嘶吼

文章来源：工业和信息化部科技司

多个勒索软件团伙用来关闭端点检测和响应 (EDR) 解决方案的恶意 PoorTry 内核模式 Windows 驱动程序已演变为 EDR 擦除器，删除了对安全解决方案的运行至关重要的文件，并使恢复变得更加困难。

尽管 Trend Micro 自 2023 年 5 月以来就警告过 Poortry 上添加了此功能，但 Sophos 现已确认在野外看到了 EDR 擦除攻击。

PoorTry 从 EDR 停用器演变为 EDR 擦除器，代表了勒索软件参与者在策略上非常激进的转变，他们现在优先考虑更具破坏性的设置阶段，以确保在加密阶段获得更好的结果。

PoorTry，也称为“BurntCigar”，于 2021 年开发，作为内核模式驱动程序，用于禁用 EDR 和其他安全软件。

该套件被多个勒索软件团伙使用，包括 BlackCat、Cuba 和 LockBit，最初引起人们注意是因为其开发人员找到了通过 Microsoft 的认证签名流程对其恶意驱动程序进行签名的方法。其他网络犯罪团伙，如 Scattered Spider也被发现使用该工具实施以凭证盗窃和 SIM 卡交换攻击为重点的入侵。

在 2022 年和 2023 年期间，Poortry 不断发展，优化其代码并使用 VMProtect、Themida 和 ASMGuard 等混淆工具来打包驱动程序及其加载器（Stonestop）以进行逃避检测。

Evolution to a wiper

Sophos 的最新报告基于 2024 年 7 月的 RansomHub 攻击，该攻击利用 Poortry 删除关键的可执行文件 (EXE)、动态链接库 (DLL) 和安全软件的其他重要组件。

这确保了 EDR 软件无法被防御者恢复或重新启动，从而使系统在攻击的后续加密阶段完全不受保护。该过程从 PoorTry 的用户模式组件开始，识别安全软件的安装目录以及这些目录中的关键文件。

然后，它会向内核模式组件发送请求，系统地终止与安全相关的进程，然后删除它们的关键文件。

这些文件的路径被硬编码到 PoorTry 上，而用户模式组件支持按文件名或类型删除，这使其具有一定的操作灵活性，可以覆盖更广泛的 EDR 产品。

按文件类型删除功能

该恶意软件可以进行微调，只删除对 EDR 操作至关重要的文件，从而避免在攻击风险较高的第一阶段产生不必要的噪音。

Sophos 还指出，最新的 Poortry 变体采用签名时间戳操纵来绕过 Windows 上的安全检查，并使用 Tonec Inc. 的 Internet Download Manager 等其他软件的元数据。

驱动程序属性

攻击者采用了一种被称为“证书轮盘”的策略，他们部署使用不同证书签名的相同有效载荷的多个变体，以增加至少一个成功执行的机会。

随着时间的推移，用于签署 Poortry 驱动程序的各种证书

尽管人们努力追踪 PoorTry 的演变并阻止其生效，但该工具的开发人员已经表现出了适应新防御措施的非凡能力。

EDR 擦除功能使该工具在应对攻击方面比防御者更具优势，但也可能为在加密前阶段检测攻击提供新的机会。

今年8月以来，我国电子游戏领域佳讯不断。先是8月12日，在2024年电竞世界杯《街霸6》项目总决赛中，中国35岁“老将”曾卓君逆转击败日本选手夺冠！后有8月20日，中国、乃至全球华语玩家期待四年的单机游戏“黑神话：悟空”上线，创造了STEAM平台220万玩家同时在线、全平台超450万份的销售奇迹。可以看到，这个被称为“第九艺术”电子游戏市场，仍然有着极大的成长空间。

更加值得注意的是，近年来，电竞（或电子竞技）产业不断蓬勃发展。随着其日渐盛行，投入电竞赛事的资金也与日俱增，这不仅吸引了大量粉丝，还招致了网络犯罪分子的觊觎。攻击可能会对电竞赛事的举办、组织者的声誉以及电竞作为正规产业的整体形象产生重大影响。这是一个严重的问题，尤其是在国际奥林匹克委员会 (IOC) 已投票批准电竞入奥，并将于 2025 年举办首届电竞奥运会之际。

事实上，全球电子游戏产业市值早已超越电影产业。Statista 预计，到 2024 年，电子游戏产业的收入将达到 4,550 亿美元。目前不仅有数十亿注册玩家、数千支电竞团队，而且赛事奖金高达数百万美元。然而，高昂投入之下，网络犯罪分子也在不断寻觅可乘之机。

在电竞行业，勒索软件攻击已是屡见不鲜。举例来说，《街头霸王》、《洛克人》、《生化危机》和《鬼泣》等经典游戏的开发商 Capcom 就曾遭到攻击。作为《巫师》和《赛博朋克 2077》等热门游戏的开发商，CD PROJEKT RED 也受到过重大勒索软件攻击的严重影响。全球最大的游戏公司之一 Electronic Arts 也曾遭遇攻击，其数据和源代码惨遭盗窃。就连严加保护、备受期待的大作《GTA VI》亦未能幸免，其创作者遭到了一名 17 岁黑客的勒索，这名黑客早前还曾攻击过 Uber。

一旦攻击得逞，就会造成巨大的损失。此类勒索软件攻击可能会索要高达数百万美元的赎金，而玩家和企业之间的信任崩塌和声誉受损可能会造成更严重的影响。与此同时，如果信息遭到泄露，游戏公司还须为违反安全法规而支付相应的罚款。许多公司可能会因此难以为继。

网络安全公司 Check Point 软件技术公司中国区技术总监王跃霖表示：“我们注意到越来越多的攻击直接将矛头指向电竞。大型电竞赛事的现场观众成千上万，全球在线观众多达数百万人。中国玩家们应该还记得23年中国战队AR（Azure Ray）在DOTA2冠军赛是各大视频平台的关注热度。热门游戏平台拥有数百万玩家，因此任何攻击都会造成巨大影响。在这个行业中，信任至关重要，因为玩家和粉丝对各种形式的操纵和干扰都非常敏感，所以当比赛不得不改期、私下举办或出现任何其他问题时，人们就会对赛事的公正性产生质疑，赛事的价值也会一落千丈。攻击者根本无需制造复杂的威胁或勒索软件攻击，只需破坏赛事或转播，然后敲诈勒索参赛团队和组织者即可，这种手段可能更轻松、更有效。” 

王跃霖表示：“事实上，攻击者甚至不需要特别精通技术，只需花费几百美元就可以在暗网上租到强大的僵尸网络。黑客攻击也可能成为参赛团队之间甚至是热门赛事之间竞争的一部分。举例来说，诋毁竞争对手可能会在争夺重要合作伙伴和赞助商中起到关键作用，导致竞争团队被排除在赛事之外，或者误导知名团队退出不可信和有问题的比赛。过去，黑客攻击的最常见动机是骗取钱财，但也有可能出于个人或政治动机，比如寻求报复或提高特定赛程的关注度。对于一些黑客来说，攻击大型赛事只是为了提高名气，挑战一下自己。”

针对电竞赛事的黑客攻击形式多样：

1. DDoS（分布式拒绝服务）攻击是电竞领域最常见的威胁之一，旨在使服务器过载，导致游戏或转播中断。例如，今年著名的 T1 战队和英雄联盟韩国冠军联赛 (LCK) 就遭到了攻击。 T1 参加的比赛甚至不得不暂停，最终比赛被推迟，并且无法公开进行，这无疑造成了巨大的损失，令期望赛事顺利进行的赞助商和观众大失所望。此外，T1 战队表示，由于受到 DDoS 攻击，他们甚至无法正常备赛。

2. 针对游戏账户的攻击：黑客还将攻击目标瞄准职业玩家的账户，企图窃取敏感信息。攻击者通常会模仿知名游戏组织的官方资讯和网站，声称提供各种奖励和消息。而有些网络钓鱼骗局则更为复杂。例如，攻击者曾直接入侵大型游戏公司 2K 的支持系统，通过官方渠道发送欺诈性电子邮件。捷克玩家就领教过丢失账户和游戏道具的风险。例如，Martin "zur1s" Sláma 在一场《反恐精英：全球攻势》直播比赛中丢失了自己的游戏账号，致其无法继续参赛，而且价值 30 万捷克克朗的游戏道具也被洗劫一空。由此可见，网络攻击不仅针对赛事本身，也瞄准了个人玩家。

3. 欺诈和作弊：一些黑客企图通过作弊或使用非法软件工具赢得比赛。他们可能会使用自动瞄准器、透视作弊器和其他作弊工具，或者利用网络攻击使竞争对手处于劣势。举例来说，今年早些时候一名昵称为 Destroyer2009 的黑客在热门射击游戏《Apex Legends》的一场电竞比赛中黑掉了两位知名游戏玩家，让他们看起来有作弊嫌疑，从而造成了混乱和麻烦。

4. 监视。过去，Check Point 还曾在热门游戏《堡垒之夜》中发现过漏洞，黑客可利用这些漏洞窃取账户、数据和钱财，或进行窃听和监视。

因此，赛事组织者、参赛团队和玩家必须采取全面的安全防护措施。电竞赛事运营商必须保护其服务器和整个基础设施免受 DDoS 攻击和其他形式的网络威胁。针对安全事件的快速响应能力也至关重要。这意味着网络安全团队需要随时待命，以在攻击发生时及时介入。定期培训也同样重要，可确保发生可疑活动时，玩家和员工能做出正确的响应。此外，还必须注意确保通信渠道的安全，以防止信息泄漏，并确保网络犯罪分子手中没有其他武器可用于敲诈勒索和针对性攻击。

与此同时，玩家必须使用高强度密码和双重身份验证来确保账户安全。专业团队应设立专门的安全团队来监控和保护玩家的账户免遭潜在攻击，并定期对他们进行培训。

Check Point建议游戏公司和电竞团队采取以下安全防护措施：

1. 注重预防，而不仅仅是检测威胁，要实施先进的预防性安全防护技术。谨防勒索软件和 DDoS 攻击。

2. 定期向员工和玩家宣传当前的威胁和风险，以及对所有账户使用双重身份验证的必要性。许多网络攻击都是从一封不含恶意软件的针对性电子邮件开始，利用社交工程技术诱骗用户点击危险链接。因此，用户安全教育是实施防护的最重要部分之一。

3. 在周末和节假日尤其要提高警惕，因为许多攻击都发生在组织无法及时响应威胁之际。

4. 实施全方位保护，因为任何漏洞都会给网络犯罪分子提供可乘之机。

5. 定期安装更新和补丁，绝不拖延。

6. 要想尽可能地减少得逞攻击的影响，务必确保用户仅可访问必需的信息和资源。网络分段能够最大限度地降低威胁不受控制地蔓延至整个组织的风险。单个系统的攻击善后已不轻松，整个网络的攻击后修复将更麻烦。

7. 备份和归档数据必不可少。一旦出现问题，您的数据应能够轻松快速恢复。因此，必须持续备份，包括在员工设备上设置自动备份，不要指望员工自己记得开启备份。如果您的数据已加密，攻击者就无法要挟您。

王跃霖总结道：“网络安全防护是确保电竞赛事顺利公平举办的关键要素。随着攻击事件日益增多，赛事组织者、参赛团队和玩家必须采取全面的安全防护措施，并注重预防。只有在充分的网络保护之下，电竞才能不断发展，自信地步入奥运赛场而惧网络犯罪分子带来的挑战。”

工业和信息化部依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。

近期，工业和信息化部组织第三方检测机构进行抽查，共发现17款APP及SDK存在侵害用户权益行为，已予以通报。文中所述APP及SDK应按有关规定进行整改，整改落实不到位的，将依法依规组织开展相关处置工作。你的手机里是否也有安装如下软件？若有，速速卸载！

工信部通报存在问题的APP（SDK）名单

文章来源自：北京发布 工信部官网

一种名为 Styx Stealer 的新网络安全威胁已经出现。它可以在使用频繁网络浏览器中窃取敏感数据（例如已保存的密码、cookie 和自动填充信息）来锁定用户。

该恶意软件影响涉及到 Chromium 和 Gecko 的浏览器，并将其影响范围扩展到了浏览器扩展、加密货币钱包，甚至 Telegram 和 Discord 等消息平台。

Styx Stealer 的曝光引起了网络安全专家和用户的警惕，它对网络安全构成了重大风险。

利用 Windows Defender 漏洞

Styx Stealer 利用了 Microsoft Windows Defender SmartScreen 中的漏洞，该漏洞编号为CVE-2023-36025，也称为 Phemedrone Stealer。

该漏洞于 2024 年初广泛传播，使得恶意分子能够绕过安全措施并渗透到用户的系统。

不断的漏洞的利用，给网络安全防御带来了持续挑战，特别是当威胁分子发现和利用广泛使用的软件中的漏洞时。

有趣的是，Styx Stealer 的功能演示已发布在其开发人员的社交媒体上。尽管该媒体账号影响力不大，但此次演示还是引起了网络安全专业人士的注意。

此外，有威胁分子在俄罗斯一个热门论坛上发现出售 Styx Stealer，这表明该病毒具有广泛传播的潜力。这一事件发展无疑警醒了用户和组织需要保持警惕以保护其数字资产。

随着情况的发展，专家建议用户更新安全软件，对可疑链接和下载保持警惕，并定期更改密码，以防止潜在的违规行为。

Styx Stealer 的出现提醒人们网络威胁形势的不断演变以及主动网络安全措施的重要性，增强网络安全意识和手段刻不容缓。

近日，盛邦安全技术团队在为某工业企业进行网络安全保障过程中，发现其生产控制区域监管调度系统存在API接口漏洞，可能导致其生产数据发生泄露，甚至可能出现生产设备被控的严重风险，盛邦安全第一时间为用户进行了风险评估，并采用专用的API安全防护设备强化了监测与防护方案。此次事件为用户敲响了安全警钟，也让我们再一次意识到工业互联网安全发展的重要性。

工业互联网是新一代信息通信技术与工业经济深度融合的全新工业生态、关键基础设施和新型应用模式，自《工业互联网创新发展行动计划》发布以来，各领域工业企业在生产和管理上不断提速增效，推动了工业互联网的快速发展。然而，这一发展也对网络安全提出了新的挑战，如提升安全防护能力、应对跨平台与跨业务的复杂性、管理数字化进程中的安全风险，以及深化安全场景化应用等方面。随着新型工业化的深入推进，这些需求变得更加紧迫，亟需通过技术创新来应对。

面对新一代信息技术与工业深度融合所带来的安全挑战，工业企业必须提升网络安全防护能力。尽管这种融合带来了效率和生产力的提升，但也显著扩大了网络安全的暴露面。比如，5G、人工智能（AI）和物联网（IoT）等新技术的应用，使得工业设备和系统的互联性增强，但也为潜在的网络攻击提供了更多的切入点。此外，在这些新型应用模式和场景中，API接口正扮演着越来越重要的角色。API作为连接各类服务和数据的关键通道，其安全性直接影响整个工业互联网生态的安全与稳定，随着接口暴露面的扩大，其重要性愈发凸显。

以此次发现的API接口安全漏洞为例，我们来分析下详情：

01接口监测

通过RayAPI对生产管理区及控制区流量进行监测，发现工控管理设备接口存在未鉴权风险；

02风险分析

通过对接口响应内容进行分析，发现存在敏感信息泄露风险，涉及生产网监控数据；

03权限验证

针对问题接口，尝试以普通用户身份执行高权限操作，发现部分调度设备可被越权访问，甚至可以直接拉取生产作业信息；

04整体分析

整体进行风险评估，发现内外网存在边界绕过通道，边缘监控设备权限较高，且能够与云端管控平台直接通信，因此存在被打通的高危风险。

防护建议

对于工业企业而言，强化工业互联网安全防护措施是保障生产稳定运行和数据安全的重要手段。企业应根据当前网络安全现状，结合工业互联网综合的、协同的、主动的、动态的安全防护体系要求，从云平台、边缘层、工控设备等诸多层面去进行防护。加强技术防护和管理防护相结合的原则，在云基础设施、平台基础能力、基础应用能力的安全可信方面建立识别、防护、检测、响应、恢复的一体化解决方案。

针对当前工业企业安全建设层面，我们给出如下建议：

设计合理的网络架构

• 采用分层架构，将工业控制网络与企业办公网络隔离，减少潜在的攻击面。

• 划分不同的安全区域，如生产区、管理区等，并实施访问控制策略。

强化访问控制

• 实施基于角色的访问控制（RBAC），确保只有授权人员能够访问特定的网络资源和系统。

• 定期审查和更新用户权限，及时撤销离职或岗位变动人员的访问权限。

数据安全与加密

• 数据定期备份，并确保备份数据的安全性。

• 对敏感数据进行加密传输和存储，保护数据的机密性和完整性。

在工业互联网从基础信息化向智能化创新转变的过程中，API安全接口防护措施也需要综合考虑多个方面，以确保系统的安全性和数据的完整性。针对此次事件中暴露的问题，结合盛邦安全API安全防护产品，我们提出以下防护建议：

对API资产进行识别与有效管理

通过RayAPI智能流量分析，自动识别和检测静态资源以及HTML响应中的资源，实现API接口的自动识别和分组管理。

构建API资产行为画像

通过RayAPI全量分析技术精准构建API资产画像，快速统计各个业务的API活动情况，包括请求数、访问日历等，从多个维度进行API资产画像。

实施细粒度的API安全防护

基于API接口的访问行为以及客户业务情况，通过RayAPI制定基于攻击规则、异常行为算法等检测模型的防护策略，并可通过阻断、封禁、限速等处理方式实现防护。

预防敏感数据泄露风险

通过RayAPI内置的敏感数据识别规则，智能识别敏感参数信息，并能自定义敏感信息检测规则，防止敏感信息泄露，保障数据安全。

API流量智能化分析

通过RayAPI总览企业的API资产、活跃程度、涉敏情况、风险事件及变化趋势，助力企业可视化管理API全生命周期防护，及时感知并处置威胁。

工业企业在传统防护措施的基础上，必须进一步强化基于先进技术的实时监测与响应机制，确保能够及时发现和应对各种复杂的网络攻击。这次事件再次警示相关单位，务必重视API接口的安全性，并采取必要的技术与管理措施，防范类似安全事件的发生。工业互联网的稳健发展，依赖于我们共同努力构建更加安全的网络环境。

原文链接

8 月 6 日上午，国家市场监督管理总局认证监管司副司长姚雷、中国网络安全审查认证和市场监管大数据中心副主任吴晓龙一行莅临盛邦安全展开调研。盛邦安全董事长权小文、总裁韩卫东等公司高层全程陪同。此次调研旨在深入一线考察安全服务资质现场审核工作。盛邦安全拥有风险评估、应急响应、安全集成、安全运维四个方向的信息安全服务一级资质以及多项国信安、网专产品认证证书。

盛邦安全代表首先对调研组的到来表示热烈的欢迎和衷心的感谢。总裁韩卫东全面地汇报了公司的发展历程、核心技术、科研创新成果以及战略规划；公司安全服务产品线总经理郝龙则汇报了公司服务能力的建设情况以及公司参与的多项国家重大网络安保活动的情况和所取得的成绩。

汇报结束后，姚雷副司长和吴晓龙副主任一行参观了盛邦安全的创新技术展示中心。在这里，调研组深入地了解了盛邦安全研发绘制的首个网络空间地图——网络空间坤舆图以及网络空间挂图作战系统等创新产品技术成果的实际应用情况。

网数中心副主任吴晓龙指出，资质现场审核为直接观察和评估服务实际执行情况提供了契机，是服务认证的关键环节，对于保障认证质量、提高认证水平以及推动认证行业的健康发展都有着至关重要的作用。企业应借助现场审核工作持续改进流程，提升服务水平。

市场监管总局姚雷副司长指出，市场经济越成熟，越需要充分彰显认证作为质量管理“体检证”、市场经济“信用证”的价值。认证行业是涉及多方责任的领域，各方必须切实履行相关责任，最终实现提高产品质量、提升服务能力和管理水平的目标，从而真正发挥认证的重要价值。

此次全面而深入的调研活动，为盛邦安全的发展给予了极具前瞻性和建设性的指导意见，同时也使企业对质量体系的价值有了更为深刻且透彻的理解。这有力地推动企业全力修炼内功，紧紧抓住质量这一关键要素，进而在未来的发展道路上创造出更为显著和卓越的行业价值。

原文链接

近日，尤文图斯足球俱乐部与推动网络与安全融合的全球网络安全领导者 Fortinet®（NASDAQ：FTNT）正式宣布建立合作伙伴关系，并签署了一项为期至2026年的赞助协议。在此框架下，Fortinet荣膺尤文图斯未来两个赛季的官方网络安全合作伙伴，标志着双方在网络安全领域的深度合作正式启航。

尤文图斯管理层对Fortinet业界领先的Security Fabric平台给予了高度评价，该平台的引入将显著提升俱乐部设施的网络架构安全性与管理效率，通过简化运维流程、加速威胁识别与响应，为球迷带来更加流畅无阻、安全可靠的观赛享受。

坐落于意大利都灵市中心的都灵安联球场，不仅是尤文图斯辉煌的见证者，更是体育界可持续发展的典范。作为城市的文化地标与旅游热点，这座球场将依托Fortinet的解决方案，进一步优化其网络基础设施，包括尤文图斯总部、数据中心、J Hotel酒店、J Medical医疗中心及一线队训练中心JTC Continassa在内的核心区域，均将享受到Fortinet带来的网络安全强化与性能提升。

Fortinet凭借Security Fabric平台的卓越性能与深度融合的安全能力，赢得了尤文图斯的官方认可。该平台能够无缝整合分散的安全工具，增强网络透明度，提升响应速度，从而简化复杂的安全运营环境。

尤文图斯将在Fortinet的支持下，完成Continassa社区局域网边缘基础设施的全面升级，包括交换机、无线接入点等关键设备的更新换代，以及部署集中式NGFW防火墙集群，实现网络环境的全面掌控与管理。

尤文图斯常务董事Francesco Calvo对此次合作寄予厚望，他表示：“与Fortinet的携手，标志着尤文图斯在网络安全领域迈出了重要一步。我们致力于技术创新，力求树立行业新标杆。相信双方的紧密合作将为我们的赛场表现与球迷体验提供坚实的安全后盾。”

信息通信技术主管Mirko Rinaldini同样对合作充满信心：“Fortinet的下一代防火墙及网络安全解决方案将深度融入我们的基础设施，赋予我们前所未有的网络控制力与深度洞察力，助力我们在保障运营安全的同时，提升整体性能。”
Fortinet首席营销官John Maddison则表示：“作为尤文图斯的官方网络安全合作伙伴，我们深感荣幸。我们将利用Fortinet安全平台的力量，助力尤文图斯保护其世界级场馆，并期待通过创新方式提升球迷与访客的数字化体验。这次合作不仅彰显了Fortinet在网络安全领域的领导地位，也预示着体育与高科技安全解决方案的深度融合，为全球体育迷开启新的安全篇章。”

继成功携手巴塞罗那足球俱乐部之后，Fortinet再次与尤文图斯强强联合，这一战略举措不仅巩固了其在网络安全领域的领先地位，也进一步推动了体育与高科技的融合，为全球体育爱好者带来前所未有的安全体验与数字盛宴。

在信息高速流通的今天，邮件作为商务沟通的桥梁，不仅承载着日常沟通，更是企业机密和知识产权的重要载体。然而，邮件系统的开放性也使其成为网络攻击的主要目标。数据泄露不仅会导致商业损失，还可能对企业声誉造成不可逆转的损害。

邮件数据防泄露不仅是技术问题，更是管理问题。它要求企业从组织架构、流程设计到技术实施等多个层面进行综合考量。如何构建一个既高效又安全的邮件系统，成为了企业和机构必须面对的挑战。

CACTER深刻理解这一挑战，并致力于通过创新技术和策略，帮助用户构建更加安全的邮件环境。本次直播，CACTER将聚焦邮件数据防泄露的实战重点，分享行业最佳实践，探讨创新技术应用，共同提升邮件数据安全管理策略，帮助企业构建起全方位的邮件安全防护体系。

8月28日（周三）15：00-16：00

聚焦EDLP邮件数据防泄露实战重点

☑ 创新分区管理与邮件全检策略——高精尖制造业

CACTER邮件安全高级产品经理覃开源，将分享高精尖制造业中邮件安全策略的创新分区管理，详细介绍如何在EDLP中实现员工分区管理，以及如何通过灵活的策略配置，有效防止敏感信息的泄露。

☑ 审批赋能新途径、自动抄送与密送优化——地方金融机构

CACTER邮件安全产品经理周婷，将带来地方金融机构在邮件审批、自动抄送与密送优化方面的实战经验。还将展示如何通过EDLP的原生审批引擎和自动抄送/密送功能，提高邮件通信的安全性、保密性和合规性。

☑ 展望未来：大模型在数据防泄露领域的应用与研究

CACTER还将探讨大模型在数据防泄露领域的应用与研究，分享如何利用人工智能技术，更有效地识别和防护未被规则明确定义的数据泄露风险。

立即扫码预约，锁定直播席位

与CACTER共同探索邮件数据防泄露的奥秘

近日，备受瞩目的动作角色扮演游戏《黑神话：悟空》遭遇网络攻击，这一事件引发广泛关注。该游戏由中国游戏开发公司 Game Science 开发，是一款基于中国古代神话《西游记》的开放世界游戏。

攻击的影响主要集中在游戏的发布平台——Steam上。

事件背景

《黑神话：悟空》自首次公布以来，就吸引了大量游戏爱好者的关注。其精美的画面和创新的玩法让人对这款游戏充满期待。然而，这也使得它进入攻击者视线，并对 Steam 平台发起了网络攻击。

攻击详情

根据多方报道，攻击者通过对 Steam 平台进行分布式拒绝服务（DDoS）攻击，导致平台出现了大规模的服务中断和不稳定现象。这种攻击通常会通过大量伪造的流量挤占目标服务器的资源，进而导致正常用户无法访问服务。

事件影响

此次攻击不仅影响了 Steam 平台的正常运营，也对《黑神话：悟空》的发布造成了不小的困扰。开发公司 Game Science 已经发布声明，表示他们正在与 Steam 平台紧密合作，尽快解决问题，确保游戏能够如期发布。

Steam 平台方面则对外表示，他们已经采取了紧急措施来应对攻击，并加强了系统的安全防护。他们还承诺将继续关注事态的发展，并与相关方保持沟通，以最大限度减少对用户的影响。

后续发展

目前，关于此次网络攻击的具体原因和攻击者身份仍然不明确。专家表示，这类攻击可能与游戏的高关注度有关，攻击者可能试图通过这种方式制造混乱，影响游戏的发售。

文章参考自：Game Science 官方声明. Game Science 网站

Steam 平台公告.Steam 新闻中心

《黑神话：悟空》网络攻击相关报道. IGN. IGN 网站

《黑神话：悟空》遭遇的网络攻击分析. GameSpot. GameSpot 网站

LiteSpeed Cache 是开源的，也是极受欢迎的 WordPress 网站加速插件，拥有超过 500 万个活跃安装，并支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。

该插件的用户模拟功能中发现了未经身份验证的权限提升漏洞 (CVE-2024-28000)，该漏洞是由 LiteSpeed Cache 6.3.0.1 版及之前的版本中的弱哈希校验引起的。

安全研究员于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了这个漏洞。LiteSpeed 团队开发了一个补丁，并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。

成功利用该漏洞可使任何未经身份验证的访问者获得管理员级别的访问权限，通过安装恶意插件、更改关键设置、将流量重定向到恶意网站、向访问者分发恶意软件或窃取用户数据，可以完全接管运行易受攻击的 LiteSpeed Cache 版本的网站。

Patchstack 安全研究员解释说：“暴力攻击会迭代安全哈希的所有 100 万个已知可能值并将它们传递到 litespeed_hash cookie 中，即使以每秒 3 个请求的相对较低速度运行，也能够在几小时到一个星期内以任何给定的用户 ID 访问该网站。”

唯一的先决条件是知道管理员级别用户的 ID 并将其传递到 litespeed_role cookie 中。

确定此类用户的难度完全取决于目标站点，并且在许多情况下，使用用户 ID 1 即可成功。

虽然开发团队已于上上周发布了修复此严重安全漏洞的版本，但 WordPress 官方插件库的下载统计数据显示，该插件的下载次数仅为 250 多万次，这意味着超过一半使用该插件的网站可能面临攻击。

今年早些时候，攻击者利用 LiteSpeed Cache 未经身份验证的跨站点脚本漏洞 (CVE-2023-40000) 创建恶意管理员用户并控制易受攻击的网站。

5 月，Automattic 的安全团队 WPScan 警告称，威胁分子在 4 月份开始扫描目标，因为他们发现仅一个恶意 IP 地址就发起了超过 120 万次探测。

Wordfence 威胁情报负责人也强烈建议用户尽快使用 Litespeed Cache 的最新修补版本（撰写本文时为 6.4.1 版）更新其网站。由此可推断，这个漏洞很快就会被积极利用。

6 月，Wordfence 威胁情报团队还报告称，一个威胁分子在 WordPress.org 上至少植入了五个插件后门，并添加了恶意 PHP 脚本，以在运行这些插件的网站上创建具有管理员权限的帐户。

8月24日—25日，由知道创宇主办的第十三届KCon大会在北京成功举行。

本届大会以“同道”为核心主题，灵感源自古老而深邃的八卦智慧——天火同人卦，此为第十三卦。

“人同其心，心同其志；异者互补，异志相斥；殊者特出，似者竞进。”天火同人卦寓意深远，与KCon大会的精神内核不谋而合。

知道创宇CSO黑哥在开幕致辞中表示，今年是KCon大会的第十三年。这十三年，不仅是KCon大会自身成长与蜕变的见证，因为大家的参与，也是对中国网络安全历史的见证，KCon大会作为业内交流的重要平台，始终站在技术前沿，汇聚全球顶尖的安全专家与学者，共同探讨应对之道，推动安全技术的创新与发展。 

极客聚首 纵论安全

当前，新一轮科技革命和产业变革纵深推进，既带来了发展的机遇，也有风险的挑战与压力。大会议题紧跟时代发展步伐，聚焦AI大模型、车联网、芯片安全等，与APT攻击、网络攻防、云安全等众多热点话题组成二十个议题。

在各个议题的讨论中，来自不同领域的一线技术专家们分享研究成果、实践经验和独到见解。AI大模型作为当前的热门话题，其安全问题也备受关注。在相关议题中，技术人探讨了如何确保AI大模型的安全性，防止其被恶意利用，车联网和芯片安全议题关注保障关键领域的网络安全，而APT攻击议题则提醒人们，面对日益复杂和高级的网络攻击手段，要深刻认识到网络安全威胁的复杂性和严峻性，需不断提升自身防御能力。

一个个干货满分的议题分享等同于一场场知识浇灌。

首迈十三载 「同道」共筑安全数字空间

互联网发展日新月异，极大拓展了人类的生产生活空间，网络安全也成为国家安全的重要组成部分。KCon 2024作为一次技术的交流与展示平台，也是对网络安全未来发展的一次深入探讨与展望，众多热门议题的分享见证着新质生产力的崛起，纯粹的网安技术交流平台为网络安全的发展构筑起坚固的安全防线。

随着大会的落幕，它留下的知识与经验、创新与思考，将在未来的日子里持续发酵，激励更多的网络安全从业者不断前行，共同为网络安全事业的蓬勃发展贡献力量。

期待下一届 KCon 黑客大会的到来，再次见证网安极客的风采。

8月24日—25日，知道创宇主办的第十三届KCon大会在北京成功举行。

本届大会以“同道”为主题，汇聚了网络安全领域的精英与志同道合之士，共谋网络安全之道，携手开创行业未来发展蓝图。

知道创宇CSO黑哥在致辞中表示，今年是KCon大会的第十三年。这十三年，不仅是KCon大会自身成长与蜕变的见证，因为大家的参与，也是对中国网络安全历史的见证，KCon大会作为业内交流的重要平台，始终站在技术前沿，汇聚全球顶尖的安全专家与学者，共同探讨应对之道，推动安全技术的创新与发展。

深度聚焦前沿热点  激发网安行业新活力

作为业界公认的网络安全技术盛宴，KCon大会始终秉持初心，专注于提供高质量、深层次的干货分享与技术交流，成为连接行业精英、推动技术创新的重要平台。

随着互联网的普及和数字化转型的加速，网络安全威胁日益复杂多变。本次大会的20个议题，涵盖了AI大模型、车联网、芯片安全、云原生安全、APT攻击等众多热点话题，24位演讲者既有来自一线网络安全厂商的实战分享，也有来自学术机构和独立安全研究员的独特视角，为解决新形势下的网络安全问题提供了最新的研究视角与一线实战经验。

随着网络安全威胁的日益严峻和复杂多样，加强漏洞挖掘和防护工作已成为当务之急。大会特设“KCon白帽赏金大赛”，OPPO企业专场、字节跳动企业专场的激烈角逐吸引了众多顶尖白帽参与，最终两位杰出选手凭借卓越的技术实力脱颖而出，赢得了荣誉与认可。大赛的成功举办不仅展示了安全人才的卓越实力和技术水平，也为网络安全领域的发展注入了新的活力和动力。

值得注意的是，为满足安全从业者和技术爱好者的学习需求，今年KCon大会培训日活动重磅回归，共有13位安全从业者、技术爱好者进行了网络安全渗透测试技术培训，本次培训深度融合了近两年的最新漏洞技术与实战化需求，帮助白帽和技术爱好者积累丰富的理论基础和实战经验。

此外，为了让广大的安全新人少走一些弯路，知道创宇404实验室持续分享的《知道创宇研发技能表》在发布了十年之后迎来了新一版V4.0的更新，在其中补充更新了包括AI在内大量新的技术方向。

场外活动亮点频现 合作沟通无缝对接

场内智慧碰撞的同时，大会外场展区的“兵器谱”也吸引了众多参会者驻足。今年，又有7件安全江湖的“神兵利器”脱颖而出，在现场得到了详尽解析与深入探讨，展示了国内安全领域的最新研究成果，为未来安全防护体系的构建提供了宝贵的思路与灵感。

“兵器谱”旁，KCon 2024大会为合作伙伴设置了“特色展区”，美团安全应急响应中心、OPPO安全中心、字节跳动安全与风控的展台设计新颖，为参会者提供了丰富多彩的活动。

同时，知名互联网企业在招聘区亮出橄榄枝，社招与校招两大板块并行，为求职者提供了多样化的选择。无论是经验丰富的行业精英，还是初出茅庐的应届毕业生，都能在这里找到适合自己的舞台，KCon为其搭建起一座沟通桥梁。

KCon大会还获得了光明网、中国信息安全、信息安全通信与保密、信息安全研究、每日经济新闻、雷峰网、IT168、蘑菇云、嘶吼、安全牛、数世咨询、数说安全、安在等十余家合作媒体为KCon 2024提供全程报道，同时，13家安全技术社区提供支持。

往期回顾：

2024.8.12—2024.8.18安全动态周回顾

2024.8.5—2024.8.11安全动态周回顾

2024.7.29—2024.8.4安全动态周回顾

2024.7.22—2024.7.28安全动态周回顾

2024.7.15—2024.7.21安全动态周回顾

2024.7.8—2024.7.14安全动态周回顾

2024.7.1—2024.7.7安全动态周回顾

这个夏天，注定不平凡。

01

老洞？新洞？

能被利用就是“漏”洞

首先，让我们看看最近哪些系统最受关注

近期热点漏洞分类统计

企业管理系统类“高居榜首”

果然得“集权”者得“天下”，

拥有大量管理权限和人员信息的资产

果然最受“青睐”，占比高达61%。

对这类系统，切记：

不要“暴露”！

不要“裸奔”！

不要把管理员账号

“刻在”您心爱的桌面上！

业务生产系统类“屈居第二”

最“要面子”的网络资产，

不接受反驳，占比高达21%。

对这类系统，我们要坚持：

该上的防护必须上！

该关的端口马上关！

别把后台推到前台，

别拿漏洞不当“干粮”！

安全产品类需要格外重视

安全资产首先要保证自身安全性。

对这类产品，一定要：

收紧管理入口

看好账户口令

能单独开辟一个管理区域

那就再好不过了~

物联网设备类需要提高警惕

最容易忽视但绝不容忽视的网络资产

攻防江湖当中的“后起之秀”

一句话：做好隔离，千万别浪🌊

排名榜首的企业管理系统类，

到底又涉及哪些系统呢？

让我们一起展开👀：

可以看到各类ERP和OA系统占比最多，

针对这类资产，

漏洞修复要及时，

防护策略提前做。

总结一句话：

守护供应链安全，两高一弱要不得！

02

遇到漏洞不要慌

先开策略再升级

漏洞的防护和扫描，

原理还不太一样。

不同的漏洞攻击，

只要提取到共性的手法特征，

一条规则就可以防护多种漏洞，

所谓一力降十会，万变不离其宗。

尤其是现在的防护产品，

既有规则匹配，又有算法检测，

还有风险模型。

检测手段多样，

能预先防御大部分漏洞攻击。

所以遇到漏洞不要慌张，

首先，确保防护策略完整覆盖，

然后，及时关注规则升级动态。

以RayWAF为例，

来感受下最近的规则更新动态：

可以看到，近期的热点漏洞当中，

70%利用通用规则即可实现检测防护，

其余30%可以采用更精细化的规则进行检测，

btw，我们的规则库已在第一时间更新同步~

03

RayWAF在手

0day防护就有

在漏洞攻击当中，0day漏洞通常会因为:

公开时间短、影响范围大、检测手段缺失、防护效果未知……令大家谈0day色变

其实，在实际的安全防护部署当中，

我们可以通过合理规划安全策略，

有序应对0day攻击。

仍以RayWAF为例，

让我们概括一些实用技巧：

（1）梳理防护资产，摸清家底

采用自学习加主动探测的方式梳理防护资产

一方面用于针对性指导安全策略的设定，

另一方面当高危漏洞爆发时，

可以快速评估风险影响范围，

合理制定应急方案。

（2）梳理安全策略，加固防护

业务的连续性与安全性需掌握好平衡点，

尤其要做好“战时”与“平时”的灵活调整。

实战化阶段，需要确保网络武器、后门攻击、

OA漏洞、S2漏洞等高风险防护规则已开启。

此外，针对关键业务资产及同等重要资产，

还可以建立自学习白名单模块

以实现更严格的防护。

（3）规则自动升级，及时补防

启用规则库在线升级功能

或安排专人跟进升级工作，

确保及时获取规则更新情况，

实现一点捕获、全网快速同步

的及时加固效果。

（4）自定义规则库，灵活响应

针对突发的高危漏洞，在规则尚未发布之前，

还可利用自定义检测规则快速补全防护能力，

为问题资产打好虚拟补丁，实现灵活响应。

（5）业务一键下线，快速止损

对于短时间较难确认的问题风险，

还可以通过一键下线功能，

来保护对应的业务资产。

在防护策略齐备之前，

先从逻辑上临时限制该业务的访问，

达到快速止损的效果，

待防护建立后再恢复上线。

赛程尚未过半，

仍需复盘再战。

原文链接

0x01 前言

每年blackhat总是会有一些新奇的攻击思路值得大家学习，在2024年blackhat的议题中发现一篇很有意思的文章，作者提出了一套基于邮箱的欺骗攻击思路，利用RFC标准中对SMTP协议中邮箱地址的特性，提供一系列绕过技巧，我们从中挑选一些实用性较高的思路分享。

0x02 邮箱欺骗

1）邮箱地址注释

在RFC2822规范中规定了邮件数据格式标准，其中3.2.3章节提到可以对消息头中的内容进行注释，邮件地址属于消息头的一部分，也支持注释，注释符是单括号。

在上面表格中的邮箱地址是属于添加了注释的邮件地址，本质上都是代表zhangsan@webray.com.cn。可以使用python的smtplib库复现了邮件发送过程中的注释功能，如下所示。

那么这样的邮件欺骗的攻击行为有什么用处呢？

恶意邮箱注册（低危）

攻击者只有一个邮件收件箱，但是通过引入不同的注释符在同一个网站注册多个账号。

认证与鉴权绕过（高危）

有的网站只允许特定域名进行注册（或者通过用户注册邮箱提取其域名信息），如果对域名数据的获取逻辑存在问题，则可能导致获取到的域名是属于注释中的域名，导致认证与鉴权绕过漏洞。

2）邮箱地址编码

在RFC2047规范中规定了邮件传输协议中邮件头的标准，规范中介绍可以使用多种不同的编码方式对邮件头的值进行编码。如下图所示。

其中=?代表编码开始的位置，utf-8代表后续的字符集类型（其它支持的类型包括utf-8、iso-8859-1等），q代表编码方式的简称（其中q代表Q-Encoding,是一种hex编码方式；b代表Base64-Encoding，是base64编码），?=代表编码结束的位置。

通过对邮件地址进行编码提供了另一种邮件地址表示方式，可以使用github的邮箱验证功能来复现这一特性。在github的settings->emails模块中，添加邮箱地址的base64编码后的值，可以在自己的邮箱正常收到github的邮件。

单纯通过对邮箱地址的用户名字段进行编码似乎并不足以产生较大的危害，其灵活性似乎还没有上面邮箱注释的方式高。而且在更多场景下，网站获取邮箱域名是直接获取的邮箱地址的末尾的域名。例如用户输入的邮箱地址是zhangsan@webray.com.cn，网站会获取最后的webray.com.cn来进行校验，判断输入邮箱是否属于允许注册的域名，这样的验证无法通过上面两种方式来绕过。

为了应对上面这种场景，作者提出了一种%00截断的方式，通过邮箱编码结合%00截断可以在输入的邮箱地址末尾添加任意字符。如下图所示。

其中最关键的是在后面添加了=3e（代表右尖括号>）和%00用于截断后面的内容。其中%00可以截断后面的内容应该是属于C语言在字符遍历时的特性，这个很容易理解。前面的右尖括号是什么作用呢？这是因为在SMTP协议头中真实的目的邮箱地址是下面的方式通过左右尖括号的方式来包裹的。

在作者给出的案例中，通过这样的方式可以在github上面认证任意后缀的邮箱地址，如下图所示。

那么这样的欺骗攻击有什么用处呢？

用于欺骗钓鱼攻击（低危）

在业务系统中伪造目标内部邮箱域名后缀，增加钓鱼成功率。

绕过特定域名邮箱注册限制（高危）

有的重要系统限制了必须是特定域名的邮箱才能注册，通过这样的方式可以绕过系统注册限制。在原文中作者提到有的自建gitlab服务器会限制只允许特定域名后缀的邮箱注册，通过这种方式可以绕过限制，这也应该算是邮箱欺骗攻击的典型应用场景了。

使用github管理员权限登陆，在管理配置中配置允许注册的后缀域名。

配置之后就使用其它域名后缀的邮箱注册，则会返回禁止注册的错误。

这个时候可以通过=?utf-8?q?testtest1=40163.com=3e=00?=foo@webray.com.cn对gitlab邮件限制进行欺骗，绕过域名注册限制。

0x03 实网体验

基于邮件地址的域名欺骗攻击是一种新型的攻击思路，在特定场景下能产生重要的作用，但是经过笔者实际测试效果似乎并没有那么好：

• 大多数网站对邮件地址有格式校验，不允许在邮件地址中存在特殊字符。

• 我们测试了python的smtplib、php的phpmailer、java的javax.mail.jar三种语言的常见SMTP发邮件的方式，从测试结果上来看三种方式原生均不支持通过编码的方式来定义收件箱地址。原文中也并没有明确当前主流邮件服务器对编码邮件地址的支持情况。

• github仅有老版本受域名欺骗攻击影响，在最新的gitlab上面进行测试，是不允许对邮箱地址进行编码的。使用编码的域名会返回邮件地址错误。

也欢迎大家在实际具体业务中多做尝试，肯定能发现其它利用的思路。

0x04 参考链接

近日，一个名为 Mad Liberator 的新数据勒索团伙瞄准了 AnyDesk 用户，并运行虚假的 Microsoft Windows 更新屏幕来分散注意力，同时从目标设备窃取数据。

该行动于 7 月开始出现，虽然观察该活动的研究人员没有发现任何涉及数据加密的事件，但该团伙在其数据泄露网站上指出，他们使用 AES/RSA 算法来锁定文件。

Mad Liberator“关于”页面

针对 AnyDesk 用户

在网络安全公司 Sophos 的一份报告中，研究人员表示，Mad Liberator 攻击始于使用 AnyDesk 远程访问应用程序与计算机进行未经请求的连接，该应用程序在管理公司环境的 IT 团队中很受欢迎。

目前尚不清楚威胁者如何选择其目标，但有一种理论是，Mad Liberator 会尝试潜在的地址（AnyDesk 连接 ID），直到有人接受连接请求，但该说法尚未证实。

AnyDesk 上的连接请求

一旦连接请求被批准，攻击者就会在受感染的系统上放置一个名为 Microsoft Windows Update 的二进制文件，该二进制文件会显示一个虚假的 Windows Update 启动画面。

伪造的 Windows 更新启动画面

该诡计的唯一目的是分散受害者的注意力，同时威胁者使用 AnyDesk 的文件传输工具从 OneDrive 帐户、网络共享和本地存储中窃取数据。在虚假更新屏幕期间，受害者的键盘被禁用，以防止破坏数据泄露过程。

安全研究人员发现，Mad Liberator 的攻击持续了大约四个小时，在数据泄露后阶段，它没有进行任何数据加密。但它仍然在共享网络目录上留下勒索信，以确保在企业环境中获得最大程度的可见性。

被入侵的设备被泄露勒索信

安全研究人员指出，在 AnyDesk 连接请求之前，它没有看到 Mad Liberator 与目标互动，也没有记录任何支持攻击的网络钓鱼尝试。

关于 Mad Liberator 的勒索过程，威胁者在其暗网上声明，他们首先联系被入侵的公司，并表示如果满足他们的金钱要求，他们就会“帮助”他们修复安全问题并恢复加密文件。

如果受害公司在 24 小时内没有回应，他们的名字就会被公布在勒索门户网站上，并有七天的时间联系威胁者。

在发出最后通牒后的五天内，如果受害者没有支付赎金，所有被盗文件都会被公布在 Mad Liberator 网站上，目前该网站已列出了九名受害者。

近期，包括谷歌、微软、AWS 和 Red Hat 在内的多个知名开源项目被发现在 CI/CD 工作流中通过 GitHub Actions 工件泄露 GitHub 身份验证令牌。窃取这些令牌的攻击者可以未经授权访问私有存储库、窃取源代码或将恶意代码注入项目。

Palo Alto Networks 的 Unit 42 率先发现了这一问题，促使热门存储库的所有者采取行动，因为机密信息通过 GitHub Actions 构件泄露。然而，由于 GitHub 决定不解决这一风险，而是将保护构件的责任推给用户，因此根本问题仍未得到解决。

鉴于这种情况，GitHub 用户需要了解风险，评估其暴露情况，并采取措施防止将来发生泄露。

GitHub Actions 生成的工件

泄露 GitHub 令牌

Unit 42 的报告强调了一系列因素，包括不安全的默认设置、用户配置错误和安全检查不足，这些因素可能导致 GitHub 令牌泄露，即所谓的“ArtiPACKED”攻击。

第一个风险点是“actions/checkout”操作，该操作通常用于 GitHub 工作流中克隆存储库代码，以便在工作流运行期间可用。默认情况下，此操作会将 GitHub 令牌保留到本地 .git 目录（隐藏），这是工作流内经过身份验证的操作所必需的。

如果用户错误地将整个结帐目录作为工件的一部分上传，则 git 文件夹内的 GitHub 令牌将被暴露。

公开的 GitHub 令牌

该文件夹中可能包含的其他敏感信息包括 API 密钥、云服务访问令牌和各种帐户凭据。

在 CI/CD 过程中生成的工件（例如构建输出和测试结果）可能会因错误上传而暴露，这些工件的存储期限最长为三个月，可供访问。

另一个故障点是使用环境变量存储 GitHub 令牌的 CI/CD 管道。如果工作流中的操作或脚本有意或无意地记录了这些变量，则日志将作为工件上传。

Unit 42 指出，当“CREATE_LOG_FILE”属性设置为“True”时，“super-linter”操作可以创建包含环境变体的详细日志。

利用泄漏

最终，攻击者会试图利用特定的竞争条件场景，其中必须从日志中提取短暂的 GitHub 令牌并在其过期之前使用。

GitHub 令牌在工作流作业期间保持有效，因此其利用潜力因情况而异。GitHub 内部用于缓存和管理工件的“Actions_Runtime_Token”通常有效期为 6 小时，因此利用窗口很小。

自定义密钥和令牌（例如 API 密钥或云服务访问令牌）的使用寿命各不相同，从几分钟到永不过期。

Unit 42 介绍了一种攻击场景，该场景识别使用 GitHub Actions 的项目或公共存储库，并使用自动化脚本扫描它们以查找增加工件生成可能性的标准。

另一组脚本可以自动从目标存储库的 CI/CD 管道下载工件，对于公共存储库而言，这是一个简单的过程。然后，它会仔细检查其中的机密。

攻击流

补救

Unit 42 确定了以下 14 个大型开源项目使用 GitHub 令牌公开工件的案例，并将其报告给受影响方以进行补救：

·Firebase (谷歌) 

·OpenSearch Security (AWS) Clair (红帽) 

·Active Directory System (Adsys) (Canonical) JSON Schemas (微软)

·TypeScript Repos Automation、TypeScript Bot Test Triggerer、Azure Draft (微软) 

·CycloneDX SBOM (OWASP) 

·Stockfish 

·Libevent 

·Guardian for Apache Kafka (Aiven-Open)

·Git Annex (Datalad)

·Penrose 

·Deckhouse 

·Concrete-ML (Zama AI)

一般而言，建议 GitHub 用户避免在已上传的工件中包含整个目录，清理日志，并定期检查 CI/CD 管道配置。

应调整“actions/checkout”等危险操作的默认设置，以使凭据不会持续存在。此外，工作流程中使用的令牌权限应设置为必要的最小特权，以最大程度避免暴露时造成的损害。

在智慧执法与数字化转型的加速推进下，公共安全领域的智能化建设正成为行业关注的焦点。随着大数据、人工智能等技术的不断成熟，执法单位对智能化解决方案的需求日益突出。

为助力执法人员提升工作效率，为执法工作提供更加安全、深度、便捷的智能化支持，构建更加公平、公正、高效的执法环境。美亚柏科重磅发布AI-8200 Qiko大模型智能本，国内首款专为执法精英打造的超级智能助手，树立公共安全领域智能化建设新标杆，与您并肩作战，智启未来。

私域大模型，专业守护

·内置国内首个公共安全行业大模型“天擎”，私有化部署，该模型集成了海量执法案例、法律法规、证据处理规范等知识库，能够实现对复杂执法场景的深度理解和快速响应。

·具备70亿参数量，通过GQA推理加速，支持128K的上下文长度，能够理解更复杂、更深入的信息，为业务智能分析提供强有力的支持。

·与业务深度融合，基于业务网的数据和设备，脱网也可使用，确保操作数据安全无忧，业务流程合规。

智能对话，沟通无界

·内置文档总结分析、思维导图总结、网站分析、语言翻译等数十种通用能力，成为执法人员工作中的“多面手”。

·支持文字输入、语音交互及文件导入等多种方式，极大地方便了执法人员现场勘查和实验室分析，让信息的传递与理解更高效。

行业智能体，专属定制

·内置取证百科、分析推理、辅助决策等8个取证智能体，覆盖执法工作的各个环节，提供即时、准确的信息支持。

·支持业务知识库训练，可根据需求定制化开发，构建符合个人或团队特色的全新智能体，实现真正的“一人一策，一队一方案”。

一体化装备，便捷高效

·采用了行业领先的硬软件组合，最佳性能配置，开箱即用，无需复杂设置即可快速上手。

·i9处理器，时钟速度高达5.4GHz，24核，16GB显存+64GB内存，确保流畅运行与快速响应，无论是处理大量数据，还是运行复杂模型，都能轻松应对。

重塑执法效率，智慧引领

AI-8200 Qiko大模型智能本，不仅仅是一款产品，更是执法人员工作中的智慧伙伴和得力助手。

一“本”在手，提升工作效率，不再只是口号：业务辅助分析，将变得更加精准与深入；赋能取证装备，每一次现场勘查都如同拥有“智慧之眼”，执法工作的每一个环节都将迎来前所未有的变革。

让数据说话，让分析指引行动，让每一次执法行动都更加高效、精准，这是AI-8200 Qiko对每一位执法者的承诺，也是我们共同追求的未来。

在追求公正与安全的征途中，每一位执法人员都是不折不扣的勇士。接下来，美亚柏科将持续投入研发资源，不断优化大模型算法，丰富智能体功能，并根据用户反馈进行迭代升级，推动执法工作的智能化、精细化、专业化发展。让我们携手前行，智启一个更加安全、高效的未来。

若需了解或采购装备可联系本地销售，或扫描下方二维码填写相关需求~

距离XCon2024安全焦点信息安全技术峰会正式开幕仅剩1天

后台仍在不断激增的购票数量

也足见各位对本届XCon的热切期待~~

那今天小编就作为大会的前站路透官

为各位盘上一波XCon2024参会攻略~~