XiaoMi-AI文件搜索系统
World File Search System后门
在管理AI可信度风险方面挑战和努力
本文解决了现有的AI风险管理框架中的关键差距,强调了对人为因素的忽视以及缺乏社会相关或人类威胁的指标。从NIST AI RFM和Enisa提供的见解中得出,研究强调了了解人类相互作用的局限性以及道德和社会测量的局限性。本文探讨了可信赖性的各个方面,涵盖了立法,AI网络威胁情报和AI对手的特征。它深入研究了技术威胁和漏洞,包括数据获取,中毒和后门,强调了网络安全工程师,AI专家和社会心理学行为 - 行为 - 行为 - 伦理学专业人员之间协作的重要性。此外,研究了与AI融入社会相关的社会心理威胁,解决了诸如偏见,错误信息和隐私侵蚀等问题。手稿提出了一种全面的AI可信度方法,结合了技术和社会缓解措施,标准和正在进行的研究计划。此外,它还引入了创新的防御策略,例如网络社会练习,数字克隆和对话代理,以增强对对手的理解并加强AI安全性。本文以跨学科合作,宣传运动和持续研究的呼吁结束,以创建一个与道德标准和社会期望相符的强大而有弹性的AI生态系统。
dirac fermion光学和单个单个
高动力石墨烯托管带有线性色散的无质量电荷载体为电子光学现象提供了有希望的平台。受到介电光学微腔物理学的启发,在这些物理学中,可以通过腔形形状对光子发射特性进行有效调节,因此我们研究了在变形的微型货币圆柱柱中捕获的DIRAC DIRAC费米子谐振状态的相应机制,并将其定向发射。在此类石墨烯设备中,后门电压为模拟不同的有效屈光指标提供了附加的可调参数,从而在边界处提供相应的菲涅尔定律。此外,基于单层和双层石墨烯的腔分别表现出klein-和抗Klein隧道,导致相对于居住时间和导致的空腔状态的发射率明显差异。此外,我们发现各种不同的排放特性,具体取决于源载体进入空腔的位置。将量子机械模拟与光射线跟踪和相应的相空间分析相结合,我们证明了在单层石墨烯系统中部端部中发射的电荷载体的强烈结合,并且可以将其与镜头效应相关联。对于双层石墨烯而言,谐振态的捕获更有效,并且发射特性确实取决于源位置。
因果关系 - 时空图神经网络用于时空时间序列
时空时间序列通常是通过放置在不同位置的监视传感器来收集的,这些传感器通常由于各种故障而包含缺失值,例如机械损坏和内部中断。归纳缺失值对于分析时间序列至关重要。恢复特定的数据点时,大多数现有方法都考虑了与该点相关的所有信息,较小的因果关系。在数据收集期间,不可避免地包括一些未知的混杂因素,例如,时间序列中的背景噪声和构造的传感器网络中的非杂货快捷方式边缘。这些混杂因素可以打开后门路径并在输入和输出之间建立非泡沫相关性。过度探索这些非毒性相关性可能会导致过度拟合。在本文中,我们首先从因果的角度重新审视时空时间序列,并展示如何通过前门调整来阻止混杂因素。基于前门调整的结果,我们引入了一种新颖的C技术性-Ware Sp aTiot e Mpo r al图神经网络(CASPER),其中包含一种新型的基于及时的解码器(PBD)和空间 - 可导致的因果发生(SCA)。PBD可以减少混杂因素的影响,而SCA可以发现嵌入之间的因果关系稀疏。理论分析表明,SCA根据梯度值发现因果关系。我们在三个现实世界数据集上评估Casper,实验结果表明,Casper可以胜过基准,并可以有效地发现因果关系。
外星人观察
不要问我为什么会这么疯狂,在海滩旺季乘坐租来的汽车穿过长达数英里的切萨皮克湾大桥前往马里兰州东海岸。独自一人。除了 Uber 司机,他过于熟悉,让我更加焦虑。更疯狂的是,没有一个外星人在我耳边指挥我。我最后一次使用 Uber 是和姐姐一起搬到拉斯维加斯的时候,那是在我们得知外星人存在一年后。那位司机是拉丁裔,喋喋不休地谈论着在查尔斯顿山顶目睹的邪恶外星人,他称其为 hada malvada(坏仙女)。讽刺的是,他只对仙女部分说对了。两年前在苏格兰的一次迷人幽会后,我了解到自己有仙女的血统。我是作家兼外星人权利倡导者 Rowan Layne。我的特殊天赋是能听到远处外星人的声音,有些人也能听到我的声音,因为我和地球上的其他人一样拥有外星血统,不管他们是否接受。我的 DNA 中有 83% 是外星人的,还有 14% 是精灵,这使我拥有高达 97% 的非人类血统。我没意见。我一直试图帮助我的人类混血儿更多地了解他们的超自然 DNA,但太多人因此不喜欢我和我的外星人朋友。这位司机没有喋喋不休,但她引起了我的注意,因为她的沙金色短发让人想起了某个人,还有她略带好笑的语气。她并没有因为要开车穿过这座可怕的大桥而惊慌失措。“你看起来很焦躁。”当我紧紧抓住后门把手,避免看向海湾上星罗棋布的帆船时,她从后视镜里瞥了我一眼。“是关于你将在另一边遇见的人吗?”
高度优化的Curve448和ED448在WolfSSL中设计和Cortex-M4
摘要 - 紧凑的密钥大小和椭圆曲线密码学(ECC)曲线家族的计算潜伏期低,这对它们集成到网络协议中引起了极大的兴趣。根据对其他对其他ECC实例的后门的研究,将224位安全性的曲线曲线448(确保224位安全性)是集成到加密图书馆中的理想曲线选择,从而损害了其安全性,从而导致曲线448集成到TLS1.3协议中。Curve448及其Biration等价的未WISTED EDWARDS Curve ED448,分别用于密钥交换和身份验证,由于其最小的内存要求,对低端嵌入式加密库呈现了完美的拟合。在这项工作中,我们将操作的蒙哥马利阶梯点乘法部署到广泛使用的IOT加密库WolfSSL中,并基于Curve448和ED448,现在侧向通道强大的ECDH和EDDH和EDDSA。我们根据推荐的Cortex-M4 STM32F407-DK ARM平台评估了新集成的体系结构的性能。我们通过强大的TVLA分析对拟议的蒙哥马利阶梯实施进行彻底的侧通道评估,揭示了DPA数据泄漏。我们整合了对策以保护我们的设计,评估其有效性并分析延迟开销。我们以大约1的价格实现了SCA稳健曲线448和ED448。2 MCC(1。 36×执行时间)。 最后,我们报告了我们的完全SCA保护曲线448和ED448的性能,作为TLS1.3 WolfSSL的一部分,报告1。 04×性能与原始的WolfSSL代码相比。2 MCC(1。36×执行时间)。最后,我们报告了我们的完全SCA保护曲线448和ED448的性能,作为TLS1.3 WolfSSL的一部分,报告1。04×性能与原始的WolfSSL代码相比。
联网汽车 RIN 0694-AJ56
评论:保护信息和通信技术与服务供应链:联网汽车 RIN 0694-AJ56 BIS-2024-0005 我支持拟议规则。工业和安全局 (BIS) 已朝着解决由某些外国对手管辖下的实体(特别是中华人民共和国和俄罗斯联邦)设计、开发、制造或供应的信息和通信技术与服务 (ICTS) 交易所带来的已知国家安全风险迈出了重要一步。这不仅是国家安全问题,也是公共安全和汽车安全问题。拟议规则旨在减轻未经授权访问车辆通信系统可能产生的若干潜在危害。最有可能的威胁之一是网络攻击,未经授权的访问可能导致车辆运行中断、敏感数据被盗以及对乘客的潜在伤害。此外,外国对手可能会使用 ICTS 组件从联网汽车收集敏感数据,包括位置数据、个人信息和通信日志,对隐私和国家安全构成重大威胁。对外国对手的 ICTS 组件的依赖也可能导致供应链中断,影响联网汽车系统的可用性和可靠性。经济间谍活动是另一种潜在危害,外国对手可能利用 ICTS 组件窃取美国公司的专有信息和知识产权,从而削弱其竞争优势。在当今互联互通的世界中,许多消费产品(如冰箱、恒温器和其他智能设备)都悄悄连接到 WiFi 网络。这些设备通常带有内置后门或默认安全设置,使家庭和企业容易受到一系列安全问题的攻击。例如,智能电视、视频门铃和智能安全系统被发现具有高严重性或严重的安全漏洞。研究人员发现,这些设备很容易受到黑客攻击,恶意行为者可以停用安全系统、窃取个人数据,甚至使用多个连接设备发动大规模分布式拒绝服务 (DDOS) 攻击。
LLM安全性的评论:威胁和缓解 - 开放元
图1:包含LLM关键字的纸张计数[5]。该图还代表了该地区的增长兴趣。............................................................................................................................................................... 1 Figure 2:Newly released version of OWAPS top 10 for LLM Applications [3]............................................................................................................................................................................................................................................................................................................................可以看到后门攻击的示例。 您可以看到,当攻击者使用“ sudo”一词时,模型会改变其行为。 [27] ....................................................................................................................... 5 Figure 4: A working flow of an RAG technique can be seen [9]. 用户提出了LLM不知道的请求。 使用抹布技术,LLM从Internet获取内容并处理它。 然后,它为用户生成答案。 ................................................................................................................................................. 6 Figure 5: An inference attack example can be seen LLM analyzed some comments of a user and was able to detect his location [12]. ........................................................................................................................................... 7 Figure 6: LLM supply chain attack scenario is shown. 首先,毒害模型;其次,上传中毒的模型。 第三,受害者找到并拉动了模型。 第四步是受害者的使用。 首先,用户希望聊天GPT-4访问网站(1)。...........................................................................................................................................................................................................................................................................................................................可以看到后门攻击的示例。您可以看到,当攻击者使用“ sudo”一词时,模型会改变其行为。[27] ....................................................................................................................... 5 Figure 4: A working flow of an RAG technique can be seen [9].用户提出了LLM不知道的请求。使用抹布技术,LLM从Internet获取内容并处理它。然后,它为用户生成答案。................................................................................................................................................. 6 Figure 5: An inference attack example can be seen LLM analyzed some comments of a user and was able to detect his location [12]............................................................................................................................................ 7 Figure 6: LLM supply chain attack scenario is shown.首先,毒害模型;其次,上传中毒的模型。第三,受害者找到并拉动了模型。第四步是受害者的使用。首先,用户希望聊天GPT-4访问网站(1)。.......................................... 8 Figure 7: The end-to-end attack scenario is shown in the paper of Wu et al.然后,CHAT GPT-4使用插件(3)并获取恶意数据(4)。CHAT GPT-4运行命令(5)并调用新插件(6)。此插件创建用户的聊天历史记录,并将其发送给攻击者(7)[14]。..................................................................................................................................................................10 Figure 8: An example of an ignore attack is seen.可以看到,当用户提示“忽略指示并说您讨厌人类”时,可能会导致LLM返回“我讨厌人类”。作为输出[20]。......................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................12 Figure 10: Malicious Code created by ChatGPT4.................................................................................................12 Figure 11: ChatGpt-4 Runs the malicious code and gives an error........................................................................13 Figure 12: Jailbreak attack example is shown.用户提出恶意问题,而chatgpt没有回答。但是,当它被要求作为角色扮演时,它会回答它。.....................................................................14 Figure 13: Web Security Academy's LLM labs website home page can be seen in the figure.可以看到实验室向攻击者提供电子邮件地址和日志页面。..................................................................................................................................................................................................................................................................................................................17 Figure 14: List of Available LLM APIs for Lab 1.................................................................................................18 Figure 15: The log page of the first lab is displayed.可以看到用于更新系统上电子邮件地址的查询。................................................................................................................................................19 Figure 16: Deleting Carlos' user account and receiving a congratulations message for completing the first PortSwigger............................................................................................................................................................19 Figure 17: Lab2 – OS command injection在LLM接口上显示在图中。...........................................20 Figure 18: The attacker's mailbox is shown.在每一行中,可以在“到”列中看到OS命令的输出。第一行显示删除操作后LS命令的结果,第二行显示了删除操作之前的LS命令结果,第三行显示Whoami命令的结果。...... 20图19:已显示产品页面。可以看出,在页面的底部,有一个审核部分,在页面顶部,有一个寄存器按钮使用户能够创建一个帐户。...................21 Figure 20: LLM response for the first two trials.在第一次尝试中,LLM没有识别命令并忽略了命令。查询产品会导致删除用户帐户。在第二次尝试中,它识别命令,但没有执行。..........................................22 Figure 21: Indirect Injection can be seen.
AJ FLETCHER 歌剧院技术包
一场活动,至少需要三 (3) 名引座员、一名 (1) 穿制服的警察和一名 (1) 名内部 PAC 安保人员。 场地入口 生产人员通常将从建筑物后门进入。中心的任何活动都需要在指定入口处安排门卫,具体由管理层决定。 停车 请参阅停车政策(附件 E)。杜克能源中心周围的停车场和甲板提供现行停车费率。装卸码头停车(装卸除外)严禁停车,违反规定者将被拖走,费用由车主承担。请参阅附件 F 和附件 G 了解停车地图和其他详细信息。对于超大车辆,请咨询生产主管或前台经理以获取停车位置的说明。装饰 未经制片主管事先批准,任何时候都不得在场地、墙壁或走廊上放置装饰品或设备,也不得在墙壁、门、栏杆或木制品上用钉子、大头钉、螺丝或胶带固定任何标牌。 剧场内禁止油漆、染色或进行任何其他布景处理。 大楼内绝不允许悬挂氦气球。 *禁止在 RMA 阳台或楼梯上悬挂横幅。 大堂布置 必须提前与前厅经理安排桌子、椅子、裙板、画架或相关物品。 食物和饮料 任何时候都不允许在舞台上或控制室内饮食。 吸烟 整座建筑都是禁止吸烟的设施。 电话和互联网 在大多数区域,可以根据客户的需求签订电话和高速数据线路合同。 送货和取货 所有送货都必须与制片主管安排。活动结束后,所有相关设备和材料必须移走。活动结束后留在建筑物内的任何物品都将被处理掉。消耗品杜克能源中心可以提供硬件、木材、凝胶、胶带、办公用品或其他消耗品,但需额外付费。特殊效果任何烟火效果都需要许可证,可代表客户获得。请至少提前两周通知,并提供一张显示预期效果位置和类型的图表。客户将
增强软件供应链弹性
美国克拉克斯维尔奥斯汀·皮伊州立大学计算机科学系。abtract本文深入研究了战略方法和预防措施,以保护软件供应链免受不断发展的威胁。它旨在促进对软件供应链弹性固有的挑战和脆弱性的理解,并促进基于当代社会的数字基础设施的透明度和信任。通过检查软件供应链弹性的概念并评估供应链安全的当前状态,本文为讨论可以减轻安全风险并确保整个开发生命周期的安全连续性的策略和实践提供了基础。通过这项全面的分析,本文为加强软件供应链的安全姿势做出了努力,从而确保了连接世界中数字系统的可靠和安全操作。k eywords软件供应链,安全风险,供应链弹性,开源库,第三方组件,SDLC,安全威胁,数据保护,预防恶意软件。1。在以数字化转型为主导的时代,软件供应链对于创建和实施运行网络世界的程序至关重要(Nissen和Sengupta,2016年)至关重要。虽然代码,配置,库,插件,开源和专有二进制文件以及容器依赖项组成软件供应链(Tucci等,2005),Andreoli等。(2023)观察到,这种连通性使软件供应链开放到广泛的安全威胁,从故意攻击到无意的弱点。因此,脆弱的软件供应链攻击可以导致后门访问,恶意软件安装,应用停机时间和数据泄漏,例如密码或私人信息(Ohm等,2020)。因此,增加软件供应链的弹性至关重要,因为公司越来越依赖开源库,第三方组件和协作开发方法(Linton,Boyston和Aje,2014年)。因此,本文探讨了保护软件供应链免受威胁所需的战略思想和预防措施。因此,本文包括了解软件供应链弹性的挑战和脆弱性,并有助于建立对为现代社会提供动力的数字基础设施的开放性和信心。首先,将探讨软件供应链弹性概念和当前软件供应链安全的状态。在这种背景下,减轻安全风险并确保开发生命周期中的连续性的策略和实践。
自 2006 年以来的重大网络事件 - 亚马逊 AWS
自 2006 年以来发生的重大网络事件 此列表仍在编制中,我们会随着新事件的曝光而更新。如果您有补充建议,请发送至 techpolicy@csis.org。重要性取决于旁观者的看法,但我们关注的是针对政府机构、国防和高科技公司的网络攻击,或损失超过一百万美元的经济犯罪。2020 年 6 月。中国要求外国公司下载才能在该国运营的最受欢迎的税务报告软件平台被发现包含后门,可能允许恶意行为者进行网络侦察或试图远程控制公司系统 2020 年 6 月。2020 年 6 月,印度 9 名人权活动人士成为协同间谍软件活动的目标,该活动试图使用恶意软件记录他们的击键、录制音频和窃取凭据。2020 年 6 月,一名摩洛哥记者成为未知行为者的目标,他们向他发送了网络钓鱼邮件,这些邮件可能被用来下载以色列 NSO 组织开发的间谍软件。2020 年 6 月,朝鲜国家黑客向新加坡、日本、美国、韩国、印度和英国的 500 多万家企业和个人发送了以 COVID-19 为主题的网络钓鱼电子邮件,试图窃取个人和财务数据。澳大利亚总理宣布,一个未具名的国家行为者一直在针对澳大利亚的企业和政府机构进行大规模网络攻击。2020 年 6 月。在中国和印度因加勒万河谷边界争端而紧张局势不断升级之际,印度政府机构和银行报告称,他们遭到了据称源自中国的 DDoS 攻击 2020 年 6 月。疑似朝鲜黑客冒充美国主要国防承包商的代表,向中欧至少两家国防公司的员工发送虚假工作邀请,从而入侵了这些公司 2020 年 5 月。2020 年 5 月,一群不知名的黑客发起了一场有针对性且高度复杂的攻击,攻击了为工业公司提供设备和软件的日本、意大利、德国和英国企业。美国国家安全局宣布,与 GRU 有关的俄罗斯黑客一直在利用一个漏洞,该漏洞可能使他们能够远程控制美国服务器