新闻速览

•国家网信办就《人工智能生成合成内容标识办法（征求意见稿）》公开征求意见

•CNNVD通报GitLab安全漏洞相关情况

•111名在缅北实施电信网络诈骗的犯罪嫌疑人被移交我国警方

•Fortinet官方回应数据泄露事件：未造成实质性影响

•苹果公司将放弃对NSO间谍软件集团的司法诉讼

•Lazarus黑客组织针对开发者发起新一轮软件供应链攻击

•DragonRank入侵多国微软IIS服务器操纵SEO排名

•一种新型恶意软件Hadooken针对Oracle WebLogic服务器发起攻击活动

•万事达卡拟斥资189亿元收购安全威胁情报公司Recorded Future

特别关注

国家网信办就《人工智能生成合成内容标识办法（征求意见稿）》公开征求意见

为规范人工智能生成合成内容标识，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》、《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》等法律法规，国家互联网信息办公室起草了《人工智能生成合成内容标识办法（征求意见稿）》，现向社会公开征求意见。意见反馈截止时间为2024年10月14日。

人工智能生成合成内容标识办法

（征求意见稿）

第一条 为促进人工智能健康发展，规范人工智能生成合成内容标识，保护公民、法人和其他组织合法权益，维护社会公共利益，根据《中华人民共和国网络安全法》、《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》等法律、行政法规和部门规章，制定本办法。

第二条 符合《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》规定情形的网络信息服务提供者（以下简称“服务提供者”）开展人工智能生成合成内容标识的，适用本办法。

行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用人工智能生成合成技术，未向境内公众提供服务的，不适用本办法的规定。

第三条 人工智能生成合成内容是指利用人工智能技术制作、生成、合成的文本、图片、音频、视频等信息。

人工智能生成合成内容标识包括显式标识和隐式标识。

显式标识是指在生成合成内容或者交互场景界面中添加的，以文字、声音、图形等方式呈现并可被用户明显感知到的标识。

隐式标识是指采取技术措施在生成合成内容文件数据中添加的，不易被用户明显感知到的标识。

第四条 服务提供者提供的生成合成服务属于《互联网信息服务深度合成管理规定》第十七条第一款情形的，应当按照下列要求对生成合成内容添加显式标识。

（一）在文本的起始、末尾、中间适当位置添加文字提示或通用符号提示等标识，或在交互场景界面或文字周边添加显著的提示标识；

（二）在音频的起始、末尾或中间适当位置添加语音提示或音频节奏提示等标识，或在交互场景界面中添加显著的提示标识；

（三）在图片的适当位置添加显著的提示标识；

（四）在视频起始画面和视频播放周边的适当位置添加显著的提示标识，可在视频末尾和中间适当位置添加显著的提示标识；

（五）呈现虚拟场景时，应当在起始画面的适当位置添加显著的提示标识，可在虚拟场景持续服务过程中的适当位置添加显著的提示标识；

（六）其他生成合成服务场景应当根据自身应用特点添加具有显著提示效果的显式标识。

服务提供者提供生成合成内容下载、复制、导出等方式时，应当确保文件中含有满足要求的显式标识。

第五条 服务提供者应当按照《互联网信息服务深度合成管理规定》第十六条的规定，在生成合成内容的文件元数据中添加隐式标识，隐式标识包含生成合成内容属性信息、服务提供者名称或编码、内容编号等制作要素信息。

鼓励服务提供者在生成合成内容中添加数字水印等形式的隐式标识。

文件元数据是指按照特定编码格式嵌入到文件头部的描述性信息，用于记录文件来源、属性、用途、版权等信息内容。

第六条 提供网络信息内容传播平台服务的服务提供者应当采取措施，规范生成合成内容传播活动。

（一）应当核验文件元数据中是否含有隐式标识，对于含有隐式标识的，应当采取适当方式在发布内容周边添加显著的提示标识，明确提醒用户该内容属于生成合成内容；

（二）文件元数据中未核验到隐式标识，但用户声明为生成合成内容的，应当采取适当方式在发布内容周边添加显著的提示标识，提醒用户该内容可能为生成合成内容；

（三）文件元数据中未核验到隐式标识，用户也未声明为生成合成内容，但提供网络信息内容传播平台服务的服务提供者检测到显式标识或其他生成合成痕迹的，可识别为疑似生成合成内容，应当采取适当方式在发布内容周边添加显著的提示标识，提醒用户该内容疑似为生成合成内容；

（四）对于确为、可能和疑似生成合成内容的，应当在文件元数据中添加生成合成内容属性信息、传播平台名称或编码、内容编号等传播要素信息；

（五）提供必要的标识功能，并提醒用户主动声明发布内容中是否包含生成合成内容。

第七条 互联网应用程序分发平台在应用程序上架或上线审核时，应当核验服务提供者是否按要求提供生成合成内容标识功能。

第八条 服务提供者应当在用户服务协议中明确说明生成合成内容标识的方法、样式等规范内容，并提示用户仔细阅读并理解相关的标识管理要求。

第九条 如用户需要服务提供者提供没有添加显式标识的生成合成内容，可在通过用户协议明确用户的标识义务和使用责任后，提供不含显式标识的生成合成内容，并留存相关日志不少于六个月。

第十条 用户向提供网络信息内容传播平台服务的服务提供者上传生成合成内容时，应当主动声明并使用平台提供的标识功能进行标识。

任何组织和个人不得恶意删除、篡改、伪造、隐匿本办法规定的生成合成内容标识，不得为他人实施上述恶意行为提供工具或服务，不得通过不正当标识手段损害他人合法权益。

第十一条 服务提供者应当按照有关强制性国家标准的要求进行标识。

第十二条 服务提供者在履行算法备案、安全评估等手续时，应当按照本办法提供生成合成内容标识相关材料，并加强标识信息共享，为防范打击相关违法犯罪活动提供支持和帮助。

第十三条 违反本办法规定，未对生成合成内容进行标识造成严重后果的，由网信等有关主管部门按照有关法律、行政法规、部门规章的规定予以处罚。

第十四条 本办法自2024年 月 日起施行。

原文链接：

https://www.cac.gov.cn/2024-09/14/c_1728000676244628.htm

CNNVD通报GitLab安全漏洞相关情况

近日，国家信息安全漏洞库（CNNVD）就GitLab安全漏洞（CNNVD-202409-1044、CVE-2024-6678）的相关情况进行了官方通报。

GitLab是美国GitLab公司的一款软件项目仓库应用程序，具有版本控制、问题跟踪、代码审查、持续集成和持续交付等功能。GitLab存在一个身份验证绕过漏洞，攻击者可以通过某种方式利用其他用户身份触发pipeline，从而绕过身份验证，导致仓库数据泄露，进而攻陷服务器。GitLab CE/EE 8.14 至GitLab CE/EE17.1.7之前版本、GitLab CE/EE 17.2至GitLab CE/EE 17.2.5之前版本、GitLab CE/EE 17.3 至GitLab CE/EE 17.3.2之前版本均受该漏洞影响。

目前，GitLab官方已发布新版本修复了该漏洞，CNNVD建议用户及时确认产品版本，并尽快采取修补措施。

官方升级链接：https://about.gitlab.com/update

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

联系方式: [email protected]

原文链接：

https://mp.weixin.qq.com/s/3sooYKlxJAjnFcdCLFnT9A

111名在缅北实施电信网络诈骗的犯罪嫌疑人被移交我国警方

为持续保持对缅北涉我电信网络诈骗犯罪的高压严打态势，近日，公安部部署云南公安机关与缅甸相关地方执法部门开展边境警务执法合作，抓获一批电信网络诈骗犯罪嫌疑人，其中，中国籍犯罪嫌疑人111名（含网上在逃人员29名），目前，全部中国籍犯罪嫌疑人已移交我方，这是专项行动取得的又一重大战果。

去年以来，通过有效警务执法合作和一系列打击行动，缅甸执法部门将5万余名中国籍涉诈犯罪嫌疑人移交我方，缅北涉我电信网络诈骗犯罪形势持续向好。近日，在公安部的指挥部署下，云南公安机关与缅甸相关地方执法部门进一步强化边境警务执法合作，在缅北掸邦第四特区开展涉诈窝点集中清剿行动，成功抓获283名实施跨境电信网络诈骗犯罪的嫌疑人，查扣一大批手机、电脑等作案工具。经查，上述犯罪嫌疑人藏匿于缅北掸邦第四特区，通过虚假投资理财、刷单返利、婚恋交友等多种形式实施电信网络诈骗，受害者涉及浙江、河南、云南等多个省份。

目前，111名中国籍涉诈犯罪嫌疑人及涉案证据物品已通过云南省勐海县打洛口岸、孟连县孟连口岸顺利移交我方，并由河北、浙江、福建、山东、河南、云南等地公安机关分别押回，全力开展案件侦办工作。公安部有关负责人表示，针对缅北仍有电信网络诈骗犯罪分子心存侥幸、负隅顽抗等情况，公安机关将继续强化国际及边境警务执法合作，不断加大打击力度，坚决将缅北涉我电信网络诈骗犯罪“毒瘤”清除干净，切实维护人民群众财产安全和合法权益。

原文链接：

https://mp.weixin.qq.com/s/L4L71LD_EHCK0Qc8hNsp2g

热点观察

Fortinet官方回应数据泄露事件：未造成实质性影响

据CyberDaily、CRN等多家报道，一名黑客通过入侵Fortinet的Microsoft SharePoint服务器，窃取了440GB的数据。这名黑客随后在黑客论坛上公布了存储这些数据的S3存储桶的凭据，供其他黑客下载被盗文件。9月13日，Fortinet公司就本次安全事件发表了官方申明并披露了事件调查的最新信息：

• 公司已检测到一起未经授权的个人访问，该非法访问主要针对存储在 Fortinet 第三方云共享文件驱动实例中的少量文件，其中涉及少量 Fortinet 用户的有限数据（占比低于 0.3%）；
• 截止目前，公司未发现该事件引发任何影响用户的恶意活动；
• Fortinet 运营、产品和服务均未受到该事件影响。经严密排查，未发现 Fortinet 其他资源存在非法访问；
• 该事件未涉及任何数据加密、勒索软件部署或对 Fortinet 企业网络的非法访问；
• Fortinet 已迅速启动用户保护应对方案，并及时联系可能受影响的用户，及时为其提供有效的风险缓解措施；
• 鉴于该事件影响的有限性以及首发性，公司认为目前该事件对 Fortinet 财务状况和企业运营不会造成潜在实质影响。

申明还表示，事件发生后，Fortinet立即采取了有效措施终止未经授权的个人访问活动，有效遏制事件蔓延，且在第一时间启动事件调查程序，并即刻向全球相关执法部门和特定网络安全机构发送事件公告。同时，Fortinet 即刻启动内部自查程序，加强账户监控和威胁检测措施，以规避和防范类似事件发生。

原文链接：

https://mp.weixin.qq.com/s/jITpolNn6km3b84wwQmFOw

苹果公司将放弃对NSO间谍软件集团的司法诉讼

据《华盛顿邮报》9月13日报道，苹果公司已向法院递交撤诉申请，将不再起诉间谍软件生产商 NSO 集团，撤诉原因可能是，苹果公司认为在诉讼过程中披露的信息可能对其安全性造成更大的损害。

据了解，苹果公司于2021年向NSO集团提起集体诉讼，认为NSO开发和销售Pegasus 等间谍软件，被用于攻击、入侵记者和活动家的iPhone。本次提交的撤诉文件指出，苹果一方面无法保证能获取NSO集团Pegasus软件的关键证据，另一方面自身的举证行为可能无意中帮助NSO及其他竞争对手的间谍软件制造商，从而让其开发突破苹果安全的新间谍工具。

原文链接：

https://www.ithome.com/0/795/764.htm

网络攻击

Lazarus黑客组织针对开发者发起新一轮软件供应链攻击

近日，安全研究人员发现，黑客组织Lazarus集团正在进行新一轮的软件供应链攻击活动，主要通过在开源软件仓库中发布假冒的Python包来向开发者传播恶意软件。

这次攻击中，黑客冒充知名金融服务公司Capital One的工作人员，利用虚假的工作面试诱使开发者下载恶意软件。ReversingLabs公司的研究显示，攻击者通过LinkedIn向目标开发者发送直接消息，其中包含指向GitHub仓库的链接。这些仓库被伪装成“作业任务”，内含名”Python_Skill_Assessment.zip”和”Python_Skill_Test.zip”等压缩文件。这些文件中的“README”文档设定了完成任务的时间框架，意在促使求职者在未进行安全检查的情况下执行恶意代码。恶意代码被隐藏在修改后的pyperclip和pyrebase模块中，以Base64编码字符串的形式实现。这些恶意软件旨在安装下载器，进而获取后门和信息窃取工具等更高级的恶意软件。

这次攻击与2023年8月首次发现的VMConnect活动有关联。当时，攻击者在Python包索引（PyPI）中每天持续发布新的恶意包。尽管这一活动可以追溯到半年多以前，但ReversingLabs表示，有证据显示Lazarus集团的VMConnect活动仍然活跃。例如，研究人员在7月31日发现了一个新的GitHub仓库，其内容与早期的恶意文件几乎相同。

原文链接：

https://www.infosecurity-magazine.com/news/lazarus-developers-vmconnect/

DragonRank入侵多国微软IIS服务器并操纵SEO排名

SEO攻击是一种利用违反搜索引擎规则和伦理标准的手段来提高网站在搜索引擎中的排名的行为。研究人员发现，SEO攻击技术正在不断演进，并与传统的网络攻击手段相结合。近日，新型SEO攻击DragonRank在亚洲和欧洲多国大范围展开，至少35台微软IIS服务器遭到入侵，以企图干扰搜索引擎优化（SEO）排名，并提供定制化的SEO促销服务，目前攻击活动已波及中国、印度、韩国、泰国、比利时和荷兰等多个国家，涉及医疗、农业、媒体和IT服务等多个行业。

攻击者主要利用WordPress等网络应用程序的漏洞，部署开源网络shell工具ASPXspy，进而在IIS服务器上植入名为BadIIS的恶意软件。BadIIS是一种高度隐蔽的代理软件和搜索引擎优化欺诈工具，能够修改提供给搜索引擎的内容，操纵搜索引擎算法，提升特定网站的排名。

思科Talos的研究人员发现，攻击者还试图通过PlugX后门以及Mimikatz、BadPotato、GodPotato和PrintNotifyPotato等凭证收集工具，进一步渗透目标网络中的其他服务器。这种持续性的攻击手法显示出DragonRank团队在满足客户欺诈需求方面具有极强的灵活性和适应性。

原文链接：

https://www.scmagazine.com/brief/asian-european-iis-servers-subjected-to-novel-dragonrank-attack-campaign

一种新型恶意软件Hadooken针对Oracle WebLogic服务器发起攻击活动

近日，安全研究人员发现了新型恶意软件Hadooken正在针对Oracle WebLogic服务器进行攻击。这种恶意软件不仅能够部署加密货币挖矿程序，还可能引发分布式拒绝服务（DDoS）攻击，给企业带来严重威胁。

Aqua Nautilus的研究人员通过蜜罐技术捕获到了Hadooken的活动。攻击者首先通过暴力破解弱密码获取WebLogic服务器管理面板的访问权限，随后部署Hadooken作为主要攻击载荷。值得注意的是，攻击者使用了两个几乎相同的脚本（一个Python脚本和一个C语言脚本）来下载和执行Hadooken，可能是为了确保攻击的成功率。研究人员发现，Hadooken的功能十分强大。除了部署加密货币挖矿程序和Tsunami DDoS工具外，它还能创建多个cron作业以保持对被攻陷系统的持续控制。Aqua的分析显示，Hadooken的代码中还包含与Rhombus和NoEscape勒索软件相关的链接，尽管在此次攻击中并未使用这些功能。

Oracle WebLogic服务器作为一个广泛应用于大型企业的Java应用服务器平台，一直是黑客的热门目标。而且研究人员认为为，攻击者很可能会将目标扩展到其他Linux平台。

原文链接：

https://www.darkreading.com/cyberattacks-data-breaches/hadooken-malware-targets-weblogic-servers

产业动态

万事达卡拟斥资189亿元收购安全威胁情报公司Recorded Future

MasterCard（万事达卡）公司于近日宣布，计划以189亿元（26.5亿美元）从投资公司Insight Partners收购威胁情报提供商Recorded Future。万事达卡将此次交易视为其网络安全服务的扩展，并表示这将增强用于保护其金融服务生态系统的洞察力和情报。

Recorded Future是一家专注于威胁情报的网络安全公司。该公司提供的威胁情报平台能够帮助组织跟踪和分析黑客活动，识别行业面临的网络犯罪威胁，并评估各类网络攻击的风险等级。当前，该平台还整合了人工智能技术，利用OpenAI的语言模型自动总结威胁信息，并提供可视化仪表板。Recorded Future声称，其平台定期扫描超过100万个黑客用于协调恶意软件活动的服务器，为客户提供全面的威胁态势感知。该公司服务客户超过1900个，包括超过半数的《财富》100强企业和45个国家的政府机构。

作为知名支付服务提供商，万事达卡去年促成了高达9万亿美元的交易。除了核心支付业务，公司还提供帮助企业和金融机构识别网络犯罪的服务。收购Recorded Future将使万事达卡能够为客户提供更全面的网络安全解决方案。预计万事达卡将在2025年第一季度完成此次收购。

原文链接：

Mastercard acquires threat intelligence provider Recorded Future for $2.65B – SiliconANGLE