昨日，中国网络空间安全协会发文称，英特尔产品存在四项安全问题：安全漏洞问题频发;可靠性差，漠视用户投诉;假借远程管理之名，行监控用户之实;暗设后门，危害网络和信息安全。该协会还提到，英特尔在所谓涉疆问题上积极站位打压中国，建议对英特尔在华销售产品启动网络安全审查，切实维护中国国家安全和中国消费者的合法权益。

开源开发生态系统中的恶意软件组件显著增加，这使得企业高度警惕软件供应链攻击。据软件供应链管理公司Sonatype发布的一份新报告显示，恶意软件正以惊人的速度渗透进开源软件开发生态系统。自2023年11月以来，该公司已在流行的Java、JavaScript、Python和.NET软件包注册中心追踪到超过50万个新的恶意软件包。

近日，微软发布了安全更新，修复了Windows电脑和其他软件中至少117个安全漏洞，其中包括两个已遭受活跃攻击的漏洞。此外，Adobe修复了多款产品中的52个安全漏洞，而Apple则在其新macOS 15“Sequoia”更新中解决了一个导致许多网络安全工具失效的漏洞。

Resecurity报告指出，针对利用自然语言处理(NLP)和机器学习(ML)技术实现与消费者自动化、类人交互的聊天机器人的AI对话平台攻击呈上升趋势。Resecurity发现，针对利用聊天机器人为消费者提供自动化、类人交互的AI代理和对话AI平台的恶意活动激增。对话AI平台旨在通过自然语言处理(NLP)和机器学习(ML)等技术促进人与机器之间的自然交互。这些平台使聊天机器人和虚拟代理等应用能够进行有意义的对话，成为各行各业的重要工具。

高通警告称，其DSP服务中的产品存在20个缺陷，包括一个潜在的零日漏洞，该漏洞影响多个芯片组。高通已解决其产品中的20个漏洞，其中包括一个被追踪为CVE-2024-43047（CVSS评分7.8）的潜在零日漏洞。

GitLab 本周发布的 DevOps 平台新版本中修复了一个重大漏洞，该漏洞允许攻击者绕过身份验证检查并以任意用户身份登录受影响的系统。因此，使用自托管 GitLab 实例并配置了基于 SAML 的身份验证的组织应尽快更新至最新版本。

微软作为回应去年网络遭受的几次重大入侵，已在其广泛的“安全未来计划”（Secure Future Initiative, SFI）中，从云环境中剔除了约73万款未使用的应用程序和575万个不活跃租户。这一举措旨在加固安全防护。

风险承受能力的一个基本原则是考虑事情出错后的后果。风险可能源自技术层面，但对于首席信息安全官(CISO)而言，挑战在于解读组织对影响的承受能力。

Cisco Talos研究人员在Microsoft为macOS开发的应用程序中发现了八个漏洞。这些漏洞可能允许攻击者向Microsoft应用程序中注入恶意库并窃取权限，进而访问麦克风、摄像头和屏幕录制等敏感资源，可能导致数据泄露或权限提升。

近年来，随着视频渲染和人工智能系统的发展，对图形处理单元（GPU）的需求激增。尽管最明显的短缺大多与PC和服务器芯片有关，但移动图形处理器却是每个智能手机用户每天都在使用的版本。因此，这些芯片或其实现方式中的漏洞可能会产生实际影响。这正是谷歌Android漏洞挖掘红队将目光投向高通这家芯片巨头广泛使用的开源软件的原因，该软件常用于实现移动GPU。

在拉斯维加斯举行的黑帽安全大会上，一项新研究成果揭示，Windows更新中存在一个漏洞，该漏洞可能被利用来将Windows降级到旧版本，从而暴露一系列已知历史漏洞，这些漏洞随后可以被利用以获得对系统的完全控制。微软表示，他们正在采取复杂措施来修复这个问题，这个过程被称为“Downdate”。

在影响全球850万台设备的蓝屏故障之后，微软再次出现大规模的宕机事件。这起事件阻止了用户正常访问Microsoft 365和Azure服务。

尽管AI的应用几十年来一直在缓慢推进，但生成式AI的进步，加上去年的公开可用性，正促使人们更加关注AI技术带来的挑战、变革和新的可能性。思科发布的《人工智能就绪指数》报告显示，在企业中部署AI技术的紧迫性已经增加，其中IT基础设施和网络安全被认为是AI部署的重中之重。

近日，Cybernews的研究人员发现了一个名为rockyou2024.txt的数据文档被泄露。该数据集包含了过去二十年来从多次数据泄露事件中收集的994,857,5739个明文密码，其中还包括了2021年至2024年的新增内容。

随着云计算的广泛应用，企业更倾向于在多个云服务提供商处存储应用程序和数据。但这也带来了管理多云环境的挑战，如网络性能、安全性和可靠性等问题。在此情况下，具备敏捷性、智能性和可扩展性的 SD-WAN（软件定义广域网），成为了多云环境下网络解决方案的新宠。

在第四届数字安全大会上，数世咨询发布了《中国数字安全产业年度报告（2024）》、《新质·中国数字安全百强（2024）》和国内首本《数字安全蓝皮书》。会议期间，IT168记者李雪薇有幸采访到数世咨询创始人李少鹏，围绕“新质•真能力”的含义、数字安全技术与产业的现状等话题展开深入探讨。

自2016年《网络安全法》出台，公安部积极响应，在全国范围内牵头组织了一系列护网行动和攻防演练，旨在核心提升用户应对安全事件的处理能力，确保安全投入能切实有效地转化为抵御威胁的实战效能。经过8年的发展，护网行动已经成为一个每年检验红蓝对抗能力的“大考”。

神秘网络的Spinning YARN威胁行动者已发起新一轮的加密劫持活动，将大网撒向公开暴露的Docker引擎主机。攻击者一直在利用配置不当的Docker、Apache Hadoop、Redis和Confluence服务器中经常被忽视的漏洞。

在快速发展的数字环境中，网络安全风险变得越来越复杂，越来越难以应对。传统方法不再有效和充分。自2018年以来，仅勒索软件索赔就增长了150%%。疫情后的远程工作系统给企业安全团队带来了更大的网络安全问题。预计到2025年，全球网络犯罪成本预计将达到每年10.5万亿美元，高于2015年的3万亿美元。

研究人员透露，GPT-4机器人自动团队通过使用现实世界的零日漏洞，成功入侵了一半以上的测试网站。这些机器人相互协调，按需生成新的机器人，旨在渗透这些安全漏洞。在之前的一篇论文中，进行此项研究的同一团队表明，GPT-4具有自主利用已知安全漏洞的能力，特别是针对“1day漏洞”。