全球动态

1. 美国作家协会起诉 OpenAI 版权侵权案解读

美国作家协会（Authors Guild）对人工智能公司 OpenAI 提起了版权侵权的集体诉讼。本文对原告递交的起诉状中的重点内容进行总结及解读。【阅读原文】

2. 研究人员发现新型攻击方式，可通过图像和音频操纵大模型

随着大语言模型（LLM）开始整合多模态功能，攻击者可能会在图像和音频中隐藏恶意指令，利用这些指令操纵AI聊天机器人（例如ChatGPT）背后的 LLM 对用户提示的响应。在 2023 年欧洲黑帽大会上表示，研究人员指出，这样的攻击方式将很快称为现实。【外刊-阅读原文】

3. Windows 10 将向个人用户提供额外的三年付费支持

Windows 10 将于 2025 年 10 月 14 日终止支持，此后微软将停止提供安全更新。Windows 10 仍然是目前最流行的操作系统，微软也为那些想要继续使用该操作系统的用户提供了额外三年的付费安全更新支持 Extended Security Updates(ESU)。【阅读原文】

4. 黑客利用 Adob​​e ColdFusion 漏洞入侵美国政府机构

美国网络安全和基础设施安全局 (CISA)发出警告称，黑客正积极利用 Adob​​e ColdFusion 中的一个关键漏洞（CVE-2023-26360）来获取对政府服务器的初始访问权限。【外刊-阅读原文】

5. 英国 Sellafield 核设施曾遭黑客组织入侵

卫报援引消息来源报道，英国 Sellafield 核设施曾遭与中俄有关联的黑客组织入侵。最早的入侵时间未知，英国当局是在 2015 年探测到 Sellafield 的计算机网络被植入了恶意程序。【阅读原文】

6. 知名机构 HTC Global 遭勒索攻击，泄露大量敏感信息

IT 服务和商业咨询公司 HTC Global services 在 ALPPV 勒索软件团伙泄露被盗数据截图后，才证实了其遭到网络攻击。HTC Global Services 是一家管理服务提供商，主要为医疗保健、汽车、制造和金融行业提供技术和业务服务。【外刊-阅读原文】

安全事件

1. AI 平台 Hugging Face 现 API 令牌漏洞，黑客可获取微软、谷歌等模型库权限

安全公司 Lasso Security 日前发现 AI 模型平台 Hugging Face 上存在 API 令牌漏洞，黑客可获取微软、谷歌、Meta 等公司的令牌，并能够访问模型库，污染训练数据或窃取、修改 AI 模型。【阅读原文】

2. "Sierra:21 "漏洞影响关键基础设施路由器

一组新发现的 21 个漏洞会影响 Sierra OT/IoT 路由器，并通过远程代码执行、未授权访问、跨站脚本、身份验证绕过和拒绝服务攻击威胁关键基础设施。【外刊-阅读原文】

3. 邬江兴院士：应把网络安全作为数字产品的核心指标

中国工程院院士邬江兴在 2023 世界 5G 大会上接受采访时指出：“网络安全问题是数字社会最头疼的问题，不能只在用户侧做工作，应把网络安全的责任向数字产品制造侧转移，让我们生产出来的产品具有网络安全能力。【阅读原文】

4. 多个 NFT 程序集因开源程序库中的漏洞而面临风险

Web3 领域常见的一个开源库中的漏洞影响了预构建智能合约的安全性，包括 Coinbase 在内的多个 NFT 产品都受到了影响。【外刊-阅读原文】

5. 我国某企业美国分公司于去年遭勒索攻击

据外媒披露，我国杭州某跨国企业美国分公司于去年遭遇勒索软件攻击，为了避免机密文件公布于众，该企业随后在去年 9 月份向勒索组织支付了 100 万美元赎金。【阅读原文】

6. Atlassian 发布关键软件修复程序，以防止远程代码执行

Atlassian 发布了软件修复程序，以解决其软件中的四个关键漏洞，这些漏洞一旦被成功利用，可能会导致远程代码执行。【外刊-阅读原文】

优质文章

1. 记一次某家园社区管理后台渗透测试案例

在某次众测项目中，遇到了一个比较有意思的系统，该系统是某大型家园社区应用程序，包含有WEB端和小程序，本文仅分享在挖掘漏洞过程中的遇到一些比较有意思的漏洞点，希望能够给安全行业初学者提供一下挖掘漏洞的思路。【阅读原文】

2. 关于 LinkWeChat 的一次代码审计记录

文章主要介绍了关于 LinkWeChat 的一次代码审计记录，包含提权、SSRF、认证伪造、文件下载等漏洞。【阅读原文】

3. 安全培训 | 企业安全开发生命周期（SDL）实践

信息安全意识培训的背景主要是为了提高所有员工对网络安全的认识和防范能力，并加强企业的网络安全防护。在数字化进程日益加速的现代社会，信息安全问题已经成为企业和个人都不能忽视的重大挑战。因此，通过对员工进行信息安全意识培训，使他们能够了解可能面临的各种信息安全威胁和风险，建立信息安全的敏感意识和正确认识，以及在日常工作中养成良好的安全习惯，遵守各项安全策略和制度，成为信息安全防线的重要一环。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。