XiaoMi-AI文件搜索系统
World File Search SystemVulnerabilities
llms无法可靠地识别和理由有关安全漏洞的理由(目前?):全面的评估,框架和基准测试
摘要 - LARGE语言模型(LLMS)已被用来用于自动化漏洞维修中,但是台上标记表明它们可以始终如一地识别与安全性相关的错误。因此,我们开发了Secllmholmes,这是一个完全拟定的评估框架,该框架迄今为止对LLMS是否可以可靠地识别和有关安全相关的错误进行了最详细的调查。我们构建了一组228个代码方案,并使用我们的框架分析了八个不同调查维度的八个最有能力的LLM。我们的评估表明LLM提供了非确定性的反应,不正确且不忠的推理,并且在现实世界中的表现不佳。最重要的是,我们的发现在最先进的模型(例如“ Palm2”和“ GPT-4”(GPT-4')中揭示了明显的非舒适性:仅通过更改函数或可变名称,或通过在源代码中添加库函数,这些模型分别在26%和17%的情况下可以产生错误的答案。这些发现表明,在将LLMs用作通用安全助理之前,需要进一步的LLM前进。
RMC- ...rtk信号传导和WT RAS活性是对GDP状态抗性的肿瘤的脆弱性
•Sotorasib(AMG-510)和Adagrasib(MRTX849)在具有致癌性KRAS G12C突变的肺癌患者中表现出临床益处。•初始反应的深度/速率以及单一疗法益处的耐用性都受到电阻发作的限制。•最近在临床前模型和临床样本中发布的数据确定了RAS同工型或其他旁路基因组病变中的其他致癌改变是获得性抗性的潜在机制。但是,与一半以上患者相关的耐药性的特征未通过可用的治疗样品的基因组测序来定义。•在这项研究中,通过多模式基因组,转录组和质谱法基于磷酸蛋白酶学的分析,对几种临床前的sotorasib和Adagrasib抗性模型进行了分析,我们将信号网络的重新透射视为肿瘤逃生的非基因组机制。•我们进一步确定了RAS(ON)多选择性抑制剂及其组合是克服对该机制抗性的治疗方法。
神经网络修复安全漏洞的有效性
安全漏洞维修是一项艰巨的任务,迫切需要自动化。两组技术已显示出希望:(1)已在诸如代码完成诸如诸如代码完成之类的任务的源代码上预先培训的大型代码语言模型(LLMS),以及(2)使用深度学习(DL)模型自动修复软件错误的自动化程序修复(APR)技术。本文是第一个研究和比较LLMS和基于DL的APR模型的Java漏洞的修复功能。的贡献包括我们(1)应用和评估五个LLM(Codex,Codegen,Codet5,Plbart和Incoder),四个微调LLM和四个基于DL的APR技术,对两个现实World Java脆弱性基准(VUL4J和VJBENCE)(vul4j和vjbench),(2)设计代码(2)设计了一定的批准(2),(2)设计了一定范围,(2)设计了一定范围,(2)设计了一定的量码(2),(2)设计了一定范围(2),(2)设计了一定范围(2)设计(2),(2)设计了一定的划分(2),(3脆弱性维修台上VJBENCH及其转换版本VJBENCH-TRANS,以更好地评估LLM和APR技术,以及(4)评估VJBENCH-TRANS转换漏洞的LLMS和APR技术。我们的发现包括(1)现有的LLM和APR模型修复了很少的Java漏洞。Codex修复了10.2(20.4%),最多的漏洞。许多生成的补丁都是不可编译的补丁。(2)一般APR数据的微调改善了LLMS的漏洞固定功能。(3)我们的新VJBENCH表明,LLMS和APR模型无法修复许多常见的弱点(CWE)类型,例如CWE-325缺少加密步骤和CWE-444 HTTP请求走私。(4)Codex仍然修复了8.7转换的漏洞,表现优于所有其他LLMS
审计国防部为减轻 Ivanti Connect Secure 和 Ivanti Policy Sercure 漏洞而采取的行动(项目编号 D2024-D000CU-0099.000)
1978 年《监察长法》,5 U.S.C.§§ 401-424(经修订)授权我们及时接触我们认为必要的人员和材料,以进行监督。您可以从国防部指令 5106.01“国防部监察长 (IG DoD)”和国防部指令 7050.03“国防部监察长办公室访问记录和信息”(2013 年 3 月 22 日,经修订)中获取有关国防部监察长办公室的信息。我们的网站是 www.dodig.mil 。
在机器人技术中部署LLMS/VLM的安全问题突出了风险和漏洞
由于防御机制不足。例如,HAL-036语言模型的透明度和幻觉[14]可能会影响037对场景的可靠理解,从而导致机器人系统中不希望的038动作。另一个风险来源是039是LLMS/VLMS无法解决文本或图像提供的040上下文信息的歧义[35,52]。041由于当前语言模型通常遵循模板-042的提示格式来执行任务[16,29],因此缺乏043在解决自然044语言的变体和同义词时缺乏灵活性也可能导致045个提示的误解[24,43]。此外,在提示046中使用多模式的输入增加了上下文理解的难度和047推理的难度,这可能导致更高的失败风险[8,18]。048在实际应用中,这些风险将对机器人系统的鲁棒性和安全构成重大挑战。050我们的目标是分析语言模型和机器人技术的可信度和可靠性051。在这方面,我们的目标是052通过广泛的实验提高对机器人应用程序054的最先进语言模型的安全问题的认识。我们表明,需要对该主题进行进一步的研究055,以安全地部署基于LLM/VLM的056机器人,以实现现实世界应用程序。我们的主要重点是057
威胁参与者在Ivanti Connect Secure and Policy Secure Gateways中利用多个漏洞
基于CISA研究结果的补充,基于授权组织在事件响应活动和可用行业报告中的观察结果,作者建议,网络辩护者最安全的行动方案是假设参与者可能会在设备上部署rootkit级别的持久性,以使其重新安置和休息性的时间,以供量身定期。例如,正如中国国家赞助的参与者妥协并保持对美国关键基础设施的持续访问所述的那样,长期以来,复杂的参与者可能会在妥协的网络上保持沉默。授权组织强烈敦促所有组织在确定是否继续在企业环境中继续操作这些设备时,考虑了对手访问和坚持的对手的重大风险。
云计算中的突出安全漏洞
摘要 - 本研究研究了云计算中的重大漏洞和威胁,分析其对企业的潜在后果,并提出了效率解决方案,以减轻这些脆弱性。本文讨论了以快速数据扩展和技术进步为特征的时间,云安全的意义增加。本文研究了云计算中普遍的漏洞,包括云错误配置,数据泄漏,共享技术威胁和内部威胁。它强调采用积极而全面的方法来确保云安全性。该报告非常重视共同责任范式,遵守行业法律以及网络安全威胁的动态性质。情况是,研究人员,网络安全专业人员和企业的合作需要主动解决这些困难。该合作伙伴关系旨在为旨在加强其云安全性措施并保护不断发展的数字景观的有价值数据的组织提供详尽的手册。
了解您的威胁格局和脆弱性
波士顿大都会学院的Toyin Victor-Mgbachi波士顿大学摘要 - 保护敏感数据超出了我们居住的链接数字环境中的法规合规性。本文探讨了网络安全的复杂领域,并建议远离传统的以合规性为中心的方法。这项研究强调了理解企业在不断变化的数字生态系统中面临的动态威胁格局和脆弱性是多么重要。该研究促进了一种积极的网络安全方法,承认合规性不足以抵御复杂的攻击者并超越了检查框的心态。这项研究巧妙地谈判了新风险,技术弱点和发展攻击方法的复杂地形。组织可以通过对这些组成部分的彻底认识来加强防御能力,并主动降低风险。该研究的结论使组织能够将其网络安全计划与当前的威胁环境相匹配,从而为弹性提供了有用的建议。这项研究在新兴威胁,技术脆弱性和不断发展的攻击媒介的细微景象中导航。通过促进对这些要素的全面理解,组织可以强化其防御能力并积极降低风险。该研究的结论使组织能够将其网络安全计划与当前威胁状态相匹配,从而在发生网络攻击时为弹性提供了有用的建议。结果强调了需要全面的网络安全程序,并为公司提供了维护重要资产所需的信息。本报告是一个有价值的资源,对于希望超越合规性并建立强大的网络安全姿势的公司,随着数字景观的不断变化而不断发展的威胁。
Quantum Computer Controller中功率侧通道漏洞的探索
对量子计算的迅速增长的兴趣也增加了使这些计算机免受各种物理攻击的重要性。不断增加量子计算机的储蓄数量和改进,这对于这些计算机运行具有高度敏感知识特性的新型算法的能力具有很大的希望。但是,在当今基于云的量子计算机设置中,用户缺乏对计算机的物理控制。物理攻击,例如数据中心恶意内部人士犯下的攻击,可用于提取有关这些计算机上执行的电路的敏感信息。这项工作显示了对量子计算机中基于功率的侧向通道攻击的首次探索和研究。探索攻击可用于恢复有关发送到这些计算机的控制脉冲的信息。通过分析这些对照脉冲,攻击者可以逆转电路的等效栅极级别的描述,并且正在运行的算法或将数据刻录到电路中。这项工作介绍了五种新型攻击,并评估了从基于云的量子计算机获得的控制脉冲信息。这项工作说明了如何和哪些电路可以恢复,然后又如何从量子计算系统上的新策划的侧通道攻击中进行防御。