广为认可的软件即服务 ( SaaS ) 交付模式存在显著缺陷,并且正“悄然助长网络攻击者的行为”,引入的广泛漏洞可能会破坏全球经济体系的稳定,该观点出自一位知名金融服务公司首席信息安全官 ( CISO )。
在本周致第三方供应商的公开信中,摩根大通 ( JPMorgan Chase ) CISO Patrick Opet 批评软件公司将 SaaS 定为默认、甚至往往唯一的软件交付方式,这使得客户被迫依赖服务提供商,并将风险集中到这些组织身上。
他表示,尽管这种模式在效率和创新上具有优势,但如今已经清楚地表明它“放大了任何薄弱环节的影响……形成了单点故障,可能引发灾难性的系统级后果”。
Opet 写道:“在摩根大通 ( JPMorgan Chase ),我们亲眼目睹了预警信号。在过去三年中,我们的第三方供应商在其环境中经历了多起安全事件。这些发生在我们供应链中的事件迫使我们必须迅速果断地采取行动,包括隔离部分已被攻破的供应商,并投入大量资源进行威胁缓解。”
尽管他并未在过去几年里众多供应链事件中点名指责任何供应商,Opet 仍然感叹问题似乎不但没有改善,反而在恶化,因为软件供应商在多项固有于 SaaS 的问题上屡屡失责,例如未能对存在漏洞的身份验证 Token 进行安全防护,在未经适当同意或透明度不足的情况下自行获得访问客户系统的特权,以及将下游第四方供应商引入其系统中。
他补充说,自动化和人工智能 ( AI ) 进一步加剧了这些问题,而这些漏洞对对手来说都是众所周知的,这一点从中国威胁行为者战术的变化中可以得到印证,他们越来越倾向于针对那些对客户群拥有深度访问权限的组织。
三步计划
在公开信中,Opet 提出了 SaaS 供应商在问题变得不可克服之前应采取的三个核心步骤。
他呼吁业界在设计阶段就将网络安全放在首位,默认内置或启用安全功能;对安全架构进行现代化改造,以优化 SaaS 集成从而有效降低风险;并加强合作,共同遏制威胁者对互联系统的滥用行为。
AcceleTrex 联合创始人兼首席技术官 Mark Townsend 表示,Opet 的公开信反映出客户普遍对 IT 供应商在确保其产品与服务安全方面做得不够感到不满。
Townsend 说:“在追求领先竞争对手的过程中,多年来已经暴露出不少问题。市场上需要找到一种平衡并向外界展示这种平衡。”
“购买 SaaS 实际上就是在购买一个由供应商部署的系统,你需要将数据托付给他们。许多供应商会提供年度渗透测试报告,并展示其与 SOC2 等标准的一致性,但正如作者所指出的,在这一年内,这些应用及其支持的基础设施中会发生很多事情。”
“这些系统的安全性较为不透明,供应商与消费者之间需要有更多关于如何保障数据安全的透明沟通。”
Townsend 补充道:“如果不给供应商留出退路,就不能过于苛刻。这种开放的讨论能激发建设性对话,而我认为这是既必要又重要的。”
Reversec 的 Donato Capitella 和 Nick Jones,分别担任首席咨询师和研究负责人,他们在通过电子邮件向 Computer Weekly 发表评论时表示,Opet 正确地指出了行业在采用 SaaS 时所面临的关键挑战,尤其是风险集中于少数大供应商以及可见性降低,导致客户在主动检测和响应事件时更加困难。
他们向 Computer Weekly 表示:“在实际操作中,SaaS 应用存在两个非常常见且未能提供足够安全措施的问题。其一是将单点登录功能设在需要额外费用或‘企业’价位计划之后,迫使用户在足够的身份安全和成本之间做出妥协。”
“其二是全面且高保真的审计日志记录,这通常也被限制在昂贵的计划或附加组件之中(如果有的话)。这些限制阻碍了组织预防、检测和应对针对其 SaaS 资产的攻击。”
Capitella 和 Jones 补充道:“我们希望 SaaS 供应商能将这封公开信视为一场集结号,努力为消费者提供默认安全、经过强化的体验。”
好文章,需要你的鼓励
本文探讨如何使用生成式AI和大语言模型作为倾听者,帮助用户表达内心想法。许多主流AI如ChatGPT、Claude等被设计成用户的"最佳伙伴",或试图提供心理健康建议,但有时用户只想要一个尊重的倾听者。文章提供了有效的提示词技巧,指导AI保持中性、尊重的态度,专注于倾听和理解,而非给出建议或判断。同时提醒用户注意隐私保护和AI的局限性。
北京大学团队开发出WoW世界模型,这是首个真正理解物理规律的AI系统。通过200万机器人互动数据训练,WoW不仅能生成逼真视频,更能理解重力、碰撞等物理定律。其创新的SOPHIA框架让AI具备自我纠错能力,在物理理解测试中达到80.16%准确率。该技术将推动智能机器人、视频制作等领域发展,为通用人工智能奠定重要基础。
人工通用智能和超级人工智能的出现,可能会创造出一种全新的外星智能形态。传统AI基于人类智能模式构建,但AGI和ASI一旦存在,可能会选择创造完全不同于人类认知方式的新型智能。这种外星人工智能既可能带来突破性进展,如找到癌症治愈方法,也可能存在未知风险。目前尚不确定这种新智能形态是否会超越人类智能,以及我们是否应该追求这一可能改变人类命运的技术突破。
香港大学和蚂蚁集团联合推出PromptCoT 2.0,这是一种让AI自动生成高质量训练题目的创新方法。通过"概念-思路-题目"的三步策略,AI能像老师备课一样先构思解题思路再出题,大幅提升了题目质量和训练效果。实验显示该方法在数学竞赛和编程任务上都取得了显著提升,为解决AI训练数据稀缺问题提供了新思路。