Linuxcat周刊(第2期) Linux 压缩工具 XZ 被曝后门

正文

1 每个美国联邦机构都必须聘请一名首席人工智能官

现在，所有美国联邦机构都必须有一名高级领导人来监督他们使用的所有人工智能系统，因为政府希望确保人工智能在公共服务中的使用仍然安全。
副总统卡玛拉·哈里斯（Kamala Harris）在与记者的简报会上宣布了新的管理和预算办公室（OMB）指南，并表示各机构还必须建立人工智能治理委员会，以协调该机构内如何使用人工智能。各机构还必须向OMB提交一份年度报告，列出他们使用的所有人工智能系统，与这些系统相关的任何风险，以及他们计划如何减轻这些风险。据OMB主席Shalanda Young称，美国政府计划在夏天之前雇用100名人工智能专业人员。

消息来源: The Verge

2 人工智能会产生幻觉，软件包和开发人员会下载它们——即使可能被恶意软件毒害

深入几家大企业已经发布了源代码，其中包含以前由生成式人工智能产生的幻觉的软件包。不仅如此，有人发现了这种反复出现的幻觉，将这种虚构的依赖变成了真实的依赖，由于人工智能的糟糕建议，开发人员随后下载并安装了数千次。如果软件包中带有实际的恶意软件，而不是良性测试，那么结果可能是灾难性的。根据 Lasso Security 的安全研究员 Bar Lanyado 的说法，被 AI 愚弄并整合该软件包的企业之一是阿里巴巴，在撰写本文时，阿里巴巴在其 GraphTranslator 安装说明中仍然包含一个用于下载 Python 软件包的 pip 命令。huggingface-cli有一个合法的 huggingface-cli，使用 .pip install -U "huggingface_hub[cli]“但是，通过 Python 包索引 （PyPI） 分发并由阿里巴巴的 GraphTranslator安装的huggingface-cli 是假的，由 AI 想象并由 Lanyado 作为实验变成真实的。pip install huggingface-cli。去年12月，他在看到它被生成式人工智能反复产生幻觉后创作了这首歌;到今年 2 月，阿里巴巴在 GraphTranslator 的 README 指令中提到了它，而不是真正的 Hugging Face CLI 工具,huggingface-cli。

消息来源: The Register

3 全球严重缺乏网络威胁准备成熟度

据 SiliconAngle 报道，全球只有 3% 的组织完全准备好应对日益复杂的网络安全威胁，包括勒索软件攻击和供应链入侵。
根据思科的一份报告，尽管严重缺乏网络准备成熟度，但五分之四的公司表示对其现有基础设施的网络攻击打击能力有中等到非常的信心，这表明对网络威胁的信心不足和评估不足。
虽然近 75% 的受访者预计在一两年内会发生破坏性网络事件，但确保网络安全的重大挑战仍然存在，包括安全堆栈中过多的单点解决方案、日益普遍的非托管设备以及严重的劳动力短缺。此外，尽管大多数公司正在考虑在未来 12 个月内增加网络安全支出，但只有超过 50% 的公司计划进行重大的 IT 基础设施升级，越来越多的组织希望更新当前的解决方案。
“为了克服当今威胁形势的挑战，公司必须加快对安全的有意义的投资，”报告称。

消息来源: SC杂志

4 联合国决议呼吁采取措施防范人工智能恶意使用

联合国大会周四一致通过其首个关于人工智能的全球决议。
这项由美国主导、逾120个成员国共同发起并以协商一致方式通过的非约束性决议，列出了成员国推动“安全、可靠、可信”AI系统的总体基线目标。
该决议就一系列AI挑战与机遇提出建议，涉及主题包括威胁行为者对AI的恶意使用、可能产生误导性内容的AI系统以及在AI系统生命周期中保护个人数据的需求。
联合国鼓励成员国加强对AI系统实施安全与风险管理保障措施的投资，并促进在系统设计开发阶段识别、评估、预防和缓解漏洞的措施，确保部署前的安全。
据路透社报道，美国高级官员在回答有关中国和俄罗斯是否抵制该决议的问题时表示，该决议得到所有193个联合国成员国的一致同意，经过了几个月的谈判和各国间“激烈的讨论”。最终，中国成为该决议的共同发起国。
上个月，微软报告称，来自中国、俄罗斯、朝鲜和伊朗的国家级威胁行为者正利用大型语言模型（尤其是ChatGPT）优化其行动。包括俄罗斯支持的Fancy Bear和中国支持的Charcoal Typhoon在内的威胁组织利用聊天机器人进行侦察、漏洞研究、脚本和翻译协助，以及生成钓鱼内容。

消息来源: SC杂志

5 Linux 压缩工具 XZ 被曝后门

3 月 30 日消息，Red Hat 公司本周五发布安全公告，在最新的 XZ Utils 数据压缩工具和库中发现了一个后门，敦促用户立即停止使用 Fedora 开发和实验版本。
Debian 安全团队今天也发布公告，表示当前没有发现有稳定版 Debian 使用问题 XZ 软件包，在受影响的 Debian 测试版、不稳定版和实验版中，XZ 已被还原为上游的 5.4.5 代码。
弗罗因德发现 XZ 格式压缩实用程序 xz-utils 的上游源代码压缩包已被破解，并在构建时向生成的 liblzma5 库中注入恶意代码。弗罗因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加恶意代码的确切目的。
Red Hat 现正跟踪这一供应链安全问题，将其命名为 CVE-2024-3094，并将其严重性评分定为 10/10，同时在 Fedora 40 测试版中恢复使用 5.4.x 版本的 XZ。

消息来源: helpnetsecurity

检查

我们提供一段命令,来检测你的系统是否受到了影响

### Debian/Ubuntu :
### 显示 Everything is ok 即不受影响
apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "!!! Check your system now" || echo "Everything is ok"

相关链接:

• NVD - CVE-2024-3094
• 阿里云漏洞库

6 OpenAI 的语音克隆 AI 模型只需要 15 秒的样本即可工作

OpenAI正为其开发的一款名为Voice Engine的文本转语音生成平台提供有限访问权限。该平台能基于某人15秒的语音片段创建出合成语音。这种由AI生成的语音可根据指令用与说话者相同的语言或多种其他语言朗读文本提示。OpenAI在其博客文章中表示：“这些小规模部署有助于我们了解如何运用Voice Engine，为各个行业的有益应用制定方法、安全措施及思考方向。”
在OpenAI发布的这些示例中，你可以听到Age of Learning如何利用这项技术生成预编写好的旁白内容，以及使用GPT-4为学生撰写并朗读“实时、个性化”的回复。

消息来源: The Verge

7 纽约市将在地铁上测试AI枪支探测器

纽约市市长埃里克·亚当斯周四宣布，该市即将开始测试使用AI技术在地铁检票口检测枪支。这一消息发布于一周前布鲁克林一处地铁站发生冲突之后，当时一名男子因向另一名乘客拔枪而被对方夺枪射伤。亚当斯并未透露扫描仪将安装于何处，以及将有多少台投入使用。

消息来源: The Verge

8 GitHub在今日恶意披露事件后已禁用XZ仓库

近日曝光的XZ上游发布包中含有恶意代码以破坏远程SSH访问，无疑给复活节周末带来了意外冲击……随着事态发展，情况愈发严峻：不仅项目上游遭受入侵，如今GitHub更是全面禁用了XZ仓库。
GitHub上的核心仓库tukaani-project/xz现已由GitHub工作人员关闭，显示如下信息： “由于违反GitHub服务条款，GitHub员工已禁用对此仓库的访问。如果您是仓库所有者，可联系GitHub支持以获取更多信息。”

With upstream XZ having not issued any corrected release yet and contributions by one of its core contributors – and release creators – over the past two years called into question, it’s not without cause to outright taking the hammer to the XZ repository public access. At this point, it can simply not be trusted until further evaluation.

消息来源: phoronix