针对中国用户的恶意链接广泛存在;K8s高危漏洞紧急修复;微软证实俄黑客窃取源代码;Google大模型易受攻击 | 安全周报 0315

本文主要是介绍针对中国用户的恶意链接广泛存在;K8s高危漏洞紧急修复;微软证实俄黑客窃取源代码;Google大模型易受攻击 | 安全周报 0315,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在这里插入图片描述

1. 针对中国用户的恶意广告:伪装成Notepad++和VNote安装程序

在百度等搜索引擎上寻找Notepad++和VNote等正版软件的中国用户正成为恶意广告和虚假链接的目标,这些广告和链接会分发这些软件的木马版本,并最终部署基于Golang实现的Cobalt Strike的Geacon。

卡巴斯基研究员谢尔盖·普赞说:“在notepad++搜索中发现的恶意网站是通过一个广告区块进行分发的。”

“打开它,细心的用户会立即注意到一个有趣的不一致之处:网站地址中包含vnote这一行,标题提供的是Notepad–(Notepad++的类似产品,也作为开源软件分发)的下载,而图片上却自豪地显示着Notepad++。事实上,从这里下载的软件包包含的是Notepad–。”

来源:https://thehackernews.com/2024/03/malicious-ads-targeting-chinese-users.html

2. 研究人员详细说明了Kubernetes漏洞,该漏洞使Windows节点易遭受接管攻击

目前,Kubernetes中一个已修复的高严重性漏洞的细节已公之于众。该漏洞可能在特定情况下允许恶意攻击者获得提升的权限以实现远程代码执行。

Akamai安全研究员Tomer Peled表示:“该漏洞允许在Kubernetes集群内的所有Windows端点上以SYSTEM权限执行远程代码。为了利用这个漏洞,攻击者需要在集群上应用恶意的YAML文件。”

作为CVE-2023-5528(CVSS得分:7.2)追踪的漏洞,该缺陷影响所有版本的kubelet,包括1.8.0及以后的版本。该问题已在2023年11月14日发布的更新中得到解决,具体涉及的版本包括:

  • kubelet v1.28.4
  • kubelet v1.27.8
  • kubelet v1.26.11和
  • kubelet v1.25.16

“我们在Kubernetes中发现了一个安全问题,在Windows节点上可以创建pod和持久卷的用户可能能够在这些节点上获得管理员权限,”Kubernetes维护人员在当时发布的一份公告中说,“只有当Kubernetes集群对Windows节点使用内置的存储插件时,它们才会受到影响。”

来源:https://thehackernews.com/2024/03/researchers-detail-kubernetes.html

3. 微软确认俄黑客窃取了源代码和一些客户机密

微软周五透露,在 2024 年 1 月曝光的一次黑客攻击后,由克里姆林宫支持的、名为“Midnight Blizzard”(又名 APT29 或 Cozy Bear)的黑客成功访问了其部分源代码存储库和内部系统。

这家科技巨头表示:“最近几周,我们看到有证据表明,Midnight Blizzard 正利用最初从我们的企业电子邮件系统中窃取的信息,获得或试图获得未经授权的访问权限。”

“这包括访问公司的一些源代码存储库和内部系统。迄今为止,我们没有发现任何证据表明微软托管的面向客户的系统遭到了破坏。”

来源:https://thehackernews.com/2024/03/microsoft-confirms-russian-hackers.html

4. 研究人员强调谷歌的Gemini AI容易受到大型语言模型(LLM)的威胁

谷歌的Gemini大型语言模型(LLM)容易受到安全威胁,可能导致其泄露系统提示、生成有害内容并执行间接注入攻击。

这些发现来自HiddenLayer,该公司表示,这些问题影响了使用带有Google Workspace的Gemini Advanced的消费者以及使用LLM API的公司。

第一个漏洞涉及绕过安全护栏以泄露系统提示(或系统消息),这些提示旨在向LLM设置会话范围的指令,以帮助其生成更有用的响应,方法是要求模型在markdown块中输出其“基础指令”。

“系统消息可用于向LLM提供有关上下文的信息,”微软在其关于LLM提示工程的文档中指出。
“上下文可能是它正在进行的对话类型,或者是它应该执行的功能。它有助于LLM生成更适当的响应。”

来源:https://thehackernews.com/2024/03/researchers-highlight-googles-gemini-ai.html

5. 韩国公民因网络间谍指控在俄罗斯被拘留

俄罗斯首次以网络间谍指控拘留了一名韩国公民,并将其从符拉迪沃斯托克转移到莫斯科进行进一步调查。

这一事态发展最初由俄罗斯新闻机构塔斯社报道。

“在调查一起间谍案件期间,韩国公民白元淳在符拉迪沃斯托克被确认身份并拘留,并根据法院命令被监禁,”一位不愿透露姓名的消息人士称。

元淳被指控向未具名的外国情报机构提供“绝密”机密信息。

来源:https://thehackernews.com/2024/03/south-korean-citizen-detained-in-russia.html

这篇关于针对中国用户的恶意链接广泛存在;K8s高危漏洞紧急修复;微软证实俄黑客窃取源代码;Google大模型易受攻击 | 安全周报 0315的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/814526

相关文章

大模型研发全揭秘:客服工单数据标注的完整攻略

在人工智能(AI)领域,数据标注是模型训练过程中至关重要的一步。无论你是新手还是有经验的从业者,掌握数据标注的技术细节和常见问题的解决方案都能为你的AI项目增添不少价值。在电信运营商的客服系统中,工单数据是客户问题和解决方案的重要记录。通过对这些工单数据进行有效标注,不仅能够帮助提升客服自动化系统的智能化水平,还能优化客户服务流程,提高客户满意度。本文将详细介绍如何在电信运营商客服工单的背景下进行

Andrej Karpathy最新采访:认知核心模型10亿参数就够了,AI会打破教育不公的僵局

夕小瑶科技说 原创  作者 | 海野 AI圈子的红人,AI大神Andrej Karpathy,曾是OpenAI联合创始人之一,特斯拉AI总监。上一次的动态是官宣创办一家名为 Eureka Labs 的人工智能+教育公司 ,宣布将长期致力于AI原生教育。 近日,Andrej Karpathy接受了No Priors(投资博客)的采访,与硅谷知名投资人 Sara Guo 和 Elad G

安卓链接正常显示,ios#符被转义%23导致链接访问404

原因分析: url中含有特殊字符 中文未编码 都有可能导致URL转换失败,所以需要对url编码处理  如下: guard let allowUrl = webUrl.addingPercentEncoding(withAllowedCharacters: .urlQueryAllowed) else {return} 后面发现当url中有#号时,会被误伤转义为%23,导致链接无法访问

Retrieval-based-Voice-Conversion-WebUI模型构建指南

一、模型介绍 Retrieval-based-Voice-Conversion-WebUI(简称 RVC)模型是一个基于 VITS(Variational Inference with adversarial learning for end-to-end Text-to-Speech)的简单易用的语音转换框架。 具有以下特点 简单易用:RVC 模型通过简单易用的网页界面,使得用户无需深入了

透彻!驯服大型语言模型(LLMs)的五种方法,及具体方法选择思路

引言 随着时间的发展,大型语言模型不再停留在演示阶段而是逐步面向生产系统的应用,随着人们期望的不断增加,目标也发生了巨大的变化。在短短的几个月的时间里,人们对大模型的认识已经从对其zero-shot能力感到惊讶,转变为考虑改进模型质量、提高模型可用性。 「大语言模型(LLMs)其实就是利用高容量的模型架构(例如Transformer)对海量的、多种多样的数据分布进行建模得到,它包含了大量的先验

图神经网络模型介绍(1)

我们将图神经网络分为基于谱域的模型和基于空域的模型,并按照发展顺序详解每个类别中的重要模型。 1.1基于谱域的图神经网络         谱域上的图卷积在图学习迈向深度学习的发展历程中起到了关键的作用。本节主要介绍三个具有代表性的谱域图神经网络:谱图卷积网络、切比雪夫网络和图卷积网络。 (1)谱图卷积网络 卷积定理:函数卷积的傅里叶变换是函数傅里叶变换的乘积,即F{f*g}

秋招最新大模型算法面试,熬夜都要肝完它

💥大家在面试大模型LLM这个板块的时候,不知道面试完会不会复盘、总结,做笔记的习惯,这份大模型算法岗面试八股笔记也帮助不少人拿到过offer ✨对于面试大模型算法工程师会有一定的帮助,都附有完整答案,熬夜也要看完,祝大家一臂之力 这份《大模型算法工程师面试题》已经上传CSDN,还有完整版的大模型 AI 学习资料,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

90、k8s之secret+configMap

一、secret配置管理 配置管理: 加密配置:保存密码,token,其他敏感信息的k8s资源 应用配置:我们需要定制化的给应用进行配置,我们需要把定制好的配置文件同步到pod当中容器 1.1、加密配置: secret: [root@master01 ~]# kubectl get secrets ##查看加密配置[root@master01 ~]# kubectl get se

AI Toolkit + H100 GPU,一小时内微调最新热门文生图模型 FLUX

上个月,FLUX 席卷了互联网,这并非没有原因。他们声称优于 DALLE 3、Ideogram 和 Stable Diffusion 3 等模型,而这一点已被证明是有依据的。随着越来越多的流行图像生成工具(如 Stable Diffusion Web UI Forge 和 ComyUI)开始支持这些模型,FLUX 在 Stable Diffusion 领域的扩展将会持续下去。 自 FLU