至顶网安全频道 10月31日 编译:“在任何给定的时间点上,平均一个业务部门大约运行了14个配置不当的IaaS实例,每20个AWS S3存储服务中大约就有一个服务对公共互联网敞开大门。”
以上结果就是迈克菲研究人员周一发布的态势严峻的数据(https://www.skyhighnetworks.com/cloud-computing-trends-2019/),迈克菲研究人员表示安全防护无法跟上云服务的快速增长。
安全巨头迈克菲完成这项研究用了旗下业务服务记录的大约3000万个事件,发现业界的公司没有正确跟踪自己使用的云服务,因此也没有正确地保护这些服务。
据迈克菲表示,平均下来一个业务部门使用大约1900个云实例,但调研中的大多数公司认为他们只使用了大约30个。因此,许多IaaS和PaaS帐户没有正确地配置,未能限制数据的访问也就不足为奇。
这其中最糟糕的是亚马逊的AWS S3。研究人员就AWS S3存储服务发出的数据警报不断出现(https://www.theregister.co.uk/2018/07/18/kromtech_open_buckets/),这些研究人员找到许多包含企业和客户个人敏感信息的不正确配置的实例。
事实上,迈克菲的研究结果表明,未出现更多类似的漏洞已经是个奇迹了。据迈克菲的报告估计,所有AWS S3存储实例中约有5.5%的设置是“全局读取”,这意味着任何知道S3存储器地址的人都能够看到里面的内容。
报告指出,“尽管过去几年里有那么多关于开放式S3存储器中数据泄露公开事件的新闻,但这种常见且严重的错误配置依然顽固地存在着”
报告还发现,个人账户也十分地不安全。迈克菲发现,92%的公司有一个或多个身份凭证可以在网络犯罪市场上被买到,而涉及账户被盗用或内部威胁的事件比去年增加了近28%。
迈克菲指出,“云中数据的大多数威胁都是由于帐户被盗用和内部威胁而造成的。本月中80%的组织会面临至少一个帐户被盗用的威胁。”
而给广大公司的建议相当简单:迈克菲表示,各公司应审核自己的云服务配置及确认存储敏感数据的位置。以此为出发点,只需简单地设置和维护这些数据的访问控制,包括外部访问以及可能的内部威胁和被盗帐户的访问。
好文章,需要你的鼓励
Salesforce研究团队发布开源工具包MCPEval,基于模型上下文协议(MCP)架构评估AI智能体工具使用性能。该工具突破传统静态测试局限,通过全自动化流程收集详细任务轨迹和协议交互数据,为智能体行为提供前所未有的可视化分析。MCPEval能快速评估MCP工具和服务器,生成综合评估报告,为企业智能体部署提供可操作的改进建议。
清华大学团队推出AnyCap项目,通过轻量级"即插即用"框架解决多模态AI字幕生成缺乏个性化控制的问题。该项目包含模型、数据集和评估基准,能让现有AI系统根据用户需求生成定制化字幕,在不重训基础模型的情况下显著提升控制能力,为AI内容创作的个性化发展奠定基础。
月之暗面Kimi K2技术报告:解读万亿参数的智能体模型(含K2与DeepSeek R1对比)
耶鲁大学团队开发了全球首个AI科学实验设计评估系统ABGEN,测试了18个先进AI模型设计消融实验的能力。研究发现最好的AI系统得分4.11分,仍低于人类专家的4.80分,但在人机协作模式下表现显著改善。研究还发现现有自动评估系统可靠性不足,建立了元评估基准ABGEN-EVAL。这项研究为AI在科学研究中的应用提供了重要评估框架。