本研究针对大型语言模型（LLMs）中存在的隐私泄露问题，提出了一种新的利用缓存侧信道的攻击方法，能够有效泄露模型生成的令牌。通过监控的令牌数量与信息泄露量之间的平衡，我们的实验表明，攻击者能够高效恢复API密钥和英文文本的内容，揭示了LLM部署中的新漏洞，并对隐私安全提出了重要的警示。

最新研究表明，45%的第三方应用未经授权访问用户敏感数据，零售行业面临较大风险。企业应限制应用权限并进行权限审计，特别关注追踪技术的安全隐患，以降低网络风险。

绿盟科技监测到Rsync存在两个严重漏洞（CVE-2024-12084和CVE-2024-12085），可能导致远程代码执行和信息泄露。受影响版本为Rsync 3.7及以下，建议用户升级至3.4.0以上版本以增强安全性。

CVE（常见漏洞与暴露）是一个公开的计算机安全漏洞列表，帮助IT团队识别和优先处理安全问题。CVE于1999年创建，旨在标准化漏洞识别，促进信息共享。每个CVE条目都有唯一编号和描述，便于跨平台沟通。该项目由MITRE公司维护，支持网络安全社区的合作与信息共享，提升安全性和漏洞管理效率。

CVE（常见漏洞与暴露）是一个公开的计算机安全漏洞列表，帮助IT团队识别和优先处理安全问题。CVE于1999年创建，旨在标准化漏洞识别，促进信息共享。每个CVE条目包含唯一编号和描述，便于跨平台沟通。CVE由MITRE公司维护，支持网络安全社区的合作与信息共享，提升安全防护能力。

本研究解决了深度神经网络在背信攻击中易受隐藏后门触发器影响的问题。提出的两步防御框架“先暴露再防御”（EBYD）通过暴露易受影响模型的后门功能，并利用清洁反学习方法揭示后门特征，从而有效增强了现有后门防御技术的性能。实验证明，暴露的模型显著提升了多种下游防御任务的效果，具有重要的实际应用潜力。

本文介绍了对IP地址为10.10.10.182的主机进行信息收集的过程，使用了nmap和enum4linux工具发现开放的端口和服务，通过ldapsearch、smbmap和smbclient工具获取了LDAP和SMB的信息，使用vncpwd工具破解了TightVNC密码，使用evil-winrm工具获取了用户权限，使用dnsSpy分析了CascAudit.exe，使用Get-ADObject工具获取了被删除的Active Directory对象的信息，通过查找共享文件中的邮件找到了管理员账户和密码，最终使用evil-winrm工具以管理员权限登录并获取了Root.txt文件。

本研究针对大型语言模型（LLM）应用中用户数据收集的隐私风险进行了深入分析，揭示了当前政策执行不力的现状。文章通过开发LLM框架对OpenAI的GPT生态系统进行静态分析，发现其附属服务（Actions）收集了大量敏感用户信息，并且多数服务未在隐私政策中明确披露数据收集实践，可能导致用户隐私的重大风险。

澳大利亚软件公司Atlassian的Confluence Data Center和Confluence Server存在安全漏洞，可能导致攻击者远程运行任意代码。修复程序已发布，但仍有数十万个易受攻击的实例暴露在互联网上。攻击者可以窃取登录凭证并攻击其他账户。修复RCE漏洞非常重要。

本研究分析了2011至2021年全球灾害风险动态，发现尽管采取了减轻风险的措施，全球风险仍分为两个集群，现有政策效果有限。针对特定脆弱性，需创新方法应对灾害风险管理挑战。研究提出了基于卫星数据和机器学习的洪水范围检测框架，以提高灾害预测和响应能力。

近期深度强化学习技术在自动化领域引起了广泛关注。本文介绍了一种基于深度 Q - 学习的架构（RadDQN），该架构利用感知辐射的奖励函数，为辐射区域提供了时间高效的最小辐射暴露路径，并通过一套独特的探索策略进行优化。与基准方法相比，我们的模型在收敛速度和训练稳定性方面表现出更高的优势。

本研究使用大型语言模型评估了九种代码生成模型，发现其中代码函数存在偏差的比例在31.45%到79.93%之间，受到偏差影响的代码函数比例在9.68%到37.37%之间。为减轻偏差，提出了三种缓解策略，成功将偏差代码比例降低到0.4%到4.57%。

本文研究了扩散模型中的曝光偏差问题，并提出了一种名为Epsilon Scaling的方法来缓解该问题。该方法通过缩小网络输出，使抽样轨迹接近训练阶段学习到的向量场，减轻了训练和抽样之间的输入不匹配。实验证明该方法在各种扩散框架和条件设置下都有效。

《信息安全技术 关键信息基础设施安全保护要求》国家标准正式实施，提出了关键信息基础设施安全保护的三项基本原则。标准明确提出关键信息基础设施保护要从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个方面进行全生命周期的安全防护。企业需减少互联网出口数量、防范社会工程学攻击、避免存储可被攻击者利用的技术文档。引入攻击面管理技术，如零零信安EASM产品，帮助企业收敛暴露面。攻击面管理被认为是防御演习中的高价值作用。

WAF Attack Score和Security Analytics是一种可以帮助网络应用程序所有者定期硬化和更新系统的工具，以防止CVE（常见漏洞和暴露）计划中披露的漏洞。我们宣布为我们的商业计划客户提供“WAF Attack Score Lite”和“Security Analytics”。