合规速递
01 OWASP发布生成式AI安全治理清单
原文: https://genai.owasp.org/resource/llm-applications-cybersecurity-and-governance-checklist-english/
OWASP发布《LLM AI网络安全与治理清单》,帮助企业应对生成式AI的对抗性风险、威胁建模、资产清点等关键挑战,强调治理框架、法律合规及持续测试,确保安全部署大语言模型。
02 企业百强移动应用安全审计:43%存在高危漏洞可致敏感数据泄露
原文: https://cybersecuritynews.com/43-top-100-enterprise-used-mobile-apps-opens-door-for-hackers/#google_vignette
最新审计显示43%企业常用移动应用存在高危漏洞,涉及数据存储、身份验证和网络通信,易致敏感数据泄露。多数应用以明文或弱加密存储凭证,28%未正确验证SSL证书,威胁核心业务安全。专家呼吁企业全面评估应用安全风险。
热点资讯
01 英伟达漏洞补丁不完整致攻击者可窃取AI模型数据
原文: https://cybersecuritynews.com/nvidias-incomplete-patch-for-critical-flaw-lets-attackers-steal-ai-model-data/
英伟达容器工具包CVE-2024-0132高危漏洞补丁修复不彻底,仍可突破容器隔离窃取AI模型或控制主机;Linux版Docker存在拒绝服务漏洞,可耗尽资源中断服务。相关组织需立即限制API权限、禁用非必要功能并扫描镜像,防范数据泄露与业务瘫痪风险。
02 AI幻觉催生新型网络威胁:Slopsquatting攻击
原文: https://www.csoonline.com/article/3961304/ai-hallucinations-lead-to-new-cyber-threat-slopsquatting.html
生成式AI推荐虚假依赖包引发新型供应链攻击Slopsquatting,研究显示20%推荐包为虚假,开源模型幻觉率达21.7%。攻击者利用AI命名规律劫持,虚假包名具持久性和可信性。专家建议安装扫描工具筛查恶意包,批评仓促测试加剧AI风险。
03 Meta将恢复使用欧洲用户公开内容训练AI模型
原文: https://www.bleepingcomputer.com/news/technology/meta-to-resume-ai-training-on-content-shared-by-europeans/
Meta将使用欧洲成年用户在Facebook和Instagram的公开内容训练AI模型,不包括私密对话及未成年人数据。用户可通过表单反对数据使用。欧盟监管机构批准该计划,认为其符合隐私法规。Meta强调此举将提升AI对欧洲文化的理解,同时尊重用户选择权。
04 美国国土安全部终止资助,CVE漏洞数据库项目面临停摆危机
原文: https://www.csoonline.com/article/3963190/cve-program-faces-swift-end-after-dhs-fails-to-renew-contract-leaving-security-flaw-tracking-in-limbo.html
美国国土安全部终止与MITRE的CVE漏洞数据库合同,25年网络安全基石面临崩塌。业界痛斥此举将破坏全球漏洞追踪体系,威胁防御生态。尽管CISA承诺缓解影响,私营领域或需紧急填补空缺,但过渡挑战巨大。政治预算削减或为主因,专家警告将引发连锁反应。
安全事件
01 Jira 服务中断:全球用户仪表板访问受阻
原文: https://cybersecuritynews.com/jira-down/
Atlassian旗下Jira平台全球性服务中断,三大核心模块仪表板无法加载,影响企业关键工作流程。故障始于4月16日,经12小时排查定位问题但未完全修复。作为敏捷管理和IT服务核心工具,中断导致冲刺计划、缺陷跟踪受阻,凸显云平台运维复杂性。Atlassian正紧急修复,建议用户关注状态更新。
02 计划生育协会合作实验室数据泄露事件波及160万人
原文: https://hackread.com/lab-breach-tied-planned-parenthood-compromises-records/
美国LSC实验室遭黑客入侵,约160万关联计划生育协会者的敏感信息泄露,含身份、财务及医疗数据。LSC已启动信用监控和防护服务,专家建议警惕钓鱼诈骗。
沪公安网备案 33300222000012098号
