Mitre 的通用漏洞与暴露 (CVE) 计划 ——上周在美国政府大规模整顿中几乎面临完全关闭——现已指定网络曝光管理专家 Armis 为 CVE 编号机构 (CNA)。
这意味着 Armis 将能审核并分配 CVE 标识符,用于支持该计划识别、定义并记录尽可能多的安全问题的使命。
“我们专注于超越传统的检测,提供真正的安全防护 —— 在攻击发生前就进行防范,而不仅仅是事后响应,”Armis 首席技术官兼联合创始人 Nadir Izrael 说道。“我们的职责和目标是帮助全行业提升网络安全意识和防护行动。这对于有效应对网络威胁整个生命周期、管理网络风险暴露以保障社会安全至关重要。”
Mitre 目前依靠全球 450 个 CNA 的专业力量 —— 其中近 250 个位于美国,还有 12 个在英国。完整名单中包含了世界上一些最大的科技公司,如 Amazon、Apple、Google、Meta 和 Microsoft,以及众多其他供应商、政府机构和计算机应急响应小组 (CERT)。
所有在名单中的组织均是自愿参与,每个组织都承诺拥有公开的漏洞披露政策、一个开放的新漏洞披露来源,并同意该计划的条款和条件。
作为回报,Mitre 表示,参与者能够向客户展示他们在漏洞管理上的成熟态度,并传递增值漏洞信息;能够掌控其参与范围内漏洞的 CVE 发布流程;在无需与其他 CNA 共享信息的情况下分配 CVE 标识符;并简化漏洞披露流程。
在该计划未来仍充满不确定性之际 —— 因为它曾一度接近被取消 —— Armis 的加入正值迷雾重重之时。事件发生后,许多安全界人士认为,对 CVE 管理方式进行彻底改革早已迫在眉睫。
“此次资金中断突显了一个关键事实:基于 CVE 的漏洞管理不能成为有效安全控制的基石。充其量,它只是一个滞后指标,其背后依赖的是一个资源不稳定的计划,”风险管理专家 Spektion 的首席执行官 Joe Silva 说道。
“未来的漏洞管理应聚焦于识别运行时中真正可被利用的攻击路径,而不仅仅是对潜在漏洞进行分类。贵组织的风险定位不应依赖于政府合同的续约。
“尽管资金已到位,但这进一步动摇了人们对 CVE 系统的信心 —— 这一依靠政府不稳定资金的众包拼凑工程本就存在缺陷。CVE 计划早已无法做到足够全面和及时,而如今更显不稳定。”
开放数据
与此同时,Armis 今天还通过向所有用户开放其专有漏洞情报数据库 (VID),进一步扩展了其漏洞管理能力。
这一由社区驱动的数据库,由 Armis 内部的 Armis Labs 单位提供支持,提供早期预警服务和资产情报,并不断通过众包情报进行更新,以增强用户对可能影响垂直行业的新兴漏洞的优先级识别能力,从而在这些问题被广泛利用之前及时采取措施加强防御。
“随着威胁行为者不断扩大网络攻击的规模和复杂度,采取积极主动的风险降低措施至关重要,”Izrael 表示。
“Armis 漏洞情报数据库是一个由安全社区为安全社区构建的重要且易获取的资源。它将漏洞数据转化为现实世界的影响,帮助企业迅速调整,并做出更明智的决策来管理网络威胁。”
Armis 表示,目前 58% 的网络攻击受害者仅在损害发生后进行被动响应,而近四分之一的 IT 决策者认为缺乏连续的漏洞评估是其安全运营中的一大缺陷,这使得更快速地应对问题变得势在必行。
好文章,需要你的鼓励
本文评测了六款控制台平铺终端复用器工具。GNU Screen作为老牌工具功能强大但操作复杂,Tmux更现代化但学习曲线陡峭,Byobu为前两者提供友好界面,Zellij用Rust编写界面简洁易用,DVTM追求极简主义,Twin提供类似TurboVision的文本界面环境。每款工具都有各自特点和适用场景。
纽约大学研究团队通过INT-ACT测试套件全面评估了当前先进的视觉-语言-动作机器人模型,发现了一个普遍存在的"意图-行动差距"问题:机器人能够正确理解任务和识别物体,但在实际动作执行时频频失败。研究还揭示了端到端训练会损害原有语言理解能力,以及多模态挑战下的推理脆弱性,为未来机器人技术发展提供了重要指导。
网络安全公司Snyk宣布收购瑞士人工智能安全研究公司Invariant Labs,收购金额未公开。Invariant Labs从苏黎世联邦理工学院分拆成立,专注于帮助开发者构建安全可靠的AI代理工具和框架。该公司提供Explorer运行时观察仪表板、Gateway轻量级代理、Guardrails策略引擎等产品,并在工具中毒和模型上下文协议漏洞等新兴AI威胁防护方面处于领先地位。此次收购将推进Snyk保护下一代AI原生应用的使命。
北卡罗来纳大学教堂山分校研究团队提出MEXA框架,通过动态选择和聚合多个专业AI模型来处理复杂的多模态推理任务。该方法无需额外训练,在视频理解、音频分析、3D场景理解和医学诊断等多个基准测试中显著超越现有模型,为AI系统设计提供了新思路。