《纽约时报》于 2024 年 7 月 4 日报道称，OpenAI 在 2023 年初遭受了未公开的入侵。 《纽约时报》指出，攻击者并未访问 AI 所在的系统，但窃取了员工论坛的讨论内容。OpenAI 并未公开披露该事件，也未通知 FBI，因为它声称，客户和合作伙伴的信息均未遭窃取，此次入侵事件并未被视为对国家安全的威胁。该公司认定，此次攻击是由一名与任何外国政府均无任何已知关联的人员所为。 尽管如此，该事件还是引发了员工内部对 OpenAI 解决安全问题的严肃程度的讨论。 《纽约时报》写道：“此次泄密事件发生后，专注于确保未来人工智能技术不会造成严重损害的 OpenAI 技术项目经理 Leopold Aschenbrenner 向 OpenAI 董事会发送了一份备忘录，称该公司没有采取足够措施阻止外国政府和其他外国对手窃取其机密。” 今年早些时候，他被解雇了，表面上是因为泄露信息（但更可能是因为备忘录）。阿申布伦纳对官方泄密事件的说法略有不同。 在与 Dwarkesh Patel 的播客（2024 年 6 月 4 日）中，他说：“OpenAI 向员工声称我因泄密而被解雇。我和其他人敦促他们说出泄密的内容。以下是他们的完整回应：去年某个时候，我写了一份头脑风暴文件，内容涉及未来在 AGI 道路上所需的准备、安全和保障措施。我与三位外部研究人员分享了这份文件，征求反馈。这就是泄密事件……在我分享它之前，我审查了它是否有任何敏感内容。内部版本提到了未来的集群，我在外部副本中删去了它。” 显然，OpenAI 并不是一艘快乐的船，人们对它如何运作、应该如何运作以及应该去哪里有很多不同的看法。人们的担忧并不是 OpenGPT（即通用人工智能），而是 AGI（通用人工智能）的未来。 前者最终会转化所学知识（通常来自互联网），而后者则具有原始推理能力。 Gen-AI 并不被视为对国家安全的威胁，尽管它可能会增加当前网络攻击的规模和复杂性。 AGI 则不同。它将能够在网络、动能战场和情报领域制造新的威胁——OpenAI、DeepMind、Anthropic 和其他领先的 AI 公司和技术都在争先恐后地抢占市场。人们对 2023 年 OpenAI 漏洞的担忧在于，它可能表明缺乏安全准备，这可能会在未来真正危及国家安全。 “很多戏剧性事件都源于 OpenAI 真的相信他们正在开发 AGI。这不仅仅是一个营销口号。” Aschenbrenner 补充道，“让人们感到困惑的是，人们一方面相信 AGI，另一方面却不认真对待其他一些影响，这两者之间存在认知失调。这项技术将非常强大，无论是好是坏。这牵涉到国家安全问题。你们在保护机密不被窃取吗？美国控制着核心的 AGI 基础设施，还是中东独裁者控制着它？” 随着我们越来越接近开发 AGI，网络威胁将从犯罪分子转向精英国家攻击者——我们一次又一次地看到，我们的安全不足以抵御他们。 在 OpenAI 发生一次相对不严重的入侵事件后（我们必须假设情况没有公司告诉员工的那么糟糕），Aschenbrenner提出了对安全的普遍和真正的担忧——似乎正是因为这个原因，他被解雇了。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/uVRAQPVVVBsH8Ltl3xVc3g 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达检测显示，近 100 亿条密码汇编集合 RockYou2024 发生泄露，造成了史上最大密码泄露事件，此次泄露对倾向于重复使用密码的用户构成了严重威胁。 知道创宇暗网雷达截图 研究发现，RockYou2024 是迄今为止最大的密码汇编泄露事件，泄露数据文档中竟包含 9948575739 个独特的明文密码。 暗网论坛上黑客帖子的截图 上传该文档的黑客此前曾共享过 Simmons & Simmons 律师事务所的员工数据库、在线赌场 AskGamblers 的线索以及位于Burlington 的 Rowan College 学生申请表。 资讯平台 Cybernews 的研究人员将 RockYou2024 泄露事件中的密码与 Cybernews 泄露密码检查器的数据进行了交叉对照，结果显示这些密码来自新旧数据泄露的混合。 泄露的数据集中包含了各种个人用户在线账户的密码，暴露了全球用户的真实密码汇编，大大增加了凭证填充攻击的风险。而这种攻击可能会对用户和企业造成严重损害。例如，最近针对Santander、Ticketmaster、Advance Auto Parts、QuoteWizard等公司的一波攻击就是受害者云服务提供商 Snowflake 遭受凭证填充攻击的直接结果。 此外，攻击者可以利用 RockYou2024 密码汇编进行暴力破解攻击，并在未经授权的情况下访问使用数据集中所含密码的个人所使用的各种在线账户。RockYou2024与黑客论坛和市场上的其他泄露数据库（例如包含用户电子邮件地址和其他凭证的数据库）相结合，可能导致一连串的数据泄露、金融欺诈和身份盗窃事件发生。 RockYou 并非首次泄露 2021年，Cybernews 平台发表了一篇关于RockYou2021密码汇编的文章，当时最大的密码汇编包含 84 亿个纯文本密码。根据上图中黑客发表的声明可知，他们通过在互联网上搜索数据泄露信息来开发该数据集，从 2021 年到 2024 年增加了 15 亿个密码，数据集增加了 15%。 RockYou2021 汇编是 2009 年数据泄露事件的延伸事件，其中包括数千万个社交媒体账户的用户密码。自此之后，汇编的数量急剧增加。最新的 RockYou 版本包含了20多年来从 4000 多个数据库中收集的信息。 如何防范 RockYou2024？ 尽管目前并没有很好的方法来保护密码泄露的用户，但受影响的个人和组织可以采取缓解策略。Cybernews 研究小组给出了以下建议： 立即重置与泄漏密码相关的所有账户密码，强烈建议在不同的平台上使用的不同的密码； 尽可能启用多因素身份验证 (MFA)，通除密码之外的额外验证来增强安全性； 利用密码管理器软件生成和存储复杂密码，降低不同账户重复使用密码的风险。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达，cybernews

在隐私保护为重要卖点的AI手机市场，苹果的“隐私云计算”和安卓的“混合AI”展开了隐私保护军备竞赛。 随着生成式AI技术逐渐融入手机核心功能，隐私问题变得愈加突出。苹果在6月10日的全球开发者大会上宣布推出“苹果智能”（Apple Intelligence），宣布与OpenAI合作将ChatGPT引入iPhone，标志着苹果在AI领域迈出了一大步，同时也引发了外界对苹果隐私保护的广泛关注。除了消费者外，苹果智能还面临着虎视眈眈的欧盟《数字市场法案》（DMA）。就在苹果全球开发者大会结束后不久，6月25日欧盟委员会通知苹果公司将对其展开调查，因为苹果公司（阻挠第三方应用商店的反市场竞争）行为违反了欧盟DMA法律，可能被处以全球总营业额10%的天价罚款。 苹果打造AI隐私新标准：隐私云计算 在全球开发者大会上，苹果的软件工程高级副总裁Craig Federighi表示，苹果的策略将成为AI隐私的新标准。苹果的“Private Cloud Compute (PCC)”系统将在自己的硬件服务器上运行，提供一种创新的隐私保护方式。“苹果通过PCC设计了一种新的端到端AI架构，扩展了用户iPhone的私人云环境，允许更好地控制数据。”Digital Barriers首席执行官Zak Doffman解释道。实际上，这意味着苹果可以掩盖AI请求的来源，防止包括苹果在内的任何人访问用户数据。Doffman表示，“理论上，这接近于云端AI的端到端加密。” Inrupt的安全架构主管Bruce Schneier称赞苹果为其AI打造了一个“令人印象深刻的隐私保护系统”。他指出，苹果的目标是确保AI的使用，即便在云端，也不低于手机自身的安全性。虽然这一系统仍存在一些不确定因素，但他认为苹果已经做得相当出色。 遗憾的是，虽然将隐私保护作为重要卖点，但“苹果智能”出师不利。上周五苹果公司宣布推迟在欧盟推出“苹果智能”和其他相关功能，原因是“《数字市场法案》带来的监管不确定性”。 安卓的“混合AI” 三星和谷歌的“混合AI”也采用本地和云端相结合的方法。GRC国际集团的AI主管Camden Woollven表示，这种方法旨在提供强大AI功能的同时，尽可能保护隐私。然而，这种混合AI处理方式仍存在风险，因为部分数据需要传输到云端服务器，可能更容易被截获或滥用。谷歌和其硬件合作伙伴则认为，隐私和安全是安卓AI方法的关注重点。三星电子的移动体验业务安全团队负责人Justin Choi解释说，其混合AI提供了数据控制和无与伦比的隐私保护。Choi表示混合AI在云端处理的服务器受严格的安全政策控制。谷歌的数据中心具备强大的安全措施，包括物理安全、访问控制和数据加密。谷歌产品信任副总裁Suzanne Frey表示，谷歌的AI功能依赖于其自身的云端模型，确保敏感信息不会被发送给第三方处理。 第三方风险 与安卓AI不同，“苹果智能”还面临第三方风险。事实上，苹果与OpenAI的合作一开始就引发了外界的广泛质疑，尤其是来自OpenAI联合创始人埃隆·马斯克的批评。马斯克在社交媒体X上称，苹果的ChatGPT驱动AI工具是“令人毛骨悚然的间谍软件”和“不可接受的安全漏洞”。他甚至威胁，如果苹果在操作系统层面整合OpenAI，其公司将禁止使用苹果设备。苹果反驳了马斯克的指控，称与OpenAI的合作不会影响iPhone的安全性，并强调了为用户隐私提供的保护措施，包括查询共享前需征得用户同意和IP地址的匿名处理。然而，安全专家仍对合作的隐私影响和“第三方风险”表示担忧。 AI手机的隐私保护竞赛 苹果和谷歌都在鼓励安全研究人员寻找其AI解决方案中的漏洞。但谷歌的方法更为封闭，其Secure AI Framework由旗下的网络安全公司Mandiant负责测试AI模型的防御能力。苹果则采用了相对开放的“可验证透明度”模式，为PCC的软件图像提供公开访问，让外部安全研究人员能够检查其软件功能并识别问题。随着苹果计划在即将推出的iOS 18更新中整合“苹果智能”和ChatGPT功能，隐私和安全问题将成为用户选择AI功能的重要考虑因素。正如专家Andy Pardoe所指出的，“苹果（宣称的）的隐私保护能力仍然是重视数据安全的用户的关注重点。” 选择苹果iOS还是安卓AI手机，最终取决于用户的信任。Pardoe建议用户评估操作系统在隐私特性、数据处理实践和透明度方面的整体权衡。目前从云端加密控制、安全测试开放度和透明度等方面来看，“苹果智能”在隐私保护方面的表现已经领先安卓。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jowNVqYE1YXhq3hUCWB72g 封面来源于网络，如有侵权请联系删除

巴西数据保护机构国家数据保护局（ANPD）暂时禁止 Meta处理用户的个人数据以训练该公司的人工智能（AI）算法。 ANPD表示，发现“有证据表明，个人数据处理基于不充分的法律假设、缺乏透明度、数据主体的权利受到限制以及对儿童和青少年构成风险”。该决定是在该社交媒体巨头更新其条款之后做出的，该条款允许其使用 Facebook、Messenger 和 Instagram 的公开内容用于人工智能训练目的。 人权观察组织最近发布的一份报告发现，用于训练人工智能模型的最大图像文本数据集之一LAION-5B包含可识别巴西儿童照片的链接，这使他们面临恶意深度伪造的风险，从而可能遭受更多的剥削和伤害。 巴西拥有约 1.02 亿活跃用户，是最大的市场之一。ANPD 指出，Meta 更新违反了《通用个人数据保护法》（LGBD），并且“有可能对受影响数据主体的基本权利造成严重、不可挽回或难以修复的损害”。 Meta 有五个工作日的时间来遵守该命令，否则将面临每天 50,000 雷亚尔（约合 8,808 美元）的罚款。 该公司在与美联社分享的一份声明中表示，该政策“符合巴西的隐私法律法规”，而该裁决“对创新和人工智能开发竞争来说是倒退，并进一步推迟了人工智能给巴西人民带来的好处”。 这家社交媒体公司在欧盟也遭遇了类似的阻力，迫使其暂停在未获得用户明确同意的情况下使用该地区用户数据训练其人工智能模型的计划。 上周，Meta 全球事务总裁尼克·克莱格 (Nick Clegg)表示，欧盟“不再是创新和世界一流公司的沃土”，并补充说“生成式人工智能时代提供了改变这一现状的机会”。 Cloudflare 刚刚发布了一款新的“一键式”工具，可以防止人工智能机器人从其客户网站上抓取内容来训练大型语言模型 (LLM)。 该网络基础设施公司表示：“随着我们发现有新的犯罪机器人在广泛抓取网络数据以进行模型训练，该功能将随着时间的推移自动更新。”   转自e安全，原文链接：https://mp.weixin.qq.com/s/orei2ZX_rXN8CE95tkOraw 封面来源于网络，如有侵权请联系删除

近日，苹果公司发布了 AirPods 的固件更新，但此版本固件曝出了一个严重漏洞，被追踪为 CVE-2024-27867，可能允许恶意行为者以未经授权的方式访问耳机。 该漏洞影响 AirPods第二代及更高版本、AirPods Pro所有型号、AirPods Max、Powerbeats Pro 和 Beats Fit Pro。 本周二（7月25日），苹果公司发布公告称：当你的耳机正在寻求配对设备的连接请求时，蓝牙范围内的攻击者可能会欺骗预期的源设备，并获得你耳机的访问权限。物理距离很近的攻击者可以利用这个漏洞窃听私人对话。 Jonas Dreßler 最早发现并立刻报告了该漏洞。对此苹果公司表示，该漏洞现已通过改进状态管理得到解决。该漏洞在 AirPods 固件更新 6A326、AirPods 固件更新 6F8 和 Beats 固件更新 6F8 的一部分得到修补。 两周前，iPhone 制造商推出了 visionOS（1.2 版）更新，共修复了 21 个缺陷，包括 WebKit 浏览器引擎中的 7 个缺陷。 其中涉及到一个逻辑漏洞，被追踪为CVE-2024-27812，用户在使用设备处理网页内容时可能导致拒绝服务（DoS）。该公司表示，该漏洞已通过改进文件处理得到修复。 安全研究员 Ryan Pickren 报告了这一漏洞，并将其描述为 “世界上第一个空间计算黑客”，其可以绕过所有警告，在没有用户交互的情况下，用任意数量的 3D 动画对象强行填满你的房间”。 该漏洞利用了苹果公司在使用 ARKit 快速查看功能时未应用权限模型的漏洞，在受害者的房间里生成 3D 物体。更糟糕的是，这些动画对象在退出 Safari 后仍会继续存在，因为它们是由一个单独的应用程序处理的。 对此，Pickren 表示：它甚至不需要人类’点击’这个标签就可以实现上述的情景。因此，JavaScript 的程序化点击（即 document.querySelector(‘a’).click()）是没有问题的。这意味着我们可以在不与用户进行任何交互的情况下，启动任意数量的三维动画声音对象。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404605.html 封面来源于网络，如有侵权请联系删除

据Hackread消息，名为“撒旦云”（The Satanic Cloud）的黑客组织近日泄露了了美国第二大公立学校系统洛杉矶联合学区 （LAUSD）数百万学生及教职工的个人信息数据。目前，这些数据已经现身多个黑客论坛及Telegram频道。 这些泄露的数据显示涉及2416万条名学生及近5.5万条教职工信息，Hackread对数据去重分析后，提炼出195万条有效记录。这些数据类目繁多，包括学生姓名、邮编、生日、身份证号码、电话号码、电子邮件地址、家庭住址、学校名称、是否有移民身份等，教职工信息还涉及供职状况、就业经历、职位等信息。 Hackread分析数据截图 Hackread联系了声称对这次攻击负责的黑客，确认这是一起利用Snowflake云数据库平台漏洞的攻击行为，并警告称对漏洞的利用还有更多。 据彭博社报道，LAUSD 承认数据泄露的发生是因为第三方供应商将被盗数据存储在了Snowflake。目前LAUSD正在与联邦调查局、CISA及其供应商合作，进一步调查这一事件。 值得注意的是，Snowflake漏洞也是之前臭名昭著的Ticketmaster数据泄露的罪魁祸首，该事件导致黑客窃取了1.3TB、涉及5.6 亿用户的个人数据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404300.html 封面来源于网络，如有侵权请联系删除

一次未受保护的安全事件暴露了自 1989 年以来提交的 1350 万起犯罪举报背后的举报人信息，严重威胁使用巴尔的摩市 311 服务的个人的安全。 虽然举报犯罪是每个公民的义务，但大多数人都希望至少在一定程度上保持匿名，以免受到报复。Cybernews 研究团队的最新发现给公民的隐私问题蒙上一层阴影。 5 月 8 日，该团队发现一个属于巴尔的摩市可公开访问的 Kibana 实例。暴露的数据库没有身份验证或授权系统来防止未经授权的访问。 在几乎任何人都可以接触到的大量敏感数据中，这个实例包含通过该市 311 电话服务提交的报告。311 最初是巴尔的摩的非紧急电话热线，现在可以通过网站或应用程序进行互动。 据研究人员称，暴露的数据库泄露了几十年来提交请求的人的姓名、电子邮件地址和电话号码。 研究人员表示：“尽管 311 并非紧急服务电话，但一些居民仍用它来举报犯罪。泄露此类数据可能会危及举报犯罪的人，尤其是在美国凶杀率最高的城市。” 截至 5 月 20 日，暴露的实例已不再向公众开放。Cybernews 已联系巴尔的摩市征求意见，但在发布之前尚未收到回复。 哪些数据被泄露了？ 虽然该实例仍可公开访问，但该团队总结称，该数据库包含巴尔的摩居民提交的报告和投诉。此外，该实例还包含： 已报告的交通事故 住房消毒请求和投诉 道路质量报告 测速摄像头的位置和状态 动物控制投诉 非法活动指控 由于大部分数据都是通过 311 服务提交的，因此随着市政府向公众发布部分报告，部分报告已经公开。但是，本例中的数据数量和容量明显高于公开的数据。 据该团队介绍，此次泄露的数据包含了几十年来提交的超过 1350 万份报告，其中一些报告可以追溯到 1989 年。由于 311 服务于 1996 年才推出，调查结果表明，此次数据泄露暴露了几份较早的数字化报告。 研究人员表示：“此次泄密事件损害了那些在该平台上举报犯罪行为等问题的个人的隐私，甚至可能损害了他们的安全。泄露此类报告可能会对使用该平台的巴尔的摩市民造成危险，因为巴尔的摩市在美国暴力犯罪排行榜上名列前茅。” 去年巴尔的摩每十万居民发生 45 起凶杀案，是美国平均水平的八倍多。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/uWVQetufimVhVbDQVtpwwA 封面来源于网络，如有侵权请联系删除

美国国家客运铁路公司（Amtrak）近日披露了一起数据泄露事件，旅客的Guest Rewards常旅客积分账户的个人信息被大量窃取。 根据Amtrak向马萨诸塞州提交的泄露通知，5月15日至18日期间，Amtrak的用户账户信息遭到第三方未经授权的访问。 Amtrak表示，此次事件并非其系统遭到黑客攻击，而是由于之前数据泄露事件中泄露的用户名和密码被用来非法访问用户账户。 Amtrak所指的“之前的泄漏事件”发生在2020年，当时Guest Rewards常旅客积分用户计划的个人信息被泄漏，但Amtrak宣称“黑客活动数小时之内就发现并踢出系统。” 根据黑客发布的帖子，Amtrak此次泄漏的信息包含大量个人数据，包括“姓名、联系方式、Amtrak Guest Rewards账户号码、出生日期、支付详情（如部分信用卡号码和有效期）、礼品卡信息（如卡号和PIN码）以及用户的交易和旅行信息。” 在一些案例中，黑客甚至接管了账户，更改了电子邮件和密码，使合法用户无法登录。不过，Amtrak及时采取了措施，在发送给受影响用户的通知中，Amtrak表示：“我们已经将用户的Amtrak Guest Rewards账户的电子邮件地址更改回用户档案中的电子邮件地址，并启动了账户密码重置。” Amtrak并未详细说明受影响的乘客人数，但敦促用户更换密码并启用多因素认证（MFA），以防止账户被非法访问和接管。 Jumio公司的首席技术官Stuart Wells在一份发给媒体的电子邮件声明中表示：“黑客已经意识到从旅行忠诚度计划中窃取数据的高回报，这些数据可以轻松地在暗网出售或转换为门票。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/c3MccbO9OUBWrC539HV6jg 封面来源于网络，如有侵权请联系删除

洛杉矶县公共卫生部（DPH）宣布，在2024年2月19日至2月20日发生数据泄露后，超过20万人的个人信息被泄露。 黑客通过网络钓鱼活动获得了53名公共卫生员工的登录凭证。 “在2024年2月19日至2024年2月20日期间，洛杉矶县公共卫生部经历了一次网络钓鱼攻击，黑客能够通过网络钓鱼电子邮件获得53名公共卫生员工的登录凭证，泄露了20多万人的个人信息。”DPH发布的数据泄露通知写道。 发现网络钓鱼攻击后，公共卫生部门禁用了受影响的电子邮件帐户，并重置和重新映像用户的设备。该组织还封锁了攻击来源的网站，并隔离了所有可疑的传入电子邮件。 可能被盗的电子邮件帐户可能包括DPH客户/员工/其他个人的名字和姓氏、出生日期、诊断、处方、医疗记录号码/患者ID、Medicare/Med-Cal号码、健康保险信息、社会保险号码和其他财务信息。该公司正在通知美国卫生与公众服务部民权办公室和其他相关机构。作为回应，公共卫生部门实施了许多增强措施，以减少未来遭受类似电子邮件攻击的风险。 4月，洛杉矶县卫生服务部披露了一起影响数千名患者的数据泄露事件。在网络钓鱼攻击影响了二十多名员工后，患者的个人和健康信息被曝光。洛杉矶县卫生服务部在洛杉矶县经营公立医院和诊所，是美国第二大市政卫生系统，仅次于纽约卫生+医院。 “网络钓鱼电子邮件试图诱骗收件人放弃重要信息。在这种情况下，国土安全部员工点击了电子邮件正文中的链接，认为他们正在访问来自值得信赖的发件人的合法消息。”阅读发送给受影响个人的数据泄露通知。“由于执法部门正在进行的调查，我们被建议将此事件通知推迟到现在，因为公开通知可能阻碍了他们的调查。” 泄露的信息因人而异，可能暴露的信息包括患者的名字和姓氏、出生日期、家庭住址、电话号码、电子邮件地址、医疗记录号码、客户识别号、服务日期和/或医疗信息（例如诊断/条件、治疗、测试结果、药物）和/或健康计划信息。   转自e安全，原文链接：https://mp.weixin.qq.com/s/ywuuGFU5_Fvl6r0gHBTMXQ 封面来源于网络，如有侵权请联系删除

Cybernews 网站消息，比荷卢经济联盟（Benelux）最大的汽车经销商 Van Mossel 和多家公司使用了一家不知名的数据分析公司的服务来训练人工智能模型，结果将客户数据泄露到了互联网上。 2 月 1 日，Cybernews 研究团队在数据收集和分析公司 Rawdamental 的系统中发现了一个令人担忧的错误配置，导致个人数据泄露。 尽管 Rawdamental 没有在荷兰公司登记册中找到，但其服务已被众多荷兰公司使用。此次发现的安全事件影响了可能使用数据收集服务的 10 家公司的用户，其中包括拥有近 7000 名员工的跨国汽车经销商 Van Mossel。 受泄露影响的公司 汽车经销商 – Van Mossel 软件公司 – Simpul.nl 和 Divtag.nl 摩托车零部件市场 – Motorparts-online.com 营销机构 – InovaMedia 烟花零售商 – Vuurwerkbestel.nl 室内装饰零售商 – Oletti.nl 圣诞礼物服务 – Kerstpakkettenexpress.nl 和 kerstcomplimenten.nl 荷兰赛车迷俱乐部 – Ttassen-fanbase.com 收集用户数据的目的是为 Rawdamental 的客户提供一个起始数据集，用于训练人工智能模型来预测用户行为。暂不论使用企业人工智能模型是否符合道德规范，但目前的数据泄露事件表明，此类服务的安全性仍然非常模糊。 Cybernews 联系了使用 Rawdamental 服务的公司，但尚未得到回应。据调查，泄漏是由于 Rawdamental 公司的 Kibana 面板（一种用于搜索、可视化和分析存储数据的流行在线工具）上的身份验证缺失造成的。认证缺失未被察觉，导致数据自 2021 年 12 月起被公开访问。 Cybernews 和荷兰计算机应急响应小组（CERT）试图与 Rawdamental 公司取得联系，但该公司均未回应。此后，研究人员注意到该公司已经关闭了这一实例。 受影响域的仪表板 泄露的电子商务仪表板 在私有数据上训练人工智能模型 Rawdamental的 商业模式基于为其客户收集大量数据，以创建网站访问者的独特档案。通过收集点击流数据，该公司汇编了大量有关用户访问过程和行为的数据，随后可供公司用于训练其人工智能模型。 泄露的 IP、用户代理和指纹 不过，使用此类数据集来训练人工智能是危险的。Cybernews 对泄露的流量数据的调查显示，收集到的数据中有用户的私人信息，在私人数据上训练出来的模型可能会在未经用户同意的情况下泄露敏感信息。 这是工作场所种使用人工智能工具众所周知的风险，多个组织已经禁止使用这些工具，因为他们担心敏感的公司信息可能会泄露给工具的运营商。Cybernews 的安全研究员 Aras Nazarovas 说：”这次泄露也提醒我们，传统在线工具中也存在这种风险。” 泄露的网络流量包括 用户 IP 地址 访问的 URL 访问过的网页标题 用户代理 在某些情况下，用户名和他们正在进行的项目 根据不同类型的元数据创建的唯一用户标识符 在私有数据上训练人工智能模型 Rawdamental的 商业模式基于为其客户收集大量数据，以创建网站访问者的独特档案。通过收集点击流数据，该公司汇编了大量有关用户访问过程和行为的数据，随后可供公司用于训练其人工智能模型。 泄露的 IP、用户代理和指纹 不过，使用此类数据集来训练人工智能是危险的。Cybernews 对泄露的流量数据的调查显示，收集到的数据中有用户的私人信息，在私人数据上训练出来的模型可能会在未经用户同意的情况下泄露敏感信息。 这是工作场所种使用人工智能工具众所周知的风险，多个组织已经禁止使用这些工具，因为他们担心敏感的公司信息可能会泄露给工具的运营商。Cybernews 的安全研究员 Aras Nazarovas 说：”这次泄露也提醒我们，传统在线工具中也存在这种风险。” 泄露的网络流量包括 用户 IP 地址 访问的 URL 访问过的网页标题 用户代理 在某些情况下，用户名和他们正在进行的项目 根据不同类型的元数据创建的唯一用户标识符 无法匿名化用户数据 除了明显的网络安全漏洞导致数据泄露，并为威胁行为者提供了一个数据库外，另一个主要问题是公司对用户数据的匿名化处理不力。 对于像 Rawdamental 这样的服务公司来说，匿名化用户数据至关重要。Cybernews 的安全研究员 Nazarovas 表示，尽管 Rawdamental 有意对用户数据进行匿名处理，但调查显示，他们未能预见到所有可能出现的情况。 要求披露个人信息和项目信息 其中一个例子涉及该公司的客户平台，这些平台很可能专门用于会计工作。一些平台在网站的标题标签中显示个人身份信息，如姓名和项目，这些标签会出现在浏览器的标签名称中。 Rawdamental 没有针对这种情况实施保护措施，因此收集到了敏感的用户数据。此外，用户 IP 地址也出现在收集到的数据中，这表明数据集也没有完全匿名化。 除 Van Mossel 外，大多数受影响的公司都没有披露用于跟踪和指纹识别目的的第三方 cookies。公司隐私政策的模糊性让用户不清楚自己的个人信息是否会被 Rawdamental 等第三方服务共享。   转自Freebuf，原文链接：https://www.freebuf.com/news/403553.html 封面来源于网络，如有侵权请联系删除