至顶网安全频道 06月08日 综合消息:
研究人员发现,NVD(美国漏洞数据库)和安全权威公布的电脑漏洞大有可能在暗网(Dark Web)上已被分享了好多天了。
网络安全公司Recorded Future对漏洞信息在NVD公布以前是否被暗网及安全信息媒体披露做了一项研究,星期三发布了研究结果。所谓的暗网是指互联网未被索引的部分,暗网只能通过Tor网络访问。
据Recorded Future介绍,漏洞信息的公开披露及以正式通知的形式发送给各机构和安全公司的平均延迟为七天,而且,该研究考查了曾公开发布的12500个共有漏洞和弱点暴露(CVE),其中超过75%的CVE在进入CVE数据库之前已经在网上被披露。
披露者包括媒体、博客以及Dark Web、Pastebin粘贴网站以及地下犯罪论坛等。
Recorded Future称该结果“表明官方漏洞公开渠道的可靠性成疑”。
Recorded Future 表示,“非官方和官方渠道之间CVE的这种差异加重了CISO和安全团队的负担,导致这些人在漏洞大开时仍不知情,因而无法就安全策略在掌握了信息后再做出策略性决策。”
Recorded Future的研究始于2016年初,研究还显示,供应商公告和NVD的发布之间也存在时间差异。记录中最快为一天,而最慢的是在172天后NVD才发布。
Recorded Future考查了1500个在NVD发布前已被透露的漏洞,在暗网上透露的漏洞的5%具有极高的安全问题。另外,在地下网络上披露的漏洞的30%是用非英语发表的。
具体到Dirty Cow漏洞一例,Pastebin首先披露了Dirty Cow漏洞的概念验证(POC),Dirty Cow漏洞15天后才在NVD发布。
好文章,需要你的鼓励
AI实验室不再与企业签署昂贵的数据合同,而是通过Mercor平台招募前员工获取行业知识。Mercor为投资银行、咨询公司和律所的前员工与OpenAI、Anthropic等AI实验室搭建桥梁,向行业专家支付高达每小时200美元来训练AI模型。该公司年化经常性收入达5亿美元,估值100亿美元,每天向承包商支付超150万美元。
约翰斯·霍普金斯大学研究团队提出了创新的隐私保护AI文本生成方法,通过"控制代码"系统指导AI生成虚假敏感信息来替代真实数据。该方法采用"藏身于众"策略,在医疗法律等敏感领域测试中实现了接近零的隐私泄露率,同时保持了高质量的文本生成效果,为高风险领域的AI应用提供了实用的隐私保护解决方案。
作为AI热潮的最大受益者,英伟达成为首家市值突破5万亿美元里程碑的上市公司。受特朗普总统表示将与习近平主席讨论该公司Blackwell芯片消息推动,公司股价周三上涨超过5.6%。英伟达CEO黄仁勋预计AI芯片销售额将达5000亿美元,并为美国建设七台新超级计算机。该公司还投资10亿美元于诺基亚,用于AI原生5G和6G网络开发。这一里程碑距离突破4万亿美元仅三个月。
这项由Reactive AI提出的稀疏查询注意力机制通过减少查询头数量而非键值头数量,直接降低了注意力层的计算复杂度,实现了2-3倍的训练和编码加速。该方法在长序列处理中表现出色,在20万词汇序列上达到3.5倍加速,且模型质量损失微乎其微,为计算密集型AI应用提供了新的优化路径。