XiaoMi-AI文件搜索系统
World File Search System漏洞
2023 年最常被利用的漏洞
本通报提供了编写机构收集和汇编的详细信息,内容涉及 2023 年恶意网络行为者经常利用的常见漏洞和暴露 (CVE) 及其相关的常见弱点枚举 (CWE)。与 2022 年相比,2023 年恶意网络行为者利用了更多零日漏洞来破坏企业网络,从而使他们能够针对高优先级目标开展行动。
网络安全事件和漏洞响应手册
本文档介绍了两个剧本:一个用于事件响应,一个用于漏洞响应。这些剧本为 FCEB 机构提供了一套标准程序,用于识别、协调、补救、恢复和跟踪影响 FCEB 系统、数据和网络的事件和漏洞的成功缓解措施。此外,这些剧本的未来迭代可能对 FCEB 以外的组织有用,以标准化事件响应实践。事实证明,与所有联邦政府组织合作是解决漏洞和事件的有效模式。基于从以前的事件中吸取的教训并结合行业最佳实践,CISA 希望这些剧本能够通过标准化共享实践来发展联邦政府的网络安全响应实践,这些共享实践将最优秀的人才和流程聚集在一起,推动协调行动。
了解定位、导航和计时的漏洞
2020 年 2 月 12 日,时任总统唐纳德·J·特朗普发布了第 13905 号行政命令 (E.O.),通过负责任地使用定位、导航和授时 (PNT) 服务增强国家复原力。1要求识别由于未缓解的 PNT 漏洞而对关键基础设施造成的重大风险。作为回应,CISA 将与业界合作,鼓励和促进采用 E.O 中定义的“负责任地使用 PNT”概念。此外,CISA 将与行业风险管理机构 (SRMA) 协调制定 PNT 概况,这将为评估和缓解 PNT 相关风险提供通用框架。未来与政府签订的依赖 PNT 的服务合同将需要 PNT 风险缓解计划。
航空航天和国防工业质量漏洞分析...
近年来,航空航天和国防工业经历了供应链动态的重大转变。这些转变使得复杂技术要求的准确和高效流动变得尤为重要。航空航天和国防工业性质的这些重大转变带来了许多后果。其中最突出的影响是质量漏洞的数量和意识的增加。从总体上讲,质量漏洞只不过是无法管理细节。毫不奇怪,许多质量漏洞的根本原因在于技术要求的流程和解释。这些根本原因通常表现为原始要求含糊不清、未能充分评估需求解释的结果或只是忽略了要求。
有关减轻风险和漏洞的方法的建议...
解决欧盟食品供应链中的风险和脆弱性需要一种全面,横向和协作的方法。以下概述的建议以广泛的政府和整个社会方式向政策制定者和利益相关者介绍,以便更好地预测和减轻食品供应链的风险和脆弱性。他们强调了适应性和协作的重要性,并加深了欧盟食品供应链中风险和脆弱性的了解和增强的监测。因此,EFSCM回忆起食品部门与所有其他经济部门之间的互连,以确保欧洲粮食安全,并鼓励利益相关者考虑针对其自己的战略计划,危机准备和管理的建议建议。
零工经济工作:注意保护漏洞
从零工工人的角度来看,灾难发生时的保护缺口表现为所需资源(例如,用于支付意外的额外开支或损失的收入)与可用资源(例如,储蓄和保险)之间的差额。人们普遍认为,患病和残疾时的收入补偿是平台工人面临的最严重的保护缺口。由于收入相对较低且不稳定,他们还面临着(意外的)医疗费用带来的财务压力。这一问题在医疗保险与受薪工作挂钩的国家尤为严重。低收入和不稳定的收入水平也使零工工人难以积累退休储蓄,而且由于许多国家的养老金制度都是基于正规的、正常的就业结构,因此无法充分反映越来越多不属于这些安排的工人。最后,许多零工工人的资产没有得到充分保护,无论是他们的“生产资料”,即他们的工作设备,还是一般和专业责任风险。
网络安全事件和漏洞响应手册
本文档介绍了两个剧本:一个用于事件响应,一个用于漏洞响应。这些剧本为 FCEB 机构提供了一套标准程序,用于识别、协调、补救、恢复和跟踪影响 FCEB 系统、数据和网络的事件和漏洞的成功缓解措施。此外,这些剧本的未来版本可能对 FCEB 以外的组织有用,以标准化事件响应实践。事实证明,与所有联邦政府组织合作是解决漏洞和事件的有效模式。基于从以前的事件中吸取的教训并结合行业最佳实践,CISA 希望这些剧本能够通过标准化共享实践来发展联邦政府的网络安全响应实践,这些共享实践将最优秀的人才和流程聚集在一起,推动协调行动。
净零,自然和供应链漏洞
地缘政治紧张局势上升,正在破坏全球供应链的可靠性,包括可再生能源(技术)和关键矿物质的供应链。由于气候变化和生态退化引起的环境冲击是使供应链中断的加剧,从而危及经济产出和稳定性。随着环境冲击的严重性和频率加剧并给全球供应链带来了更大的压力,他们将越来越多地产生大笔不稳定性,例如经济损失,价格波动,财政和财务困境。此外,向零经济净的过渡本身需要进行供应链和经济活动的重大变化。新兴市场和发展中的经济体不仅面临着气候变化和自然损失的最直接和极端影响,而且还面临着与净零过渡相关的最急剧的社会和环境权衡。
人工智能和机器学习应用程序和数据中的漏洞
免责声明 本信息是根据美国政府机构资助的工作编写的。美国政府及其任何机构或其任何雇员均不对所披露的任何信息、设备、产品或流程的准确性、完整性或实用性做任何明示或暗示的保证,也不承担任何法律责任或义务,也不表示其使用不会侵犯私有权利。本文以商品名、商标、制造商或其他方式提及任何特定商业产品、流程或服务并不一定构成或暗示美国政府或其任何机构对其的认可、推荐或支持。本文表达的作者的观点和意见不一定代表或反映美国政府或其任何机构的观点和意见。
欧洲 AI 法案存在漏洞——研究人员可以……
帮助制定有望成为世界上最全面的人工智能法律法规之一。研究人员需要抓住这个机会,而且要迅速。该法案存在一些漏洞,需要在全面生效之前予以填补,预计大约两年后才能全面生效。在发现漏洞的人中,有研究技术、法律和道德交叉领域的研究人员。举个例子,该法案假设大多数人工智能“风险很低甚至没有风险”。这意味着许多日常人工智能应用程序(例如回答简单查询的在线聊天机器人和文本摘要软件)不需要提交监管。被认为“高风险”的应用程序将受到监管,包括那些使用人工智能筛选求职者或进行教育评估的应用程序,以及执法部门使用的应用程序。但正如英国纽卡斯尔大学法学学者 Lilian Edwards 在伦敦 Ada Lovelace 研究所的一份报告中指出的那样,没有可审查的标准来支持该法案的低风险和高风险分类(参见 go.nature.com/4alwbha)。此外,哪里有证据表明大多数人工智能都是低风险的?第二个担忧是,在许多情况下,人工智能开发人员将能够自我评估被视为高风险的产品。根据该法案,此类提供商需要解释用于获取训练数据的方法和技术,包括这些数据的获取地点和方式,以及如何清理数据,以及确认它们符合版权法。监管机构最好建立一个独立的第三方验证系统,该系统还可以在必要时验证原始数据——即使它只检查代表性样本。人工智能办公室成立后,需要履行委员会的承诺,与科学界密切合作,利用所有可用的专业知识来回答这些问题。新技术的监管是一项不值得羡慕但必不可少的任务。政府需要支持创新,但他们也有责任保护公民免受伤害,确保人民的权利不受侵犯。从药品到机动车等现有技术的监管中吸取的教训包括需要最大限度地提高数据和模型的透明度。此外,负责保护人们免受伤害的人需要独立于那些负责促进创新的人。它需要确保在其人工智能工作中借鉴所有这些经验。华盛顿特区卡内基国际和平基金会研究人工智能伦理的 Hadrien Pouget 和他在英国牛津大学的同事 Johann Laux 在一封致未来人工智能办公室的公开信中强调了监管独立性以及人工智能提供商透明度的必要性(参见 go.nature.com/3sckfvv)。与此同时,联合国秘书长安东尼奥·古特雷斯召集的人工智能咨询委员会敦促所有致力于人工智能监管的人在这一过程中倾听尽可能多样化的声音。值得称赞的是,欧盟在立法过程中借鉴自然科学和社会科学以及工程和技术、商业和民间社会方面拥有丰富的经验。研究人员有一个很小的时间来弥补欧盟计划中的漏洞。他们需要在它关闭之前跳进去。