这个周末有许多事故传出,其中,最值得留意的是中国骇客传出入侵美国大型律师事务所Wiley Rein的事故,由于该事务所协助美国政府与企业应对中国贸易严,再加上美国始终没有公告台湾的关税比例,这起事故带来的后续效应,相当值得留意。
除此之外,另一起引起外界关注的消息,是关于麦当劳的招募对话机器人McHire的漏洞揭露,其中最引起外界关注的是,这套系统竟留存了测试阶段使用的管理员帐号,其帐号密码皆为123456。
【攻击与威胁】
这起乌龙事件发生在7月10日下午4点多,Azurewebsites.net根网域遭到TWNIC以DNS RPZ屏蔽,导该该根网域底下所有服务都无法正常使用,连接根网域画面即显示因违反毒品危害防治条例而遭到屏蔽,并留下联系管道。
事后刑事局承认内部出错,于7月10日下午5点22分接获TWNIC台网中心通知,在行政处分的公文中请求协助屏蔽的域名清单中,有一笔为Microsoft Azure App Service相关公开后缀(Public Suffix):azurewebsites.net,刑事局收到通知后请求TWNIC解除屏蔽,在下午6点11分左右恢复正常服务。
◆为提升处理效率,企业很可能会运用AI聊天机器人加速沟通的速度,然而若是设置不当,很有可能让存放的资料曝光。
最近有一项资安漏洞的发现引起各界关注,这些弱点出现在麦当劳的征才对话机器人McHire,此机器人以科技业者Paradox.ai旗下的机器人Olivia为基础打造,用来收集求职者的个人资料。但研究人员Ian Carroll与Sam Curry发现,此系统的管理后台竟采用帐号与密码皆为123456的预设帐号,然后两名研究人员循线找到不安全的直接物件参照(Insecure Direct Object Reference,IDOR)漏洞,攻击者只要调整特定的参数,就有机会存取其他应征者的聊天内容,从而挖掘相关个资。
这样的情况,恐影响美国6,400万名曾经应征的求职者。研究人员于6月30日通报麦当劳与Paradox.ai,麦当劳注销上述的预设帐号,隔日Paradox.ai修补IDOR漏洞。
◆欧盟执委会周四(7月10日)发布了通用AI实践准则(General-Purpose AI Code of Practice),以协助制造商及供应商符合《AI Act》在透明度、著作权及安全上的要求。
在透明度上,它提供模型文件表予所有GPAI供应商,以用来揭露模型的训练资料、用途、限制及评估过程等资讯,以供使用者及监管机构查阅。于著作权上,它建立了著作权政策,透过技术与流程来确保爬虫及训练行为的合法性,并于可行范围内阻止违法内容。
至于安全性准则则是锁定高风险模型供应商,它建立了系统性风险的管理架构,包括风险识别、处理框架及通报机制,并定期更新与提交相关资讯。
其他执法行动