无数物联网设备正不断从云端“母舰”处检查丰富数据,而其中使用的强大API接口也迅速成为恶意黑客眼中的攻击目标。于是,API安全再次站在了时代舞台的最中央。
谷歌API安全计划Apigee的出现,令API的整体安全水平迈上新的台阶。而且不仅仅是物联网,流畅丝滑的用户体验设计背后也同样要求机器间数据的无缝对接。只有这样才能以低摩擦方式交换大量数据,将远端分布式响应技术融入到前所未有的精彩体验中来。
但为了让这一切“正常起效”,我们也要考虑到强大接口所引发的恶意攻击可能性。如果不加控制,创纪录的传输能力只会把敏感数据以创纪录的速度传递给恶意黑客。
为此,我们在今年的RSA大会上发表了一篇文章,讨论初创企业正以怎样的方式保障API安全、防止其在悄无声息之下沦为倾泄数据的致命软肋。除我们之外,知名安全媒体DarkReading也打算好好给API安全事件引发的业务损失算笔账。
如今,更多重量级巨头也在进军这一领域,打算将API安全保障塑造成“下一件大事”。谷歌为自家云平台打造的Apigee Advanced API Security,就是想帮助组织客户发现API配置错误并阻止恶意机器人。从之前的记录来看,API配置错误正是多数安全事故的罪魁祸首之一。
好在OWASP API Security Project等工具已经相继出炉,能帮助大家对自己的API或需要交互的API开展健康检查,并以结果作为安全衡量基准。这些工具还深入剖析了常见错误配置及处理方法,相当于给大家提供了良好的保护起点。
而就在企业重视API保护工作的同时,下阶段针对API的黑客攻击也必然迅速增加。而这一波的攻击重点,很可能就是在云和大数据体系中至关重要的工业接口。而一旦这里存在配置错误,将很快导致大量数据被传递至犯罪分子手中,最终引发严重危害。在这场关于安全的军备竞赛中,我们唯一能做的就是避免自己沦为那个受害者。
好文章,需要你的鼓励
DeepResearchGym是一个创新的开源评估框架,专为深度研究系统设计,旨在解决当前依赖商业搜索API带来的透明度和可重复性挑战。该系统由卡内基梅隆大学研究团队开发,结合了基于ClueWeb22和FineWeb大型网络语料库的可重复搜索API与严格的评估协议。实验表明,使用DeepResearchGym的系统性能与使用商业API相当,且在评估指标间保持一致性。人类评估进一步证实了自动评估协议与人类偏好的一致性,验证了该框架评估深度研究系统的有效性。
这项研究介绍了FinTagging,首个面向大型语言模型的全面财务信息提取与结构化基准测试。不同于传统方法,它将XBRL标记分解为数值识别和概念链接两个子任务,能同时处理文本和表格数据。在零样本测试中,DeepSeek-V3和GPT-4o表现最佳,但在细粒度概念对齐方面仍面临挑战,揭示了当前大语言模型在自动化XBRL标记领域的局限性,为金融AI发展提供了新方向。
这项研究介绍了SweEval,一个新型基准测试,用于评估大型语言模型在企业环境中处理脏话的能力。研究团队从Oracle AI等多家机构的专家创建了一个包含八种语言的测试集,模拟不同语调和上下文的真实场景。实验结果显示,LLM在英语中较少使用脏话,但在印地语等低资源语言中更易受影响。研究还发现较大模型通常表现更好,且多语言模型如Llama系列在处理不当提示方面优于其他模型。这项工作对企业采用AI技术时的安全考量提供了重要参考。
这项研究提出了"VeriFree"——一种不需要验证器的方法,可以增强大型语言模型(LLM)的通用推理能力。传统方法如DeepSeek-R1-Zero需要验证答案正确性,限制了其在数学和编程以外领域的应用。VeriFree巧妙地计算正确答案在模型生成的推理过程后出现的概率,作为评估和训练信号。实验表明,这种方法不仅能匹配甚至超越基于验证器的方法,还大幅降低了计算资源需求,同时消除了"奖励黑客"问题。这一突破将有助于开发出在化学、医疗、法律等广泛领域具有更强推理能力的AI系统。