美国网络安全和基础设施安全局(CISA)近日宣布,现已允许安全专家向该机构提名漏洞,以便将其纳入"已知被利用漏洞"(KEV)目录。
CISA于周四正式发布了一份提交表单,供技术厂商、独立研究人员及其他相关人士使用。任何人均可通过该表单向CISA报告黑客正在积极利用的漏洞,建议将其收录进KEV目录。
CISA网络安全事务代理执行助理主任克里斯·布特拉在声明中表示:"这一全新的报告渠道将增强CISA识别、验证并快速共享关键威胁情报的能力。早期检测与协调一致的漏洞披露,是我们大规模降低安全风险最有力的手段之一。"
该表单要求提交者尽可能详细地提供漏洞相关信息,包括CVE编号、漏洞被利用的证据以及缓解建议,同时还需说明该漏洞是否影响多个厂商或产品。
事实上,CISA此前一直面临KEV目录更新滞后的问题。2023年曾多次出现CISA未能及时发出漏洞利用预警的情况,对此有专家批评称,KEV目录不过是黑客活动的"滞后指标"。
自2021年11月KEV目录正式上线以来,CISA持续扩充其收录范围,并要求各政府机构在规定时间窗口内完成新增漏洞的修复工作。截至周四上午,该目录已收录约1600个漏洞。过去两周内,CISA已对KEV目录进行了六次更新,仅周四当天就新增了七个漏洞。
与此同时,另一机构也在应对新披露漏洞数量激增的压力。美国国家标准与技术研究院(NIST)数十年来持续为其自有漏洞数据库补充详细的利用方式与缓解信息,但NIST近期宣布,由于资源有限,将不得不缩减该项工作,转而优先处理最为严重的漏洞。
Q&A
Q1:CISA的已知被利用漏洞(KEV)目录是什么?有什么用?
A:KEV目录是CISA维护的一个漏洞数据库,专门收录已被黑客实际利用的安全漏洞。自2021年11月上线以来,该目录要求各政府机构必须在规定时间内完成对新增漏洞的修复。截至目前,目录已收录约1600个漏洞,是政府机构和企业识别高风险漏洞、优先修复的重要参考工具。
Q2:如何向CISA提交漏洞信息?需要提供哪些内容?
A:任何人,包括技术厂商、独立安全研究人员都可以通过CISA发布的在线表单提交漏洞信息。提交时需尽量提供漏洞的CVE编号、漏洞被实际利用的证据、相应的缓解建议,以及该漏洞是否影响多个厂商或产品等信息,以帮助CISA快速评估并决定是否将其纳入KEV目录。
Q3:NIST漏洞数据库缩减工作对安全行业有什么影响?
A:NIST长期为其漏洞数据库提供详细的利用方式和缓解信息,是安全行业的重要参考来源。此次NIST宣布因资源不足将缩减数据库的信息补充工作,仅优先处理最严重的漏洞,这意味着大量中低级别漏洞的详细信息可能得不到及时更新,安全团队在漏洞研判和响应效率上可能面临更大挑战。
好文章,需要你的鼓励
谷歌推出两款新AI模型:Nano Banana 2 Lite是其最快、最具成本效益的图像生成模型,4秒生成图像,成本仅0.034美元/千像素图;Gemini Omni Flash则支持高质量视频生成与对话式编辑,定价0.10美元/秒。两款模型均已在Google AI Studio和Gemini API平台开放,可串联使用实现从图像到视频的完整多媒体工作流。
香港中文大学(深圳)与字节跳动联合提出FlexiSLM,首个支持动态与可控帧率的语音大模型,在输入输出两端均实现自适应帧合并,6.25赫兹下推理速度提升一倍,语音对话质量超越同规模固定帧率模型。
英国《金融时报》记者萨拉·奥康纳新书探讨人工智能与自动化对工作的冲击。从亚马逊仓库的人机协作到远程视频监控岗位,技术进步带来的不仅是效率提升,更引发对工作尊严的担忧。作者指出,关键问题不在于技术本身,而在于将人类劳动视为可优化系统的管理理念。书中也展现了积极案例:编剧工会罢工争取AI使用规则,荷兰护理工作者自主建立实践模式。未来工作形态仍可由我们塑造。
这项研究提出DataEvolver框架,把被丢弃的"不合格训练图片"转化为改进数据收集策略的反馈,让AI文字图像生成训练数据的构建流程能自我进化,在相同数据量下显著提升文字渲染质量。