Mitre 的通用漏洞与暴露 (CVE) 计划 ——上周在美国政府大规模整顿中几乎面临完全关闭——现已指定网络曝光管理专家 Armis 为 CVE 编号机构 (CNA)。
这意味着 Armis 将能审核并分配 CVE 标识符,用于支持该计划识别、定义并记录尽可能多的安全问题的使命。
“我们专注于超越传统的检测,提供真正的安全防护 —— 在攻击发生前就进行防范,而不仅仅是事后响应,”Armis 首席技术官兼联合创始人 Nadir Izrael 说道。“我们的职责和目标是帮助全行业提升网络安全意识和防护行动。这对于有效应对网络威胁整个生命周期、管理网络风险暴露以保障社会安全至关重要。”
Mitre 目前依靠全球 450 个 CNA 的专业力量 —— 其中近 250 个位于美国,还有 12 个在英国。完整名单中包含了世界上一些最大的科技公司,如 Amazon、Apple、Google、Meta 和 Microsoft,以及众多其他供应商、政府机构和计算机应急响应小组 (CERT)。
所有在名单中的组织均是自愿参与,每个组织都承诺拥有公开的漏洞披露政策、一个开放的新漏洞披露来源,并同意该计划的条款和条件。
作为回报,Mitre 表示,参与者能够向客户展示他们在漏洞管理上的成熟态度,并传递增值漏洞信息;能够掌控其参与范围内漏洞的 CVE 发布流程;在无需与其他 CNA 共享信息的情况下分配 CVE 标识符;并简化漏洞披露流程。
在该计划未来仍充满不确定性之际 —— 因为它曾一度接近被取消 —— Armis 的加入正值迷雾重重之时。事件发生后,许多安全界人士认为,对 CVE 管理方式进行彻底改革早已迫在眉睫。
“此次资金中断突显了一个关键事实:基于 CVE 的漏洞管理不能成为有效安全控制的基石。充其量,它只是一个滞后指标,其背后依赖的是一个资源不稳定的计划,”风险管理专家 Spektion 的首席执行官 Joe Silva 说道。
“未来的漏洞管理应聚焦于识别运行时中真正可被利用的攻击路径,而不仅仅是对潜在漏洞进行分类。贵组织的风险定位不应依赖于政府合同的续约。
“尽管资金已到位,但这进一步动摇了人们对 CVE 系统的信心 —— 这一依靠政府不稳定资金的众包拼凑工程本就存在缺陷。CVE 计划早已无法做到足够全面和及时,而如今更显不稳定。”
开放数据
与此同时,Armis 今天还通过向所有用户开放其专有漏洞情报数据库 (VID),进一步扩展了其漏洞管理能力。
这一由社区驱动的数据库,由 Armis 内部的 Armis Labs 单位提供支持,提供早期预警服务和资产情报,并不断通过众包情报进行更新,以增强用户对可能影响垂直行业的新兴漏洞的优先级识别能力,从而在这些问题被广泛利用之前及时采取措施加强防御。
“随着威胁行为者不断扩大网络攻击的规模和复杂度,采取积极主动的风险降低措施至关重要,”Izrael 表示。
“Armis 漏洞情报数据库是一个由安全社区为安全社区构建的重要且易获取的资源。它将漏洞数据转化为现实世界的影响,帮助企业迅速调整,并做出更明智的决策来管理网络威胁。”
Armis 表示,目前 58% 的网络攻击受害者仅在损害发生后进行被动响应,而近四分之一的 IT 决策者认为缺乏连续的漏洞评估是其安全运营中的一大缺陷,这使得更快速地应对问题变得势在必行。
好文章,需要你的鼓励
邻里社交应用Nextdoor推出重新设计版本,新增本地新闻、实时警报和名为"Faves"的AI功能,用于发现本地商户和地点。该应用与3500家本地出版商合作提供新闻内容,通过Samdesk和Weather.com提供天气、交通、停电等实时警报。Faves功能利用15年邻里对话数据训练的大语言模型,为用户提供本地化AI推荐服务,帮助用户找到最佳餐厅、徒步地点等本地信息。
Skywork AI推出的第二代多模态推理模型R1V2,通过创新的混合强化学习方法,成功解决了AI"慢思考"策略在视觉推理中的挑战。该模型在保持强大推理能力的同时有效控制视觉幻觉,在多项权威测试中超越同类开源模型,某些指标甚至媲美商业产品,为开源AI发展树立了新标杆。
英国生物银行完成了世界上最大规模的全身成像项目,收集了10万名志愿者的超过10亿次扫描数据,用于研究人体衰老和疾病过程。该项目历时11年,每次扫描耗时5小时,投资6200万英镑。目前已有8万人的成像数据供全球研究人员使用,剩余数据将于年底前发布。项目已开发出能预测38种常见疾病的AI工具,并在心脏病、痴呆症和癌症诊断方面取得突破。
这项由北京大学等多所高校联合完成的研究,首次对OpenAI GPT-4o的图像生成能力进行了全面评估。研究团队设计了名为GPT-ImgEval的综合测试体系,从文本转图像、图像编辑和知识驱动创作三个维度评估GPT-4o,发现其在所有测试中都显著超越现有方法。研究还通过技术分析推断GPT-4o采用了自回归与扩散相结合的混合架构,并发现其生成图像仍可被现有检测工具有效识别,为AI图像生成领域提供了重要的评估基准和技术洞察。