要闻速览

1、聚焦两会 | 从政府工作报告看2024年数字经济网络安全发展新风向

2、全国网安标委发布《生成式人工智能服务安全基本要求》

3、全球首个AI蠕虫面世：可在AI系统之间自动传播

4、苹果又出大事！因滥用 App Store 规则被欧盟罚款 140 亿元

5、Monogon 组织从台湾窃取了 1.7 TB 机密数据

6、蚌埠住了，德国国防部文件密码是1234

一周政策要闻

聚焦两会 | 从政府工作报告看2024年数字经济网络安全发展新风向

3月5 日，世界瞩目的“两会”之十四届全国人大二次会议正式拉开帷幕，谋划国家新一年发展大计。

《2024年政府工作报告》中明确提出，制定支持数字经济高质量发展政策，积极推进数字产业化、产业数字化，促进数字技术和实体经济深度融合。同时，深化大数据、人工智能等研发应用，开展“人工智能+”行动，打造具有国际竞争力的数字产业集群。

以下为《政府工作报告》数字经济/网络安全要点梳理：

要点1：今年的政府工作报告，首次将“大力推进现代化产业体系建设，加快发展新质生产力”列为首项任务。

2024年政府工作十项任务，第一项就是“大力推进现代化产业体系建设，加快发展新质生产力”。

此外，2024年2月7日，总书记在中共中央政治局第十一次集体学习时强调，要围绕发展新质生产力布局产业链，提升产业链供应链韧性和安全水平，保证产业体系自主可控、安全可靠。

2024年推动该项工作主要有三个方面要点：

推动产业链供应链优化升级（自主可控能力提升）；

积极培育新兴产业和未来产业（超大规模新型智算中心、GPU芯片、下一代智能终端、下一代操作系统等）；

深入推进数字经济创新发展。

要点2：报告提出了“健全数据基础制度”，大力推动数据开发开放和流通使用。

报告中提及深入推进数字经济创新发展。深化大数据、人工智能等研发应用。健全数据基础制度，大力推动数据开发开放和流通使用。

当前，数字经济的蓬勃发展依赖于牢固的数据安全保障，在数据生命周期中建立安全机制，以防范数据泄露和不当使用显得尤为重要。数据安全不仅关乎个人隐私和企业机密，也是国家安全的关键。

纵观国内外，数据要素是人工智能及大数据等新技术实现突破、赋能经济社会发展，赢得国际竞争力的根本。只有在政策、平台及参与主体等方面打通重要“关节”枢纽，促进数据要素高效流通交易，才能充分释放其价值，驱动数字经济高质量发展。

要点3：以人工智能为代表的数字经济内容大幅增加，数字基础设施和算力体系可能成为重要抓手。

本次《政府工作报告》中，推动以人工智能为代表的数字经济发展也是非常重要的一部分。报告明确提出，制定支持数字经济高质量发展政策，开展“人工智能+”行动。

目前，AI技术呈现出快速发展的态势，在多个领域的应用前景被广泛看好。AI技术的进步不仅推动了自动化和智能化的进程，还在医疗、教育、交通等多个行业中展现出巨大的变革潜力。

报告中提及“数字经济”及“人工智能”的主要内容有：

推进数字产业化、产业数字化，促进数字技术和实体经济深度融合。

深化大数据、人工智能等研发应用，开展“人工智能＋”行动，打造具有国际竞争力的数字产业集群。

实施制造业数字化转型行动，加快工业互联网规模化应用。

深入开展中小企业数字化赋能专项行动。

支持平台企业在促进创新、增加就业、国际竞争中大显身手。

健全数据基础制度，大力推动数据开发开放和流通使用。

适度超前建设数字基础设施，加快形成全国一体化算力体系。

随着数字技术不断发展和普及，数字经济已成为推动经济社会发展的重要力量。政府工作报告中提到的相关政策措施和行动计划，为我国数字经济的发展指明了新的方向。

信息来源：网易  https://www.163.com/dy/article/ISMN82ER0538EUPB.html

全国网安标委发布《生成式人工智能服务安全基本要求》

3月4日，全国网络安全标准化技术委员会（SAC/TC260）发布《生成式人工智能服务安全基本要求》（以下简称“《基本要求》”），旨在明确生成式人工智能服务在安全方面的基本要求，包括语料安全、模型安全、安全措施等，并给出了安全评估要求。

该文件支撑《生成式人工智能服务管理暂行办法》，提出了服务提供者需遵循的安全基本要求。服务提供者在按照有关要求履行备案手续时，按照本文件第9章要求进行安全评估，并提交评估报告。《基本要求》中明确列明，“本文件规定了生成式人工智能服务在安全方面的基本要求。适用于服务提供者开展安全评估、提高安全水平”。《基本要求》在“术语和定义”中明确了“生成式人工智能服务”和“服务提供者”两个概念：所谓生成式人工智能服务，就是利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务。所谓“服务提供者”，是指以交互界面、可编程接口等形式提供生成式人工智能服务的组织或个人。就生成式人工智能服务而言，无论该服务的提供者位于我国境内还是境外均在所不问，只要相关服务面向中华人民共和国境内的公众，那么就适用于该文件。就“服务提供者”概念而言，应当注意的是服务提供者不一定仅指企业，基本要求明确提出了只要是以交互界面、可编程接口等形式提供服务，无论是组织还是个人，都符合“服务提供者”的定义。

信息来源：全国网络安全标准化技术委员会  https://www.tc260.org.cn/front/postDetail.html?id=20240301164054

业内新闻速览

全球首个AI蠕虫面世：可在AI系统之间自动传播

研究人员开发出首个第一代生成式AI蠕虫，名为 “Morris II”，它能够自动在AI系统之间传播。

这种新型网络攻击，让人回忆起1988年对互联网造成重大破坏的初代Morris 蠕虫的，凸显了网络安全威胁局势中的一个潜在变化。这项研究由康奈尔大学纽约科技校区研究员 Ben Nassi与另外两名研究员 Stav Cohen 和 Ron Bitton 共同牵头开展，展示了该蠕虫的能力即渗透生成式AI邮件助手、提取数据和分垃圾邮件，从而攻陷声名鹊起的AI模型如 ChatGPT 和 Gemini 的安全措施。

生成式AI的崛起和漏洞的增多：

随着生成式AI系统如 OpenAI 公司的 ChatGPT 和谷歌 Gemini 变得越来越强大且集成到多种应用中，这些系统被利用的可能性也在不断提升。研究人员创建的 Morris II 蠕虫凸显了利用AI生态系统互联性和自动化的新型网络威胁。媒体Wired报道称，首批生成式AI蠕虫已开发完毕。这些蠕虫可能会从一个系统传播到另一个系统，甚至可能在此过程中窃取数据或部署恶意软件。通过应用对抗性自复制提示，该蠕虫可通过AI系统进行传播，劫持这些系统执行未授权操作如数据盗取和恶意软件部署。这类蠕虫影响深远，为依赖于生成式AI系统的初创企业、开发人员和技术公司带来重大风险。该蠕虫能够躲避检测，在不同的AI系统中自动传播，这就为网络攻击引入一个新的向量，为现有的安全模型带来挑战。安全专家和研究人员强调了这些攻击的合理性以及开发社区认真对待这些威胁的紧迫性。

缓解威胁：

尽管AI蠕虫潜力强大，但安全专家认为传统的安全措施和谨慎的应用设计可缓解这些风险。从事AI企业安全业务的威胁研究员 Adam Swanda 提倡安全的应用设计和AI运营中人工疏忽的重要性。越权风险可通过确保AI系统不会在未获得明确同意的情况下执行操作会得到大大减少。另外，监控异常模式如在AI系统中的重复性提示有助于在早期检测到潜在威胁。Ben Nassi及其团队还强调了创建AI助手的开发人员和企业意识提升的重要性。了解这些风险并执行健壮的安全措施对于防止生成式AI系统的利用至关重要。这一研究呼吁AI开发社区在设计和部署AI生态系统中优先考虑安全的重要性。Morris II蠕虫的开发是评估网络威胁流程中的重要时刻，强调了生成式AI系统的内在漏洞。随着AI对技术和日常生活的影响日益加剧，全面的安全策略也变得愈发重要。通过提升意识和采取主动的安全措施，AI开发社区可防御AI蠕虫的威胁并确保生成式AI技术能得到安全、负责任的使用。

消息来源：安全内参  https://www.secrss.com/articles/64123

苹果又出大事！因滥用 App Store 规则被欧盟罚款 140 亿元

近日，据相关媒体报道，苹果公司被欧盟罚款 18 亿欧元 ( 约合人民币 140 亿元 ) ，原因是苹果公司滥用 App Store 规则，非法阻止应用开发者通过其应用商店之外的渠道向用户提供可替代和更便宜的音乐订阅服务信息。

事情起因是，流媒体公司 Spotify 就苹果公司滥用 App store 阻止应用开发者在其应用商店之外向用户提供有关替代和更便宜的音乐订阅服务的信息发起投诉，欧盟随后对苹果公司进行调查，并最终认定苹果公司违规，并处以 18 亿欧元的巨额罚款。随后，苹果公司表示，尽管尊重欧盟委员会，但其并未提供任何可信消费者利益受损证据，忽视了蓬勃发展的竞争市场现实，苹果公司将会对欧盟罚款提出上诉。本次巨额处罚是欧盟针对大型科技公司最大的经济处罚之一，而谷歌也有类似的处罚，历时数年，总金额高达 80 亿欧元，目前仍在抗诉。

消息来源：ZAKER资讯  https://www.myzaker.com/article/65e788948e9f0972030888a8

Monogon 组织从台湾窃取了 1.7 TB 机密数据

据安全客3月5日消息，台湾最大的电信公司中华电信最近遭受了黑客攻击。此次黑客攻击导致 1.7 TB 数据被盗，其中包括与该岛政府相关的信息。

2024年2月23日，一名昵称“303”、头像上带有“Monogon”签名的用户将泄露的数据在暗网上出售。这可能是攻击者所代表的黑客组织的名称。而且，从他的个人资料来看，他是莫诺冈的领袖。台湾有关部门于3月1日正式确认了此次黑客攻击事件。根据内部调查的初步数据，黑客成功获取了中华电信的机密信息。据报道，被盗数据包含台湾军方、外交、海岸警卫队和其他政府部门的机密文件。尽管台湾有关部门声称没有透露任何机密信息。不过，针对这一事件，台湾有关部门敦促中华电信加强网络安全措施，防止今后发生类似事件。涉及泄露的公司现在被要求显着加强对信息安全的控制。此类事件不仅构成国家安全风险，还引发人们对政府层面和私营企业部门加强网络安全重要性的质疑。

消息来源：安全客  https://www.anquanke.com/post/id/293617

蚌埠住了，德国国防部文件密码是1234

最近的德国防部可谓是风波不断。据当地媒体消息，在该部门因“德国军官策划袭击克里米亚大桥”的谈话内容遭到窃听并被俄媒曝光后，又身陷“密码门”事件。

当地时间3月3日，德国防部长鲍里斯·皮斯托留斯就这一窃听丑闻事件举行了新闻发布会，并将部分讲话内容以加密录音文档的形式被对外公布在国防部网站上，访客可输入密码进行访问。

但令德国大众感到意外的是，密码竟如此简单，仅需输入”1234“即可访问该录音。虽然该录音文档在云存储上未进行分类，密码“1234”甚至可能只是个临时占位符，但密码的简单性仍遭到德媒批评。德国《图片报》就将国防部页面的提示截图贴在报道内，并反问“密码是1234，这真的安全吗？”

或许，国防部为了方便大众访问该文件，设置了简单的密码，但仍不免让人怀疑，其系统内部的安全保障措施是否也如此“划水”。

《图片报》指出，目前仍不清楚俄方究竟是如何通过什么手段窃听获得了长达38分钟的德国高层军官通话的录音，但这些高层军官因使用“WebEx”（第三方远程会议软件）进行高度机密的通话而被窃听的事实，已经让外界担忧国防部的保密程度是否出现巨大漏洞。

德国联邦情报局前局长奥古斯特·汉宁认为，俄罗斯方面可能还掌握了更多被拦截的信息。德国基民盟国防专家基塞韦特称：“我认为联邦政府和各部委的其他成员很可能遭到窃听，包括总理及其周围的环境。”值得一提的是，在2013年曝光的震惊世界的美国国家安全局“棱镜门”全球窃听计划中，德国时任总理默克尔也是美国的窃听对象。

因密码泄密，德国早有前科：

据新华国际此前报道，2019年元旦过后，近千名政客的私人信息被黑客获取并公开，这些被曝光的信息包括邮箱、传真、电话、家庭住址、信用卡信息、账单、应用软件聊天记录等。其中，887人的电话号码被公布，116人的家庭住址被曝光，时任德国总理默克尔和总统施泰因迈尔也没能幸免。

事后，德国联邦信息安全局被指责办事不力，面对舆论批评，时任德国内政部长泽霍费尔为自己辩解称，被黑客轻易攻破的政客们密码设置太差，不少人的密码非常简单，比如“iloveyou”“12345”等。

更让人大跌眼镜的是这位黑客并非德方所认为的“高手”，而是一位年仅20岁且仍在上学的青年约翰，他供述说，自己完全是单独行动，他采用的是猜测密码等简单办法，没想到一经尝试就截获了不少人的信息。

消息来源：FREEBUF  https://www.freebuf.com/news/393636.html

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！