Linuxcat周刊(第2期) Linux 压缩工具 XZ 被曝后门

1 百度将为国行iphone16提供AI功能

从知情人士处了解到，百度将为苹果今年发布的 iPhone16、Mac 系统和 iOS 18 提供 AI 功能。报道称，苹果曾与阿里以及另外一家国产大模型公司进行过洽谈，最后确定由百度提供这项服务。苹果预计采取 API 接口的方式计费。报道表示，苹果将国行 iPhone 等设备采用国产大模型 AI 功能主要出于合规需求，该公司短期内还无法解决合规问题，但国外版 iPhone 等设备 AI 功能均来自苹果自己的大模型。

消息来源: IT之家

2 中国移动宣布 5G-A 正式商用

2024年3月28日,中国移动 5G-A 商用发布会在浙江杭州举行。会上介绍，中国移动 5G Advanced 网络（5.5G）正式商用.5G-A 全称 5G-Advanced，也被称为 5.5G，是 5G 向 6G 演进的关键阶段。相比 5G，新一代 5.5G 技术在速率、时延、连接规模和能耗等方面全面超越，实现 10 倍网络能力提升.

消息来源: IT之家

3 数以千计的服务器在针对 Ray AI 框架的持续攻击中被黑客入侵

在针对 OpenAI、Uber 和亚马逊使用的计算框架 Ray 中报告的漏洞的持续攻击活动中，数千台存储 AI 工作负载和网络凭据的服务器遭到黑客攻击。这些攻击已经活跃了至少七个月，导致人工智能模型被篡改。它们还导致网络凭据泄露，允许访问内部网络和数据库以及用于访问 OpenAI、Hugging Face、Stripe 和 Azure 等平台上帐户的令牌。除了破坏模型和窃取凭据外，该活动背后的攻击者还在受感染的基础设施上安装了加密货币矿工，这些基础设施通常提供大量的计算能力。攻击者还安装了反向 shell，这是用于远程控制服务器的基于文本的界面。

消息来源: arstechnica

4 每个美国联邦机构都必须聘请一名首席人工智能官

现在，所有美国联邦机构都必须有一名高级领导人来监督他们使用的所有人工智能系统，因为政府希望确保人工智能在公共服务中的使用仍然安全。
副总统卡玛拉·哈里斯（Kamala Harris）在与记者的简报会上宣布了新的管理和预算办公室（OMB）指南，并表示各机构还必须建立人工智能治理委员会，以协调该机构内如何使用人工智能。各机构还必须向OMB提交一份年度报告，列出他们使用的所有人工智能系统，与这些系统相关的任何风险，以及他们计划如何减轻这些风险。据OMB主席Shalanda Young称，美国政府计划在夏天之前雇用100名人工智能专业人员。

消息来源: The Verge

5 人工智能会产生幻觉，软件包和开发人员会下载它们——即使可能被恶意软件毒害

深入几家大企业已经发布了源代码，其中包含以前由生成式人工智能产生的幻觉的软件包。不仅如此，有人发现了这种反复出现的幻觉，将这种虚构的依赖变成了真实的依赖，由于人工智能的糟糕建议，开发人员随后下载并安装了数千次。如果软件包中带有实际的恶意软件，而不是良性测试，那么结果可能是灾难性的。根据 Lasso Security 的安全研究员 Bar Lanyado 的说法，被 AI 愚弄并整合该软件包的企业之一是阿里巴巴，在撰写本文时，阿里巴巴在其 GraphTranslator 安装说明中仍然包含一个用于下载 Python 软件包的 pip 命令。huggingface-cli有一个合法的 huggingface-cli，使用 .pip install -U "huggingface_hub[cli]“但是，通过 Python 包索引 （PyPI） 分发并由阿里巴巴的 GraphTranslator安装的huggingface-cli 是假的，由 AI 想象并由 Lanyado 作为实验变成真实的。pip install huggingface-cli。去年12月，他在看到它被生成式人工智能反复产生幻觉后创作了这首歌;到今年 2 月，阿里巴巴在 GraphTranslator 的 README 指令中提到了它，而不是真正的 Hugging Face CLI 工具,huggingface-cli。

消息来源: The Register

6 法庭文件称，Facebook秘密监视Snapchat的使用情况，以迷惑广告商

未密封的法庭文件揭示了有关Facebook秘密项目的更多细节，该项目最初名为“Ghostbusters”，旨在偷偷访问加密的Snapchat使用数据，以使Facebook在2016年Snapchat快速增长时获得竞争对手的优势。
这些文件是在消费者和广告商的集体诉讼中提交的，指控 Meta 的反竞争行为阻止竞争对手在社交媒体广告市场竞争。
自2016年起，该项目开始对Snapchat进行窥探，从2017年至2018年对YouTube进行窥探，2018年对亚马逊进行窥探，其依赖于创建“伪造的数字证书，冒充Snapchat、YouTube和亚马逊的信任分析服务器，重定向并解密来自这些应用的安全流量，供Facebook进行战略分析”。

消息来源: arstechnica

7 用于工业设备的 Odd NuGet 包引发了间谍活动的担忧

上传到 NuGet（一种流行的开源 .NET 包存储库）的包因其不断从工业设备中窃取屏幕截图的方法而引发了网络间谍活动的担忧。
“SqzrFramework480”每 60 秒泄露一次屏幕截图.对该软件包的怀疑集中在其代码中包含的“Init”方法上，该方法执行一系列循环操作，这些操作似乎旨在从主机系统中提取数据而不会引起注意。该循环大约每 60 秒运行一次，包括打开套接字以连接到远程 IP，截取系统主屏幕的屏幕截图，然后通过套接字将屏幕截图发送到远程 IP。虽然ReversingLabs的研究人员指出，该功能存在潜在的合法应用，例如将相机图像连续流式传输到远程工作站，但还有其他迹象表明该方法旨在保持隐藏状态。

消息来源: SC杂志

8 全球严重缺乏网络威胁准备成熟度

据 SiliconAngle 报道，全球只有 3% 的组织完全准备好应对日益复杂的网络安全威胁，包括勒索软件攻击和供应链入侵。
根据思科的一份报告，尽管严重缺乏网络准备成熟度，但五分之四的公司表示对其现有基础设施的网络攻击打击能力有中等到非常的信心，这表明对网络威胁的信心不足和评估不足。
虽然近 75% 的受访者预计在一两年内会发生破坏性网络事件，但确保网络安全的重大挑战仍然存在，包括安全堆栈中过多的单点解决方案、日益普遍的非托管设备以及严重的劳动力短缺。此外，尽管大多数公司正在考虑在未来 12 个月内增加网络安全支出，但只有超过 50% 的公司计划进行重大的 IT 基础设施升级，越来越多的组织希望更新当前的解决方案。
“为了克服当今威胁形势的挑战，公司必须加快对安全的有意义的投资，”报告称。

消息来源: SC杂志

9 联合国决议呼吁采取措施防范人工智能恶意使用

联合国大会周四一致通过其首个关于人工智能的全球决议。
这项由美国主导、逾120个成员国共同发起并以协商一致方式通过的非约束性决议，列出了成员国推动“安全、可靠、可信”AI系统的总体基线目标。
该决议就一系列AI挑战与机遇提出建议，涉及主题包括威胁行为者对AI的恶意使用、可能产生误导性内容的AI系统以及在AI系统生命周期中保护个人数据的需求。
联合国鼓励成员国加强对AI系统实施安全与风险管理保障措施的投资，并促进在系统设计开发阶段识别、评估、预防和缓解漏洞的措施，确保部署前的安全。
据路透社报道，美国高级官员在回答有关中国和俄罗斯是否抵制该决议的问题时表示，该决议得到所有193个联合国成员国的一致同意，经过了几个月的谈判和各国间“激烈的讨论”。最终，中国成为该决议的共同发起国。
上个月，微软报告称，来自中国、俄罗斯、朝鲜和伊朗的国家级威胁行为者正利用大型语言模型（尤其是ChatGPT）优化其行动。包括俄罗斯支持的Fancy Bear和中国支持的Charcoal Typhoon在内的威胁组织利用聊天机器人进行侦察、漏洞研究、脚本和翻译协助，以及生成钓鱼内容。

消息来源: SC杂志

10 免费域名eu.org的TLS连接被阻断

近日，部分消息显示大陆用户无法通过 HTTPS 协议访问使用免费域名eu.org的站点。目前，通过 HTTP 协议访问畅通，能够 ping 通。
据了解，eu.org实际上并不是一个顶级域（TLD），它不是由某个注册局直接管理的，而是一个普通的注册域名。所有用户申请到的都是该域名下的子域名。但是eu.org的子域能够通过 Cloudflare 的验证，一直是被许多人所青睐的域名。

消息来源: Telegram vps_xhq/545

11 Linux 压缩工具 XZ 被曝后门

3 月 30 日消息，Red Hat 公司本周五发布安全公告，在最新的 XZ Utils 数据压缩工具和库中发现了一个后门，敦促用户立即停止使用 Fedora 开发和实验版本。
Debian 安全团队今天也发布公告，表示当前没有发现有稳定版 Debian 使用问题 XZ 软件包，在受影响的 Debian 测试版、不稳定版和实验版中，XZ 已被还原为上游的 5.4.5 代码。
弗罗因德发现 XZ 格式压缩实用程序 xz-utils 的上游源代码压缩包已被破解，并在构建时向生成的 liblzma5 库中注入恶意代码。弗罗因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加恶意代码的确切目的。
Red Hat 现正跟踪这一供应链安全问题，将其命名为 CVE-2024-3094，并将其严重性评分定为 10/10，同时在 Fedora 40 测试版中恢复使用 5.4.x 版本的 XZ。

消息来源: helpnetsecurity

检查

我们提供一段命令,来检测你的系统是否受到了影响

## Debian/Ubuntu :
## 显示 Everything is ok 即不受影响
apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "!!! Check your system now" || echo "Everything is ok"

相关链接:

• NVD - CVE-2024-3094
• 阿里云漏洞库

12 OpenAI 的语音克隆 AI 模型只需要 15 秒的样本即可工作

OpenAI正为其开发的一款名为Voice Engine的文本转语音生成平台提供有限访问权限。该平台能基于某人15秒的语音片段创建出合成语音。这种由AI生成的语音可根据指令用与说话者相同的语言或多种其他语言朗读文本提示。OpenAI在其博客文章中表示：“这些小规模部署有助于我们了解如何运用Voice Engine，为各个行业的有益应用制定方法、安全措施及思考方向。”
在OpenAI发布的这些示例中，你可以听到Age of Learning如何利用这项技术生成预编写好的旁白内容，以及使用GPT-4为学生撰写并朗读“实时、个性化”的回复。

消息来源: The Verge

13 纽约市将在地铁上测试AI枪支探测器

纽约市市长埃里克·亚当斯周四宣布，该市即将开始测试使用AI技术在地铁检票口检测枪支。这一消息发布于一周前布鲁克林一处地铁站发生冲突之后，当时一名男子因向另一名乘客拔枪而被对方夺枪射伤。亚当斯并未透露扫描仪将安装于何处，以及将有多少台投入使用。

消息来源: The Verge

14 GitHub在今日恶意披露事件后已禁用XZ仓库

近日曝光的XZ上游发布包中含有恶意代码以破坏远程SSH访问，无疑给复活节周末带来了意外冲击……随着事态发展，情况愈发严峻：不仅项目上游遭受入侵，如今GitHub更是全面禁用了XZ仓库。
GitHub上的核心仓库tukaani-project/xz现已由GitHub工作人员关闭，显示如下信息： “由于违反GitHub服务条款，GitHub员工已禁用对此仓库的访问。如果您是仓库所有者，可联系GitHub支持以获取更多信息。”

With upstream XZ having not issued any corrected release yet and contributions by one of its core contributors – and release creators – over the past two years called into question, it’s not without cause to outright taking the hammer to the XZ repository public access. At this point, it can simply not be trusted until further evaluation.

消息来源: phoronix