要聞速覽

1、聚焦兩會 | 從政府工作報告看2024年數(shù)字經濟網絡安全發(fā)展新風向

2、全國網安標委發(fā)布《生成式人工智能服務安全基本要求》

3、全球首個AI蠕蟲面世：可在AI系統(tǒng)之間自動傳播

4、蘋果又出大事！因濫用 App Store 規(guī)則被歐盟罰款 140 億元

5、Monogon 組織從臺灣竊取了 1.7 TB 機密數(shù)據

6、蚌埠住了，德國國防部文件密碼是1234

一周政策要聞

聚焦兩會 | 從政府工作報告看2024年數(shù)字經濟網絡安全發(fā)展新風向

3月5 日，世界矚目的“兩會”之十四屆全國人大二次會議正式拉開帷幕，謀劃國家新一年發(fā)展大計。

《2024年政府工作報告》中明確提出，制定支持數(shù)字經濟高質量發(fā)展政策，積極推進數(shù)字產業(yè)化、產業(yè)數(shù)字化，促進數(shù)字技術和實體經濟深度融合。同時，深化大數(shù)據、人工智能等研發(fā)應用，開展“人工智能+”行動，打造具有國際競爭力的數(shù)字產業(yè)集群。

以下為《政府工作報告》數(shù)字經濟/網絡安全要點梳理：

要點1：今年的政府工作報告，首次將“大力推進現(xiàn)代化產業(yè)體系建設，加快發(fā)展新質生產力”列為首項任務。

2024年政府工作十項任務，第一項就是“大力推進現(xiàn)代化產業(yè)體系建設，加快發(fā)展新質生產力”。

此外，2024年2月7日，總書記在中共中央政治局第十一次集體學習時強調，要圍繞發(fā)展新質生產力布局產業(yè)鏈，提升產業(yè)鏈供應鏈韌性和安全水平，保證產業(yè)體系自主可控、安全可靠。

2024年推動該項工作主要有三個方面要點：

推動產業(yè)鏈供應鏈優(yōu)化升級（自主可控能力提升）；

積極培育新興產業(yè)和未來產業(yè)（超大規(guī)模新型智算中心、GPU芯片、下一代智能終端、下一代操作系統(tǒng)等）；

深入推進數(shù)字經濟創(chuàng)新發(fā)展。

要點2：報告提出了“健全數(shù)據基礎制度”，大力推動數(shù)據開發(fā)開放和流通使用。

報告中提及深入推進數(shù)字經濟創(chuàng)新發(fā)展。深化大數(shù)據、人工智能等研發(fā)應用。健全數(shù)據基礎制度，大力推動數(shù)據開發(fā)開放和流通使用。

當前，數(shù)字經濟的蓬勃發(fā)展依賴于牢固的數(shù)據安全保障，在數(shù)據生命周期中建立安全機制，以防范數(shù)據泄露和不當使用顯得尤為重要。數(shù)據安全不僅關乎個人隱私和企業(yè)機密，也是國家安全的關鍵。

縱觀國內外，數(shù)據要素是人工智能及大數(shù)據等新技術實現(xiàn)突破、賦能經濟社會發(fā)展，贏得國際競爭力的根本。只有在政策、平臺及參與主體等方面打通重要“關節(jié)”樞紐，促進數(shù)據要素高效流通交易，才能充分釋放其價值，驅動數(shù)字經濟高質量發(fā)展。

要點3：以人工智能為代表的數(shù)字經濟內容大幅增加，數(shù)字基礎設施和算力體系可能成為重要抓手。

本次《政府工作報告》中，推動以人工智能為代表的數(shù)字經濟發(fā)展也是非常重要的一部分。報告明確提出，制定支持數(shù)字經濟高質量發(fā)展政策，開展“人工智能+”行動。

目前，AI技術呈現(xiàn)出快速發(fā)展的態(tài)勢，在多個領域的應用前景被廣泛看好。AI技術的進步不僅推動了自動化和智能化的進程，還在醫(yī)療、教育、交通等多個行業(yè)中展現(xiàn)出巨大的變革潛力。

報告中提及“數(shù)字經濟”及“人工智能”的主要內容有：

推進數(shù)字產業(yè)化、產業(yè)數(shù)字化，促進數(shù)字技術和實體經濟深度融合。

深化大數(shù)據、人工智能等研發(fā)應用，開展“人工智能＋”行動，打造具有國際競爭力的數(shù)字產業(yè)集群。

實施制造業(yè)數(shù)字化轉型行動，加快工業(yè)互聯(lián)網規(guī)?；瘧?。

深入開展中小企業(yè)數(shù)字化賦能專項行動。

支持平臺企業(yè)在促進創(chuàng)新、增加就業(yè)、國際競爭中大顯身手。

健全數(shù)據基礎制度，大力推動數(shù)據開發(fā)開放和流通使用。

適度超前建設數(shù)字基礎設施，加快形成全國一體化算力體系。

隨著數(shù)字技術不斷發(fā)展和普及，數(shù)字經濟已成為推動經濟社會發(fā)展的重要力量。政府工作報告中提到的相關政策措施和行動計劃，為我國數(shù)字經濟的發(fā)展指明了新的方向。

信息來源：網易  https://www.163.com/dy/article/ISMN82ER0538EUPB.html

全國網安標委發(fā)布《生成式人工智能服務安全基本要求》

3月4日，全國網絡安全標準化技術委員會（SAC/TC260）發(fā)布《生成式人工智能服務安全基本要求》（以下簡稱“《基本要求》”），旨在明確生成式人工智能服務在安全方面的基本要求，包括語料安全、模型安全、安全措施等，并給出了安全評估要求。

該文件支撐《生成式人工智能服務管理暫行辦法》，提出了服務提供者需遵循的安全基本要求。服務提供者在按照有關要求履行備案手續(xù)時，按照本文件第9章要求進行安全評估，并提交評估報告?！痘疽蟆分忻鞔_列明，“本文件規(guī)定了生成式人工智能服務在安全方面的基本要求。適用于服務提供者開展安全評估、提高安全水平”?！痘疽蟆吩凇靶g語和定義”中明確了“生成式人工智能服務”和“服務提供者”兩個概念：所謂生成式人工智能服務，就是利用生成式人工智能技術向中華人民共和國境內公眾提供生成文本、圖片、音頻、視頻等內容的服務。所謂“服務提供者”，是指以交互界面、可編程接口等形式提供生成式人工智能服務的組織或個人。就生成式人工智能服務而言，無論該服務的提供者位于我國境內還是境外均在所不問，只要相關服務面向中華人民共和國境內的公眾，那么就適用于該文件。就“服務提供者”概念而言，應當注意的是服務提供者不一定僅指企業(yè)，基本要求明確提出了只要是以交互界面、可編程接口等形式提供服務，無論是組織還是個人，都符合“服務提供者”的定義。

信息來源：全國網絡安全標準化技術委員會  https://www.tc260.org.cn/front/postDetail.html?id=20240301164054

業(yè)內新聞速覽

全球首個AI蠕蟲面世：可在AI系統(tǒng)之間自動傳播

研究人員開發(fā)出首個第一代生成式AI蠕蟲，名為 “Morris II”，它能夠自動在AI系統(tǒng)之間傳播。

這種新型網絡攻擊，讓人回憶起1988年對互聯(lián)網造成重大破壞的初代Morris 蠕蟲的，凸顯了網絡安全威脅局勢中的一個潛在變化。這項研究由康奈爾大學紐約科技校區(qū)研究員 Ben Nassi與另外兩名研究員 Stav Cohen 和 Ron Bitton 共同牽頭開展，展示了該蠕蟲的能力即滲透生成式AI郵件助手、提取數(shù)據和分垃圾郵件，從而攻陷聲名鵲起的AI模型如 ChatGPT 和 Gemini 的安全措施。

生成式AI的崛起和漏洞的增多：

隨著生成式AI系統(tǒng)如 OpenAI 公司的 ChatGPT 和谷歌 Gemini 變得越來越強大且集成到多種應用中，這些系統(tǒng)被利用的可能性也在不斷提升。研究人員創(chuàng)建的 Morris II 蠕蟲凸顯了利用AI生態(tài)系統(tǒng)互聯(lián)性和自動化的新型網絡威脅。媒體Wired報道稱，首批生成式AI蠕蟲已開發(fā)完畢。這些蠕蟲可能會從一個系統(tǒng)傳播到另一個系統(tǒng)，甚至可能在此過程中竊取數(shù)據或部署惡意軟件。通過應用對抗性自復制提示，該蠕蟲可通過AI系統(tǒng)進行傳播，劫持這些系統(tǒng)執(zhí)行未授權操作如數(shù)據盜取和惡意軟件部署。這類蠕蟲影響深遠，為依賴于生成式AI系統(tǒng)的初創(chuàng)企業(yè)、開發(fā)人員和技術公司帶來重大風險。該蠕蟲能夠躲避檢測，在不同的AI系統(tǒng)中自動傳播，這就為網絡攻擊引入一個新的向量，為現(xiàn)有的安全模型帶來挑戰(zhàn)。安全專家和研究人員強調了這些攻擊的合理性以及開發(fā)社區(qū)認真對待這些威脅的緊迫性。

緩解威脅：

盡管AI蠕蟲潛力強大，但安全專家認為傳統(tǒng)的安全措施和謹慎的應用設計可緩解這些風險。從事AI企業(yè)安全業(yè)務的威脅研究員 Adam Swanda 提倡安全的應用設計和AI運營中人工疏忽的重要性。越權風險可通過確保AI系統(tǒng)不會在未獲得明確同意的情況下執(zhí)行操作會得到大大減少。另外，監(jiān)控異常模式如在AI系統(tǒng)中的重復性提示有助于在早期檢測到潛在威脅。Ben Nassi及其團隊還強調了創(chuàng)建AI助手的開發(fā)人員和企業(yè)意識提升的重要性。了解這些風險并執(zhí)行健壯的安全措施對于防止生成式AI系統(tǒng)的利用至關重要。這一研究呼吁AI開發(fā)社區(qū)在設計和部署AI生態(tài)系統(tǒng)中優(yōu)先考慮安全的重要性。Morris II蠕蟲的開發(fā)是評估網絡威脅流程中的重要時刻，強調了生成式AI系統(tǒng)的內在漏洞。隨著AI對技術和日常生活的影響日益加劇，全面的安全策略也變得愈發(fā)重要。通過提升意識和采取主動的安全措施，AI開發(fā)社區(qū)可防御AI蠕蟲的威脅并確保生成式AI技術能得到安全、負責任的使用。

消息來源：安全內參  https://www.secrss.com/articles/64123

蘋果又出大事！因濫用 App Store 規(guī)則被歐盟罰款 140 億元

近日，據相關媒體報道，蘋果公司被歐盟罰款 18 億歐元 ( 約合人民幣 140 億元 ) ，原因是蘋果公司濫用 App Store 規(guī)則，非法阻止應用開發(fā)者通過其應用商店之外的渠道向用戶提供可替代和更便宜的音樂訂閱服務信息。

事情起因是，流媒體公司 Spotify 就蘋果公司濫用 App store 阻止應用開發(fā)者在其應用商店之外向用戶提供有關替代和更便宜的音樂訂閱服務的信息發(fā)起投訴，歐盟隨后對蘋果公司進行調查，并最終認定蘋果公司違規(guī)，并處以 18 億歐元的巨額罰款。隨后，蘋果公司表示，盡管尊重歐盟委員會，但其并未提供任何可信消費者利益受損證據，忽視了蓬勃發(fā)展的競爭市場現(xiàn)實，蘋果公司將會對歐盟罰款提出上訴。本次巨額處罰是歐盟針對大型科技公司最大的經濟處罰之一，而谷歌也有類似的處罰，歷時數(shù)年，總金額高達 80 億歐元，目前仍在抗訴。

消息來源：ZAKER資訊  https://www.myzaker.com/article/65e788948e9f0972030888a8

Monogon 組織從臺灣竊取了 1.7 TB 機密數(shù)據

據安全客3月5日消息，臺灣最大的電信公司中華電信最近遭受了黑客攻擊。此次黑客攻擊導致 1.7 TB 數(shù)據被盜，其中包括與該島政府相關的信息。

2024年2月23日，一名昵稱“303”、頭像上帶有“Monogon”簽名的用戶將泄露的數(shù)據在暗網上出售。這可能是攻擊者所代表的黑客組織的名稱。而且，從他的個人資料來看，他是莫諾岡的領袖。臺灣有關部門于3月1日正式確認了此次黑客攻擊事件。根據內部調查的初步數(shù)據，黑客成功獲取了中華電信的機密信息。據報道，被盜數(shù)據包含臺灣軍方、外交、海岸警衛(wèi)隊和其他政府部門的機密文件。盡管臺灣有關部門聲稱沒有透露任何機密信息。不過，針對這一事件，臺灣有關部門敦促中華電信加強網絡安全措施，防止今后發(fā)生類似事件。涉及泄露的公司現(xiàn)在被要求顯著加強對信息安全的控制。此類事件不僅構成國家安全風險，還引發(fā)人們對政府層面和私營企業(yè)部門加強網絡安全重要性的質疑。

消息來源：安全客  https://www.anquanke.com/post/id/293617

蚌埠住了，德國國防部文件密碼是1234

最近的德國防部可謂是風波不斷。據當?shù)孛襟w消息，在該部門因“德國軍官策劃襲擊克里米亞大橋”的談話內容遭到竊聽并被俄媒曝光后，又身陷“密碼門”事件。

當?shù)貢r間3月3日，德國防部長鮑里斯·皮斯托留斯就這一竊聽丑聞事件舉行了新聞發(fā)布會，并將部分講話內容以加密錄音文檔的形式被對外公布在國防部網站上，訪客可輸入密碼進行訪問。

但令德國大眾感到意外的是，密碼竟如此簡單，僅需輸入”1234“即可訪問該錄音。雖然該錄音文檔在云存儲上未進行分類，密碼“1234”甚至可能只是個臨時占位符，但密碼的簡單性仍遭到德媒批評。德國《圖片報》就將國防部頁面的提示截圖貼在報道內，并反問“密碼是1234，這真的安全嗎？”

或許，國防部為了方便大眾訪問該文件，設置了簡單的密碼，但仍不免讓人懷疑，其系統(tǒng)內部的安全保障措施是否也如此“劃水”。

《圖片報》指出，目前仍不清楚俄方究竟是如何通過什么手段竊聽獲得了長達38分鐘的德國高層軍官通話的錄音，但這些高層軍官因使用“WebEx”（第三方遠程會議軟件）進行高度機密的通話而被竊聽的事實，已經讓外界擔憂國防部的保密程度是否出現(xiàn)巨大漏洞。

德國聯(lián)邦情報局前局長奧古斯特·漢寧認為，俄羅斯方面可能還掌握了更多被攔截的信息。德國基民盟國防專家基塞韋特稱：“我認為聯(lián)邦政府和各部委的其他成員很可能遭到竊聽，包括總理及其周圍的環(huán)境?！敝档靡惶岬氖牵?013年曝光的震驚世界的美國國家安全局“棱鏡門”全球竊聽計劃中，德國時任總理默克爾也是美國的竊聽對象。

因密碼泄密，德國早有前科：

據新華國際此前報道，2019年元旦過后，近千名政客的私人信息被黑客獲取并公開，這些被曝光的信息包括郵箱、傳真、電話、家庭住址、信用卡信息、賬單、應用軟件聊天記錄等。其中，887人的電話號碼被公布，116人的家庭住址被曝光，時任德國總理默克爾和總統(tǒng)施泰因邁爾也沒能幸免。

事后，德國聯(lián)邦信息安全局被指責辦事不力，面對輿論批評，時任德國內政部長澤霍費爾為自己辯解稱，被黑客輕易攻破的政客們密碼設置太差，不少人的密碼非常簡單，比如“iloveyou”“12345”等。

更讓人大跌眼鏡的是這位黑客并非德方所認為的“高手”，而是一位年僅20歲且仍在上學的青年約翰，他供述說，自己完全是單獨行動，他采用的是猜測密碼等簡單辦法，沒想到一經嘗試就截獲了不少人的信息。

消息來源：FREEBUF  https://www.freebuf.com/news/393636.html

來源:本安全周報所推送內容由網絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內容的真實性，部分內容推送時未能與原作者取得聯(lián)系，若涉及版權問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！