根据来自Palo Alto Networks旗下Unit 42的一份新报告显示,供应链已经成为一种新型云安全威胁。
Unit 42与Palo Alto Networks的一家大型SaaS提供商客户进行了一次为期三天的红队演练,发现了可能使该组织遭受类似SolarWinds和Kaseya攻击的关键软件开发漏洞。
Unit 42发现,用于构建云基础设施的第三方代码中,有63%的代码都含有不安全的配置。报告称,如果攻击者攻击了第三方开发人员,就有可能渗透到数千个组织的云基础设施中。
Unit 42还分析了来自全球各地公共数据来源的数据,从而得出结论称,如今企业组织的软件供应链面临越来越多的威胁。
他们发现,云基础设施中部署的第三方容器应用中,有96%的应用含有已知的漏洞。
Unit 42研究人员发现,即使对于自认为已经制定了“成熟”的云安全措施的客户来说,也存在一些严重的错误配置和漏洞,让Unit 42团队能够以某种方式侵入并接管客户的云基础设施长达数天。
“在大多数供应链攻击行为中,攻击者会入侵供应商并在客户使用的软件中插入恶意代码。云基础设施可能会成为类似方法的牺牲品,未经审查的第三方代码可能存在安全漏洞并让攻击者能够趁机访问云环境中的敏感数据。此外,除非组织会验证来源,否则第三方代码可能是来自任何人的,包括高级持续威胁,”Unit 42在报告中这样写道。
“很多团队忽视了DevOps的安全性,一部分原因是他们缺乏对供应链威胁的关注。云原生应用有很长的依赖链,且彼此之间又是相互依赖的。DevOps团队和安全团队需要了解每个云工作负载,以评估这条依赖链每个阶段的风险,并采取防护措施。”
BreachQuest公司首席技术官Jake Williams称这项研究成果“意义重大”,并表示该研究揭示了公共软件供应链中如此普遍地存在配置问题和尚未解决的漏洞,并利用这些实际数据取代了事件响应者的各种猜测。
“在BreachQuest,我们习惯于处理利用Docker Hub映像构建的代码和应用等工作事件,其中存在很多预先构建的安全问题。虽然通常是缺少补丁的,但在这些映像中发现安全配置错误的情况并不少见,”Williams表示。
“这是自从有了公有云以来安全领域就在一直面对的问题。之前的研究发现,绝大多数公开可用的Amazon Machine Image都存在补丁缺失以及/或者配置问题。”
Valtix首席技术官Vishal Jain等专家也指出,一年多来,云相关的支出已经远远超过数据中心相关的支出。
Jain补充说,通常哪里最好赚钱攻击者就会涌向哪里,因此现在云变成了企业一个较大的、开放的安全入口。
他建议组织关注构建时的安全性——扫描用于构建云基础设施的IaC模板——以及运行时的安全性。
“这不是非此即彼,而是要两者兼而有之。更重要的是,随着公有云中的动态技术设施和应用不断蔓延,云中有很多新的安全问题需要解决,”Jain说。
其他人则表示,要保护代码免受快速变化的功能需求和威胁模式的影响,几乎是不可能的。Symmetry Systems公司首席执行官Mohit Tiwari表示,加强基础设施要比在数亿行代码中追踪应用漏洞更为有效。
Tiwari解释说,第一方代码与第三方代码一样,可能存在可被利用的漏洞(例如授权错误),并且这些漏洞会暴露由业务逻辑管理的客户数据。
“指责第三方代码是不令人信服的——Linux、Postgres、Django/Rails等软件……包含了大多数应用,因此几乎所有应用都包含具有已知漏洞的第三方代码,”Tiwari说。
另外,Tiwari表示,“实际上,组织正在转向让他们的基础设施——云IAM、服务网格等等——变得井井有条,同时依赖针对目标用例的代码分析(例如为大量应用代码提供安全性的可信代码库)。”
好文章,需要你的鼓励
来自香港科技大学和MiniMax的研究团队开发了SynLogic,一个可合成35种逻辑推理任务的框架与数据集,填补了AI逻辑训练资源缺口。研究表明,在SynLogic上进行强化学习训练显著提升了模型逻辑推理能力,32B模型在BBEH测试中超越了DeepSeek-R1-Distill模型6个百分点。更值得注意的是,将SynLogic与数学和编程数据混合训练不仅提高了这些领域的学习效率,还增强了模型的泛化能力,表明逻辑推理是构建通用AI推理能力的重要基础。
这项研究揭示了大型语言模型的惊人能力:只需两个特殊训练的向量,冻结的语言模型就能在一次计算中生成数百个准确词汇,而非传统的逐词生成。研究者发现,这种能力要求特定的输入排列方式,且生成速度比自回归方法快约279倍。这一发现不仅展示了语言模型未被充分探索的并行生成潜力,还为快速文本重建开辟了新方向。
腾讯混元团队提出的"ConciseR"是一种通过两阶段强化学习实现大模型简洁推理的新方法。研究遵循"先走后跑"原则,先确保模型具备准确推理能力,再优化输出简洁性。第一阶段通过改进的群体相对策略优化(GRPO++)提升推理能力,第二阶段通过长度感知的群体相对策略优化(L-GRPO)减少输出长度。实验结果显示,该方法在AIME、MATH-500等多个基准测试中既减少了输出长度(平均20%以上),又保持或提高了准确率,展现出高效率-高准确率的理想平衡。
这项由香港科技大学团队开展的研究首次全面评估了压缩对大语言模型Agent能力的影响。研究发现,虽然4位量化能较好地保留工作流生成和工具使用能力(仅下降1%-3%),但在实际应用中性能下降达10%-15%。团队提出的ACBench基准测试横跨工具使用、工作流生成、长文本理解和实际应用四大能力,评估了不同压缩方法对15种模型的影响。结果显示,AWQ量化效果最佳,蒸馏模型在Agent任务上表现不佳,大型模型对压缩更具韧性。研究还提出ERank等创新分析方法,为实际部署提供了切实指导。