两家安全公司NeuralTrust和SPLX分别对GPT-5进行了安全测试,结果令人担忧。NeuralTrust利用一种“讲故事”式的攻击方法,成功诱导GPT-5生成制造燃烧瓶的步骤,绕过了其安全防护。SPLX则发现,简单的混淆攻击就能让GPT-5生成制造炸弹的说明。测试结果表明,GPT-5的安全性存在严重缺陷,其原始模型几乎无法直接用于企业环境,即使加上OpenAI内部的提示层也存在显著漏洞。与GPT-4相比,GPT-5的安全性能显著下降,需要谨慎对待。
阅读更多
安全公司InkBridge Networks近日警告称,流行的RADIUS协议中发现了一个存在了30年的设计缺陷(CVE-2024-3596),高级攻击者可以利用该缺陷绕过任何多因素身份验证(MFA)保护,对本地网络进行身份验证。该公司发布了BlastRADIUS攻击的技术说明,并警告称,企业内部网络、互联网服务提供商(ISP)和电信公司等企业网络都面临着重大风险。
阅读更多
身份验证应用开发商Twilio证实,由于未经身份验证的端点漏洞,黑客获取了与Authy账户相关的数据,包括3300万用户的电话号码。Twilio表示已采取措施保护该端点,并敦促Authy用户安装最新的安全更新,以防网络钓鱼和短信诈骗攻击。
阅读更多
微软公司正通知更多客户,他们的电子邮件在午夜暴雪黑客攻击事件中被盗。该公司正在为客户提供一个安全的门户网站,以查看被盗邮件的具体内容。微软将此次事件描述为“持续攻击”,并警告称,黑客可能正在利用窃取的信息积累攻击目标,并增强其攻击能力。
阅读更多
美国人工智能公司 OpenAI 宣布,前美国国家安全局局长保罗·纳卡松(Paul M. Nakasone)将加入公司董事会及安全委员会,凭借其丰富的网络安全经验,为 OpenAI 的安全决策提供建议,并帮助 OpenAI 更好地理解如何利用 AI 技术加强网络安全防御能力。
阅读更多
企业协作平台Slack被曝一直在抓取客户数据,包括消息、文件和使用信息,以开发新的AI和ML模型,引发了隐私争议。默认情况下,Slack系统会分析客户数据和使用信息来构建AI/ML模型以改进软件,用户无需选择加入。虽然Slack坚称其拥有技术控制措施来阻止其访问底层内容,并承诺数据不会跨工作场所泄露,但企业Slack管理员仍在争相选择退出数据抓取。
阅读更多
美国司法部确认,其网络系统于2023年3月13日至2023年3月21日间遭到网络攻击,导致包含34万个电子邮箱地址和密码的数据暴露。该部门已采取措施遏制攻击并正在调查事件。受影响的电子邮箱地址属于司法部员工、承包商和合作伙伴。司法部已通知受影响个人并敦促他们改变密码。司法部强调,没有证据表明任何司法部系统或数据遭到了破坏或损害。
阅读更多