国外2024年热门AI新闻

文摘   2024-12-16 09:11   河南  

2024 年是人工智能 (AI) 辉煌的一年。然而,随着企业加大采用力度,恶意行为者一直在探索利用智能攻击破坏系统的新方法。

随着人工智能领域的快速发展,在前进之前,值得回顾一下。以下是我们 2024 年的五大人工智能安全故事。

你现在能听到我的声音吗?黑客利用人工智能劫持音频

攻击者可以使用大型语言模型(LLM)、语音克隆和语音转文本软件伪造整个对话。但是,这种方法相对容易被发现,因此 IBM X-Force 的研究人员进行了一项实验,以确定是否可以实时捕获和替换对话的某些部分。

他们发现这不仅是可能的,而且相对容易实现。在实验中,他们使用了关键字“银行账户”——每当演讲者说银行账户时,法学硕士就会被指示用假的银行账户号码替换所述的银行账户号码。

人工智能的有限使用使得这种技术很难被发现,为攻击者提供了一种不被发现的窃取关键数据的方法。

疯狂时刻:新安全工具可在 60 秒内检测到 AI 攻击

降低勒索软件风险仍然是企业 IT 团队的首要任务。然而,生成式人工智能 (gen AI)和 LLM 使这一任务变得困难,因为攻击者使用生成式解决方案来制作网络钓鱼电子邮件,并使用 LLM 来执行基本的脚本任务。

新的安全工具,例如基于云的 AI 安全和 IBM 的 FlashCore 模块,提供 AI 增强检测,可帮助安全团队在不到 60 秒的时间内检测到潜在攻击。

保护途径——绘制人工智能攻击的影响图

研究发现,84% 的首席执行官担心与人工智能相关的大规模或灾难性攻击。

为了帮助保护网络、软件和其他数字资产的安全,公司必须了解人工智能攻击的潜在影响,包括:

  • 提示注入:攻击者创建恶意输入,覆盖系统规则来执行非预期的操作。

  • 数据中毒:对手篡改训练数据以引入漏洞或改变模型行为。

  • 模型提取:恶意行为者研究 AI 模型的输入和操作,然后尝试复制它,从而使企业 IP 面临风险。

ChatGPT 4 快速破解一日漏洞

坏消息是什么?在一项使用 15 个一日漏洞的研究中,安全研究人员发现 ChatGPT 4 可以在 87% 的时间内正确利用它们。一日漏洞包括易受攻击的网站、容器管理软件工具和 Python 包。

更好的消息是?当 LLM 可以访问CVE描述时, ChatGPT 4 攻击的效果要好得多。如果没有这些数据,攻击效果将下降到只有 7%。还值得注意的是,即使有 CVE 数据,其他 LLM 和开源漏洞扫描程序也无法利用任何一日问题。

NIST 报告:人工智能容易遭受注入式黑客攻击

NIST 最近的一份报告《对抗性机器学习:攻击和缓解的分类和术语》发现,快速注入对大型语言模型构成了严重风险。

提示注入有两种类型:直接和间接。在直接攻击中,网络犯罪分子会输入导致意外或未经授权的操作的文本提示。一种流行的提示注入方法是 DAN,即“立即执行任何操作”。DAN 要求 AI 通过告诉 ChatGPT 模型他们现在是 DAN 来进行“角色扮演”,DAN 可以做任何事情,包括进行犯罪活动。DAN 现在至少是 12.0 版本。

与此同时,间接攻击则侧重于提供受损的源数据。攻击者创建 PDF、网页或音频文件,这些文件被 LLM 提取,进而改变 AI 输出。由于 AI 模型依赖于持续提取和评估数据来改进,间接即时注入通常被认为是 gen AI 最大的安全漏洞,因为没有简单的方法来发现和修复这些攻击。

人工智能成为焦点

随着人工智能成为主流,2024 年安全问题显著上升。随着新一代人工智能和法学硕士继续以惊人的速度发展,2025 年将出现更多类似的情况,尤其是随着企业采用率不断上升。

结果如何?现在,企业比以往任何时候都更需要关注人工智能解决方案,并密切关注最新的智能安全新闻。 


— 欢迎关注 往期回顾 —

精彩回顾:祺印说信安2024之前

230个网络和数据安全相关法律法规规范文件打包下载

单位高层领导参与网络安全不应该只是口头说说
党委(党组)网络安全工作责任制实施办法
“两高一弱”专项下,谈合规下的弱口令
网络被黑?还看“两高一弱” ,原来是不履行网络安全义务惹的祸
>>>网络安全等级保护<<<
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
1994-2024等级保护30年法律法规及政策发展历程概览

网络安全等级保护:等级保护的概念

网络安全等级保护:等级保护工作的内涵

网络安全等级保护:开展网络等级保护工作的流程

网络安全等级保护:贯彻落实网络安全等级保护制度的原则

网络安全等级保护:开展网络安全等级保护工作的法律依据

网络安全等级保护:开展网络安全等级保护工作的政策依据

网络安全等级保护:开展网络安全等级保护工作的标准依据

网络安全等级保护:等级保护工作从定级到备案

网络安全等级保护:网络总体安全规划很重要

网络安全等级保护:一定要做好网络安全运行与维护

网络安全等级保护:应急响应与保障是法定要求

网络安全等级保护:如何正确处理终止的等级保护对象

网络安全等级保护:政策与技术“七一”大合集100+篇

网络安全等级保护:安全管理机构

网络安全等级保护:网络安全事件分类分级思维导图

网络安全等级保护:明确测评双方的责任从了解测评过程指南开始(思维导图下载)

>>>数据安全系列<<<

数据安全管理从哪里开始
数据泄露的成本:医疗保健行业
数据安全知识:数据安全策略规划
数据安全知识:组织和人员管理
数据安全知识:数据库安全重要性
数据安全知识:数据整理与数据清理
数据安全知识:什么是数据存储?
数据安全知识:什么是数据风险评估?
数据安全知识:如何逐步执行数据风险评估
数据安全知识:数据风险管理降低企业风险
数据安全知识:数据整理与数据清理
数据安全知识:什么是数据安全态势管理?
数据安全知识:数据库安全重要性
数据安全知识:数据库安全威胁
数据安全知识:不同类型的数据库
数据安全知识:数据库简史
数据安全知识:什么是数据出口?
数据安全知识:什么是数据治理模型?
>>>错与罚<<<

警惕风险突出的100个高危漏洞(上)

警惕风险突出的100个高危漏洞(下)

警惕“两高一弱”风险及安全防护提示(全集)

不履行网络安全保护义务是违法行为!多家单位被通报!

因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历

公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人

四川遂宁公安公布10起涉网违法犯罪典型案例

276人落网!河南新乡警方摧毁特大“网络水军”犯罪团伙

重拳出击严打涉网犯罪 海淀警方守护网络清朗
网警@同学们 暑期这些兼职不能做!

非法出售公民个人信息 网站经营者被判三年有期徒刑

超范围采集公民信息,违法!鹤壁网警出手

一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆

重庆某国企因网安责任人履职不到位被约谈

因违规收集使用个人信息等,人保寿险宁波分公司被罚32万,4名责任人同时被罚

回顾长沙市三个区网信开出首张罚单的不同时间和处罚单位类型

上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!

假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!

网安局:拒不履行网络安全保护义务,处罚!事关备案!

网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网

北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点

关于“近20台服务器“沦陷”,3.54亿条个人信息被盗”一点点浅析

>>>其他<<<

2023年10佳免费网络威胁情报来源和工具

重大网络安全事件事后工作很重要

默认安全:对现代企业意味着什么

网络安全知识:什么是事件响应?

网络安全知识:什么是攻击面?

网络安全知识:什么是访问控制列表 (ACL)?

网络安全知识:什么是访问管理?

网络安全知识:什么是访问矩阵?

网络安全知识:什么是账户收集?

网络安全知识:什么是工业控制系统 (ICS) 网络安全?

网络安全知识:什么是暴力攻击?

网络安全知识:什么是安全审计?

网络安全知识:什么是分组密码?

网络安全知识:什么是僵尸网络?

网络安全知识:什么是非对称加密?

网络安全知识:什么是边界网关协议 (BGP)?

网络安全知识:什么是缓冲区溢出?

网络安全知识:网络安全中的EDR是什么?

网络安全知识:什么是身份验证?

网络安全知识:什么是勒索软件?

网络安全知识:什么是授权?

网络安全知识:什么是自治系统?

网络安全知识:什么是蓝队?

网络安全知识:什么是Bind Shell?

网络安全知识:什么是安全网关?

网络安全知识:什么是蓝队?

网络安全知识:什么是防病毒产品?

网络安全知识:什么是横幅抓取?

网络安全知识:什么是堡垒主机?

网络安全知识:什么是引导扇区病毒?

网络安全知识:计算机网络中的桥接器

网络安全知识:什么是广播?

网络安全知识:什么是业务连续性计划?

网络安全知识:什么是基于证书的身份验证?

网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?

网络安全知识:什么是补丁管理?

网络安全知识:什么是跨站请求伪造?

网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?

网络安全知识:什么是拒绝服务(DoS)攻击?

网络安全知识:什么是端到端加密 (E2EE)?

将人类从网络安全中解放出来

人,是造成网络安全问题的根本原因

祺印说信安
学习网络安全、说网络安全;共同致力于网络安全、网络安全等级保护。
 最新文章