XiaoMi-AI文件搜索系统
World File Search System漏洞
二进制级别的指示fuzzing用于无使用后的漏洞
通过利用其他信息,例如(部分)错误堆栈跟踪,补丁或风险操作的操作,的指示模糊着重于自动测试代码的特定部分。 关键应用程序包括错误复制,补丁测试和静态分析报告验证。 最近有指示的模糊引起了很多关注,但诸如无用后(UAF)之类的难以检测的漏洞仍未得到很好的解决,尤其是在二进制层面上。 我们提出了UAF UZZ,这是第一个(二进制级)定向的灰色fuzzer,该灰盒源自UAF错误。 该技术采用了针对UAF指定的量身定制的模糊引擎,轻质代码仪器和有效的错误分类步骤。 对实际情况的错误复制的实验评估表明,就故障检测率,暴露时间和虫子三叶虫的时间而言,UAZ的UZZ明显优于最先进的指示fuzz。 uaf uzz也已被证明在补丁测试中有效,从而在Perl,GPAC和GNU补丁等程序中发现了30个新错误(7 CVE)。 最后,我们向社区提供了一个巨大的模糊基准,该基准专用于UAF,并建立在真实的代码和实际错误上。的指示模糊着重于自动测试代码的特定部分。关键应用程序包括错误复制,补丁测试和静态分析报告验证。最近有指示的模糊引起了很多关注,但诸如无用后(UAF)之类的难以检测的漏洞仍未得到很好的解决,尤其是在二进制层面上。我们提出了UAF UZZ,这是第一个(二进制级)定向的灰色fuzzer,该灰盒源自UAF错误。该技术采用了针对UAF指定的量身定制的模糊引擎,轻质代码仪器和有效的错误分类步骤。对实际情况的错误复制的实验评估表明,就故障检测率,暴露时间和虫子三叶虫的时间而言,UAZ的UZZ明显优于最先进的指示fuzz。uaf uzz也已被证明在补丁测试中有效,从而在Perl,GPAC和GNU补丁等程序中发现了30个新错误(7 CVE)。最后,我们向社区提供了一个巨大的模糊基准,该基准专用于UAF,并建立在真实的代码和实际错误上。
SVR 网络操作和漏洞利用的最新进展
优先考虑在补丁和软件更新可用时尽快部署。尽可能启用自动更新。 通过禁用不需要的 Internet 访问服务或限制对受信任网络的访问以及从工作站和开发环境中删除未使用的应用程序和实用程序来减少攻击面。 执行持续的威胁搜寻活动。 确保系统配置正确 - 检查开放端口和过时或未使用的协议,尤其是在面向 Internet 的系统上。 将面向 Internet 的服务隔离在网络非军事区 (DMZ) 中,以减少内部网络的暴露。 尽可能要求并强制执行多因素身份验证。 当允许用户自行注册多因素身份验证机制或在公司网络上注册设备时,要求注册新设备时进行额外的身份挑战。 设备成功注册后通知多个平台上的用户,以帮助识别意外注册。培训并鼓励用户注意和报告意外注册。 为身份验证服务和面向 Internet 的功能启用强大的日志记录。 定期审核具有电子邮件管理权限的基于云的帐户和应用程序是否存在异常活动。 限制令牌访问生命周期并监控令牌重用的证据。 强制最低权限访问并禁用外部管理功能。 对授权设备进行基准测试并对访问不符合基准的网络资源的系统进行额外审查。 尽可能禁止将信息远程下载到未注册的设备。
人工智能技术在太空应用中的网络漏洞和风险
摘要 人工智能 (AI) 正在成为太空应用的关键技术。最近,人工智能已广泛应用于航天器操作,例如支持卫星星座的高效运行。这包括相对定位、地球观测、自主导航和报废管理等应用。虽然人工智能对于新太空资产的重要性正在上升,但人工智能容易受到网络威胁,人工智能网络安全正在成为太空安全和运营安全的重要方面。这项工作旨在确定人工智能系统可能给太空资产带来的漏洞,并分析潜在的运营威胁以及有效的技术和监管缓解措施。为了实现这一目标,本文首先研究并区分了传统空间系统中的漏洞以及与人工智能技术特别相关的漏洞。分析涵盖了人工智能技术的定义以及有关其在太空相关应用中的当前使用的详细讨论。其次,对当前太空中普遍存在的网络攻击与针对人工智能技术的网络攻击进行了比较。基于此评估,本文建议采取预防和缓解措施,这些措施取决于以基于人工智能的太空应用为重点的太空行动的网络弹性。关键词:人工智能、空间应用、网络漏洞、预防、缓解缩写
使用威胁漏洞资产 (TVA) 方法来识别...
摘要研究表明,使用漏洞评估 (VA) 工具对于识别网络威胁和系统漏洞至关重要。本文介绍了一个学生实地项目的案例研究,该项目利用威胁漏洞资产 (TVA) 矩阵方法,这是一种开源且简单的 VA 工具,用于为美国西南部的一个软件工程组织识别网络威胁和系统漏洞。TVA 方法特别帮助学生项目团队识别和优先考虑其客户组织最关键的 IT(信息技术)资源、对这些关键 IT 资源的网络威胁、当前实施的 IT 保护措施,并从这三个 TVA 矩阵组件的三角测量中识别由此产生的系统漏洞。此外,TVA 方法还帮助学生项目团队识别出在将 IT 保护措施分配给某些关键和脆弱的 IT 资源方面存在的明显不平衡。这项 TVA 领域案例研究的结果对从业者和教育工作者的意义在于,开源且简单的 VA 工具(例如 TVA 方法)可提高学生在当前 IT 密集型环境中主动学习网络威胁和系统漏洞的教学方法。
欧盟AI法案和AI责任的局限性和漏洞...
预测性和产生的人工智能(AI)都通过在做出高度影响力的决策中的使用而成为我们生活中不可或缺的一部分。AI系统已经被广泛部署,例如在就业,医疗保健,保险,财务,教育,公共管理和刑事司法方面。这些系统的偏见和歧视,隐私的侵入性,不透明和环境成本等严重的道德问题是众所周知的。生成的AI(GAI)会产生幻觉和不准确或有害信息,从而导致科学知识的错误信息,虚假信息和侵蚀。《人工情报法》(AIA),产品责任指令以及人工智能责任指令指令反映了欧洲遏制其中一些问题的尝试。随着这些政策的法律范围
量子非局域性的无检测漏洞测试,以及......
在1935年,爱因斯坦,波多尔斯基和罗森建议某些量子机械状态必须违反一个或两个基本的经典假设(遥远的事件不能改变附近的测量结果)和现实主义(现实效率)和现实率(仅取决于潜在的测量结果)。这些非经典的两个粒子状态表现出多基础相关性(或反别常),被称为“纠缠”。''因为地方和现实主义对古典直觉是如此重要,所以20世纪物理学的中心辩论围绕以下问题:量子力学的替代方案(一种当地现实的理论)是否可以解释纠缠看似非分类的关系?在1964年,贝尔通过分析在任何经典系统的集合上进行的测量之间的允许相关性的限制,从而在实验中设计了一种方法[2]。如果在有足够的理想条件下进行,违反贝尔的不平等将最终排除所有可能的当地现实理论。尽管纠缠已在实验中被剥夺,并且在无数非理想的实验中违反了贝尔不平等[3-12],但这些实验中的每一个都无法克服至少两个关键障碍中的至少一个。到目前为止,这些漏洞仅使用纠缠光子封闭[8,13];可以在不同方向行驶的光子在第一个障碍 - 位置漏洞 - 使地方现实理论可能依赖于从一个纠缠粒子发送给其伴侣的某种类型的信号(例如,包含有关特定测量的信息的信号),或从测量粒子上执行的特定测量值,或者是根据测量源为源源到源源(已知按源源)(已知的选择)(已知的选择)。
加利福尼亚燃油供应链中的紧急漏洞和风险
总体而言,加利福尼亚油轮机队目前尚未能够使用岸动力; 没有足够的基础设施来提供所需的电力; 堆栈排放控制系统仍处于测试阶段,并且距离大规模部署可能很长。经济决策可能导致原油供应和其他运输燃料产品的大幅下降,以满足该州的能源需求。
识别 GPU 微架构漏洞的有效方法
摘要 — 图形处理单元 (GPU) 越来越多地被应用于可靠性至关重要的多个领域,例如自动驾驶汽车和自主系统。不幸的是,GPU 设备已被证明具有很高的错误率,而实时安全关键应用程序所施加的限制使得传统的(且昂贵的)基于复制的强化解决方案不足。这项工作提出了一种有效的方法来识别 GPU 模块中的架构易受攻击的位置,即如果损坏则最影响正确指令执行的位置。我们首先通过基于寄存器传输级 (RTL) 故障注入实验的创新方法来识别 GPU 模型的架构漏洞。然后,我们通过对已确定为关键的触发器应用选择性强化来减轻故障影响。我们评估了三种强化策略:三重模块冗余 (TMR)、针对 SET 的三重模块冗余 (∆ TMR) 和双联锁存储单元(骰子触发器)。在考虑功能单元、流水线寄存器和 Warp 调度器控制器的公开 GPU 模型 (FlexGripPlus) 上收集的结果表明,我们的方法可以容忍流水线寄存器中 85% 到 99% 的故障、功能单元中 50% 到 100% 的故障以及 Warp 调度器中高达 10% 的故障,同时降低硬件开销(与传统 TMR 相比,在 58% 到 94% 的范围内)。最后,我们调整了该方法以针对永久性故障执行补充评估,并确定了容易在 GPU 上传播故障影响的关键位置。我们发现,对瞬态故障至关重要的触发器中相当一部分(65% 到 98%)对永久性故障也至关重要。
发现自动漏洞检测机器学习的限制
自动脆弱性检测(ML4VD)机器学习的抽象最新结果非常有前途。仅给出函数F的源代码,ML4VD技术可以决定F是否包含具有高达70%精度的安全漏洞。但是,正如我们自己的实验中明显的那样,相同表现的模型无法区分包含漏洞和漏洞修补的功能的功能。因此,我们如何解释这一矛盾,以及如何改善评估ML4VD技术的方式以更好地了解其实际功能?在本文中,我们确定对无关的特征和分布外概括的过度拟合是两个问题,这不是通过评估ML4VD技术的传统方法来捕获的。作为一种补救措施,我们提出了一种新型的基准标记方法,以帮助研究人员更好地评估ML4VD技术的真正能力和限制。具体说明,我们建议(i)根据我们的交叉验证算法来增强培训和验证数据集,其中在训练集或测试集的增强过程中,应用语义保留转换,以及(ii)用code spippets进行了漏洞的测试集,以增强漏洞的测试集。使用六种ML4VD技术和两个数据集,我们发现(a)最先进的模型非常适合无关的功能,以预测测试数据中的脆弱性,(b)数据增强所获得的性能并不能超出培训期间的特定增强功能,并且(CART)无法将其范围固定在(CART-CART ML4VD TECHENIQUES上)。
基于人工智能和动态分析的 Web 应用程序漏洞扫描程序
网络应用程序的广泛使用和敏感数据的运行使其成为网络攻击者最重要的目标之一。可以采取的最重要的安全措施之一是在攻击者之前检测并关闭网络应用程序上的漏洞。本研究开发了一种基于动态分析和人工智能的 Web 应用程序漏洞扫描器,它可以使用 GET 和 POST 方法测试 Web 应用程序,并具有针对 21 种不同漏洞类型的测试类。开发的漏洞扫描器在本研究范围内创建的 Web 应用程序测试实验室中进行了测试,该实验室有 262 个不同的 Web 应用程序。使用开发的漏洞扫描器执行的测试创建了一个数据集。在本研究中,使用上述数据集作为第一阶段对网页进行分类。使用随机森林算法确定的页面分类过程中的最高成功率为 95.39%。使用数据集执行的第二项操作是漏洞之间的关联分析。提出的模型比标准扫描模型节省了 21% 的时间。在本研究中,页面分类过程也用于抓取 Web 应用程序。