Aggregator

The SOC has long been the enterprise’s first line of defense. But despite years of investment in threat feeds and automation platforms, the same question persists: why does intelligence still struggle to translate into timely action?

Related: IBM makes the … (more…)

The post SHARED INTEL Q&A: AI in the SOC isn’t all about speed — it’s more so about smoothing process first appeared on The Last Watchdog.

The post SHARED INTEL Q&A: AI in the SOC isn’t all about speed — it’s more so about smoothing process appeared first on Security Boulevard.

声明：本文主要为杨叔个人心得分享，仅供交流与参考，谢绝杠精。

先引用下“人民网”的文章内容：

据不完全统计，每天有20余种新的化学物质进入我们所生活的环境，其中有60多万种化学品实现了成规模的商业生产，其中相当一部分具有各种不同的毒性效应。

因此，在各种意外中毒事件中，由于医疗机构毒物检测手段的匮乏，给病因学判定带来极大的困难。

但遗憾的是，也有很多中毒事件源自人为：

2020年10月曝光的乳山公务员投毒事件，就是因为乳山市统计局一名普通的科员对单位干部任用不满，怀恨在心，网上购买母猪催情剂，用注射器注入大家饮用的大桶水里，造成单位各个办公室都在喝被污染的水。

自2017年8月开始，连续两年半，统计局的同志们就像吃了催肥剂，一个个肥嘟嘟、圆滚滚的……慢性毒药给统计局的同志们造成不可挽回的健康损失。

2013年4月11日，复旦大学枫林校区2010级硕士研究生黄某自4月1日饮用了寝室内饮水机中的水后出现身体不适，有中毒迹象，送至医院抢救。

经警方初步查明，林某因生活琐事与黄某关系不和，心存不满，经预谋，3月31日中午，将实验室的剧毒化合物带至寝室，注入饮水机槽。4月1日上午，黄某饮用饮水机水后出现中毒症状，后经医院救治无效于4月16日去世。

2004年，扬州大学也曾发生一起“投毒”事件，毒物为秋水仙碱。受害者名叫武辉，1963年出生，由东南大学博士后被作为人才引进扬州大学，进校即任扬大医学院基础医学部“医学遗传学与医学细胞学”教研室主任。

能确认的投毒事件有两次，其中最严重、也是导致整个事件东窗事发的一次发生在2004年的10月9日晚，嫌疑人在受害者的鲜橙多饮料瓶内投毒。

武辉回到家中便开始上吐下泻，“开始还只是拉稀，到了后来拉出来的全是水，紧接着消化道开始出血，凌晨时，全身肌肉开始变得僵硬。

至于“杀人于无形”的毒物，最为人所熟知的要数著名的清华女生铊中毒案。

1994年，清华大学女生朱令在校期间离奇出现铊中毒的症状，导致身体健康遭到极大的伤害。由于朱令没有铊的接触史，警方认定为是投毒事件，但此案经过调查之后，几度沉浮，凶手至今仍逍遥法外，尚无明确结果。

......略

唉，随便一搜就这么多案例，杨叔不由想起很久以前的一个职业：食物品尝师

食物品尝师是指品尝为他人准备的食物以确认是否存在问题的人。但是，显然地，品尝食物并不能有效识别出那种需要较长时间才能起作用的慢效毒物。

所以，和古代利用硫化物与银接触会生成黑色的“硫化银”的原理，使用的“银针试毒”方式一样，这些方式都已慢慢退出了历史舞台。

什么？“吃河豚让厨师先试吃“”那个不算，那是行规。

So，现代专业的验毒又是怎么做的呢？

引用一家私人检测公司的网站内容：

毒物和毒素专业测试服务

我们可以协助您满足任何毒物测试实验室的需求。我们提供使用头发、指甲，脚趾甲、血液和尿液的毒药、化学药品、毒素和药物测试。

我们以应有的尊重对待客户，并提供所需的测试服务。根据您的毒物测试需求，我们发布认证实验室报告的平均处理时间为10-12个工作日。快速服务需额外收费。

我们可以检测到的毒药清单包括：

氰化物、防冻剂、未知化学品、毒素、安眠药，砷、眼药水、街头/狂欢/消遣性药物（治疗性）处方药、非处方药、家用清洁剂、餐具洗涤剂、制动液、防冻剂、漂白剂、杀鼠剂、杀虫剂/除草剂......

还有包含超过850,000个条目的国际光谱数据库。可以为可疑的故意用药过量或毒素中毒导致疾病或死亡情况，提供法庭支持的法医实验室测试。

按照现在的检测水平，基本上这个世界上所有自然及人工合成类毒素都能鉴定出来......除非是高科技实验室提取的某种新型毒素。

不过前些年KGB几次暗杀的毒素也已经被分析出来了，所以民间的更不用说。

所以主要问题是，需要的时间代价（10~12个工作日）实在太长，显然不适合平日使用。

市面上还是有一些产品能够用于毒物检测的，杨叔直接推荐下：MyDx智能手持化学分析仪

MyDx是一台多功能手持式化学分析仪，可对食物中的农药、饮用水中的化学物质进行测试 ，不同版本的硬件设备还可以对空气中的毒素，以及大麻样品（适用于大麻合法化国家）的安全性和效力进行检测。

MyDx支持APP上的实时检测结果显示，这一点非常实用。

FoodSniffer智能肉类安全检测器

FoodSniffer智能检测器有一个最大的亮点：

不用接触到肉类表面，就能知道食物的新鲜程度。内置的传感器还能检测食物的温度、氨气的含量等数据，并通过蓝牙将数据发送到手机上。

Foodsniffer也会对食物的处理方式一同提供给客户，比如新鲜可食用的物品，或者是需要加热才能食用，以及无法食用等意见，这样既能避免浪费，还能减少食物中毒的风险。

当然，其它的检验类产品还有一些，不过有些是纯粹的高端医疗领域产品，就不太适合随身携带使用了。

04 更快捷的检测盒

还有一种选择，就是检测试剂盒。

WG 06食品中毒检测试剂盒是一种易于使用的快速检测试剂盒，用于检测食品和饮料中的无机中毒。该套件带有一组三个独立的检测器，以及分析食物样品并记录结果，以备将来使用或作为相关证据。

显然，这个类似于PH试纸的设计是挺方便携带，不过就是要好好研读下说明书

看到这儿，你现在觉得，那种所谓的指纹加密水壶之类的东西到底有没有用呢？想想无非是买个自我安慰罢了。

时间仓促，杨叔翻查了一些安保资料，暂时没有找到太多关于有毒物质鉴定的描述，更多的是关注整体环境的有害物质存留情况。

比如上面提及Workplace Hazardous Materials Information System (WHMIS) ，即工作场所有害物质信息系统，在工作中的应用。

但实际上，根据特勤局及要员保护部门的安全要求，饮用水、食材等生活用品的毒素检测是每天都要开展的，这一点在高级别要员保护中是强制执行项。

这些今天就不再展开谈论了。

注：以下内容符合OSINT国际开源情报搜集标准，部分来自杨叔及团队小伙伴的自身储备分享，可能存在认知偏差，仅供交流与参考。

01 RC2 OSINT情报小组

RC2自己的OSINT威胁情报团队已默默耕耘了七个年头。团队从零开始，一直在持续挖掘整理着TSCM行业、商业窃密态势和隐私保护领域的数据，从最初的全球TSCM同行竞争性情报数据搜集，到海外一线BUGSWEEP检测团队能力发掘，直到整理出一套属于RC2自己的开源情报体系。

例如，RC2会持续关注国际上最新的商业窃密案例，剖析案例的技术细节，形成文档资料存储，同时选择将其中一部分作为课程PPT分享。

~类似的案例还有很多，为确保学员始终能接触到最新的案例，基本上杨叔保持着每隔两个月升级一轮PPT的动态更新速度。

02 AI平台的白名单

有人问过杨叔关于使用AI平台开展行业研究的可行性，嗯，这个确实要看情况，主要取决于你要关注的数据本身。杨叔分享下自己的经验：

从ChatGPT 2.0 版本开始，杨叔和团队小伙伴们就开始不断尝试使用AI做TSCM行业分析和数据梳理，其结果让人颇有些哭笑不得。

到现在杨叔还记得：

2024年初，在加拿大某地，杨叔基于ChatGPT 3.5版本，通过检索一些行业有名的公司来简单验证下Chatgpt的数据消息更新效率和范围，在查到一家颇有名气的以色列咨询服务公司（行业内有名的情报公司）时，平台居然回复（为方便理解，以下用中文展示）：

因为某些协议限制，无法显示结果。

然后杨叔立刻给出提示，要求列出是哪些协议限制？ChatGPT回复：

因为某些限制无法告知，请开展其他检索。

What？见了鬼了，杨叔随即又试了一些“有名”的行业公司，发现大部分都无法检索，于是明白：

「这个AI平台其实存在一个”白名单“，那些多少与美国政府、北约及其它敏感平台有合作的公司或机构数据，都已被过滤。」

好吧，在这种情况下，作为情报分析师而言，先不说ChatGPT的版本更新情况和是否链接外网，也不说储存的数据库是否完整......仅仅对于当前很多强指向性的检索或者提问的回复，是否严谨可信？是否全面准确，还是已被删减？

就已经打了一个大大的问号~

03 AI平台的“后门设定”

可能有些人注意过这个新闻，但杨叔想大部分人可能压根没关注过。

以下为新闻原文：

此前，美国知名人工智能公司OpenAI宣布，前美国陆军将军保罗将加入其董事会，成为新设立的安全与保障委员会的一员，OpenAI表示这一举措旨在利用人工智能技术加速识别并应对网络安全威胁，看似这是一次正常的人员任命，但考虑到保罗的背景(保罗曾任职美国国家安全局局长)，此事引起了特别的关注。

其中，爱德华·斯诺登就认为OpenAI已经成为美国情报部门的帮凶，已视其为具有潜在的、广泛侵犯个人权利的行为。

OK，按道理说，所有使用AI的情报分析人员，都应该知道有这样几个“潜规则”：

规则1：AI平台会记录所有检索的相关信息

包括用户信息、语言类型、访问IP、浏览器版本信息、提交查询内容、回复内容、是否通过VPN等。

规则2：AI平台会分析用户的背景信息

通过用户检索的内容、提交的关键字信息、关注的行业或领域、查询频次、用语等，来推断用户的年龄、职业、所在行业/部门、是否政府雇员等。

无语的是，常常有“缺乏上述常识”的人因此而“暴露”：因为检索了太多关键且敏感的内容，被AI平台溯源、并结合其它数据进行了“画像”工作。

在OPENAI官方于2025年2月更新的《Disrupting malicious uses of our models》报告里，可以看到在具体案例里，第一个就直接列出了“疑似来自中国的账户使用ChatGPT平台作为情报检索工具”的证据：

随后，关于“OpenAI公司封禁及移除来自中国、朝鲜可疑行为账户”这个主题就上了网络新闻。

当然了，OpenAI还移除了其它包括欧洲国家的存在疑似情报搜索等行为的可疑账户，还列举了部分账户作为说明。

所以说啊，作为合格的开源情报搜集与分析人员，第一要务就是不能在一个平台上开展过多敏感数据的检索，需牢记的主要原因有两个：

原因1：可能会被平台里预定义规则“锁定”，导致自身的暴露，会被溯源、被监控及账户被封锁。

原因见上，已经用实例解释了。

原因2：可能会被“有目的推送”伪造或虚假的信息，混淆判断。

这个道理也很简单，全世界的技术人员都知道AI会帮助完成搜索、整理、总结分析的工作，那么可以试想一下，会有多少情报机构、智库、国际安保公司、第三方情报部门、企业安全部门等在不停地在一遍又一遍地遍历互联网，完成大数据的检索。

那对于某些并不希望外部能够获取相关数据，或者已经采取了对应的安全防护措施的机构来说，“故意释放错误的信息来混淆初始数据”，就是一种很好的选择。尤其是故意提交虚假信息来训练AI，那么这些数据最终会进入到AI的后台大数据库中，变成可以向其他人展示的“成果内容”。

这种攻击方式，现在也被称为“AI污染“或”AI下毒”攻击。

04 AI平台对TSCM行业的影响

目前，对于TSCM反窃密领域而言，由于赛道特殊且非常小众，所以国内的AI平台普遍都没有相关概念，或者只是单纯地重复网上的定义，暂时没有相关的深度和知识积累。

而在以ChatGPT为主的海外AI平台上，虽然通过学习库里大量的累计网络资源，能够检索和分析相关信息，但不知道是算法规则限制，还是关键字过滤的原因，实际上回复的误报率相当高。

比如在ChatGPT上使用该指令：列出美国排名前10的TSCM公司。你会发现在结果里面，有一大半都是安保/安防公司，和TSCM行业关系不大，那些非常有名的专业公司压根没有列出。

还有很多查询指令，通过比对RC2自己积累的「TSCM全球知识情报库」，发现结果匹配度相当低，且一大堆错误数据。尽管也有正确可用的数据，但大多数由于时效性，仅仅只能作为参考罢了。

但如果只是询问一些绝大多数AI平台都擅长的那种初级框架性问题，比如：

如何开展办公室的BUGSWEEP检测工作？

这时候，AI就会巴拉巴拉地列出一大堆要检查的位置和注意事项，看似好像挺专业全面，但实际上，这些不过是从网上广为流传的公开资料里汇总给出而已。

只有当你追问一些专业技术细节的时候，如：

--如何检测在弱电线路里暗接的窃听器材？

--列出欧洲最新的防非线探测的窃听器型号？

等这类细颗粒问题时，AI就没办法准确回答，或者用其它电工知识，甚至国外网店上卖的“华强北版本偷拍器材”来糊弄你~

唉，所以啊，网上那些说什么“通过AI平台学习TSCM知识、研究TSCM技术的”，都是不懂装懂的噱头罢了~

当然，并不能因此说所有的AI平台都对TSCM行业无用，经过特定搭建并投入大量时间心血海量训练的AI平台还是会很有效果的，当然，这就是另一个话题了，这里就不多展开~

2025年5月，RC²计划推出“PPES-2XX”系列全新高级课程，比如“PPES-201 智能手机隐私保护实践指南”，及“PPES-202 企业供应链物理安全风险评估”课程。

其中，201课程将包括：

运营商通信监控、手机信号劫持与监听、手机定位与防护、手机周边窃听风险识别、手机远控APP等方面，全面了解当前个人智能手机面临的安全风险及应对措施，敬请期待~

注：同时，本文是“那些年，我们用过的手机防偷拍APP”一文的续篇，希望大家喜欢。

估计很多人压根就没听说过Midas Ensemble Technologies这家公司，杨叔之前也是完全不知所谓的。不过他家有一款下载量过100万的APP，在国外可是有着大量的受众度。

这个名为“HiddenEye”（隐藏的眼）的APP，功能很有意思，就是可以在你不在场的情况下，记录下你的朋友/家人窥探你手机的行为。该APP适用于全行业人士，可谓老少皆宜。

该APP设计非常实用简单，没有任何多余花哨的外观，你可以设置在别人尝试解锁手机时直接拍摄对方面部，也可以设置当他人在你不知情的情况下尝试解锁手机时，直接播放铃声惊吓。哈哈，是不是很赞？

嘿嘿，行走江湖，身为一个安全意识高的行业银士，怎能不做点小小的防范？

PS：友情提示下卸载该APP的方式，注意一定要先在“设备管理”中停用HiddenEye。Android下路径为“系统设置”--“位置和安全”--“设备管理”。

一直以来，Google Play官方应用商店中，就有一些APP可以将Android智能手机变成间谍相机，其中一些APP甚至都可以用作监控解决方案。

杨叔在上一篇“那些年，我们用过的手机防偷拍APP”一文里介绍了一款，这次聊点不一样的。

有一款名为Spy Camera OS的免费APP，能够提供简单/快速/自动的方式拍照，用户甚至可以设置自动或手动地使用手机的前置或后置摄像头拍摄图像。

设置成功后点击手机主屏幕下方的“Capture”就可以直接拍照，该APP适用于几乎所有版本的Android手机，一旦安装成功，用户完全可以在划动屏幕翻页的时候，悄悄按下Capture拍照了。

而且，这个APP的广告词太直指人心：

“Everyone at one time will want to capture image without anyone notice it-”，翻译过来就是：

“每个人，总会有那么一刻，想在不惊动他人的情况下拍些照片。”

和杨叔之前写的那篇“那些年，我们用过的手机防偷拍APP”一文里面介绍的探查工具不同，今天说的这款要高级的多。

这类一般称之为“Hidden Cam Detector ”的APP，不再使用红外光去探查摄像头的反光点，而是采用了一种很新奇的方式来探查摄像头，即“Radiation Meter”（辐射计）。

你没看错！！就是辐射剂量！！

是不是感觉很匪夷所思？其实吧，这来自于2014年发布的一项研究--“如何将普通智能手机的摄像头转化为可以发现辐射的伽马射线探测器”。

爱达荷州爱达荷国家实验室的研究人员开发了一款应用程序，通过使用手机内置摄像头检测伽马射线，从而将普通智能手机变成辐射探测器。

（下面这句两话都不是杨叔说的）从理论上讲，我们智能手机当中的电子摄像头从技术类型来说其实和大型强子对撞机是一样的，手机的电子摄像头应该能够以同样的方式检测伽马射线，因为它们能够检测可见光光子。这些摄像头能够检测出：进入的光子轰击像素中的电子时产生的光，从而形成可检测到的电荷回路。

他们已在实验室广泛的测试过该应用程序，并得出结论：智能手机不仅可以检测伽玛射线，还可以根据预设的辐射能量谱，计算出辐射剂量，甚至有可能计算出辐射源的方向。下图为当时测试用的智能手机。

纳尼，这么牛逼？辐射剂量？

下面杨叔就肉身做下这个诡异的测试，打开iShift Solutions出品的一款名为“Hidden Camera Detector”的APP（注意使用时小广告挺多的）。

在主界面选择左上角的“Camrea”，注意下面小字里说明了是Detect Camera By Radiation Meter，即通过辐射计探查摄像头。

接下来的界面就是这样，在蓝色仪表盘下方会有一个计量变化曲线，当前页面中间显示为“NO POTENTIAL CAMERA DETECTED”，即没有检测到疑似摄像头。

当杨叔换了个舒服的姿势，把手机对准笔记本摄像头，并慢慢抵近时，奇迹发生了：

APP会报警并提示：

“COMPUTER/TV/MOBILE DETECTED”，即检测到疑似电脑/电视/移动摄像头！！！

为了进一步验证，杨叔从RC²反窃密实验室里翻出一个课程用针孔摄像头教具，除臭芳香盒状的，打开电源丢在一旁，再把开启APP的手机慢慢抵近器材。

结果立刻出现了波动，屏幕上一直在探测出和无探测结果之间来回闪动，并不能稳定识别为针孔摄像头。无法确定是因为教具器材电量不足，还是其它什么原因所致。

粗测一圈，同样的情况也出现在其它类型的针孔摄像头上，似乎对电脑手机摄像头的敏感度更高些。

不过显然的，这种方法存在很多缺陷，肯定无法与专业场强仪比较，但对于单纯从红外识别针孔摄像头的方式而言，又多了一种参考。请大家注意：此类APP仅可以作为临时参考，无法作为最终结论。

Welcome to the second day of our first ever Pwn2OwnBerlin. Yesterday, we awarded $260,000 for some amazing research. Today looks to be even better, with more AI on the line, plus SharePoint and VMware ESXi. As always, we’ll be updating this blog with results as we have them.

And that wraps up Day Two! We awarded $435,000, which brings the contest total to $695,000. With a third day still to come, there’s a very real chance we could reach the $1,000,000 threshold. The research demonstrated includes 20 unique 0-days. STAR Labs has a commanding lead in the Master of Pwn points, and it seems unlikely anyone will catch them. Tune in tomorrow to find out!

COLLISION - Mohand Acherir & Patrick Ventuzelo (@pat_ventuzelo) of FuzzingLabs (@fuzzinglabs) exploited #NVIDIA Triton, but the exploit they used was known by the vendor (but unpatched). They still earn $15,000 and 1.5 Master of Pwn points.

SUCCESS - Dinh Ho Anh Khoa of Viettel Cyber Security combined an auth bypass and an insecure deserialization bug to exploit Microsoft SharePoint. He earns $100,000 and 10 Master of Pwn points.

SUCCESS - Nguyen Hoang Thach of STARLabs SG used a single integer overflow to exploit #VMware ESXi - a first in Pwn2Own history. He earns $150,000 and 15 Master of Pwn points.

SUCCESS - Edouard Bochin (@le_douds) and Tao Yan (@Ga1ois) from Palo Alto Networks used an Out-of-Bounds Write to exploit Mozilla Firefox. They earn $50,000 and 5 Master of Pwn points.

SUCCESS - The second full win in the AI category goes to Benny Isaacs (@benny_isaacs), Nir Brakha, Sagi Tzadik (@sagitz_) of Wiz Research as they leveraged a UAF to exploit Redis. They earn $40,000 and 4 Master of Pwn points.

FAILURE - Unfortunately, Sina Kheirkhah of Summoning Team could not get his exploit of SharePoint working within the time allotted.

SUCCESS - In the first full win against the NVIDIS Triton Inference server, Ho Xuan Ninh (@Xuanninh1412) and Tri Dang (@trichimtrich) from Qrious Secure used a four bug chain to exploit #NVIDIA Triton. Their unique work earns them $30,000 and 3 Master of Pwn points.

SUCCESS - Viettel Cyber Security (@vcslab) used an OOB Write for their Guest-to-Host escape on Oracle VirtualBox. They earn themselves $40,000 and 4 Master of Pwn points.

SUCCESS - Gerrard Tai of STAR Labs SG Pte. Ltd used a Use-After-Free bug to escalate privileges on Red Hat Enterprise Linux. His third-round win earns them $10,000 and 2 Master of Pwn points.

FAILURE - Unfortunately, Sina Kheirkhah of Summoning Team could not get his exploit of Oracle VirtualBox working within the time allotted.