至顶网安全频道 06月08日 综合消息:
研究人员发现,NVD(美国漏洞数据库)和安全权威公布的电脑漏洞大有可能在暗网(Dark Web)上已被分享了好多天了。
网络安全公司Recorded Future对漏洞信息在NVD公布以前是否被暗网及安全信息媒体披露做了一项研究,星期三发布了研究结果。所谓的暗网是指互联网未被索引的部分,暗网只能通过Tor网络访问。
据Recorded Future介绍,漏洞信息的公开披露及以正式通知的形式发送给各机构和安全公司的平均延迟为七天,而且,该研究考查了曾公开发布的12500个共有漏洞和弱点暴露(CVE),其中超过75%的CVE在进入CVE数据库之前已经在网上被披露。
披露者包括媒体、博客以及Dark Web、Pastebin粘贴网站以及地下犯罪论坛等。
Recorded Future称该结果“表明官方漏洞公开渠道的可靠性成疑”。
Recorded Future 表示,“非官方和官方渠道之间CVE的这种差异加重了CISO和安全团队的负担,导致这些人在漏洞大开时仍不知情,因而无法就安全策略在掌握了信息后再做出策略性决策。”
Recorded Future的研究始于2016年初,研究还显示,供应商公告和NVD的发布之间也存在时间差异。记录中最快为一天,而最慢的是在172天后NVD才发布。
Recorded Future考查了1500个在NVD发布前已被透露的漏洞,在暗网上透露的漏洞的5%具有极高的安全问题。另外,在地下网络上披露的漏洞的30%是用非英语发表的。
具体到Dirty Cow漏洞一例,Pastebin首先披露了Dirty Cow漏洞的概念验证(POC),Dirty Cow漏洞15天后才在NVD发布。
好文章,需要你的鼓励
南洋理工大学研究团队开发了WorldMem框架,首次让AI拥有真正的长期记忆能力,解决了虚拟世界模拟中的一致性问题。该系统通过记忆银行存储历史场景,并使用智能检索机制,让AI能准确重现之前的场景和事件,即使间隔很长时间。实验显示在Minecraft和真实场景中都表现出色,为游戏、自动驾驶、机器人等领域带来广阔应用前景。
AWS通过升级SageMaker机器学习平台来扩展市场地位,新增观测能力、连接式编码环境和GPU集群性能管理功能。面对谷歌和微软的激烈竞争,AWS专注于为企业提供AI基础设施支撑。SageMaker新功能包括深入洞察模型性能下降原因、为开发者提供更多计算资源控制权,以及支持本地IDE连接部署。这些更新主要源于客户需求,旨在解决AI模型开发中的实际问题。
MTS AI研究团队提出RewardRanker系统,通过重排序模型和迭代自训练显著提升AI代码生成质量。该方法让13.4B参数模型超越33B大模型,在多种编程语言上表现优异,甚至在C++上超越GPT-4。通过引入困难负样本和PPO优化,系统能从多个代码候选中选出最优方案,为AI编程助手的实用化奠定基础。