当前的数字身份体系混乱不堪,个人信息散落在各个平台。Solid协议,由蒂姆·伯纳斯-李发明,旨在通过用户控制的“数据钱包”重塑这一体系。该协议将数据与应用分离,用户拥有并控制自己的数据,应用程序仅能访问授权的数据。这不仅解决了数据完整性问题(例如,防止因错误数据导致的歧视),还提升了数据隐私和安全性,并为医疗、金融、教育等领域带来了革命性的变革,最终让个人成为自己数据的主宰。
阅读更多
最近兴起了一场名为“Take9”的网络安全宣传活动,提倡人们在点击链接、下载文件或分享信息前暂停九秒钟思考。然而,文章作者认为这项活动并不能有效提升网络安全水平。首先,九秒钟的暂停在日常生活中并不现实;其次,“停、想、连”等类似的宣传活动过去也收效甚微;再次,该活动将责任推卸给了用户,忽视了系统设计缺陷才是问题的根源。作者建议,成功的网络安全宣传应该引导用户进行两步式思考:触发怀疑,并指导用户关注哪些信息以及如何评估。单纯的暂停并不能解决问题,真正需要的是认知支架和考虑到动态交互的系统设计。
阅读更多
近期美国边境检查对电子设备的检查日益严格,引发了人们对手机信息安全的担忧。文章作者询问了如何彻底删除手机上的文件、照片等数据,以防止数据恢复。重置手机至出厂设置是否能完全清除数据,还是数据依然可恢复?这涉及到加密密钥的删除问题。文章最后强调了在全球范围内加强手机信息安全的必要性,因为反对国家权力可能会面临更大的风险。
阅读更多
一种简单巧妙的双人远程身份验证方法问世!只需两人共同使用同一设备生成基于时间的动态密码(TOTP)二维码,分别扫描到各自的手机认证应用(如Authy或Google Authenticator)中。日后通话时,一方只需向对方索要6位数的TOTP码即可验证身份,有效防止数字身份冒充。无需复杂的密码设置,安全又便捷!
阅读更多
一个名为“DOGE”的部门,其人员未经授权访问了美国财政部、国际开发署、人事管理办公室等关键政府机构的系统,获取了巨额资金支付信息、机密数据和数百万联邦雇员的个人信息,甚至修改了核心程序和安全协议。这种攻击并非来自外部黑客,而是来自内部人员,其手段之大胆、影响之深远,前所未有,严重威胁国家安全。目前,部分系统访问权限已被阻止,但数据可能已被复制,系统漏洞可能已植入。恢复系统安全和完整性刻不容缓,否则后果不堪设想。
阅读更多
研究人员以400美元的价格注册了约150个被遗弃的亚马逊S3存储桶,这些存储桶包含仍在使用的软件库。攻击者可以修改这些库中的代码,植入恶意软件,然后在软件更新过程中将其传播到互联网上的各种软件构建中。在两个月内,这些存储桶收到了800万个请求,这表明这种攻击的潜在影响巨大,类似于SolarWinds攻击,但规模更大。由于这些存储桶已被遗弃,开发者无法自动修补漏洞,攻击者可以控制更新机制,并阻碍厂商识别和修复受影响的软件。这凸显了软件供应链安全的严重问题,修复它将既困难又昂贵。
阅读更多
与人类错误不同,大型语言模型(LLM)的错误具有随机性、缺乏关联性,且AI对错误的判断自信满满。文章探讨了LLM错误的特性,并提出了两种应对策略:一是设计更人性化的LLM,二是开发新的错误纠正系统。作者指出,目前的研究方向包括利用人类反馈强化学习等技术,以及通过重复提问等方法来提高AI的可靠性。虽然LLM的一些怪异行为也存在于人类身上,但其频率和严重程度远超人类,因此需要谨慎对待AI决策系统,将其应用限制在合适的领域。
阅读更多
这篇文章探讨了科技公司如何通过算法和数据监控重塑文化,将其从公共领域转变为企业利润的工具。作者认为,这种文化黑客行为导致了一种新型的技术债务——社会技术债务,其长期后果包括社会隔离、政治极化和文化同质化,最终导致公民权利和社会福祉的损失。
阅读更多
本文探讨了大型语言模型(LLM)的安全漏洞问题,将其类比于上世纪80年代之前的电话系统,指出LLM将数据和指令混合在一起,导致容易受到提示注入攻击。作者认为,虽然可以通过输入清理和访问控制机制来增强LLM的安全性,但根本问题在于数据和指令的混合。文章还讨论了LLM的应用风险,建议在某些情况下,使用更专业的AI模型可能比通用的LLM更安全。
阅读更多