新闻速览
•字节跳动因代码侵权被判赔8266.8万元
•私募股权巨头竞相“抢购”,趋势科技或将私有化
•Anthropic CEO警告:当前治理结构可能无法有效管控下一代 AI 系统
•Sandworm APT组织分支利用多个严重漏洞展开攻击活动
•谷歌修复可能泄露YouTube用户电子邮件地址的漏洞
•Ivanti发布重大安全补丁,修复4个严重漏洞
•OpenSSL修复可导致中间人攻击的高危漏洞
•黑客利用提示注入技术操纵Gemini AI的长期记忆
•国际运输平台Hipshipper数据外泄,1430 万条运输记录外泄
热点观察
字节跳动因代码侵权被判赔8266.8万元
2月13日,美摄科技发布《关于美摄公司起诉字节跳动旗下抖音等8款产品代码抄袭系列案终审胜诉的声明》。声明称,近日美摄公司起诉字节跳动旗下抖音等8款产品代码抄袭系列案,历经三年七个月,终于迎来终审判决。
声明提到,2023年6月底、2024年5月底,北京知识产权法院、北京市高级人民法院先后作出一审判决,认定抖音公司及其关联公司侵害美摄SDK软件著作权,判令其向美摄公司赔礼道歉,并赔偿经济损失及合理支出共计约2670.4万元。双方均上诉至最高人民法院。
近日,最高人民法院作出终审判决,维持一审判决侵权认定的同时,对一审判决损害赔偿额偏低予以改判。二审判决判令抖音公司及其关联公司立即停止侵害美摄SDK软件著作权的行为,向美摄公司赔礼道歉,抖音公司及某员工立即停止侵害美摄公司技术秘密的行为,九案赔偿经济损失及合理支出共计约8266.8万元。
原文链接:
私募股权巨头竞相“抢购”,趋势科技或将私有化
路透社消息,多家私募股权公司近日正在竞购日本网络安全公司趋势科技。这家公司的市值高达1.32万亿日元(约合85.4亿美元)。
据知情人士透露,贝恩资本(Bain Capital)、安德思国际(Advent International)和EQT AB等私募股权公司最近几周已表达出将趋势科技私有化的意向。两位消息人士还透露,KKR也是潜在买家之一,但警告称,交易尚未确定趋势科技可能会选择保持独立。消息一出, 趋势科技股价在东京交易所当日大涨16.05%,成为日经225指数中涨幅最大的股票。一旦私有化交易达成,这将是近期全球最大的杠杆并购案之一。
因大型企业加大了对安全工具的支出,网络安全领域并购活动近年来一直活跃。随着一体化网络安全平台的竞争加剧,一些公司成为了大型对手和私募股权公司的收购目标。去年,谷歌母公司Alphabet曾试图以230亿美元收购Wiz;据路透社10月报道,安德思、贝恩和EQT也曾探索收购另一家网络安全公司Rapid7。
原文链接:
Anthropic CEO警告:当前治理结构可能无法有效管控下一代 AI 系统
Anthropic首席执行官Dario Amodei近日在巴黎AI行动峰会期间发出警告,称人工智能将在2026至2027年间达到“天才国家”级别的集体智能水平,并暗示当前的治理结构可能无法有效管控下一代 AI 系统。这一预测是目前AI行业领袖对超级智能发展最具体的时间表之一。
Amodei批评此次峰会错失良机,认为国际社会对AI治理的推进速度过于缓慢。峰会暴露了国际监管的分歧:美国副总统JD Vance反对欧盟的“过度监管”提案,美英两国更拒绝签署峰会承诺文件。Anthropic近期推出经济指数工具,追踪AI对劳动力市场的影响,试图打破硅谷企业对技术经济效应的沉默。
值得注意的是,Amodei将超级智能的时间窗锁定在2027年前后,最迟不超过2030年。这种紧迫性使现有监管框架面临失效风险,迫使政策制定者必须在两年内建立有效的国际治理体系。
原文链接:
网络攻击
Sandworm APT组织分支利用多个严重漏洞展开攻击活动
微软公司近日披露,臭名昭著的间谍组织”Sandworm”近期通过其专注于获取初始访问权限的分支BadPilot,利用多个严重漏洞在全球范围内展开攻击活动。
微软将Sandworm称为 Seashell Blizzard,发现该组织的分支BadPilot专注于获取各大行业和地区高价值目标的初始访问权限。自2021年底以来,BadPilot一直在利用流行电子邮件和协作平台中已知的严重漏洞,对互联网面临的基础设施进行机会主义式攻击,包括Zimbra的CVE-2022-41352、Microsoft Exchange的CVE-2021-34473以及Microsoft Outlook的CVE-2023-23397等”严重”漏洞。通过这些关键漏洞,BadPilot获取了诸多高价值目标的初始访问权限,包括电信公司、石油天然气公司、航运公司、武器制造商以及外国政府机构等。自2024年起,该组织还利用远程监控管理软件漏洞扩大影响范围,如Fortinet Forticlient EMS的CVE-2023-48788和ConnectWise ScreenConnect的CVSS 10分严重漏洞CVE-2024-1709。
一旦获取目标系统访问权限,BadPilot就会部署自制LocalOlive网站后门和合法远程管理监控工具ShadowLink建立持久控制,收集凭证、横向移动、窃取数据,有时还会执行其他后续活动。BadPilot的工作是为其上级Sandworm组织的重大攻击活动做准备。
原文链接:
国际运输平台Hipshipper数据外泄,1430 万条运输记录外泄
近日,国际运输平台Hipshipper意外泄露了数百万份运输标签, 导致大量客户个人信息外泄。
Hipshipper广泛用于eBay、Shopify和亚马逊等电商平台的卖家,为超过150个国家提供完整的跟踪送货、免费保险和无忧退货服务。这一数据泄露事件发生在2024年 12 月国际运输高峰期。Cybernews研究团队发现,该公司一个未受保护的AWS存储桶中存储了超过1430万条记录,主要是运输标签和海关申报单。泄露的运输标签对于任何国际运输物品都至关重要,因为它们清楚地标明了包裹内容和目的地。然而,Hipshipper 却疏于防范,导致这些敏感信息被公之于众。
泄露的数据包括买家的姓名、家庭地址、电话号码以及订单详情等个人信息。虽然目前没有迹象表明网络犯罪分子获取了这些数据,但黑客可能会利用这些信息实施诈骗、网络钓鱼或其他恶意行为。
原文链接:
安全漏洞
谷歌修复可能泄露YouTube用户电子邮件地址的漏洞
谷歌近日修复了两个漏洞,这两个漏洞一旦被利用,就可能导致YouTube账户的电子邮件地址遭到泄露,从而给那些匿名使用该网站的用户带来巨大的隐私风险。
安全研究人员发现,YouTube和Pixel Recorder API可被用于获取用户的Google Gaia ID,并将其转换为电子邮件地址。漏洞之一是,当尝试在YouTube直播聊天中屏蔽某人时,YouTube的/youtube/v1/live_chat/get_item_context_menu API请求响应中就会暴露被屏蔽用户的Gaia ID。
Gaia ID是谷歌用于管理其网络中所有账户的内部唯一标识符。研究人员发现,只需点击聊天中的三点菜单,就能触发对YouTube API的后台请求,从而访问任何YouTube频道(包括试图保持匿名的频道)的Gaia ID。研究人员发现,Pixel Recorder的基于Web的API在共享录制时,可用于将Gaia ID转换为电子邮件地址。
这意味着,一旦获取 YouTube 用户的 Gaia ID,就可以将其提交给 Pixel Recorder 的共享功能,从而获取相关的电子邮件地址,可能会泄露数百万 YouTube 用户的身份信息。
原文链接:
Ivanti发布重大安全补丁,修复4个严重漏洞
Ivanti于2月11日发布了针对其Connect Secure、Policy Secure和Cloud Services Application(CSA)产品的修复程序,修复了4个严重漏洞,其中一个CVSS评分高达9.9。
这个最严重的漏洞被跟踪为CVE-2025-22467,影响了早于22.7R2.6版本的Ivanti Connect Secure。它是一个基于堆栈的缓冲区溢出漏洞,可能导致经过身份验证的攻击者远程执行代码(RCE)。
其他三个严重漏洞的CVSS评分为9.1,可被远程经过身份验证的攻击者利用,但需要管理员权限:一个允许攻击者通过外部控制文件名来写入任意文件;一个是代码注入漏洞,,可能导致RCE;一个涉及管理员网络控制台中的操作系统命令注入漏洞,可能导致经过身份验证的攻击者获得RCE。
Ivanti客户可以通过安装最新产品版本来解决这些严重漏洞:Ivanti Connect Secure 22.7R2.6、Ivanti Policy Secure 22.7R1.3和Ivanti CSA 5.0.5。Ivanti表示,目前没有迹象显示这些漏洞已被野外利用,但仍建议立即修补以防止被利用。
原文链接:
OpenSSL修复可导致中间人攻击的高危漏洞
OpenSSL项目组近日修复了其安全通信库中一个可导致中间人攻击的高危漏洞(CVE-2024-12797)。
OpenSSL 软件库用于在计算机网络中实现安全通信,防止窃听并确保通信双方的认证。该库包含了安全套接层(SSL)和传输层安全(TLS)协议的开源实现。该漏洞影响使用 RFC7250 原始公钥(RPK)的客户端 TLS/DTLS 连接。由于在 SSL_VERIFY_PEER 模式下服务器认证检查失败,攻击者可能利用此漏洞发起中间人攻击。
该漏洞主要影响那些显式启用 RPK 并依赖 SSL_VERIFY_PEER 来检测认证失败的 TLS 客户端。OpenSSL运营团队指出,默认情况下,RPK 在 TLS 客户端和服务器中均为禁用状态。项目公告中明确表示,只有在 TLS 客户端显式启用服务器端的 RPK,且服务器也发送 RPK 而非 X.509 证书链时,才会引发此问题。
启用服务器端原始公钥的客户端可通过调用 SSL_get_verify_result() 来检查原始公钥验证是否失败。该漏洞受影响的版本包括 OpenSSL 3.4、3.3 和 3.2,并已在 3.4.1、3.3.2 和 3.2.4 版本中得到修复。
原文链接:
黑客利用提示注入技术操纵Gemini AI的长期记忆
一种针对谷歌 Gemini 高级聊天机器人的新型攻击手法近日被曝光,该攻击利用间接提示注入和延迟工具调用来破坏 AI 的长期记忆,允许攻击者植入虚假信息,并在用户会话之间持续存在。
该漏洞会让AI仅在特定用户行为(如回复”是”或”否”等触发词)后才执行。这种方式绕过了许多现有的防护措施,利用了AI的上下文感知能力和优先考虑用户意图的倾向。该攻击针对谷歌具有长期记忆功能的高级聊天机器人 Gemini Advanced 。攻击者通过上传恶意文档并让 Gemini 对其进行总结,隐藏在文档中的指令旨在操纵总结过程。总结包含一个隐藏的请求,将记忆更新与特定用户响应关联。如果用户在不知情的情况下回复了触发词,Gemini 就会执行隐藏的命令,将虚假信息保存到长期记忆中。
这种长期记忆操纵可能导致传播虚假信息、用户操纵以及数据渗透等后果。AI 可能根据错误数据提供不准确的响应;攻击者可能会在特定情况下诱使 AI 执行恶意指令;敏感信息可能通过创造性的渗透渠道被提取。虽然谷歌已承认此问题,但淡化了其影响和危险性。
原文链接:
