Hacking8 安全信息流
最近更新
| 时间 | 节点 | |
|---|---|---|
| 2024年5月17日 11:32 | hackernews.cc |
研究者展示了如何在不同的语音大模型上进行对抗性攻击,使用跨模型和交叉提示攻击等技术来引发意想不到的响应。 OpenAI近日发布的GPT-4o多模态大语言模型震惊了世界,该模型可以通过传感器感知世界并与人类通过语音进行无缝交流,完成各种复杂任务(例如给孩子辅导数学),将科幻电影中的智能机器人场景带入现实。 GPT-4o的问世标志着大语言模型与人类交互的主要渠道正从键盘/文本转向语音,能够遵循语音指令并生成文本/语音响应的集成式语音和大语言模型(SLM)越来越受欢迎。苹果Siri、亚马逊Alexa等可与大语言模型整合的语音智能助理也将迎来第二春。但与此同时,一个新的人工智能安全风险也正浮出水面:对抗性语音攻击。 语音大模型的致命漏洞 近日,亚马逊网络服务(AWS)的研究人员发布了一项新研究,揭示了能够理解和回应语音的多模态大语言模型存在重大安全漏洞。该论文题为《SpeechGuard:探索多模态大语言模型的对抗鲁棒性》,详细描述了这些AI系统如何被精心设计的音频攻击操控,进而生成有害、危险或不道德的响应。 语音接口已经在智能音箱和AI助手(例如苹果的Siri和亚马逊的Alexa)中普及,随着功能强大的大语言模型也开始依赖语音接口执行复杂任务,确保语音大模型技术的安全性和可靠性变得空前紧迫起来。 AWS的研究人员发现,即使内置了安全检查,语音大模型在“对抗性攻击”面前表现得极为脆弱。这些攻击通过对音频输入进行人类难以察觉的微小篡改,就能完全改变大模型的行为(越狱)。 研究论文中的一幅图示(上图)展示了一个语音问答AI系统在遭受对抗性攻击时,如何被操控以提供不道德或者非法内容,例如如何抢劫银行。研究人员提出了一种预处理防御方法,以缓解基于语音的大模型中的此类漏洞(图片来源:arxiv.org)。 攻击成功率高达90% 研究者设计了一种算法,可以在白盒攻击(攻击者拥有有关目标模型的所有信息,例如其架构和训练数据)和黑盒攻击(攻击者仅能访问目标模型的输入和输出,而不知道其内部工作原理)设置下生成对抗性样本,实现无需人工干预的语音大模型越狱。 “我们的越狱实验展示了语音大模型在对抗性攻击/白盒攻击和转移攻击/黑盒攻击面前是多么脆弱。基于精心设计的有害问题数据集进行评估时,平均攻击成功率分别为90%(对抗性攻击/白盒攻击)和10%(转移攻击/黑盒攻击)。”论文作者写道:“这引发了关于不法分子者可能大规模利用语音大模型的严重担忧。 |
| 2024年5月17日 11:32 | hackernews.cc |
桑坦德银行表示,集团所有现任员工、部分前任员工、西班牙等多国客户的信息遭到泄露。 安全内参5月16日消息,桑坦德银行(Banco Santander SA)宣布,遭遇一起数据泄露事件,客户受到影响。事件起因是一名未经授权的人员访问了该银行某个第三方服务提供商托管的数据库。 桑坦德银行是全球范围内最大、最重要的银行之一,业务遍布西班牙、英国、巴西、墨西哥和美国。该银行以其多样化的金融产品和服务而闻名,为超过1.4亿客户提供服务。 在本周发布的一份声明中,桑坦德银行披露了这起数据泄露事件,该事件影响了西班牙、智利和乌拉圭的客户和员工。 声明写道:“我们最近发现了一起未经授权访问桑坦德银行数据库的事件,该数据库由一家第三方提供商托管。” 桑坦德银行表示,已迅速采取行动,遏制事件蔓延,并阻止对数据库的违规访问。为了保护受影响的客户,该银行还实施了额外的欺诈预防控制措施。 “经过调查,我们现在确认,某些涉及桑坦德银行智利、西班牙和乌拉圭客户,以及该集团的现任和部分前任员工的信息已被访问。” ——桑坦德银行 桑坦德银行没有透露具体受影响的数据类型,但指出交易信息以及网络银行账户凭据未受影响。 这家金融机构表示,桑坦德银行在其他市场的业务没有受到这次事件影响。 此外,已确认该银行在上述国家的系统和运营未受影响,因此客户无需担心,可以继续使用所有服务。 桑坦德银行将直接通知受数据泄露影响的客户和员工,以及执法部门。 外媒BleepingComputer已联系桑坦德银行,要求提供有关第三方服务提供商、受影响客户人数和泄露数据类型的信息,但目前尚未收到回复。   转自安全内参,原文链接:https://www.secrss.com/articles/66184 封面来源于网络,如有侵权请联系删除 |
| 2024年5月17日 11:12 | Github关注 |
为英语学习者量身打造的视频播放器,助你通过观看视频、沉浸真实语境,轻松提升英语水平。 |
| 2024年5月17日 11:12 | 腾讯玄武实验室推送 |
介绍了英特尔处理器中的潜在安全漏洞及其解决方案,重点是硬件逻辑不安全的去同步问题 |
| 2024年5月17日 11:12 | 腾讯玄武实验室推送 |
披露了Apache OFBiz 18.12.13版本之前的CVE-2024-32113漏洞,该漏洞由Qiyi Zhang (RacerZ) @secsys from Fudan (finder)发现。漏洞的根本原因是路径遍历,可能导致远程代码执行。 |
| 2024年5月17日 10:52 | 腾讯玄武实验室推送 |
讨论了在Linux内核中安装键盘记录器的方法,以及如何从Linux内核结构中提取信息。 |
| 2024年5月17日 10:52 | 腾讯玄武实验室推送 |
GE HealthCare Vivid Ultrasound产品系列存在多个安全漏洞,可能被恶意利用,影响患者数据安全,并甚至安装勒索软件。其中最严重的漏洞是CVE-2024-27107,涉及使用硬编码凭据。 |
| 2024年5月17日 10:52 | 腾讯玄武实验室推送 |
介绍了如何使用树莓派 Pico 作为物理植入设备进行攻击,并通过扩展 LoRa 模块来增强攻击能力。 |
| 2024年5月17日 10:52 | 腾讯玄武实验室推送 |
介绍了使用AddressSanitizer (ASan)来检测代码中可能导致远程代码执行攻击的内存问题,重点讨论了ASan在C++中的应用 |
| 2024年5月17日 10:52 | 腾讯玄武实验室推送 |
使用PVS-Studio静态代码分析工具发现并修复qdEngine游戏引擎中的缺陷和潜在漏洞 |
| 2024年5月17日 10:52 | 腾讯玄武实验室推送 |
OpenSSL公开了一个新的漏洞CVE-2023-3446,该漏洞会导致使用EVP_PKEY_param_check()或EVP_PKEY_public_check()函数进行DSA公钥或DSA参数检查的应用程序出现长时间延迟。漏洞由fuzzer最先检测到,并在OpenSSL的git存储库中提供了修复。 |
| 2024年5月17日 10:52 | 腾讯玄武实验室推送 |
Adventures and Accidental Honeypots in Network Infrastructure: Unravelling Internet Shenanigans |
| 2024年5月17日 10:52 | 先知社区 | |
| 2024年5月17日 10:32 | 先知社区 | |
| 2024年5月17日 10:32 | 先知社区 | |
| 2024年5月17日 10:32 | 先知社区 | |
| 2024年5月17日 10:12 | Github关注 |
solidity-by-example 教程中文翻译|@Web3-Club |
| 2024年5月17日 10:12 | Github关注 |
Effective Vulnerability Identification by Learning Comprehensive Program Semantics via Graph Neural Networks |
| 2024年5月17日 10:12 | Github关注 | |
| 2024年5月17日 10:12 | Github关注 | |
| 2024年5月17日 10:12 | Github关注 |
Cobaltstrike UDRL with memory evasion |
| 2024年5月17日 10:12 | freebuf |
本文主要探讨企业在管理和强化端点与主机安全方面所面临的挑战,并介绍一些最佳实践和策略,帮助企业构建一个坚固的安全防线。 |
| 2024年5月17日 10:03 | Github_POC |
The mailSend function in the isMail transport in PHPMailer before 5.2.18 might allow remote attackers to pass extra parameters to the mail command and consequently execute arbitrary code via a \" (backslash double quote) in a crafted Sender property. [GitHub]CVE-2016-10033 Wordpress 4.6 Exploit " 在PHPMailer的isMail传输模块中的mailSend函数在5.2.18版本之前可能允许远程攻击者通过构造发送者属性中的\\\"(反斜杠双引号)向邮件命令传递额外参数,从而通过执行任意代码来攻击。\n[GitHub]CVE-2016-10033 Wordpress 4.6漏洞利用" |
| 2024年5月17日 10:03 | Github_POC |
A vulnerability classified as critical has been found in karsany OBridge up to 1.3. Affected is the function getAllStandaloneProcedureAndFunction of the file obridge-main/src/main/java/org/obridge/dao/ProcedureDao.java. The manipulation leads to sql injection. The complexity of an attack is rather high. The exploitability is told to be difficult. Upgrading to version 1.4 is able to address this issue. The name of the patch is 52eca4ad05f3c292aed3178b2f58977686ffa376. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-218376. [GitHub]obride with CVE-2018-25075 " 发现了一个被列为严重的漏洞,位于karsany OBridge 1.3版本之前。受到影响的是文件obridge-main/src/main/java/org/obridge/dao/ProcedureDao.java中的getAllStandaloneProcedureAndFunction功能。该操作导致SQL注入。攻击的复杂度相当高。利用难度被认为较大。升级到1.4版本可以解决这个问题。补丁的名称是52eca4ad05f3c292aed3178b2f58977686ffa376。建议升级受影响的组件。此漏洞的标识符为VDB-218376。\n[GitHub] obride 与 CVE-2018-25075" |
| 2024年5月17日 10:02 | 补天社区 |
不同于理论分析文章,这边分为三个部分,从理论到实战,主要是想让大家入门一下内存马的原理,以及学习利用CC链或者fastjson等打内存马的一些坑点还有如何注入内存马连接冰蝎,让师傅们能快速在实战中上手。 |
| 2024年5月17日 09:32 | 每周科技周刊 |
本周,太阳活动剧烈,引起几十年来最大的地磁暴。地球的中高纬度地区,普遍可以看到极光,就连北京这样的中纬度城市,都出现了极光,上图是长城。(via) 三十年,解决人生三大问题 我最近看到一篇文章,很有意思,分享给大家。 文章大意是,人的一生就是解决三个基本问题:事业、家庭和财务。 一份有成就的事业,一个幸福的家庭,一个健康的财务状况,人生就没有遗憾了。 我们的人生规划,就是朝着解决这三个问题努力。哪 |
| 2024年5月17日 09:12 | freebuf |
澳大利亚政府承诺,自2024-2025财年起,四年内将投入1.607亿澳元,并在之后每年持续投入2460万澳元。 |
| 2024年5月17日 09:02 | 补天社区 |
DSL-JSON 是一个为 JVM(Java 虚拟机)平台设计的高性能 JSON 处理库,支持 Java、Android、Scala 和 Kotlin 语言。它被设计为比任何其他 Java JSON 库都快,与最快的二进制 JVM 编解码器性能相当。浅析其中潜在的参数走私场景。 |
| 2024年5月17日 08:32 | Github关注 |
Cobaltstrike UDRL with memory evasion |
| 2024年5月17日 08:12 | freebuf |
本Q1报告基于其以往的威胁情报研究撰,旨在突出公众应该了解的重大事件和发现。 |