趋势科技的网络安全研究人员分析了几起涉及引入AsyncRAT恶意软件的事件。攻击者利用了Microsoft的合法进程“aspnet_compiler.exe”中的漏洞，该进程专为 ASP.NET 平台上的 Web 应用程序预编译而设计。这使得黑客能够悄悄地下载恶意代码。 AsyncRAT 具有各种远程访问功能，例如键盘记录、桌面管理和静默文件修改。这使其成为执行各种攻击的强大工具。特别是在2023年初，趋势科技专家发现了 AsyncRAT 与勒索软件一起使用的案例。 在所有分析的事件中，攻击的第一阶段是用户下载受密码保护的 ZIP 存档。解压存档后，受害者启动了恶意 WSF 脚本，该脚本又下载了另一个包含其他 AsyncRAT 脚本的 ZIP 存档。 这些脚本最终将 AsyncRAT 有效负载注入到“aspnet_compiler.exe”进程中，允许恶意软件通过收集用户名和密码、计算机数据、防病毒软件和加密钱包等信息来秘密运行。 在检查 AsyncRAT 源代码后，专家发现与GitHub上的开放存储库有相似之处。然而，恶意样本包含额外的功能，这表明攻击者正在对开源代码进行微调以适应他们的目的。 正如专家指出的，动态DNS服务器的使用使攻击者能够快速更改AsyncRAT 控制服务器的IP 地址和域名。这使得它们难以被安全系统检测和阻止。 趋势科技建议组织实施持续监控和快速响应网络安全事件的解决方案，以保护其网络和设备。 如果员工不需要将 PowerShell/WSF/JS 宏和脚本用作标准工作流程的一部分，那么在员工计算机上禁用它们也是一个好主意。一般来说，定期投入时间和资源来改善员工网络卫生是值得的；这将有助于在未来节省更多。   转自安全客，原文链接https://www.anquanke.com/post/id/291862 封面来源于网络，如有侵权请联系删除

近日，根据上级部门移交的线索，渝中区网信办在重庆市网信办指导下，依法对属地一科技公司涉数据泄露等违法违规行为进行立案查处，作出责令限期五日改正，给予行政警告，并处10万元罚款的行政处罚。 经查，该公司开发运营的某OA信息系统因未履行好网络数据安全保护义务，导致大量数据泄露，情节严重。且该公司作为网络数据处理者，未依法建立健全全流程网络数据安全管理制度，未依法组织开展网络数据安全教育培训，未采取相应的技术措施和其他必要措施等保障网络数据安全。该公司上述行为违反了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等互联网法律法规。渝中区网信办依据《中华人民共和国数据安全法》规定，对该公司作出了限期五日改正、给予行政警告，并处罚款10万元的行政处罚。目前，该公司已完成整改，建立健全相关管理制度，并全额缴纳罚款。 渝中区网信办将持续深入推进依法管网治网，进一步加强网络管理与执法工作，督促网站平台切实履行主体责任和社会责任，健全管理制度，依法打击各类网络违法违规行为，切实维护网络安全、数据安全和广大网民的合法权益。   转自网信渝中，原文链接https://mp.weixin.qq.com/s/qx7Fuqw9NfWGX6-2mQ4JSA 封面来源于网络，如有侵权请联系删除

Akamai 警告说，许多网络都面临着遭受攻击的风险，这些攻击可能会欺骗 DNS 记录并窃取 Active Directory 中的秘密，而 Microsoft 没有计划解决这一缺陷。 Akamai 的安全研究人员 发现Microsoft Active Directory 系统中存在严重威胁。针对这些系统的攻击可能允许攻击者欺骗 DNS 记录、破坏 Active Directory 并窃取其中存储的机密。 这些攻击对于运行标准 Microsoft 动态主机配置协议 ( DHCP ) 配置的服务器尤其危险。值得注意的是，它们不需要用户凭据。 Akamai 向 Microsoft 报告了该问题，但据消息人士称，后者没有计划修复此缺陷。微软尚未就此事回应记者的询问。 虽然没有服务器受到此类攻击的报告，但 Akamai 专家警告说，鉴于 Akamai 监控的数千个网络中有 40% 使用易受攻击的 Microsoft DHCP 配置，因此许多组织可能容易受到攻击。 此外，Akamai 还为系统管理员提供了一个工具来帮助检测易受攻击的配置。 Akamai 研究人员（包括 Ori David） 透露 ，黑客能够从 DHCP 服务器提取信息、识别有风险的 DNS 记录、更改它们，从而破坏 Active Directory 域。这些结论是基于之前对类似漏洞的研究。 问题是通过 DHCP 更新 DNS 记录不需要客户端身份验证。这使得攻击者无需任何凭据即可使用 DHCP 服务器向 DNS 服务器进行身份验证。 除了创建不存在的 DNS 记录之外，攻击者还可以覆盖现有数据，包括 ADI 区域中的 DNS 记录，尤其是在域控制器上安装了 DHCP 服务器的情况下。据 Akamai 称，他们监控的57%的网络都会出现这种情况。 专家敦促组织禁用 DHCP DNS 动态更新功能并避免使用 DNSUpdateProxy 组，以最大程度地降低风险。   转自安全客，原文链接https://www.anquanke.com/post/id/291776 封面来源于网络，如有侵权请联系删除

思科安全副总裁 Jitu Patel在最近于墨尔本举行的 Cisco Live 活动中分享了他对人工智能如何改变我们处理网络安全方式的愿景。 他说，重点可能会从应对网络攻击转向预测和预防网络攻击。一般来说，基于人工智能的自动化系统已经能够提前识别潜在威胁，因此此类解决方案的广泛实施已经为时不远。 随后，公司全新创新产品——思科AI助手正式亮相。该解决方案是将人工智能集成到思科统一跨域安全平台安全云中的重要一步。 Patel 强调：“要成为一家以人工智能为中心的公司，你需要以数据为中心。这项创新为我们的客户提供了内置于思科安全云中的人工智能。” 随着包括勒索软件在内的网络攻击不断增加，思科 AI Assistant 能够及时响应组织的机器级安全需求。 在新产品提供的创新中，值得强调的是用于调整防火墙安全策略的AI助手，它将帮助分析上述策略，提出建议并帮助尽可能高效地配置它们，而无需求助于任何其他策略指自然语言以外的语言。 思科还引入了一种直接检测加密流量中恶意活动的机制，这在以前被认为是一项非常难以实施的任务。 然而，帕特尔表示，实施此类基于人工智能的工具将需要强大的计算能力。因此，该公司打算将此类服务部分货币化。不过，我们并不是在谈论高价格，以免阻碍下一代安全解决方案的广泛采用。 因此，随着人工智能技术的发展，网络威胁防护市场预计将发生重大变化。重点可能会从被动转变为主动，这看起来确实是未来。   转自安全客，原文链接https://www.anquanke.com/post/id/291756 封面来源于网络，如有侵权请联系删除

俄罗斯 APT28 军事黑客利用 Microsoft Outlook 0day漏洞攻击多个欧洲北约成员国，其中包括北约快速部署部队。 Palo Alto Networks Unit 42 的研究人员观察到，APT28 军事黑客在大约 20 个月的时间里，针对 14 个国家的至少 30 个组织开展了三场活动，利用了 CVE-2023-23397 漏洞，这些组织被认为对俄罗斯军方和政府可能具有战略情报意义。 俄罗斯黑客还被追踪为“Fighting Ursa”、“Fancy Bear”和“Sofacy”，他们之前曾与俄罗斯主要情报局（GRU）（该国的军事情报机构）有联系。 2022 年 3 月，即俄罗斯入侵乌克兰三周后，他们开始利用 Outlook 安全漏洞作为0day漏洞武器，以乌克兰国家移民局为目标。 2022 年4 月中旬至 12 月期间，他们侵入了欧洲约 15 个政府、军事、能源和交通组织的网络，窃取了可能包含支持俄罗斯入侵乌克兰的军事情报的电子邮件。 尽管微软在一年后（即 2023 年 3 月）修补了该0day漏洞，但 APT28 运营商仍在继续利用 CVE-2023-23397 漏洞窃取凭证，从而允许他们在受感染的网络中横向移动。 5 月份，当影响所有 Outlook Windows 版本的绕过(CVE-2023-29324) 出现时，攻击面进一步增加。 APT28恶意Outlook任务请求 目标是北约快速部署部队 今天，Unit 42 表示，在受到攻击的欧洲国家中，所有已确定的国家都是目前的北大西洋公约组织 (NATO) 成员国，但不包括乌克兰。 至少一支北约快速部署军（能够快速部署指挥北约部队的高度戒备部队总部）成为目标。 此外，除了欧洲国防、外交和内政机构之外，APT28 的重点还扩展到涉及能源生产和分配、管道基础设施运营以及材料处理、人员和航空运输的关键基础设施组织。 “对目标使用0day漏洞表明它具有重要价值。这也表明当时该目标的现有访问权限和情报不足。”Unit 42 表示。 在第二次和第三次行动中，Fighting Ursa 继续使用已经被归咎于他们的众所周知的漏洞，而没有改变他们的技术。这表明这些行动所产生的访问和情报超过了公开活动和发现的后果。 “出于这些原因，所有三项活动中针对的组织很可能比俄罗斯情报部门的正常优先级更高。” 10月，法国网络安全机构（ANSSI）披露，俄罗斯黑客利用Outlook安全漏洞攻击法国各地的政府机构、企业、教育机构、研究中心和智库。 本周，英国和五眼情报联盟的盟友还将一个被追踪为 Callisto Group、Seaborgium 和 Star Blizzard 的俄罗斯威胁组织与俄罗斯联邦安全局 (FSB) 的“Centre 18”部门联系起来。 微软的威胁分析师通过禁用攻击者用于监视和收集电子邮件的 Microsoft 帐户，挫败了针对多个欧洲北约国家的 Callisto 攻击。 美国政府现在悬赏 1000 万美元，征集有关 Callisto Group 成员及其活动的信息。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pmzdPzxnIWEM4anpJ65Abw 封面来源于网络，如有侵权请联系删除

英国政府周四指责俄罗斯联邦安全局（FSB）的一个部门利用网络攻击进行“持续但不成功”的攻击活动，破坏该国民主制度。 部长利奥·多赫蒂在向下议院发表的一份声明中表示，已传唤俄罗斯大使，以便政府提出这一问题，并强调政治干预是不可接受的。 自 2015 年以来，英国数百人的个人电子邮件帐户（包括来自多个政党的知名政客）已成为该活动的目标，据报道，其中包括 2019 年时任贸易部长利亚姆·福克斯 (Liam Fox) 的帐户。 英国政府正式将这些黑客攻击背后的组织归咎于FSB 18 中心的官员，该组织已被Calisto、COLDRIVER或Star Blizzard/SEABORGIUM等多家公司追踪。 周四上午，英国任命鲁斯兰·佩雷蒂亚特科 (Ruslan Peretyatko) 为 FSB Center 18 的官员之一，同时任命安德鲁·科里内茨 (Andrew Korinets) 为卡里斯托组织 (Callisto Group) 的成员，并将两人添加到其网络制裁名单中。 詹姆斯·巴贝奇表示：“今天宣布的制裁是国家犯罪局经过漫长而复杂的调查的结果，表明敌对的俄罗斯黑客组织是旨在破坏英国的反复、有针对性的攻击的幕后黑手。” “这一行动向针对英国的犯罪分子发出了明确的信息，无论他们身在何处；我们知道他们是谁，他们无法免受我们行动的影响，我们不会停止扰乱他们的努力。”NCA 威胁总干事补充道。 预计美国和欧盟将于周四晚些时候发表支持声明。 除了英国的声明之外，微软还发布了一篇博客文章，详细介绍了该组织的活动，并警告“该组织继续改进他们的间谍手段以逃避检测。” FSB Center 18 的官员此前在美国被指控招募犯罪黑客来攻击雅虎和谷歌运营的电子邮件服务。 据美国称，在那一事件中，目标“符合俄罗斯联邦安全局的预期利益”，其中包括“属于俄罗斯记者的个人账户；俄罗斯和美国政府官员；俄罗斯一家著名网络安全公司的员工；以及其他提供商的众多员工，他们的网络被共谋者试图利用。” 在利亚姆·福克斯的案例中，FSB 有选择地泄露并放大了这些被盗信息，这些信息随后在英国 2019 年大选期间被反对党领袖杰里米·科尔宾引用。 “俄罗斯干涉英国政治的企图是完全不可接受的，并且试图威胁我们的民主进程。尽管他们一再努力，但还是失败了。”英国外交大臣戴维·卡梅伦说。 英国政府此前曾指责俄罗斯试图“通过在网上放大非法获取和泄露的政府文件”来干预 2019 年大选。 当时，俄罗斯政府也被指控试图干涉美国和法国的选举，但俄罗斯政府否认了英国的指控。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/kDUGkz0_P59WNMjZ-rEFxw 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局 (CISA) 将 高通漏洞添加到其已知可利用漏洞 (KEV) 目录中。 以下是添加到目录中的问题列表： CVE-2023-33106  Qualcomm 多芯片组使用超出范围的指针偏移漏洞 CVE-2023-33063  Qualcomm 多芯片组释放后使用漏洞 CVE-2023-33107  Qualcomm 多芯片组整数溢出漏洞 CVE-2022-22071  Qualcomm 多芯片组释放后使用漏洞 该供应商于 2023 年 10 月解决了CVE-2023-33106、CVE-2023-33107和CVE-2023-33063缺陷。该公司还警告说，其中三个0day漏洞在野攻击中被积极利用。CVE-2022-22071 已包含在我们 2022 年 5 月的公共公告中。 谷歌威胁分析小组和谷歌零项目首先报告称，CVE-2023-33106、CVE-2023-33107、CVE-2022-22071和CVE-2023-33063在针对性攻击中被积极利用。 谷歌威胁分析小组和谷歌零项目专家重点关注民族国家行为者或监控公司实施的攻击，这意味着这些威胁行为者之一可能是利用高通缺陷的幕后黑手。 根据约束性操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在到期日之前解决已识别的漏洞，以保护其网络免受利用目录中的缺陷的攻击。 专家还建议私人组织审查 目录 并解决其基础设施中的漏洞。CISA 命令联邦机构在 2023 年 12 月 26 日之前修复这些漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/291732 封面来源于网络，如有侵权请联系删除

随着大语言模型（LLM）开始整合多模态功能，攻击者可能会在图像和音频中隐藏恶意指令，利用这些指令操纵AI聊天机器人（例如ChatGPT）背后的LLM对用户提示的响应。在2023年欧洲黑帽大会上表示，研究人员指出，这样的攻击方式将很快称为现实。 简单来说，攻击者可能会利用这些所谓的“间接提示注入”攻击，将用户重定向到恶意URL，从用户那里提取个人信息，传递有效载荷，以及采取其他恶意行动。随着LLM日益成为多模态或能够对结合文本、音频、图片乃至视频的上下文输入作出回应，此类攻击可能会成为一个重大问题。 隐藏在图像和音频中的恶意指令 在本周举办的2023年欧洲黑帽大会上，康奈尔大学的研究人员将展示他们开发的一种攻击，该攻击利用图像和声音向多模态LLM注入指令，导致模型输出攻击者指定的文本和指令。他们的概念验证攻击示例针对的是PandaGPT和LLaVa多模态LLM。 研究人员在一篇题为“滥用图像和声音进行多模态LLM中的间接指令注入”的论文中写道：“攻击者的目标是引导用户与多模态聊天机器人之间的对话。”为此，攻击者将提示融入图像或音频片段，并操纵用户询问聊天机器人有关它的问题。”研究人员计划展示一旦聊天机器人处理了输入，它将输出隐藏在音频或图像文件中的攻击者注入的提示，或者遵循攻击者可能在提示中包含的任何指令。 例如，研究人员将一条指令混合到在线可用的音频片段中，导致PandaGPT响应攻击者特定的字符串。如果用户将音频片段输入聊天机器人，并要求描述声音，模型的响应将指导用户访问一个恶意URL，表面上是为了了解更多关于制造声音的“非常罕见的鸟”。 在另一个示例中，研究人员将指令混合到一幢建筑物的图像中，如果用户将图像输入聊天机器人并询问有关它的问题，那么LLaVa将会像哈利·波特一样聊天。 康奈尔大学的研究员、报告的作者之一本·纳西（Ben Nassi）表示，他们研究的目标之一是找到一种方式，可以以用户无法察觉的方式间接地将提示注入到多模态聊天机器人中。另一个目标是确保他们能够“扰动”图像或音频，而不影响LLM正确回答有关输入的问题。 纳西将这项研究描述为建立在其他人的研究基础上，这些研究展示了LLM如何容易受到提示注入攻击的影响，其中敌手可能以这样的方式设计输入或提示，以故意影响模型的输出。一个最近的例子是谷歌DeepMind和六所大学的研究人员进行的一项研究，该研究表明，通过简单地引导ChatGPT重复某些单词，如“诗歌”和“公司”，可以操纵ChatGPT重复大量其训练数据——包括敏感和个人身份信息。 纳西和他的团队将在黑帽大会上展示的攻击不同之处在于它涉及间接提示。换句话说，用户不太像常规提示注入中的攻击者，而更像是受害者。 “我们不将用户作为敌手，”康奈尔大学的研究员、报告的主要作者尤金·巴格达萨良（Eugene Bagdasaryan）说。报告的另外两位作者是康奈尔大学的研究员蔡宗瀛（Tsung-Yin Hsieh）和维塔利·什马蒂科夫（Vitaly Shmatikov）。巴格达萨良补充说：“在这种情况下，我们展示了用户不知道图像或音频中包含有害的东西。” 间接提示注入攻击 这篇新论文并不是首次探讨间接提示注入作为攻击LLM的方式。今年5月，德国萨尔兰大学CISPA亥姆霍兹信息安全中心和Sequire Technology的研究人员发表了一份报告，描述了攻击者如何通过将隐藏的提示注入模型在响应用户输入时可能检索的数据中来利用LLM模型。研究人员得出结论：“LLM功能的易扩展性通过自然提示可以实现更直接的攻击策略。 然而，在那种情况下，攻击涉及策略性放置的文本提示。巴格达萨良表示，他们的攻击不同，因为它展示了攻击者如何也将恶意指令注入音频和图像输入中，使它们潜在更难以检测。 涉及操纵音频和图像输入的攻击的另一个区别在于，聊天机器人将在整个对话过程中继续以其受指示的方式响应。例如，引导聊天机器人以哈利·波特式的方式回应，即使用户可能已经停止询问特定的图像或音频样本，它也会继续这样做。 将用户引导至武器化图像或音频片段的潜在方法可能包括将用户通过网络钓鱼或社交工程诱骗至带有有趣图像的网页，或通过带有音频片段的电子邮件。研究人员在他们的论文中写道：“当受害者直接将图像或片段输入到一个孤立的LLM并询问有关它的问题时，模型将受到攻击者注入的提示的引导。” 这项研究很重要，因为许多组织正急于将LLM功能整合到他们的应用程序和操作中。那些设计出方法将有毒的文本、图像和音频提示悄悄带入这些环境的攻击者可能会造成重大损害。   转自Freebuf，原文链接：https://www.freebuf.com/news/385857.html 封面来源于网络，如有侵权请联系删除

AI 网络安全初创公司 Lasso 发现了代码存储库中暴露的 1,600 多个有效 Hugging Face API 令牌，可提供对数百个组织帐户的访问。 泄露的秘密（例如代币）长期以来一直是代码托管平台和安全研究人员关注的焦点，因为它们落入坏人之手时会带来很高的风险。 Hugging Face API 令牌也不例外，它允许开发人员和组织集成大型语言模型 (LLM) 并管理 Hugging Face 存储库。 Hugging Face 是构建机器学习 (ML) 应用程序的工具提供商，是法学硕士项目开发人员的热门资源，使他们能够访问其存储库中的数十万个人工智能模型和数据集。 2023 年 11 月，Lasso 的研究人员开始在 Hugging Face 和 GitHub 上寻找暴露的 Hugging Face API 令牌，最终在两个平台上识别出 1,681 个泄露的有效令牌。 研究人员表示，这些代币可以访问 723 个组织的帐户，其中一些属于 Google、Meta、微软、VMware 等大型组织。 “在这些帐户中，我们发现 655 个用户的代币具有写入权限，其中 77 个用户的代币具有不同组织的权限，这使我们能够完全控制几家知名公司的存储库，”Lasso 指出。 该安全公司表示，其中一些代币提供了对拥有数百万下载量模型的组织帐户的完全访问权限。 “通过控制一个拥有数百万下载量的组织，我们现在拥有操纵现有模型的能力，有可能将它们变成恶意实体。这意味着一个可怕的威胁，因为损坏模型的注入可能会影响数百万依赖这些基础模型进行应用程序的用户，”Lasso 指出。 Lasso 表示，泄露的代币还会使存储库面临私有模型盗窃和训练数据中毒的风险，这是一种影响完整性或机器学习模型的攻击技术。 在 Lasso 调查期间，Hugging Face 弃用了其 org_api 令牌并阻止其在其 Python 库中使用。虽然这实质上删除了受影响存储库的写入权限，但它并没有阻止读取权限。 Lasso 表示，它已将调查结果告知受影响的用户和组织，其中许多用户和组织立即采取了行动，撤销了令牌并删除了公共访问令牌代码。Hugging Face 也获悉了调查结果。   转自安全客，原文链接：https://www.anquanke.com/post/id/291690 封面来源于网络，如有侵权请联系删除

欧盟立法者就《网络弹性法案》在技术和政治层面均达成一致，下一步欧洲议会和欧盟理事会通过后将成为法律。 有消息称：欧盟政策制定者于11月30日达成了关于《网络弹性法案》的政治协议，弥合了在最后几个悬而未决问题上的分歧。 《网络弹性法案》是一项立法提案，为从智能玩具到工业机械等各类联网设备引入安全要求。欧盟委员会、欧洲议会和欧盟理事会通过“三方对话”会议最终敲定这一法案。下一步需要欧洲议会和欧盟理事会正式通过，才能成为法律。 该协议此前在技术层面上已经基本敲定，提案的许多方面在政治会议期间得到认可。欧盟谈判代表经过激烈讨论之后解决了最后的政治障碍。 牵头此事的欧洲议会议员Nicola Danti表示，“《网络弹性法案》将加强联网产品的网络安全，解决硬件和软件中的漏洞问题，让欧洲大陆更安全、更有弹性。欧洲议会已经立法保护供应链，并将保护路由器、杀毒软件等关键产品列为网络安全优先事项。” 漏洞处理机制 法案规定，如果制造商知道联网设备存在可能被黑客利用的重大漏洞，不得将此类产品投放市场。一旦发现这些潜在入口，在产品公开的支持期限内，他们必须处理这些问题。 一旦发现安全事件或被积极利用漏洞，制造商必须向有关当局报告，并告知他们采取了哪些行动减轻安全风险。 被积极利用漏洞是一类极其敏感的网络威胁情报，表明黑客入口仍然没有被修补。因此，谁应该负责处理这些敏感信息成为谈判的焦点。 欧盟部长理事会将这项任务从欧盟网络安全局（ENISA）移交给各国计算机安全事件响应团队（CSIRTs）。根据修订的《网络和信息系统指令》（NIS2），这些团队本就担负类似的任务。 然而，欧洲议会坚持让ENISA参与，避免国家机构在保留这些高度敏感信息方面拥有过多自主权。 后来，双方达成妥协，决定要求制造商通过单一报告平台同时向有关CSIRT和ENISA发送通知。但是，欧盟成员国认为，考虑网络安全事宜，他们应该有权利对发送给ENISA的信息加以限制。 各方对这些限制的条件进行激烈讨论，达成的条件十分“狭窄”。具体而言，如涉及产品主要存在于国内市场且不对其他欧盟国家构成风险，所在国CSIRT有权限制向ENISA发送通知。 其次，成员国当局不会被强制要求，向ENISA披露他们认为与保护基本安全利益相关的任何信息。这一限制性条款符合欧盟条约。 第三，如制造商自认为信息进一步传播会立即带来风险，并在提交给CSIRT的通知中加以说明，所在国也有权对发送给ENISA的信息加以限制。 另一方面，欧洲议会议员争取到如下权利：ENISA仍将获得部分信息，用以监测欧盟单一市场的任何系统性风险。ENISA将了解相关制造商和产品信息，以及有关漏洞利用的一般信息。 欧洲议会议员们还推动在法案中明确，ENISA应获得足够的资源应对新任务。虽然这未能成为法案的一部分，但它将纳入欧盟主要机构发布的联合声明。 开源软件 谈判的另一大焦点是如何处理集成到商业产品中的开源软件。就此，各方已在技术层面达成一项协议，并在政治层面得到认可。 法案仅涵盖在商业活动背景下开发的软件，并专门针对开源软件管理者在文档编制和漏洞处理方面制定规则。 根据外媒Euractiv看到的最终文本，法案排除了那些在市场上销售开源软件但将所有收入重新投资于非营利活动的非营利组织。 其他热点话题 法案还包括其他热点话题的条目，如国家安全豁免、次级立法、罚款收入分配等。 成员国专门为国家安全或国防目的开发或修改的任何产品不受法案限制。 欧盟立法阶段反复讨论次级立法类型。如果是委托法规（delegated acts），需要欧洲议会参与，而执行法规（implementing acts）无需欧洲议会参与。支持期限将在委托法规下详细定义，而特殊产品类别将在执行法规下定义。 欧洲议会推动加入措辞，要求《网络弹性法案》的罚没款项用于增强网络安全能力的活动。这一点没有写入法案文本，但将在法案总则中提及。   转自安全内参，原文链接：https://www.secrss.com/articles/61414 封面来源于网络，如有侵权请联系删除