美国网络安全局CISA披露,今年5月在处理一起承包商意外泄露敏感凭证事件期间,该机构竟未事先准备好相应的应急响应方案,不得不在事件处理初期临时赶制应对手册。
今年5月,独立网络安全记者布莱恩·克雷布斯(Brian Krebs)接到网络安全公司GitGuardian一名安全研究员的通报。该研究员发现,CISA某承包商的员工将大量密码上传至一个公开可访问的GitHub代码库,导致用于访问美国政府系统的敏感密钥和凭证遭到暴露。
据克雷布斯报道,该研究员曾尝试直接联系涉事承包商,但始终未获回复。直到克雷布斯将情况反映给CISA后,该机构才迅速将相关代码库下线,并对所有泄露的凭证进行撤销和替换,以防范潜在的滥用风险。
CISA在事后发布的复盘报告中指出,机构工作人员"不得不在事件处置初期花费时间临时制定应急手册"。该机构强调,提前为"所有预期场景"准备应急手册至关重要,确保组织在安全事件发生时能有序响应,而非临时抱佛脚。
CISA表示,此次事件未造成任何客户数据或核心任务数据的泄露,并向相关研究员和记者致谢。与此同时,该机构承认,此前为安全研究人员提供的举报渠道"定义不够清晰",并已着手改进,以便研究人员能够更便捷、更迅速地与机构取得联系。
CISA目前尚未透露应急手册缺失对事件响应速度造成了多大延误,其发言人也未就媒体的置评请求作出回应。
值得关注的是,自2025年1月特朗普开启第二任期以来,CISA便一直处于无常任局长的状态。与此同时,自特朗普上任以来,该机构约三分之一的员工受到裁员、无薪休假及岗位削减等措施的影响。
Q&A
Q1:CISA在5月份的凭证泄露事件中,是如何得知安全漏洞的?
A:网络安全公司GitGuardian的安全研究员在GitHub上发现了CISA承包商员工上传的大量敏感密码和凭证,随后将情况告知记者布莱恩·克雷布斯。由于该研究员直接联系承包商未获回复,克雷布斯转而通知CISA,机构才迅速将代码库下线并撤销所有泄露凭证。
Q2:CISA在这次事件中暴露了哪些管理漏洞?
A:此次事件暴露出CISA两项明显管理短板:一是缺乏针对此类安全事件的预备应急手册,导致工作人员在处置初期需临时起草方案,影响响应效率;二是供安全研究人员向机构举报漏洞的渠道"定义不够清晰",外部人员难以快速与机构建立联系。目前CISA已表示将对上述问题进行改进。
Q3:CISA目前的人员状况如何?
A:自2025年1月特朗普开启第二任期以来,CISA一直没有常任局长。与此同时,该机构约三分之一的员工受到裁员、无薪休假及岗位削减等措施影响,机构整体运作能力受到一定程度的削减。
好文章,需要你的鼓励
OpenAI在与多家新闻机构的版权诉讼中陷入困境。以《纽约时报》为首的原告指控OpenAI在长达两年时间里向法庭撒谎,刻意隐瞒其已对ChatGPT日志进行大规模搜索的事实。据悉,OpenAI实际上已拥有包含1000万和7800万条记录的日志样本,并曾用于研究版权内容过滤器,却对外声称无法进行此类搜索。原告据此提出制裁动议,要求法院追责。OpenAI则否认相关指控,坚称其立场基于合理使用原则。
斯坦福与UC伯克利提出LLM-as-a-Verifier框架,通过提取AI模型内部概率分布生成连续评分,在代码、机器人、医疗领域均达到最优性能,且无需额外训练。
美国加州大学圣地亚哥分校研究团队在《自然》期刊发表研究成果:外科医生通过远程操控宇树G1仿人机器人,成功完成两例活体猪胆囊切除手术,创下全球首例。与造价数十至数百万美元的达芬奇手术机器人相比,仿人机器人成本更低、体积更小,未来有望部署于农村、战地乃至太空等资源匮乏的医疗场景。但目前仍存在需频繁重新校准、机械臂活动范围受限等挑战。
字节跳动Seed团队发现AI智能体在真实环境中学习的进步曲线精确遵循对数S形规律,R?达0.998,且前沿模型的学习速度每三个月翻倍。