微软人工智能研究人员泄露 38TB 数据:包括密钥、密码和 Teams 消息
微软的人工智能研究员在 GitHub 上发布开源训练数据存储桶时,意外暴露了数十 TB 的敏感数据,包括私钥和密码。
云安全初创公司 Wiz 发现了这个属于微软 AI 研究部门的 GitHub 仓库,并将其作为其持续进行的云托管数据意外曝光工作的一部分分享给 TechCrunch。
该 GitHub 仓库提供了用于图像识别的开源代码和 AI 模型,要求读者从 Azure Storage URL 下载模型。然而,Wiz 发现该 URL 配置为授予整个存储账户权限,因此错误地公开了其他私密数据。
这些数据包括 38TB 敏感信息,其中包括两名微软员工个人电脑备份文件、Microsoft 服务密码、秘密密钥以及来自数百名微软员工的超过 30,000 条内部 Microsoft Teams 消息等其他敏感个人信息。
根据 Wiz 所说,「full control」而非「read-only」权限被误配置到该 URL 中。这意味着任何知道如何查找它们的人都可能删除、替换或注入恶意内容。
Wiz 指出存储账户并未直接暴露。相反,在 URL 中加入一个过度宽松共享访问签名 (SAS) token 是导致泄漏的原因。SAS token 是 Azure 使用的一种机制,允许用户创建可共享链接以授予对 Azure 存储账户数据的访问权限。
Wiz 表示已于 6 月 22 日与微软分享了其发现,并于两天后在 6 月 24 日吊销了 SAS token。微软称已于 8 月 16 日完成了对潜在组织影响的调查。
Microsoft 安全响应中心在发布给 TechCrunch 之前的博客文章中表示,「没有暴露任何客户数据,也没有因此问题而使其他内部服务面临风险。」
微软表示,由于 Wiz 的研究,它已经扩展了 GitHub 的秘密扫描服务,该服务可以监控所有公开源代码的更改,以防明文暴露凭证和其他秘密,包括任何可能具有过度许可过期或权限的 SAS token。
小红书新号单条点赞收藏破千,涨粉过百,分享我的一些经验浅谈
前几天,在我们的知乎群聊到了小红书这块,发现做自媒体的今年基本上很多人都同步做了小红书,从大家的分享下了解,目前小红书仍还处于有一定的流量红利,相对而言平台上的内容质量和用户质量也都比较高。实际上,这块我在去年就有过想法想去尝试,因为朋友圈有很多做小红书引流这块的基本上都拿到了结果,同时,也有很多人开启了专门针对小红书引流这块的培训,用户需求量还挺高,很多人都对这块有需求。站长网2023-05-11 11:36:320000Nightshade:艺术家全新反击工具,可用损坏训练数据“毒害”AI模型
划重点:1.🤖艺术家反击AI:艺术家可以使用一种名为Nightshade的新工具,向他们的图像注入隐形的像素,使AI模型产生错误的认知。2.📜背景:AI公司依赖大量的训练数据,包括来自艺术家的创作,引发了一系列法律诉讼。3.💡希望与风险:Nightshade的开发者希望通过这一工具重塑AI与艺术家之间的权力平衡,但也承认可能被滥用。站长网2023-10-24 23:51:570000百亿补贴大战,价格最低的平台到底是哪个?
当拼多多在2019年,第一次推出“百亿补贴”的时候,很多人都不知道拼多多葫芦里卖什么药。竞争对手纷纷观望,甚至嘲笑黄铮钱多人傻。但是谁能想到,“百亿补贴”会成为今天的日常呢?继淘宝推出“聚划算”后,今年年初,京东高调宣布上线“百亿补贴”频道。站长网2023-05-18 14:13:160000AIGC音乐的中场战事:从技术、产品到商业规则
最近,谷歌围绕着AIGC音乐打出了一套“组合拳”。11月16日,谷歌旗下DeepMind发布了最新的AIGC音乐生成模型Lyria,并与YouTube合作打造了两个重要应用场景:DreamTrack和MusicAItools。同时,谷歌和YouTube还将AI识别工具SynthID扩展到音乐领域,为Lyria生成的AI作品打上水印。站长网2023-11-23 15:37:030000极氪高管怼小米汽车:营销值得学习 技术需要向我们学习
在极氪001发布会后的媒体交流环节,极氪的高管就小米汽车这一话题发表了看法。当被问及如何看待小米汽车时,极氪高管表示,他们对小米汽车持有尊重和敬畏的态度,认为小米作为头部互联网科技企业,实力不容小觑。站长网2024-02-28 13:57:290000