XiaoMi-AI文件搜索系统
World File Search System漏洞
欧洲 AI 法案存在漏洞——研究人员可以……
帮助制定有望成为世界上最全面的人工智能法律法规之一。研究人员需要抓住这个机会,而且要迅速。该法案存在一些漏洞,需要在全面生效之前予以填补,预计大约两年后才能全面生效。在发现漏洞的人中,有研究技术、法律和道德交叉领域的研究人员。举个例子,该法案假设大多数人工智能“风险很低甚至没有风险”。这意味着许多日常人工智能应用程序(例如回答简单查询的在线聊天机器人和文本摘要软件)不需要提交监管。被认为“高风险”的应用程序将受到监管,包括那些使用人工智能筛选求职者或进行教育评估的应用程序,以及执法部门使用的应用程序。但正如英国纽卡斯尔大学法学学者 Lilian Edwards 在伦敦 Ada Lovelace 研究所的一份报告中指出的那样,没有可审查的标准来支持该法案的低风险和高风险分类(参见 go.nature.com/4alwbha)。此外,哪里有证据表明大多数人工智能都是低风险的?第二个担忧是,在许多情况下,人工智能开发人员将能够自我评估被视为高风险的产品。根据该法案,此类提供商需要解释用于获取训练数据的方法和技术,包括这些数据的获取地点和方式,以及如何清理数据,以及确认它们符合版权法。监管机构最好建立一个独立的第三方验证系统,该系统还可以在必要时验证原始数据——即使它只检查代表性样本。人工智能办公室成立后,需要履行委员会的承诺,与科学界密切合作,利用所有可用的专业知识来回答这些问题。新技术的监管是一项不值得羡慕但必不可少的任务。政府需要支持创新,但他们也有责任保护公民免受伤害,确保人民的权利不受侵犯。从药品到机动车等现有技术的监管中吸取的教训包括需要最大限度地提高数据和模型的透明度。此外,负责保护人们免受伤害的人需要独立于那些负责促进创新的人。它需要确保在其人工智能工作中借鉴所有这些经验。华盛顿特区卡内基国际和平基金会研究人工智能伦理的 Hadrien Pouget 和他在英国牛津大学的同事 Johann Laux 在一封致未来人工智能办公室的公开信中强调了监管独立性以及人工智能提供商透明度的必要性(参见 go.nature.com/3sckfvv)。与此同时,联合国秘书长安东尼奥·古特雷斯召集的人工智能咨询委员会敦促所有致力于人工智能监管的人在这一过程中倾听尽可能多样化的声音。值得称赞的是,欧盟在立法过程中借鉴自然科学和社会科学以及工程和技术、商业和民间社会方面拥有丰富的经验。研究人员有一个很小的时间来弥补欧盟计划中的漏洞。他们需要在它关闭之前跳进去。
基于人工智能和动态分析的 Web 应用程序漏洞扫描程序
网络应用程序的广泛使用和敏感数据的运行使其成为网络攻击者最重要的目标之一。可以采取的最重要的安全措施之一是在攻击者之前检测并关闭网络应用程序上的漏洞。本研究开发了一种基于动态分析和人工智能的 Web 应用程序漏洞扫描器,它可以使用 GET 和 POST 方法测试 Web 应用程序,并具有针对 21 种不同漏洞类型的测试类。开发的漏洞扫描器在本研究范围内创建的 Web 应用程序测试实验室中进行了测试,该实验室有 262 个不同的 Web 应用程序。使用开发的漏洞扫描器执行的测试创建了一个数据集。在本研究中,使用上述数据集作为第一阶段对网页进行分类。使用随机森林算法确定的页面分类过程中的最高成功率为 95.39%。使用数据集执行的第二项操作是漏洞之间的关联分析。提出的模型比标准扫描模型节省了 21% 的时间。在本研究中,页面分类过程也用于抓取 Web 应用程序。
Quantum Computer Controller中功率侧通道漏洞的探索
对量子计算的迅速增长的兴趣也增加了使这些计算机免受各种物理攻击的重要性。不断增加量子计算机的储蓄数量和改进,这对于这些计算机运行具有高度敏感知识特性的新型算法的能力具有很大的希望。但是,在当今基于云的量子计算机设置中,用户缺乏对计算机的物理控制。物理攻击,例如数据中心恶意内部人士犯下的攻击,可用于提取有关这些计算机上执行的电路的敏感信息。这项工作显示了对量子计算机中基于功率的侧向通道攻击的首次探索和研究。探索攻击可用于恢复有关发送到这些计算机的控制脉冲的信息。通过分析这些对照脉冲,攻击者可以逆转电路的等效栅极级别的描述,并且正在运行的算法或将数据刻录到电路中。这项工作介绍了五种新型攻击,并评估了从基于云的量子计算机获得的控制脉冲信息。这项工作说明了如何和哪些电路可以恢复,然后又如何从量子计算系统上的新策划的侧通道攻击中进行防御。
暴露供应链漏洞以非法贸易全球...
该报告由PMI Impact资助,PMI Impact是一项授予奖项倡议,由Philip Morris International(PMI)资助。Tracit在这项工作的所有阶段中都保持了与PMI的完全独立性。因此,本文档中表达的观点和观点来自报告结果中的主要和次要来源,并且不反映PMI的意见或观点。在记录中以及根据赠款协议的条款,PMI或其任何分支机构,代表他们行事的人都不得对本文所包含的信息的任何用途负责。媒体所有媒体询问均应针对通讯和公共政策主管Cindy Braddon,Cindy.braddon@tracit.org社交媒体Twitter:@tracit_org linkedin:www.linkedin.com/company/company/tracitorg
删除:识别设备机器学习模型窃取和重复使用移动应用程序中的漏洞
移动应用程序已通过装饰机学习(ML)技术提供人工智力(AI)服务而受欢迎。与在远程服务器上实现这些AI服务不同,这些在当地AI服务所需的这些设备技术敏感信息可以减轻远程数据收集的敏感数据收集的严重问题。但是,这些设备技术必须推动ML专业知识的核心(例如,,模型)到本地智能手机,这些智能手机仍在远程云和服务器上受到模拟漏洞的影响,尤其是在面对模型窃取攻击时。为了防止这些攻击,开发商采取了各种保护措施。毫无意义地,我们发现这些保护仍然不足,并且可以在移动应用程序中的设备ML模型提取和重复使用而无需限制。为了更好地证明其保护性不足和此攻击的可行性,本文提出了Dimistify,该摘要在应用程序中静态定位ML模型,切成相关的执行组件,并最终自动生成脚本以成功地移动应用程序以成功地窃取和重复使用目标ML模型。为了评估Dimistify并证明其适用性,我们将其应用于1,511顶级移动应用程序,使用设备ML专业知识基于其Google Play的安装数字来为几种ML服务,而Demistify可以成功执行1250个(82。73%)。此外,还进行了深入研究,以了解移动应用程序中的设备ML生态系统。
漏洞扫描仪无法做供应链安全
物理设备是高度复杂的系统,它依赖数量令人难以置信的组件:正确配置的安全启动设置,维护DBX吊销数据库,Intel Boot Guard功能,TPM,Intel Management Engine(ME),Microsoft System System Guard Secure Launch,System Management,系统管理模式等。任何组件中的错误配置或弱点都会导致整体系统的完整性丧失。相同的原理扩展到系统中的许多组件。例如,即使在完全安全的启动过程之后,缺乏DMA保障措施(PDF)也可以允许攻击者对系统内存的控制。
s ecurity n et:评估公共模型上的机器学习漏洞
虽然高级机器学习(ML)模型在许多现实世界应用中都构建了,但以前的工作表明这些模型具有安全性和隐私性漏洞。在该领域已经进行了各种经验研究。但是,大多数实验都是对安全研究人员本身训练的目标ML模型进行的。由于对具有复杂体系结构的高级模型的高度计算资源需求,研究人员通常选择使用相对简单的架构在典型的实验数据集中培训一些目标模型。我们争辩说,要全面了解ML模型的漏洞,应对具有各种目的训练的大型模型进行实验(不仅是评估ML攻击和防御的目的)。为此,我们建议使用具有Inter-Net(公共模型)权重的公开模型来评估ML模型上的攻击和防御。我们建立了一个数据库,即具有910个注释的图像分类模型的数据库。然后,我们分析了几种代表性的AT-TACS/防御能力的有效性,包括模型窃取攻击,会员推理攻击以及对这些公共模型的后门检测。我们的评估从经验上表明,与自训练的模型相比,这些攻击/防御措施的性能在公共模型上可能有很大差异。我们与研究社区1分享了SCURITY N ET,并倡导研究人员在公共模型上进行实验,以更好地证明其未来所提出的方法的有效性。
2022 年最常被利用的漏洞
美国组织:所有组织都应将事件和异常活动报告给 CISA 24/7 运营中心,邮箱为 report@cisa.gov 或电话为 (888) 282-0870,和/或通过当地 FBI 外地办事处或 FBI 24/7 CyWatch 报告给 FBI,邮箱为 (855) 292-3937 或电话为 CyWatch@fbi.gov。如有,请提供有关事件的以下信息:事件的日期、时间和地点;活动类型;受影响人数;活动所用设备类型;提交公司或组织的名称;以及指定联系人。对于 NSA 客户要求或一般网络安全查询,请联系 Cybersecurity_Requests@nsa.gov。澳大利亚组织:访问 cyber.gov.au 或致电 1300 292 371 (1300 CYBER 1) 报告网络安全事件并获取警报和建议。加拿大组织:通过电子邮件向 CCCS contact@cyber.gc.ca 报告事件。新西兰组织:向 incidents@ncsc.govt.nz 报告网络安全事件或致电 04 498 7654。英国组织:报告重大网络安全事件:ncsc.gov.uk/report-an-incident(24 小时监控)或如需紧急援助,请致电 03000 200 973。
半导体供应链中的漏洞
经济合作与发展组织(OECD)是一个政府间组织,北美,欧洲,亚洲和太平洋地区的38个工业化国家的代表以及欧盟委员会以及欧盟委员会与协调和协调政策,讨论相互关注的问题并共同应对国际问题。经合组织的大部分工作都是由由成员国代表组成的200多个专业委员会和工作组进行的。来自经合组织和感兴趣的国际组织的几个国家的观察员参加了经合组织的许多研讨会和其他会议。 委员会和工作组由位于法国巴黎的经合组织秘书处提供,该秘书处被组织成董事会和部门。参加了经合组织的许多研讨会和其他会议。委员会和工作组由位于法国巴黎的经合组织秘书处提供,该秘书处被组织成董事会和部门。