全球动态

1. 国家数据局官方网站正式上线

国家数据局官方网站已于12月25日上线试运行。国家数据局是国家发展和改革委员会管理的国家局，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等。【阅读原文】

2. Anthropic 新研究：打错字就能“越狱”GPT-4、Claude 等 AI 模型

据 404 Media 报道，人工智能公司 Anthropic 近期发布了一项研究，揭示了大型语言模型（LLM）的安全防护仍然十分脆弱，且绕过这些防护的“越狱”过程可以被自动化。研究表明，仅仅通过改变提示词（prompt）的格式，例如随意的大小写混合，就可能诱导 LLM 产生不应输出的内容。 【阅读原文】

3. 上线仅48小时翻车，苹果人工智能因造谣面临下架

苹果新推出的“苹果智能”生成式AI技术在英国上线不到48小时内就“翻车”，其AI新闻摘要功能给BBC的新闻报道编造了一条不实标题：“刺杀联合健康保险公司CEO的嫌疑枪手路易吉·曼吉奥尼开枪自杀”。 【阅读原文】

4. 朝鲜黑客被指窃取了价值 13.4 亿美元的加密货币

2024 年朝鲜黑客在 47 次攻击中窃取了价值 13.4 亿美元的加密货币，比 2023 年增长 102.88%，占到了全球加密货币盗窃总损失金额的 61%。 【外刊-阅读原文】

5. 华硕圣诞节给用户“惊喜”，而用户以为是恶意程序

硕用户报告电脑屏幕上突然显示了圣诞主题横幅，而任务管理器中出现了可疑的 Christmas.exe 进程，引发了感染恶意程序的担忧。圣诞树横幅占了屏幕的三分之一大小，由于以前出现过圣诞主题的恶意程序，因此它被许多用户误以为是病毒。 【外刊-阅读原文】

6. 平安夜不平安，美国航空因软件故障致旗下全美航班停飞

当地时间 12 月 24 日，美国联邦航空管理局（FAA）宣布，美国航空公司因技术性问题全国所有航班停飞。 【阅读原文】

安全事件

1. 闲鱼平台频现信息泄露事件，用户隐私安全亮红灯

近期，闲鱼平台连续爆出多起用户隐私信息泄露事件，引发社会广泛关注。一位福建网友在闲鱼平台售卖商品时，因买家投诉购买到假货，平台竟将其身份证号、手机号、门牌号等敏感信息直接泄露给买家，导致买家通过这些信息添加其微信进行骚扰。 【阅读原文】

2. Apache HugeGraph-Server 漏洞让攻击者绕过身份验证

Apache HugeGraph-Server（一种广泛使用的开源图形数据库系统）中发现了一个新的安全漏洞 CVE-2024-43441，是由于服务器内未正确处理身份验证机制而引起 。【外刊-阅读原文】

3. 研究人员发现 PyPI 包窃取击键并劫持社交帐户

根据 Fortinet FortiGuard Labs 的新发现，网络安全研究人员标记了两个已上传到 Python 包索引 （PyPI） 存储库的恶意包，并配备了从受感染主机中泄露敏感信息的功能。 【外刊-阅读原文】

4. 僵尸网络利用漏洞攻击网络录像机及TP-Link路由器

一个基于Mirai的新型僵尸网络正在积极利用DigiEver网络录像机中的一个远程代码执行漏洞，该漏洞尚未获得编号，也暂无修复补丁。 【外刊-阅读原文】

5. 欧洲航天局被黑客入侵并部署JavaScript代码

欧洲航天局（ESA）的官方网络商店遭遇入侵，被黑客加载了用于生成虚假Stripe支付页面的JavaScript代码。 【外刊-阅读原文】

6. Clop 勒索软件现在正在勒索 66 家 Cleo 数据泄露受害企业

Clop 勒索软件团伙正开始勒索其 Cleo 数据盗窃攻击中受影响的企业，在其暗网门户上宣布让66 家公司在48小时内予以回应。 【外刊-阅读原文】

【优质文章】

1. Web缓存欺骗小试 | 静态目录文件命名缓存方式

本文主要讲解集中在使用静态目录缓存规则和文件命名缓存规则进行Web缓存欺骗的攻击利用。 【阅读原文】

2. 针对Nacos漏洞猎杀的各种骚姿势

本文让读者能够从零基础的小白也可以上手打Nacos的nday。主要介绍了NacosExploitGUI自动化工具的使用，以及使用这个工具打nday的手法，以及要是批量漏洞url怎么扫描利用。 【阅读原文】

3. 2024年全球AI治理的85个里程碑事件

回顾2024年，人工智能的合规治理框架愈发明晰。 【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。