新闻速览
ㆍ 中法关于人工智能和全球治理的联合声明
ㆍ 美国网络安全审查委员会成员变更
ㆍ 仅有24%的GenAI项目考虑了安全性
ㆍ NVIDIA修补了三个ChatRTX安全缺陷
ㆍ 微软承诺将全面改善网络安全功能
ㆍ AT&T拆分网络安全服务业务
ㆍ 谷歌使用新的检测类型和Gemini支持助手提升安全运营能力
ㆍ BigID推出创新双重扫描技术
ㆍ 天融信中标浙江邮政网络安全服务项目
特别关注
中法关于人工智能和全球治理的联合声明
新华社消息,应法兰西共和国总统埃马纽埃尔·马克龙邀请,中华人民共和国主席习近平于2024年5月5日至7日对法国进行国事访问。在两国建交60周年之际,两国元首重申共同致力于深化2023年4月5日至7日法兰西共和国总统访华期间达成的共识,并开辟新的合作渠道。
两国元首深信两国之间持续对话对于为全球挑战提供持久解决方案的重要性,决定加强中法关系作为全球挑战国际治理推动力的作用。中国将继续以适当级别参加2023年6月新全球融资契约峰会的后续委员会会议,认真研究《人类与地球巴黎契约》(4P)。
为此,在2023年4月7日《中法联合声明》达成共识的基础上,两国元首尤其在人工智能方面达成以下共识:
1.中法两国认识到人工智能在发展与创新中的关键作用,同时考虑到人工智能的发展和使用可能带来的一系列挑战,一致认为促进人工智能的开发与安全,并为此推动适当的国际治理至关重要。
2.中法两国充分认识到人工智能技术快速发展的深刻影响,以及与该技术相关的潜在和实存风险,致力于采取有效措施应对这些风险,并加强人工智能的全球治理,以促进服务于公共利益的开发和利用。
3.为了充分利用人工智能带来的机遇,中法两国致力于深化关于人工智能国际治理模式的讨论。这一治理既应顾及技术不断快速发展所需的灵活性,同时应对个人数据、人工智能用户的权利以及作品被人工智能使用的用户的权利提供必要保护。
4.中法两国充分致力于促进安全、可靠和可信的人工智能系统,坚持“智能向善(AI for good)”的宗旨,通过全面和包容性的对话,挖掘人工智能的潜力,降低其风险。双方还将依托联合国层面开展的工作,致力于加强人工智能治理的国际合作以及各人工智能治理框架和倡议之间的互操作性,例如依托在联合国秘书长人工智能问题高级别咨询机构内或在联合国教科文组织《人工智能伦理问题建议书》的基础上开展的工作。
5.中法两国认识到,人工智能的机遇、风险和挑战本质上是全球性的。双方强调,在技术迅速发展的背景下,为确保国际安全与稳定以及尊重主权和基本权利,加强国际合作具有重要意义。
6.中法两国对国际社会为实现人工智能应用的发展和安全所做的努力表示欢迎,包括2023年11月1日签署的《布莱切利宣言》。中国愿参加法国将于2025年举办的人工智能峰会及其筹备工作。中国邀请法国参与将于2024年举办的世界人工智能大会暨人工智能全球治理高级别会议。
7.这些努力补充和加强了使用信息通信技术的负责任国家行为框架,该框架以渐进和累积的方式制定,并在联合国层面达成一致。中法两国一致同意,应助力各国特别是发展中国家加强网络能力,以应对包括与人工智能发展相关的各类网络威胁。
8.中法两国强调,人工智能必须为公共利益服务,各国开发和使用人工智能必须符合《联合国宪章》的宗旨和原则。双方强调加强国际合作,以弥合数字鸿沟,并提高发展中国家的人工智能能力。双方都认识到,为了实现可持续发展目标,必须积极开发人工智能。这些用途应包括可持续发展、气候和生物多样性保护、农业生产、教育和全民健康。
9.考虑到人工智能技术的快速发展使得尊重和保护文化和语言的多样性变得困难,中法两国主张,人工智能必须为所有人提供包容性接入,在线提供可访问、可视和可发现的内容,尊重多种语言和文化多样性,包括在多边框架内。
10.人工智能的广泛应用将不可避免地给工作带来深远的变化。面对这一挑战,中法两国正批判性思考人工智能对未来工作的影响,以期抓住这一技术突破的全部潜力,防范其对工作和劳动者造成的风险。
原文链接:
https://mp.weixin.qq.com/s/18yHweQw3nGW-QPoBpxxoQ
热点观察
美国网络安全审查委员会成员变更
美国国土安全部(DHS)和网络安全和基础设施安全局(CISA)近日宣布对Cyber Safety Review Board(CSRB)成员进行了变更。四名现有成员将离任,同时有四名新成员加入该委员会。离任成员包括Luta Security创始人兼首席执行官Katie Moussouris、Verizon威胁研究咨询中心联合创始人兼董事总经理Chris Novak、Center for Internet Security高级副总裁兼首席传教士Tony Sager以及Palo Alto Networks Unit 42高级副总裁Wendi Whitmore。加入CSRB的新成员包括Paladin Capital Group风险合伙人Jamil Jaffer、国家安全局网络安全总局局长David Luber、Red Canary情报运营高级总监Katie Nickels以及Sentinel One首席情报和公共政策官Chris Krebs。CSRB是一个由私营部门和政府机构组成的委员会,负责在重大网络事件发生后进行事实调查并提出建议。该变更旨在加强委员会的专业知识和经验,推动网络安全生态系统的积极变革。
原文链接:
https://www.cisa.gov/news-events/news/dhs-cisa-announce-membership-changes-cyber-safety-review-board
仅有24%的GenAI项目考虑了安全性
据IBM和亚马逊网络服务联合进行的一项调查显示,82%的C级高管认为可信赖和安全的人工智能至关重要,然而只有24%的组织在他们的GenAI项目中考虑了安全因素。本次调查结果于RSA 2024大会上发布,调查了企业高管对于GenAI项目的安全应用的看法。
报告指出,近70%的受访企业表示他们更注重创新而非安全。尽管目前尚未形成强大的人工智能威胁格局,但已经出现使用生成式人工智能工具创建网络钓鱼邮件脚本和深度伪造音频的案例。IBM X-Force安全研究人员预计,随着技术的成熟,人工智能系统将成为更大规模攻击的目标。
报告还指出,让人担忧的是那些没有妥善保护其开发和使用的人工智能模型的公司。不正确应用GenAI工具可能导致敏感数据的处理不当或泄露。报告还揭示了”影子AI”的现象,即员工使用未经企业安全团队批准和保护的GenAI工具。为了解决这个问题,IBM在今年1月宣布了保护GenAI的框架,包括保护用于训练人工智能模型的集中化数据、通过扫描开发流程中的漏洞和执行策略和访问控制来保护模型,以及保护使用过程中的攻击。
原文链接:
产业动态
NVIDIA修补了三个ChatRTX安全缺陷
近日,芯片制造商NVIDIA修补了其Windows ChatRTX应用程序中的三个安全漏洞,其中两个属于高危漏洞。ChatRTX是一个演示应用程序,允许用户在本地设备上运行个性化的大型语言模型(LLM),以获取定制的聊天机器人的相关答案。这些安全漏洞(CVE-2024-0096、CVE-2024-0097和CVE-2024-0098)源自ChatRTX用户界面(UI)的特权管理问题。NVIDIA表示,成功利用这些漏洞可能导致信息泄露、权限提升和数据篡改。安全专家提醒组织,在将这些系统部署在本地时,需要像管理其他服务器一样进行修补和管理,以确保安全更新的及时性。此外,他们建议将演示应用程序用于隔离的测试机器,并审查公司的AI政策。
原文链接:
https://www.scmagazine.com/news/nvidia-patches-three-chatrtx-security-bugs
微软承诺将全面改善网络安全功能
据SecurityWeek报道,微软将采取多项网络安全增强措施,以应对近日由网络安全审查委员会列举的相关网络安全问题,这些问题主要源于糟糕的网络安全实践和松散的企业文化。
微软安全执行副总裁查理·贝尔表示,微软公司将为每个产品团队指派副首席信息安全官,并将一部分高级领导人的薪资用于推进网络安全工作。此外,微软还专注于加强其“安全未来计划”,该计划旨在加快云漏洞修补和加强身份签名密钥管理。贝尔还指出,微软还将采用更严格的身份和密钥管理标准,同时加强网络和租户环境的保护,重点关注公司的生产网络。此外,微软将对其产品中使用的所有软件资产进行清单整理。将网络安全置于首位,高于所有其他功能。
原文链接:
https://www.scmagazine.com/brief/sweeping-cybersecurity-improvements-pledged-by-microsoft
AT&T拆分网络安全服务业务
日前,美国电信巨头AT&T宣布完成网络安全服务部门的分拆,并与一家合资企业LevelBlue合作,专注于托管网络安全服务。新公司LevelBlue将整合AT&T的托管安全服务业务、网络安全咨询业务和2018年收购的AlienVault的资产,其中包括安全专业人员社区Open Threat Exchange(OTX)。LevelBlue的服务范围涵盖托管防火墙(本地和云端)、安全网关、电子邮件网关、内容过滤以及安全运营中心(SOC)管理等。该公司由LevelBlue的董事长兼首席执行官罗伯特·麦卡伦领导,会专注于网络安全领域的人员和技术投资,为客户提供更好的网络安全服务。
根据2023年12月的财务报告,AT&T目前面临1430亿美元的长期债务。该公司希望通过此举加强其网络安全服务,并推动业务的长期发展。
原文链接:
谷歌使用新的检测类型和Gemini支持助手提升安全运营能力
近日,谷歌在RSA大会上宣布升级其安全软件,引入新的AI功能,为安全团队提供更多支持,以发现新的威胁、提高生产力并减少手动工作量。新功能通过人工智能自动化威胁检测,并构建在谷歌在上月的Next ’24大会上公布的应用威胁情报基础上。
谷歌的Security Operations(SecOps)平台通过简化工程流程,使安全团队能够便捷地获取最新的威胁情报。同时还推出了新的检测方式,包括Cloud和新兴威胁。Cloud检测帮助防护免服务器威胁,还提供了对异常用户行为的检测规则、机器学习生成的警报以及亚马逊网络服务(AWS)的基本安全覆盖。新兴威胁检测基于威胁行为者的策略、技术和程序,为最近发现的威胁提供覆盖。
此外,谷歌还在Gemini中引入了两个新助手:调查助手和Playbook助手。Gemini通过自然语言处理帮助安全团队对威胁策略进行上下文化和深入理解,并根据引导式建议对其进行响应。这些升级将有助于谷歌加强安全团队的威胁检测能力,提高生产力,并为应对不断演变的网络威胁提供更强大的支持。
原文链接:
BigID推出创新双重扫描技术
近日,BigID公司宣布推出双重扫描技术,为云数据安全、隐私保护和治理方面带来突破性进展。该技术结合了侧向扫描和直接扫描方法,提供了速度、效率和灵活性的优势。它能快速接入和扫描大量数据源,自动识别云数据并提供定制扫描策略,实现自动化安全控制和增强合规管理。BigID的双重扫描技术为组织提供统一的云数据扫描平台,确保数据的可见性、控制和保护,使组织能够充分发挥云数据的潜力。
原文链接:
天融信中标浙江邮政网络安全服务项目
近日,天融信宣布中标中国邮政集团有限公司浙江省分公司网络安全服务项目,这也是自2022年起,天融信连续三年中标浙江邮政安全服务项目。
在本项目中,天融信提供网站安全监测、系统安全评估、互联网资产暴露面核查、安全意识培训、网络安全应急保障、网络安全应急演练以及网络安全专家咨询等多种服务,并建立突发安全事件风险防范体系,完善突发安全事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,加速巩固浙江邮政网络安全防护与应急处置能力。
天融信项目负责人表示:在数字化时代,网络安全威胁日益复杂,邮政作为重要的国民经济基础设施,更需要可靠的网络安全保障。天融信期待与邮政集团建立长期稳定的合作关系,共同应对不断变化的网络安全挑战,为中国邮政的业务发展创造更加安全、稳定的网络环境。
原文链接: