根据来自Palo Alto Networks旗下Unit 42的一份新报告显示,供应链已经成为一种新型云安全威胁。
Unit 42与Palo Alto Networks的一家大型SaaS提供商客户进行了一次为期三天的红队演练,发现了可能使该组织遭受类似SolarWinds和Kaseya攻击的关键软件开发漏洞。
Unit 42发现,用于构建云基础设施的第三方代码中,有63%的代码都含有不安全的配置。报告称,如果攻击者攻击了第三方开发人员,就有可能渗透到数千个组织的云基础设施中。
Unit 42还分析了来自全球各地公共数据来源的数据,从而得出结论称,如今企业组织的软件供应链面临越来越多的威胁。
他们发现,云基础设施中部署的第三方容器应用中,有96%的应用含有已知的漏洞。
Unit 42研究人员发现,即使对于自认为已经制定了“成熟”的云安全措施的客户来说,也存在一些严重的错误配置和漏洞,让Unit 42团队能够以某种方式侵入并接管客户的云基础设施长达数天。
“在大多数供应链攻击行为中,攻击者会入侵供应商并在客户使用的软件中插入恶意代码。云基础设施可能会成为类似方法的牺牲品,未经审查的第三方代码可能存在安全漏洞并让攻击者能够趁机访问云环境中的敏感数据。此外,除非组织会验证来源,否则第三方代码可能是来自任何人的,包括高级持续威胁,”Unit 42在报告中这样写道。
“很多团队忽视了DevOps的安全性,一部分原因是他们缺乏对供应链威胁的关注。云原生应用有很长的依赖链,且彼此之间又是相互依赖的。DevOps团队和安全团队需要了解每个云工作负载,以评估这条依赖链每个阶段的风险,并采取防护措施。”
BreachQuest公司首席技术官Jake Williams称这项研究成果“意义重大”,并表示该研究揭示了公共软件供应链中如此普遍地存在配置问题和尚未解决的漏洞,并利用这些实际数据取代了事件响应者的各种猜测。
“在BreachQuest,我们习惯于处理利用Docker Hub映像构建的代码和应用等工作事件,其中存在很多预先构建的安全问题。虽然通常是缺少补丁的,但在这些映像中发现安全配置错误的情况并不少见,”Williams表示。
“这是自从有了公有云以来安全领域就在一直面对的问题。之前的研究发现,绝大多数公开可用的Amazon Machine Image都存在补丁缺失以及/或者配置问题。”
Valtix首席技术官Vishal Jain等专家也指出,一年多来,云相关的支出已经远远超过数据中心相关的支出。
Jain补充说,通常哪里最好赚钱攻击者就会涌向哪里,因此现在云变成了企业一个较大的、开放的安全入口。
他建议组织关注构建时的安全性——扫描用于构建云基础设施的IaC模板——以及运行时的安全性。
“这不是非此即彼,而是要两者兼而有之。更重要的是,随着公有云中的动态技术设施和应用不断蔓延,云中有很多新的安全问题需要解决,”Jain说。
其他人则表示,要保护代码免受快速变化的功能需求和威胁模式的影响,几乎是不可能的。Symmetry Systems公司首席执行官Mohit Tiwari表示,加强基础设施要比在数亿行代码中追踪应用漏洞更为有效。
Tiwari解释说,第一方代码与第三方代码一样,可能存在可被利用的漏洞(例如授权错误),并且这些漏洞会暴露由业务逻辑管理的客户数据。
“指责第三方代码是不令人信服的——Linux、Postgres、Django/Rails等软件……包含了大多数应用,因此几乎所有应用都包含具有已知漏洞的第三方代码,”Tiwari说。
“实际上,组织正在转向让他们的基础设施——云IAM、服务网格等等——变得井井有条,同时依赖针对目标用例的代码分析(例如为大量应用代码提供安全性的可信代码库)。”
好文章,需要你的鼓励
这项研究提出了ORV(占用中心机器人视频生成)框架,利用4D语义占用作为中间表示来生成高质量的机器人操作视频。与传统方法相比,ORV能提供更精确的语义和几何指导,实现更高的时间一致性和控制精度。该框架还支持多视角视频生成(ORV-MV)和模拟到真实的转换(ORV-S2R),有效弥合了虚拟与现实之间的差距。实验结果表明,ORV在多个数据集上的表现始终优于现有方法,为机器人学习和模拟提供了强大工具。
这项研究由Writer公司团队开发的"反思、重试、奖励"机制,通过强化学习教导大型语言模型生成更有效的自我反思内容。当模型回答错误时,它会生成反思并二次尝试,若成功则奖励反思过程。实验表明,该方法在函数调用和数学方程解题上带来显著提升,最高分别改善18.1%和34.7%。令人惊讶的是,经训练的小模型甚至超越了同家族10倍大的模型,且几乎不存在灾难性遗忘问题。这种自我改进技术为资源受限环境下的AI应用开辟了新方向。
FuseLIP是一项突破性研究,提出了通过早期融合离散标记实现多模态嵌入的新方法。与传统CLIP模型使用独立编码器不同,FuseLIP采用单一编码器同时处理图像和文本标记,实现了更自然的模态交互。研究证明,这种早期融合方法在多种多模态任务上表现优异,特别是在需要理解图像结构而非仅语义内容的任务上。研究还开发了创新的数据集和评估任务,为多模态嵌入研究提供了宝贵资源。
ByteDance与浙江大学合作开发的MERIT是首个专为多语言多条件语义检索设计的基准数据集,包含320,000条跨5种语言的查询和135,000个产品。研究发现现有模型在处理多条件查询时过度关注全局语义而忽略特定条件元素,为此提出CORAL框架,通过嵌入重建和对比学习相结合的方式,使检索性能提升45.9%。这项研究不仅识别了现有方法的关键局限性,还为多条件交错语义检索领域的未来研究奠定了基础。