近日,网络安全解决方案提供商 CheckPoint 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research 近日在 Amazon/Alexa 特定子域中发现了安全漏洞,黑客可利用这些漏洞删除/安装目标受害者 Alexa 帐户上的 skill,并访问其语音历史记录和个人数据。用户点击一下黑客特制的恶意链接并进行语音交互,便会遭到入侵。
Alexa 能够进行语音交互、设置警报、播放音乐并控制家庭自动化系统中的智能设备,全球销量超过 2 亿台。用户可以通过安装语音驱动应用 skill 来扩展 Alexa 的功能。但用户 Alexa 帐户中存储的大量个人信息及其家庭自动化控制作用使其成为黑客的诱人目标。
Check Point 研究人员展示了黑客如何利用他们在 Amazon/Alexa 特定子域中发现的漏洞,通过向目标用户发送伪造的来自 Amazon 的恶意链接来发起攻击。如果用户点击链接,攻击者就可以:
Check Point 产品漏洞研究主管 Oded Vanunu 表示:“智能扬声器和虚拟助手的应用非常普遍,我们很容易忽视它们所拥有的个人数据,以及它们在控制其他家庭智能设备方面的作用。这给了黑客可乘之机,让他们有机会在用户不知情的情况下访问数据、窃听对话或执行其他恶意操作。我们开展这项研究是为了强调这些设备的安全性对于保护用户隐私有多么重要。庆幸的是,Amazon 对我们的披露迅速做出了响应,修复了 Amazon/Alexa 特定子域上的漏洞。我们希望类似设备制造商能够以此为鉴,检查其产品中是否存在可能危及用户隐私的漏洞。我们之前还对 Tiktok、WhatsApp 和 Fortnite 进行了研究。考虑到 Alexa 的普遍性及其与物联网设备的关联,我们关注了它很久。往往是那些越受欢迎的数字平台对我们造成的损失越大。因此,保障它们的安全性至关重要。”
Amazon 在收到报告后及时修复了此问题。
好文章,需要你的鼓励
字节跳动智能创作实验室发布革命性AI视频数据集Phantom-Data,解决视频生成中的"复制粘贴"问题。该数据集包含100万个跨场景身份一致配对,通过三阶段构建流程实现主体检测、多元化检索和身份验证,显著提升文本遵循能力和视频质量。
ByteDance智能创作实验室发布的Phantom-Data是首个大规模跨情境主体一致性视频生成数据集,包含约100万个身份一致配对样本。该数据集通过创新的三阶段构建管道,从5300万视频和30亿图像中精选高质量跨场景配对,有效解决AI视频生成中的"复制粘贴"问题,显著提升文本遵循能力和视觉质量。
被盗凭证导致80%的企业数据泄露。随着AI智能体投入生产,管理10万员工的企业将需要处理超过100万个身份。传统身份访问管理架构无法应对智能体AI的大规模部署。领先厂商正采用蓝牙低功耗技术替代硬件令牌,实现基于距离的身份验证。行为分析可实时捕获被入侵的智能体,零信任架构扩展至智能体部署。这代表了自云计算普及以来最重要的安全变革。
普林斯顿大学研究团队开发了ReasonFlux-PRM,这是首个能深度理解AI复杂思维过程的评分系统。不同于传统只看最终答案的评估方法,新系统能评判AI思考轨迹的每个步骤质量,在数学和科学推理任务上实现了平均4.5%-12.1%的性能提升,为AI教育和训练提供了突破性的解决方案。