助手能够减少一些低级语法错误,但它们正在给企业带来更严重的安全隐患,包括不安全的编码模式、敏感信息泄露以及云配置错误。该文从“提升效率的代价:更深层的漏洞”、“‘影子工程师’和‘大而全提交’的挑战”、“冗余、复杂与语言差异”、“数据与分歧”、“AI不能替代责任”、“风险缓解建议等角度”等角度阐述了AI开发助手潜藏的安全风险以及使用建议。
