ZD至顶网网络频道 10月08日 编译:据悉,思科公司已经改变了对自家产品内安全漏洞的披露形式。用于处理机器可读之数据的API也许即将在短期内与我们见面。
思科公司以经过大幅改进的、易于阅读的形式发布安全漏洞报告。
思科目前已经采取一种新的、据称“经过强化与简化”的自家产品内安全漏洞披露方式。这一新方案使用安全影响评级(即Security Impact Rating,简称SIR)分数来帮助大家了解当前所面临安全漏洞的严重程度,同时配合CVE系统以及通用安全漏洞报告框架(简称CVRF),旨在以标准化且机器可读之格式对漏洞进行描述。由于相关数据能够为机器所直接读取,因此这类报告将在思科正式发布相关API之后发挥巨大作用——根据思科的说法,该API“将在未来几个月内推出”。
此外,根据思科做出的承诺,该API允许客户“对思科信息及公告进行自主定义,从而满足自身的特定需求。该API还允许客户设定相关规则,从而实现客户自有网络的自动化评估。”总结来讲,这很像是一种“塞入全部已有安全漏洞报告,结合网络实际情况然后告诉用户该怎么做”的傻瓜式解决方案,如果真能达到这样的效果、我们应当为思科鼓掌喝彩。
而最近,思科公司已经为其安全漏洞通告采取了一种新的RSS推送方式,其以CVRF格式存在并能够通过一款Python解析工具对内容进行读取,从而最大程度发挥其实际作用。
相关API以及新型格式之所以陆续出现,是因为思科公司的产品安全事件响应小组(即Product Security Incident Response Team,简称PSIRT)“承认过去这方面工作的一致性水平较低,且表示其原先会根据漏洞的具体严重程度采用多种不同的安全问题通知方式。”
而到今天,所有安全漏洞都将得到相同的对待,即在网络上发布明确的特性及危害介绍,并利用新的SIR机制对其加以评分,其具体分值及等级划分如下:
安全影响评级 |
CVSS分数 |
高危 |
9.0 – 10.0 |
危险 |
7.0 – 8.9 |
中等 |
4.0 – 6.9 |
低等 |
3.9或以下 |
思科公司做出的这一系列变更显然是对客户反馈的响应。感兴趣的朋友可以点击此处查看关于这一新机制的官方描述(英文原文)。
好文章,需要你的鼓励
谷歌发布数据共享模型上下文协议服务器,使开发者和AI智能体能够通过自然语言访问真实世界统计数据。该服务整合了政府调查、行政数据和联合国等全球机构的公共数据集。新服务旨在解决AI系统训练中常见的数据噪声和幻觉问题,为AI提供可验证的结构化信息。谷歌还与ONE Campaign合作推出数据智能体工具,该开源服务器兼容任何大语言模型。
这项由谷歌DeepMind研究团队完成的开创性研究首次系统阐述了AI智能体经济的概念框架。研究提出"沙盒经济"模型,从起源性质和边界渗透性两个维度分析AI智能体经济形态,预测未来将出现自然涌现且高度透水的AI经济网络。研究详细探讨了科学加速、机器人协调、个人助手等应用场景,提出基于拍卖机制的公平资源分配方案和使命经济概念,并深入分析了技术基础设施需求、社区货币应用以及相关风险防范措施。
微软宣布从周三开始将Anthropic的AI模型集成到其Copilot助手中,此前该助手主要依赖OpenAI技术。企业用户可在OpenAI的深度推理模型和Anthropic的Claude Opus 4.1、Claude Sonnet 4之间选择,用于复杂研究和构建定制AI工具等任务。此举标志着微软与OpenAI这对曾经独家合作伙伴关系的进一步松动。
中国人民大学研究团队提出LoFT方法,通过参数高效微调基础模型解决长尾半监督学习中的数据不平衡问题。该方法利用预训练模型的良好校准特性改进伪标签质量,并扩展出LoFT-OW版本处理开放世界场景。实验显示,仅使用传统方法1%的数据量就能取得更优性能,为AI公平性和实用性提供了新的解决方案。