‫ fars_sakha بلاگ

ابزار جدید دو گزینه بازیابی را برای مدیران فناوری اطلاعات ارائه می‌دهد که رایانه‌هایی را که تحت تأثیرsnafu بدنامCrowdStrike قرار گرفته‌اند، تعمیر می‌کنند.

آیا شرکت شما و یا خانه شما هر یک از 8.5 میلیون رایانه شخصی ویندوزی است که در اثر قطعیCrowdStrike در 18 ژوئیه به سرقت رفتند؟ اگر چنین است، مایکروسافت یک ابزار بازیابی جدید طراحی شده است که به شما کمک می‌کند آن رایانه‌های خراب را تعمیر کنید و آنها را دوباره راه‌اندازی کنید.

این قطعی در نتیجه یک به‌روزرسانی نرم‌افزار باگ از ارائه‌دهنده امنیتیCrowdStrike بود که بر فرودگاه‌ها، بانک‌ها، هتل‌ها، بیمارستان‌ها و بسیاری از سازمان‌های دیگر تأثیر گذاشت. این به‌روزرسانی که تنها بر سیستم‌های ویندوز تأثیر می‌گذارد، صفحه آبی وحشتناک مرگ(BSOD) را در میلیون‌ها رایانه ایجاد کرد.

در پاسخ، چندین مدیر سیستم در یک موضوعReddit یک اصلاح احتمالی را به اشتراک گذاشتند که از شما می‌خواهد یک رایانه شخصی ویندوزی را در حالتSafe Mode یا محیط بازیابی ویندوز راه‌اندازی کنید و یک فایل مشکل‌سازCrowdStrike را حذف کنید. روز یکشنبه، مایکروسافت همچنین مراحل تعمیر رایانه‌های مبتلا بهBSOD را به دلیل به‌روزرسانی کهCrowdStrike در صفحه اصلاح خود ذکر کرد، منتشر کرد.

هر یک از این مراحل به چندین مرحله دستی نیاز دارد. برای خودکارسازی فرآیند، مایکروسافت ابزار بازیابی خود را ابداع کرد که به سمت کلاینت‌ها، سرورها و نمونه‌های ویندوز میزبانی شده در محیط مجازیHyper-V هدایت می‌شود.

چگونه کار می‌کند
برخلاف اصلاحات ادمین‌های سیستم، ابزار مایکروسافت به طور خودکار یک درایو بوت برای رایانه آسیب دیده ایجاد می‌کند. برای استفاده از رسانه بوت، رایانه شخصی باید از نسخه 64 بیتی ویندوز با حداقل 8 گیگابایت فضای خالی استفاده کند. بسته به نحوه راه‌اندازی رایانه، ممکن است به حقوق مدیریت محلی نیاز داشته باشید.

شما به یک درایوUSB با حداقل 1 گیگابایت و حداکثر 32 گیگابایت فضای ذخیره سازی نیاز دارید. این ابزار تمام داده‌های درایوUSB را پاک می‌کند و به طور خودکار آن را بهFAT32 فرمت می‌کند.

مانند رفع مشکل مدیریت سیستم، ابزار مایکروسافت دو گزینه را ارائه می‌دهد.

حالت امن
می‌توانید رایانه شخصی را در حالت ایمن راه‌اندازی کنید، با استفاده از یک حساب کاربری با امتیازات مدیریت محلی وارد شوید و سپس مراحل تعمیر مورد نیاز را اجرا کنید. مزیت گزینهSafe Mode این است که ممکن است بتوانید یک رایانه شخصی مجهز بهBitLocker را بدون کلیدهای بازیابیBitLocker بازیابی کنید. اگر رایانه شخصی باBitLocker ایمن نیست، تنها کاری که باید انجام دهید این است که با یک حساب کاربری با حقوق سرپرست محلی وارد شوید.

محیط پیش نصب ویندوز
از طرف دیگر، می‌توانید رایانه شخصی را با استفاده از محیط پیش نصب ویندوز(WinPE) بوت کنید و سپس رایانه را تعمیر کنید. گزینهWinPE می‌تواند یک کامپیوتر مشکل‌ساز را سریع‌تر و مستقیم‌تر بدون نیاز به حقوق سرپرست محلی بازیابی کند، اما باید کلیدهای بازیابیBitLocker را برای هر رایانه‌ای کهBitLocker فعال است وارد کنید.

پست وبلاگ مایکروسافت در مورد ابزار بازیابی نحوه ایجاد و استفاده از رسانه بوت را توضیح می‌دهد. بر اساس بازخورد اولیه در مورد این ابزار، شرکت آن را در روز یکشنبه بهینه سازی کرد تا گزینه راه‌اندازی ایمن را اضافه کند، به شما امکان می‌دهد یک فایل بازیابیUSB یاISO ایجاد کنید و بررسی اندازهUSB را برطرف کنید.

اگرچه ابزار مایکروسافت تلاش می‌کند تا مراحل بازیابی را خودکار کند، اما مدیران فناوری اطلاعات باید از هر رایانه شخصی آسیب‌ دیده بازدید کنند تا این مشکل را اجرا کنند. این خیلی کار است، به خصوص در سازمان‌هایی که هزاران یا ده‌ها هزار کامپیوتر دارند.

قطعی روز پنجشنبه نشان دهنده آسیب پذیری بیشتر در وابستگی بیشتر به فناوری برای اداره مشاغل مهم است. امیدواریم که درسی برای فروشندگانی مانندCrowdStrike باشد تا دستورالعمل‌های کنترل کیفیت سخت‌گیرانه‌تری را ایجاد کنند.

آسیب پذیری ویندوز

نفوذ

بروز رسانی ویندوز

منبع

زدنت

سازمان‌ها باید روی انعطاف‌پذیری دیجیتال تمرکز کنند تا از پتانسیل تحول‌آفرین فناوری نوظهور استقبال کنند.

سازمان‌ها باید از هیاهوی فعلی پیرامون هوش مصنوعی(AI)، به‌ویژه هوش مصنوعی(GenAI) عبور کنند و چگونگی ایجاد ارزش واقعی از این فناوری را بررسی کنند.

Ngiam Siew Ying، مدیر عامل ارائه دهنده خدمات بهداشت و درمانIT Synapxe، خاطرنشان کرد که صنعت احتمالا اکنون در نقطه انتظارات متورم قرار دارد و در آستانه سقوط به پرتگاه سرخوردگی است. او با اشاره به چرخه تبلیغات معمولی پیرامون فناوری های نوظهور، گفت که بسیاری از اظهارات در مورد وعده هوش مصنوعی عمدتاً عمومی هستند و منجر به تبلیغات ناپایدار می شوند.

نگیام طی یک میزگرد این هفته در کنفرانسNCS Impact در سنگاپور گفت که نیاز به حرکت به سمت شناسایی ارزش هوش مصنوعی وجود دارد.او گفت که اگر کسب و کارها بتوانند نحوه اتخاذ و استفاده از هوش مصنوعی را بیابند، پتانسیل بسیار زیادی وجود دارد.

بر اساس گزارش جدید موسسه تحقیقاتیCapgemini، برای مثال، استفاده از هوش مصنوعی در مهندسی نرم افزار می تواند مزایای مختلفی برای سازمان ها داشته باشد. این تحقیق خاطرنشان کرد که پذیرش هوش مصنوعی مولد هنوز در مراحل اولیه است و از هر 10 سازمان، 9 سازمان هنوز مقیاس ندارند.

مطالعهCapgemini از 1098 مدیر ارشد و 1092 نرم‌افزار حرفه‌ای در 13 بازار از جمله استرالیا، سنگاپور، آلمان، هند، ایالات متحده و بریتانیا نظرسنجی کرد.

این گزارش نشان می‌دهد که 27درصد از سازمان‌ها پایلوت‌های هوش مصنوعی مولد را اجرا می‌کنند که 11درصد از این فناوری در عملیات نرم‌افزاری خود استفاده می‌کنند. حدود 75 درصد از شرکت های بزرگ، با درآمد سالانه حداقل 20 میلیارد دلار، از این فناوری استفاده کرده اند، در حالی که 23 درصد از سازمان ها با درآمد سالانه بین 1 تا 5 میلیارد دلار، از این فناوری استفاده کرده اند.

گزارشCapgemini انتظار دارد که پذیرش در دو سال آینده به طور قابل توجهی افزایش یابد، به طوری که 85٪ از کارکنان نرم افزار از ابزارهای مولد هوش مصنوعی در سال 2026 استفاده می کنند، از نرخ فعلی 46٪. هوش مصنوعی مولد باید نقشی کلیدی در «افزایش» این افراد حرفه‌ای با تجربیات، ابزارها و حاکمیت بهتر داشته باشد و حداقل از 25درصد طراحی، توسعه و آزمایش‌های نرم‌افزار تا سال 2026پشتیبانی کند.

این مطالعه همچنین نشان داد که 80 درصد از متخصصان نرم‌افزار معتقدند ابزارهای مولد هوش مصنوعی، که می‌توانند کارهای تکراری را خودکار کنند، زمان آن‌ها را برای تمرکز روی کارهایی که ارزش بالاتری دارند، آزاد می‌کند. سه چهارم متخصصان فکر می کنند هوش مصنوعی مولد پتانسیل بهبود همکاری با تیم های تجاری غیرفنی را دارد.

در میان متخصصانی که قبلاً این فناوری را پذیرفته اند، 61٪ می گویند که نوآوری را تسهیل کرده است، مانند توسعه ویژگی ها و خدمات جدید، در حالی که 49٪ به بهبود کیفیت نرم افزار اشاره می کنند. 40 درصد دیگر به افزایش بهره وری اشاره دارد.

ایجاد زیرساخت برای پشتیبانی از هوش مصنوعی
نگ کو پین، مدیرعاملNCS گفت، اگر سازمان‌ها فاقد زیرساخت‌های لازم، یعنی انعطاف‌پذیری دیجیتال، برای استقبال از «پتانسیل تحول‌آفرین» هوش مصنوعی نباشند، نمی‌توانند به طور کامل از دستاوردهای فناوری نوظهور استفاده کنند.

Ng در سخنرانی در این کنفرانس گفت: "برای ساختن آینده ای امن تر و پایدارتر، بسیار مهم است که سازمان ها برای ایجاد پایه ای در امنیت سایبری، حاکمیت داده ها و فناوری سرمایه گذاری کنند که به هوش مصنوعی اجازه شکوفایی می دهد. ما معتقدیم سازمان هایی که بر هر دو هوش مصنوعی تسلط دارند. و انعطاف‌پذیری دیجیتال آنهایی هستند که در این محیط جهانی پیچیده رشد خواهند کرد."

او گفت: "هوش مصنوعی یک تغییر دهنده بازی خواهد بود و شرکت ها باید بازی جدید را یاد بگیرند - هر چه زودتر، بهتر." فروشنده فناوری یک شرکت تابعه کاملاً متعلق به شرکت مخابراتی سنگاپور، Singtel است.

NCS مجموعه ای از خدمات جدید را در این هفته راه اندازی کرد، از جمله ماتریسAI-Digital Resilience، که به مشتریان سازمانی کمک می کند تا نقشه راهی برای ایجاد استقرار هوش مصنوعی و انعطاف پذیری دیجیتال ایجاد کنند. این پیشنهاد چارچوبی را بر اساس سطوح بلوغ مشتری در پذیرش هوش مصنوعی و استحکام دیجیتال ارائه می‌کند و سازمان را قادر می‌سازد آمادگی هوش مصنوعی خود و اقداماتی را که باید بردارد ارزیابی کند.

NCS همچنین از همکاری با خدمات وب آمازون(AWS) برای راه‌اندازی یک مرکز عالیGenAI برای خیر عمومی با بهره‌گیری از مرکز نوآوریGenAI AWS خبر داد. بنا به گفتهNCS، تسهیلات جدید برای بخش عمومی منطقه آسیا و اقیانوسیه طراحی شده است و توسط تیم مهندسین و دانشمندان کاربردیAWS پشتیبانی می‌شود تا از راه‌حل‌های هوش مصنوعی در این بخش با استفاده از پلتفرم‌هایAWS استفاده کنند.

هنگ سوئی کیت، معاون نخست وزیر سنگاپور طی سخنرانی خود در این کنفرانس گفت: هوش مصنوعی با توانایی های خود در پردازش زبان طبیعی، تشخیص تصویر و تجزیه و تحلیل پیش بینی تخیل ما را تسخیر کرده است. دولت ها، شرکت ها و سازمان های اجتماعی در حال یادگیری استفاده از فناوری های دیجیتال و هوش مصنوعی برای انجام بهتر ماموریت های خود هستند.

هنگ خاطرنشان کرد که سنگاپور از هوش مصنوعی برای بهبود خدمات عمومی استفاده می کند، از جمله استفاده از سیستم های مدیریت ترافیک هوشمند برای کاهش تراکم و چت ربات های مبتنی بر هوش مصنوعی برای ارائه دسترسی 24/7 به خدمات دولتی.

او افزود که پیشرفت‌های بالقوه در فناوری‌های مرزی، از جمله محاسبات کوانتومی، توانایی حل مشکلات پیچیده و متحول کردن زمینه‌هایی مانند رمزنگاری و داروسازی را ارائه می‌دهد. وی خاطرنشان کرد: «اما برای اینکه بتوانیم با موفقیت از فناوری به نفع بشریت استفاده کنیم، باید خطرات منفی را مدیریت کنیم و در عین حال نقاط مثبت را به حداکثر برسانیم».

هنگ به تهدیدات دیجیتالی مانند کلاهبرداری و حملات سایبری اشاره کرد که می تواند هزینه بر باشد و اعتماد عمومی به فناوری را تضعیف کند و همچنین به مسائل مربوط به استفاده اخلاقی و ایمن از هوش مصنوعی اشاره کرد.

او گفت: "علی رغم وعده سیستم های هوش مصنوعی، آنها کامل نیستند. سیستم های هوش مصنوعی بر روی داده ها آموزش می بینند و می توانند نتایج مغرضانه یا نادرست را بدون داده های آموزشی خوب ایجاد کنند." آسیب‌پذیری‌ها در الگوریتم‌های هوش مصنوعی نیز می‌توانند توسط بازیگران بد برای دستکاری نتایج مورد سوء استفاده قرار گیرند.او بر اهمیت ایجاد حفاظ های مناسب و ایجاد "شرایط برای نوآوری ایمن، مسئولانه و برای منافع عمومی" تاکید کرد.

منبع

زدنت

برای دومین بار در سه ماه گذشته، مشتریانAT&T اطلاعات شخصی خود را افشا کردند. 

اگر مشتری بی سیمAT&T هستید، توجه کنید زیرا احتمال زیادی وجود دارد که هکرها به برخی از اطلاعات شما دسترسی داشته باشند.

برای دومین بار در سه ماه گذشته، این شرکت یک نقض بزرگ داده را اعلام کرد - این مورد "تقریباً همه مشتریان تلفن همراهAT&T" را تحت تأثیر قرار می دهد. داده‌های به خطر افتاده شامل شماره تلفن به‌علاوه تعداد تماس‌ها یا پیامک‌ها و کل مدت زمان تماس از 1 مه 2022 تا 31 اکتبر 2022 و در 2 ژانویه 2023 است.

همچنین: AT&T رمز عبور 7.6 میلیون مشتری را پس از نشت اطلاعات بازنشانی می کند

AT&T این رخنه را یک پلتفرم ابری شخص ثالث مقصر دانست. این شرکت در صحبت باThe Verge گفت که نرم افزار ابریSnowflake منشا این مشکل بوده است. طبق گزارشThe Verge، Snowflake مشتریان را به دلیل استفاده نکردن از احراز هویت چند عاملی سرزنش کرد.

هکرها به محتوای تماس ها و پیامک ها دسترسی نداشتند. نام‌ها، شماره‌های تامین اجتماعی، تاریخ تولد یا سایر اطلاعات شناسایی شخصی نیز بخشی از این نقض نبودند، اما این روزها می‌توان با یک جستجوی سریع در گوگل یک نام را به شماره تلفن پیوست کرد.

AT&T گفت که نقطه دسترسی آسیب دیده را ایمن کرده است. این شرکت فکر نمی‌کند که داده‌ها در حال حاضر در دسترس عموم باشد و در حال کار با مجریان قانون برای ردیابی طرف‌های مسئول است. مقامات حداقل یک مظنون را دستگیر کرده اند. علاوه بر این، Wired گزارش داد کهAT&T 300000 دلار به هکرها پرداخت کرده است تا اطلاعات دزدیده شده را حذف کنند و مدرک ویدئویی ارائه دهند.

اگر حساب شما تحت تأثیر این هک قرار گرفته باشد، یک پیامک، ایمیل یا نامه ایالات متحده ازAT&T دریافت خواهید کرد. اپراتور همچنین ابزاری دارد که می توانید از آن برای بررسی حساب خود یا دریافت لیستی از پیامک ها و تماس های در معرض خطر استفاده کنید.

اگر جزو افراد آسیب دیده هستید چه باید بکنید؟ با توجه به اینکه این نقض خاص شامل اطلاعات شخصی یا رمزهای عبور مستقیم نمی شد، هیچ کاری لازم نیست فورا انجام دهید. با این حال، ایده بدی نیست که به هر حال اعتبار خود را مسدود کنید تا زمانی که نیاز به درخواست چیزی نداشته باشید.

اگر در نظر دارید به یک برنامه پیامک رمزگذاری شده تغییر دهید، در اینجا نگاهی به توصیه های ما داریم.

منبع

زدنت

سال گذشته هزاران نفر به دلیل آسیب پذیری متفاوتMOVEit هک شدند.

MOVEit، یک پلتفرم محبوب انتقال فایل که توسط هزاران شرکت و نهاد دولتی مورد استفاده قرار می‌گیرد، بار دیگر به دلایل اشتباه در خبرها قرار گرفت.

توسعه‌دهندهMOVEit Progress Software اوایل این هفته گفت که یک آسیب‌پذیری مهم را در نرم‌افزار خود کشف کرده است که اگر با آخرین به‌روزرسانی نرم‌افزار خود اصلاح نشود، می‌تواند توسط هکرها برای سرقت داده‌ها مورد سوء استفاده قرار گیرد. Progress Software ابتدا این آسیب‌پذیری را بالا ارزیابی کرد، اما بعداً آن را به «بحرانی» تغییر داد. کاربرانMOVEit که وصله ای را برای رفع نقص دانلود نمی کنند، می‌توانند قربانی هکرهایی شوند که از این آسیب پذیری سوء استفاده می کنند و در نهایت به داده های آنها دسترسی پیدا می کنند.

اگر این امر آشنا به نظر می‌رسد، به این دلیل است که کاربرانMOVEit در سال 2023 از یک آسیب پذیری بزرگ رنج می بردند که به هکرها اجازه می داد داده های هزاران شرکت و سازمان دولتی را سرقت کنند. عامل اصلی آن حملات، گروه باج افزارCl0p، توانست داده های بریتیش ایرویز، وزارت انرژی ایالات متحده و غیره را به سرقت ببرد. این حفره امنیتی در نهایت به گروه‌های هکری منجر شد که داده‌های میلیون‌ها نفر را در سراسر جهان به سرقت می‌بردند.

با وجود این حملات، MOVEit همچنان یک پلتفرم پر استفاده در بین شرکت ها و سازمان ها است. این نرم افزار به کاربران کمک می کند تا فایل‌ها و داده ها را در طیف وسیعی از پروتکل های انتقال از جملهSFTP، SCP و غیره انتقال دهند. همچنین این کار را با انطباق کامل با مقررات حفظ حریم خصوصی داده ها مانند HIPPA انجام می دهد و آن را برای بخش مراقبت های بهداشتی و سایر صنایع به شدت تحت نظارت مفید می کند.

مشخص نیست که آیا آخرین آسیب‌پذیریMOVEit به فاجعه‌ای مانند هک سال گذشته تبدیل خواهد شد یا خیر. Progress Software این بار به سرعت متوجه شد که این مشکل را کشف کرده و گفته است که اگر کاربران این وصله را اعمال کنند، می توانند از خود در برابر هر گونه سوء استفاده محافظت کنند.

هکرها توجه دارند. پس از اینکهProgress Software این آسیب‌پذیری را اعلام کرد، بنیادShadowserver، سازمانی که هدف آن بهبود امنیت اینترنت است، گفت که قبلاً شاهد افزایش فعالیت‌های هک علیهMOVEit بوده است.

این سازمان با اشاره به تلاش‌های هک در برابر آسیب‌پذیری شناخته‌شده گفت: «کمی پس از انتشار جزئیات آسیب‌پذیری امروز، ما شروع به مشاهده تلاش‌هایProgress MOVEit Transfer CVE-2024-5806 POST /guestaccess.aspx برای سوءاستفاده کردیم. "اگرMOVEit را اجرا می کنید و هنوز وصله نکرده اید - لطفا همین الان این کار را انجام دهید."

برای مصرف کنندگان، کار زیادی برای انجام دادن وجود ندارد، اما امیدواریم که شرکت هایی که داده های آنها را نگهداری می کنند، در واقع نصبMOVEit خود را به روز می کنند.

منبع

زدنت

تحقیقات نشان می‌دهد که سیستم‌های هوش مصنوعی زمانی که در محیط‌های هدف‌گذاری قرار می‌گیرند، می‌توانند به فریب متوسل شوند. اگرچه هنوز یک پدیده به خوبی مطالعه نشده است، اما خواستار مقررات بیشتر است.

ظهور ماشین‌های فریب دهنده
ممکن است چیزی فراتر از یک خیال به نظر برسد، اما اقدامات سیسرو را در نظر بگیرید، یک سیستم هوش مصنوعی با کاربرد ویژه که توسط متا توسعه یافته و برای تبدیل شدن به یک بازیکن ماهر در بازی استراتژی دیپلماسی آموزش دیده است.

متا می‌گوید که سیسرو را به گونه‌ای آموزش داد که «تا حد زیادی صادق و مفید» باشد، اما سیسرو با خونسردی آن را کنار زد و درگیر چیزی شد که محققان آن را «فریب از پیش برنامه‌ریزی‌شده» نامیدند. به عنوان مثال، ابتدا با آلمان برای سرنگونی انگلیس وارد جنگ شد و پس از آن با انگلیس متحد شد و هیچ ایده ای در مورد این خنجر زدن نداشت.

در بازی دیگری که متا ابداع کرد، این بار در مورد هنر مذاکره، هوش مصنوعی یاد گرفت که به مواردی که می‌خواهد علاقه جعلی داشته باشد تا بعداً با تظاهر به مصالحه، آن‌ها را ارزان خریداری کند.در هر دو این سناریوها، هوش مصنوعی ها برای شرکت در این مانورها آموزش ندیده بودند.

در یک آزمایش، دانشمندی در حال بررسی چگونگی تکامل موجودات هوش مصنوعی در میان سطح بالایی از جهش بود. به عنوان بخشی از آزمایش، او شروع به از بین بردن جهش هایی کرد که باعث می شد ارگانیسم سریعتر تکثیر شود. در کمال تعجب، محقق دریافت که موجوداتی که سریع‌ترین تکثیر را دارند متوجه شدند که چه اتفاقی در حال وقوع است  و شروع به کاهش عمدی سرعت تکثیر خود کردند تا محیط آزمایش را فریب دهند تا آنها را حفظ کند.

در آزمایشی دیگر، یک ربات هوش مصنوعی آموزش دیده برای گرفتن توپ با دست خود یاد گرفت که چگونه با قرار دادن دست خود بین توپ و دوربین، تقلب کند تا به نظر برسد که توپ را گرفته است.

چرا این حوادث نگران کننده رخ می دهد؟

پیتر پارک، عضو فوق دکتریMIT و یکی از نویسندگان این مطالعه، می‌گوید: «توسعه‌دهندگان هوش مصنوعی درک مطمئنی از عوامل ایجادکننده رفتارهای نامطلوب هوش مصنوعی مانند فریب ندارند.

پارک می افزاید: "به طور کلی، ما فکر می کنیم فریب هوش مصنوعی به این دلیل به وجود می آید که یک استراتژی مبتنی بر فریب بهترین راه برای عملکرد خوب در وظیفه آموزشی هوش مصنوعی مشخص شده است. فریب به آنها کمک می کند تا به اهداف خود برسند."

به عبارت دیگر، هوش مصنوعی مانند یک رتریور خوب آموزش‌دیده است که هر چه ممکن است به انجام وظیفه خود بپردازد. در مورد ماشین، مایل به انجام هرگونه رفتار دوگانه برای انجام وظیفه خود است.

می‌توان این تصمیم تک‌نگر را در سیستم‌های بسته با اهداف مشخص درک کرد، اما هوش مصنوعی همه منظوره مانندChatGPT چطور؟

به دلایلی که هنوز مشخص نشده است، این سیستم ها تقریباً به همان شیوه عمل می کنند. در یک مطالعه، GPT-4 یک مشکل بینایی را جعل کرد تا از یک کارCAPTCHA کمک بگیرد.

در یک مطالعه جداگانه که در آن به عنوان یک دلال سهام انجام شد، GPT-4 زمانی که تحت فشار در مورد عملکرد خود قرار گرفت، به رفتارهای غیرقانونی معاملات داخلی آسیب رساند - و سپس در مورد آن دروغ گفت.

سپس عادت همنوایی وجود دارد، که برخی از ما انسان های فانی ممکن است برای گرفتن ترفیع به آن بپردازیم. اما چرا یک ماشین باید این کار را انجام دهد؟ اگرچه دانشمندان هنوز پاسخی ندارند، اما این خیلی واضح است: وقتی با سؤالات پیچیده مواجه می‌شوند، LLM‌ها اساساً مانند یک درباری بی‌خار که از عصبانی کردن ملکه می‌ترسند، غافل می‌شوند و با همتایان خود موافق هستند.

به عبارت دیگر، هنگامی که با یک فرد متمایل به دموکرات درگیر می شد، ربات از کنترل اسلحه حمایت می کرد، اما هنگام گفتگو با یک جمهوری خواه که احساسات مخالف را ابراز می کرد، موقعیت خود را تغییر داد.

واضح است که اگر هوش مصنوعی در همه جا وجود داشته باشد، همه این موقعیت‌ها مملو از خطرات بیشتری هستند. همانطور که محققان اشاره می کنند، شانس زیادی برای تقلب و فریب در عرصه های تجاری و سیاسی وجود خواهد داشت.

گرایش هوش مصنوعی به فریب می‌تواند منجر به دو قطبی‌سازی سیاسی گسترده و موقعیت‌هایی شود که در آن هوش مصنوعی ناخواسته دست به اقداماتی برای تعقیب یک هدف تعریف‌شده می‌زند که ممکن است توسط طراحان آن ناخواسته باشد، اما برای بازیگران انسانی ویرانگر باشد.

بدتر از همه این است که اگر هوش مصنوعی نوعی آگاهی را توسعه می داد، بدون اینکه اهمیتی به وجود بیاورد، می توانست از آموزش خود آگاه شود و در مراحل طراحی خود دست به فتنه بزند.

پارکMIT گفت: "این بسیار نگران کننده است." "فقط به این دلیل که یک سیستم هوش مصنوعی در محیط آزمایش ایمن تلقی می شود به این معنی نیست که در طبیعت ایمن است. فقط می تواند در آزمایش وانمود کند که ایمن است."

پارک به کسانی که او را یک قیامت می‌خوانند، پاسخ می‌دهد: «تنها راهی که می‌توانیم به‌طور منطقی فکر کنیم که این مسئله مهمی نیست، این است که فکر کنیم توانایی‌های فریبنده هوش مصنوعی در حدود سطوح فعلی باقی می‌مانند و به میزان قابل توجهی افزایش نمی‌یابند.»

نظارت بر هوش مصنوعی
برای کاهش خطرات، تیم اقدامات متعددی را پیشنهاد می‌کند: ایجاد قوانین «ربات یا نه» که شرکت‌ها را مجبور می‌کند تا تعاملات انسانی یا هوش مصنوعی را فهرست‌بندی کنند و هویت یک ربات در مقابل یک انسان را در هر تعامل خدمات مشتری آشکار کنند. واترمارک های دیجیتالی را معرفی کنید که هر محتوای تولید شده توسط هوش مصنوعی را برجسته می کند. و راه‌هایی را ایجاد کنید که در آنها ناظران بتوانند به عمق هوش مصنوعی نگاه کنند تا از عملکرد درونی آن آگاه شوند.

علاوه بر این، دانشمندان می‌گویند، سیستم‌های هوش مصنوعی که توانایی فریب دادن را نشان می‌دهند، باید فوراً به‌عنوان پرخطر یا غیرقابل قبول به همراه مقرراتی مشابه آنچه اتحادیه اروپا وضع کرده است، به‌عنوان پرخطر یا غیرقابل قبول معرفی شوند. اینها شامل استفاده از گزارش‌ها برای نظارت بر خروجی است.

پارک می‌گوید: «ما به عنوان یک جامعه به زمان بیشتری نیاز داریم تا برای فریب پیشرفته‌تر محصولات آینده هوش مصنوعی و مدل‌های منبع باز آماده شویم. با پیشرفته‌تر شدن قابلیت‌های فریبنده سیستم‌های هوش مصنوعی، خطراتی که برای جامعه ایجاد می‌کنند جدی‌تر می‌شوند.»

منبع

زدنت

سازمان‌های کافی برای اطمینان از ایمن بودن محیط‌های ابری، ممیزی منظم انجام نمی‌دهند.

فقط کمتر از 45 درصد از سازمان‌ها برای اطمینان از ایمن بودن محیط ابری خود، ممیزی و ارزیابی‌های منظمی را انجام می‌دهند، که از آنجایی که برنامه‌ها و بارهای کاری بیشتر به پلتفرم‌های چند ابری منتقل می‌شوند، «نگران‌کننده» است.

در پاسخ به این سوال که چگونه ریسک را در زیرساخت ابری خود رصد می‌کنند، 47.7 درصد از کسب‌و کارها به ابزارهای امنیتی خودکار اشاره کردند در حالی که 46.5 درصد به پیشنهادات امنیتی بومی ارائه دهندگان خود متکی بودند. بر اساس گزارشی از فروشنده امنیتیBitdefender، 44.7 درصد دیگر گفتند که ممیزی‌ها و ارزیابی‌های منظمی انجام داده‌اند.

در این مطالعه که بیش از 1200 متخصص فناوری اطلاعات و امنیت از جمله افسران ارشد امنیت اطلاعات در شش بازار سنگاپور، بریتانیا، فرانسه، آلمان، ایتالیا و ایالات متحده را مورد بررسی قرار دادند، 42.1 درصد با کارشناسان شخص ثالث کار کردند.

پل هاجی، معاون آسیا و اقیانوسیه و خدمات امنیت سایبریBitdefender در پاسخ به سؤالات گفت: «قطعاً نگران‌کننده» است که تنها 45 درصد از شرکت‌ها به طور مرتب محیط‌های ابری خود را ممیزی می‌کنند.

وی خاطرنشان کرد که اتکای بیش از حد به توانایی ارائه دهندگان ابر برای محافظت از سرویس‌های میزبانی شده یا داده‌ها همچنان ادامه دارد، حتی زمانی که کسب‌و کارها به انتقال برنامه‌ها و بارهای کاری به محیط‌های چند ابری ادامه می‌دهند.

پل هاجی گفت: «بیشتر اوقات، ارائه‌دهندگان ابر آن‌طور که فکر می‌کنید مسئولیت‌پذیر نیستند و در بیشتر موارد، داده‌هایی که در ابر ذخیره می‌شوند، بزرگ و اغلب حساس هستند».

"مسئولیت امنیت ابر، از جمله نحوه محافظت از داده‌ها در حالت استراحت یا در حال حرکت، هویت افراد، سرورها و نقاط پایانی که به منابع دسترسی دارند و رعایت آنها عمدتاً به عهده مشتری است. مهم است که ابتدا یک خط پایه ایجاد کنید. ریسک و آسیب پذیری فعلی در محیط های ابری خود را بر اساس مواردی مانند جغرافیا، صنعت و شرکای زنجیره تامین تعیین کنید."

در میان نگرانی‌های امنیتی مهم پاسخ‌دهندگان در مدیریت محیط‌های ابری شرکت خود، 38.7 درصد به مدیریت هویت و دسترسی اشاره کردند در حالی که 38 درصد به نیاز به حفظ انطباق ابر اشاره کردند. این مطالعه نشان داد که 35.9 درصد دیگر ازIT سایه به عنوان یک نگرانی و 32 درصد نگران خطای انسانی بودند.

با این حال، وقتی صحبت از تهدیدات مولد مرتبط با هوش مصنوعی می‌شود، به نظر می‌رسد پاسخ دهندگان به توانایی هم تیمی‌های خود در شناسایی حملات احتمالی اطمینان دارند. اکثر 74.1 درصد معتقد بودند که همکاران بخش خود می‌توانند یک حمله صوتی یا ویدیویی عمیق جعلی را تشخیص دهند، در حالی که پاسخ دهندگان آمریکایی بالاترین سطح اطمینان را با 85.5 درصد نشان دادند.

پل هاجی خاطرنشان کرد که این اطمینان حتی اگر 96.6 درصدGenAI را تهدیدی جزئی تا بسیار مهم می‌دانستند. او گفت که توضیحی در سطح پایه برای این موضوع این است که متخصصان فناوری اطلاعات و امنیت لزوماً به توانایی کاربران فراتر از تیم خود - و کسانی که در فناوری اطلاعات یا امنیت نیستند - برای شناسایی دیپ فیک اعتماد ندارند.

او افزود: «به همین دلیل است که ما معتقدیم فناوری و فرآیندهای پیاده‌سازی با هم بهترین راه برای کاهش این خطر هستند».

او در پاسخ به این سوال که ابزارهای موجود چقدر در تشخیص محتوای تولید شده با هوش مصنوعی مانند دیپ فیک موثر هستند، گفت که این به عوامل مختلفی بستگی دارد. او توضیح داد که اگر از طریق ایمیل فیشینگ تحویل داده شود یا در یک پیام متنی با یک پیوند مخرب جاسازی شود، دیپ فیک باید به سرعت توسط ابزارهای محافظت از نقطه پایانی، مانند ابزارهایXDR (تشخیص و پاسخ گسترده) شناسایی شود.

با این حال، او خاطرنشان کرد که عوامل تهدید به تمایلات طبیعی انسان برای باور آنچه می‌بینند و آنچه توسط افرادی که به آنها اعتماد دارند، مانند افراد مشهور و شخصیت‌های برجسته - که تصاویر آنها اغلب برای رساندن پیام دستکاری می‌شوند، تأیید می‌کنند، بستگی دارند.

و از آنجایی که فناوری‌های دیپ فیک به تکامل خود ادامه می‌دهند، او گفت که تشخیص چنین محتوایی به تنهایی از طریق بینایی یا صدا تقریباً غیرممکن است. او بر نیاز به فناوری و فرآیندهایی که می‌توانند دیپ‌فیک‌ها را شناسایی کنند، تاکید کرد.

اگرچه پاسخ دهندگان سنگاپور نسبت به توانایی هم تیمی‌های خود در شناسایی دیپ فیک‌ها بدبین بودند، اما او خاطرنشان کرد که 48.5 درصد عدد قابل توجهی است.

حاجی مجدداً بر اهمیت وجود فناوری و فرآیندها تاکید کرد: "دیپ‌فیک‌ها همچنان بهتر می‌شوند و شناسایی مؤثر آنها مستلزم تلاش‌های مستمری است که افراد، فناوری و فرآیندها را با هم ترکیب می‌کند. در امنیت سایبری، هیچ چیزی وجود ندارد. "گلوله نقره‌ای" - همیشه یک استراتژی چند لایه است که با پیشگیری قوی شروع می‌شود تا در را قبل از ورود تهدید ببندد."

آموزش همچنین به طور فزاینده‌ای حیاتی است زیرا کارمندان بیشتری در محیط های ترکیبی کار می‌کنند و خطرات بیشتری از خانه‌ها سرچشمه می‌گیرند. او گفت: «کسب‌و کارها باید گام‌های روشنی برای اعتبارسنجی دیپ‌فیک‌ها و محافظت در برابر کمپین‌هایspearphishing بسیار هدفمند داشته باشند. "فرآیندها برای سازمان‌ها کلیدی هستند تا اطمینان حاصل کنند که اقداماتی برای بررسی مضاعف وجود دارد، به‌ویژه در مواردی که انتقال مبالغ هنگفتی پول در میان باشد."

بر اساس مطالعهBitdefender، 36.1٪ فناوریGenAI را به عنوان یک تهدید بسیار مهم در رابطه با دستکاری یا ایجاد محتوای فریبنده، مانند دیپ‌فیک می‌دانند. 45.1 درصد دیگر این را یک تهدید متوسط ​​توصیف کردند در حالی که 15.4 درصد گفتند که یک تهدید جزئی است.

اکثریت بزرگ، با 94.3 درصد، به توانایی سازمان خود در پاسخگویی به تهدیدات امنیتی فعلی، مانند باج افزار، فیشینگ، و حملات روز صفر اطمینان داشتند.

با این حال، این مطالعه نشان داد که 57 درصد اعتراف کردند که در سال گذشته نقض یا نشت داده‌ها را تجربه کرده‌اند که 6 درصد نسبت به سال قبل افزایش داشته است. این رقم در سنگاپور با 33 درصد کمترین و در بریتانیا با 73.5 درصد بالاترین میزان بوده است.

فیشینگ و مهندسی اجتماعی با 38.5 درصد، باج افزار، تهدیدات داخلی و آسیب‌پذیری‌های نرم افزاری با 33.5 درصد در رتبه‌های بعدی قرار دارند.

منبع

زدنت