李昇,Akamai区域副总裁暨大中华区总经理
不是所有黑客都以最新的物联网设备或网联汽车为目标。2020年的SolarWinds黑客事件赤裸裸地告诉人们,支撑现代文明的技术不但“乏善可陈”,而且还存在着漏洞。也许正是这起事件启发了那些在圣诞假期前创建Log4Shell的攻击者。
Log4Shell 是针对 Log4j 的漏洞利用,Log4j 是 Java 社区开发人员常用的开源日志库,为错误消息、诊断信息等的日志记录提供框架。 Log4j 存在于世界各地公司使用的产品中,也包括许多中国的组织。
该漏洞最终能够导致个人信息泄露和远程代码执行(RCE),给企业机构和他们的客户造成各种不同的问题。由于Log4j库的功能非常全面(包括查找、嵌套和JNDI等),因此开发者很喜欢使用它。目前已有大量利用该漏洞的尝试,而且这一数量的增速非常惊人。
全世界的个人、大型企业机构和政府机构都将继续讨论该漏洞,而我们已经深入了解该漏洞的运作方式和发展方向以及在未来减轻该漏洞影响时所需要考虑的独特因素。
数据窃取和远程代码执行漏洞
为找到存在漏洞的服务器而执行全网扫描的服务器数量与日俱增,这使得发起者能够窃取信息并执行恶意代码。
数据窃取是攻击者用来锁定、复制和传输敏感数据的技术,攻击者可以通过Log4j查询表达式访问这些数据并且轻易地将这些数据劫持到他们所控制的系统。同样,攻击者还可以通过精心编写的日志行来执行远程代码,以便在服务器内运行任意命令。
在我们所发现的攻击载体中,网络应用成为了攻击者的第一目标,这些应用记录了访问网站的终端用户与网站的互动。另一个攻击载体是DNS。为了搜索是否有任何存在漏洞的DNS解析器,攻击者正在DNS查询中嵌入可利用的攻击载荷并发布这些查询结果。
但企业机构所受到的威胁远不止这些情况。鉴于全世界有几十亿台设备运行Java,因此许多设备中的漏洞无法得到修补。再加上其庞大的足迹和设备的暴露时间,我们认为该漏洞将在未来几年继续对我们造成威胁。
发展方向——攻击载荷和攻击方式的多样化
随着对该漏洞的持续监测,我们发现该威胁正在向两个不同的方向发展。首先在攻击载荷方面,企业越来越依赖网络应用防火墙(WAF)等缓解措施为他们提供保护。这类系统能够扫描网络请求中是否有可利用的字符串。一旦发现有此类字符串,它们就会放弃该请求。
第二个发展方向是攻击目标和协议的多样化。网络应用目前已成为主要的攻击载体,所以企业机构会不断为其提供更多的保护和漏洞修补,因此攻击者正在将矛头指向DNS和其他不太受到关注的协议,此类攻击的数量已有所增加。
鉴于针对该漏洞的攻击载体类型十分广泛,唯一的解决方案是修补全部有漏洞的系统。但在很多情况下,企业机构无法在第一时间全方位地了解哪些系统存在漏洞,因此必须采取额外的缓解措施来尽可能减少威胁面。
为了提供最大程度的保护,凡是可以修补漏洞的系统,都应在最新版本上运行Log4j。在其他情况下,企业机构必须优先运行WAF和DNS防火墙以及零信任网络分段等系统,以便发现可能的漏洞。
从Log4j事件中吸取的教训
随着该漏洞的扩大和发展,我们正在研究未来如何消除它的影响。为了满足终端用户需求,开发者必须将快速增加的库、语言生态系统以及第三方基础架构和服务视为一种新常态。
领先的企业机构不但已经开始评估特定库的风险,而且还通过评估该开发社区的实践来检查自身的依赖性。即便进行了此类风险评估,漏洞还是会出现。因此在这种情况下,可见性最为重要。许多企业机构无法发现存在漏洞的系统,所以他们必须部署能够及时做出响应并防止被完全利用的系统。
最后,企业机构应采取最小权限原则,包括限制服务器、机器和软件的访问权限,这样用户就只能访问执行自身任务所需的系统。这可以大大减少漏洞出现时的威胁面。
Log4j漏洞对全球企业造成了复杂、高风险的威胁。由于该漏洞的威胁面巨大并且全球存在大量未修补漏洞的系统,攻击者将会继续利用该漏洞尝试发起攻击并在此过程中影响许多企业机构。但只要企业能够努力构建成熟的安全基础,就能够具备比以往更快的恢复速度。
好文章,需要你的鼓励
来自香港科技大学和MiniMax的研究团队开发了SynLogic,一个可合成35种逻辑推理任务的框架与数据集,填补了AI逻辑训练资源缺口。研究表明,在SynLogic上进行强化学习训练显著提升了模型逻辑推理能力,32B模型在BBEH测试中超越了DeepSeek-R1-Distill模型6个百分点。更值得注意的是,将SynLogic与数学和编程数据混合训练不仅提高了这些领域的学习效率,还增强了模型的泛化能力,表明逻辑推理是构建通用AI推理能力的重要基础。
这项研究揭示了大型语言模型的惊人能力:只需两个特殊训练的向量,冻结的语言模型就能在一次计算中生成数百个准确词汇,而非传统的逐词生成。研究者发现,这种能力要求特定的输入排列方式,且生成速度比自回归方法快约279倍。这一发现不仅展示了语言模型未被充分探索的并行生成潜力,还为快速文本重建开辟了新方向。
腾讯混元团队提出的"ConciseR"是一种通过两阶段强化学习实现大模型简洁推理的新方法。研究遵循"先走后跑"原则,先确保模型具备准确推理能力,再优化输出简洁性。第一阶段通过改进的群体相对策略优化(GRPO++)提升推理能力,第二阶段通过长度感知的群体相对策略优化(L-GRPO)减少输出长度。实验结果显示,该方法在AIME、MATH-500等多个基准测试中既减少了输出长度(平均20%以上),又保持或提高了准确率,展现出高效率-高准确率的理想平衡。
这项由香港科技大学团队开展的研究首次全面评估了压缩对大语言模型Agent能力的影响。研究发现,虽然4位量化能较好地保留工作流生成和工具使用能力(仅下降1%-3%),但在实际应用中性能下降达10%-15%。团队提出的ACBench基准测试横跨工具使用、工作流生成、长文本理解和实际应用四大能力,评估了不同压缩方法对15种模型的影响。结果显示,AWQ量化效果最佳,蒸馏模型在Agent任务上表现不佳,大型模型对压缩更具韧性。研究还提出ERank等创新分析方法,为实际部署提供了切实指导。