A new report from Zendesk outlines a growing problem for companies rolling out AI tools: many aren’t ready to manage the risks. The AI Trust Report 2025 finds that while AI is moving into customer service and support, only 23% of companies feel highly prepared to govern it. The report highlights concerns ranging from data privacy to model bias. But the core challenge is trust: when customers don’t understand or feel comfortable with how AI … More →
The post Legal gaps in AI are a business risk, not just a compliance issue appeared first on Help Net Security.
安全研究人员发现,来自十家供应商的二十多个音频设备中存在影响蓝牙芯片组的漏洞,可用于窃听或窃取敏感信息。
研究人员证实,来自Beyerdynamic、Bose、Sony、Marshall、Jabra、JBL、Jlab、EarisMax、MoerLabs和Teufel的29款设备受到影响。受影响的产品包括扬声器、耳塞、耳机和无线麦克风。
安全问题可能被利用来接管易受攻击的产品,在某些手机上,连接范围内的攻击者可能能够提取通话记录和联系人。
窥探蓝牙连接
在德国举行的TROOPERS安全会议上,网络安全公司ERNW的研究人员披露了Airoha芯片系统(soc)的三个漏洞,这种系统广泛用于真无线立体声(TWS)耳机。
这些问题并不严重,除了物理距离近(蓝牙范围)外,利用它们还需要“高技术技能”。他们收到了以下标识符:
·CVE-2025-20700(6.7,中等严重性分数)- GATT服务缺少身份验证
·CVE-2025-20701(6.7,中等严重性评分)-缺少蓝牙BR/EDR认证
·CVE-2025-20702(7.5,高严重性评分)-自定义协议的关键功能
ERNW研究人员表示,他们创建了一个概念验证漏洞代码,允许他们从目标耳机中读取当前播放的媒体。
读取一个易受攻击的Airoha设备上当前播放的歌曲
虽然这样的攻击可能不会带来很大的风险,但利用这三个漏洞的其他场景可能会让威胁者劫持移动电话和音频蓝牙设备之间的连接,并使用蓝牙免提配置文件(HFP)向电话发出命令。可用命令的范围取决于移动操作系统,但所有主要平台至少支持发起和接收呼叫。
研究人员能够通过从易受攻击的设备内存中提取蓝牙链接密钥来触发对任意号码的呼叫。他们说,根据手机的配置,攻击者还可以获取通话记录和联系人。他们还能够发起一个电话,并“成功窃听电话范围内的对话或声音”。
此外,易受攻击设备的固件可能会被重写,以允许远程代码执行,从而促进能够跨多个设备传播的蠕虫攻击的部署。
应用攻击受限制
尽管ERNW研究人员提出了严重的攻击场景,但大规模的实际实施受到某些限制。技术上的复杂性和物理上的接近性将这些攻击限制在高价值目标上,比如外交、新闻或敏感行业。目前,Airoha已经发布了包含必要缓解措施的更新SDK,设备制造商已经开始开发和分发补丁。
近日,全球领先的IT市场研究和咨询公司IDC发布了《中国安全智能体市场概览,2025:东风已至,未来可期》(Doc#CHC53614225,2025年6月)和《中国大模型安全保护市场概览,2025:全方位安全检测与防护构建可信AI》(Doc# CHC53639325,2025年7月)两份重磅报告,揭示了安全智能体和大模型安全保护市场的蓬勃发展态势。
作为安全智能体领域的开创者,360在两份报告中均展现出显著领先优势:一方面,凭借首个实战应用的安全智能体,斩获五大核心领域代表厂商,另一方面,基于首创的“以模制模”理念,360大模型安全解决方案获六大细分领域首位推荐,持续彰显行业标杆地位。
行业首创,360安全智能体定义安全未来
IDC表示,生成式AI为安全智能体提供了能力支撑,2025年将成为安全智能体发展元年。作为国内唯一兼具数字安全和人工智能双重能力的企业,360自2023年起就专注于安全智能体的研发与应用,提出用AI重塑安全并推出国内首个实战应用的安全智能体。
在本次发布的智能体市场概览中,360安全智能体以硬实力刷新行业认知,一举斩获安全运营、安全检测、数据安全、安全合规、安全攻防智能体五大核心领域权威认证,印证了360将安全能力融入AI的前瞻布局。
· 行业独创模型结构:360独创“类脑分区协同(CoE)”安全大模型结构,与大模型底座解耦,在模型结构、推理程序等模型底层进行创新,真正做到掌握模型核心机理,模型可以“打的开,调的了,训的起来”,为安全智能体落地奠定坚实基础。
· 最全场景数字专家:360锚定自动化威胁狩猎、深度分析研判、威胁攻击溯源、钓鱼邮件检测等领域进行专项训练,推出100+安全数字专家智能体,帮助企业进行针对性安全防护能力提升,低成本、高效率地实现24小时不间断安全守护。
· 最强高位实战能力:面对国家级背景强大对手攻击手段的升级,360将顶级安全专家能力复制到安全智能体中,帮助各单位第一时间对APT展开排查和处置。360安全智能体在此前针对亚冬会网络攻击溯源中发挥了重要作用。
此前,IDC在《中国AI Agent市场剖析及厂商推荐,1Q25》中指出,360智能体产品服务完善、行业经验丰富、定制化能力强且具有创新精神,在网络安全防护、终端安全管理等场景表现卓越。360安全智能体正以全场景覆盖+全能力领先的姿态,重新定义智能体时代安全未来。
以模制模,360全流程守护大模型安全
随着以大模型为代表的人工智能技术在千行百业加速落地应用。IDC指出,面对人工智能的飞速发展,企业往往面临两难的境地,既要积极拥抱AI,快速采取行动,力争在瞬息万变的市场中抢占竞争优势,又要避免高速行驶的“AI列车”对企业带来安全隐患。
360集团创始人周鸿祎曾表示,必须以创新思维重塑安全体系,利用人工智能技术自身的优势,通过安全大模型赋能数字安全,实现安全防御的智能化升级。为此,360在行业首创“以模制模”理念,基于该理念推出大模型安全解决方案,针对性解决大模型遭受提示注入攻击、数据隐私泄露、内容出错、幻觉及智能体失控等问题,为AI技术安全应用筑牢防线。
在本次发布的大模型安全保护市场概览中,360在大模型可用性检测、保护大模型接口、大模型访问控制、大模型输入内容控制、大模型输出内容控制等细分领域均获得IDC首位推荐,不仅印证了360在大模型安全领域的技术话语权,更凸显了360作为行业守护者、为AI技术安全落地保驾护航的坚实能力。
目前,360大模型安全解决方案已成功应用于政府、能源、金融、教育等关键行业,为其筑牢AI安全防线。同时360牵头成立大模型安全联盟,联合科研机构、高校和行业头部企业,共享技术成果,共同研发安全产品与服务,携手推动AI安全有序地融入各行各业。
领跑安全+AI双赛道,定义产业新坐标
大模型安全保护与安全智能体相互关联、相互促进,大模型的安全运行需要安全智能体的保障,而安全智能体的发展也离不开大模型技术的支持。当行业仍在探索单点应用时,360已构建“安全智能体+大模型安全+生态赋能”三位一体引擎驱动,为广大用户提供了更加全面、高效的安全解决方案。
未来,360 将继续秉承创新驱动的发展理念,不断提升技术实力和服务水平。一方面,持续加大在安全智能体领域的投入,推动安全智能体技术的创新和发展,为企业提供更加智能、自主的安全防护服务;另一方面,持续加强大模型安全领域的研究和应用,为企业构建更加可信的AI环境,为构建全球数字经济安全发展新生态贡献力量。