一、政策动态

01 | 美CISA发布2023财年关基风险评估图

9月16日，美网络安全和基础设施安全局（CISA）发布了分析报告和信息图表，总结了2023财年（FY23）期间，针对各个关键基础设施部门进行的143项风险和脆弱性评估（RVA）的结果。结果显示，网络威胁行为者采用了用来获取和维护网络系统的14种策略中的11种。CISA和美海岸警卫队（USCG）通过远程和现场行动收集数据，并结合国家威胁和脆弱性信息，为组织提供按风险优先级排序的可操作补救建议。这份分析报告概述了样本攻击路径，并详细说明了网络威胁行为者可能采用的策略和步骤，特别是那些利用在FY23 RVAs中发现的类似漏洞的策略。此外，信息图表展示了RVAs中记录的每种策略最有效的技术。

02 | 美CISA公布协调联邦运营网络安全计划

9月16日，美网络安全和基础设施安全局（CISA）发布了“联邦文职行政部门运营网络安全对齐（FOCAL）计划”，旨在整合联邦政府的集体防御能力，以降低超过100个联邦文职行政部门机构的网络安全风险。FOCAL计划围绕五个优先领域构建，包括资产管理、漏洞管理、防御性架构、网络供应链风险管理和事件检测与响应。这些领域共同构成了企业运营网络安全的标准和基本组成部分，并在联邦机构间实现集体防御能力的对齐。通过集中资源，FOCAL计划致力于推进运营网络安全的改善和对齐目标，为各机构提供了一个协调支持和服务的框架，从而最终减少风险。CISA强调，联邦政府的数据和系统是敌对势力的目标，需要统一应对威胁并主动降低风险。

03 | 美众议院宣布人工智能政策以建立护栏和审批流程

9月19日，美众议院管理委员会和首席行政官办公室宣布实施一项新的众议院人工智能政策，旨在规范人工智能技术在众议院的应用，重点关注数据隐私保护和风险控制。为了实现这一目标，该政策引入了针对众议院内人工智能使用的特定防护措施，并要求首席行政官审查具体用例的人工智能工具，最终由众议院管理委员会进行审批。该政策为未来人工智能和机器学习能力的发展奠定了基础，并具备灵活性，以适应技术的快速变化。

04 | 美众议院首次提出加强供应链保护法案

9月17日，美众议院监督和问责委员会提出新法案，旨在扩大和加强联邦采购安全委员会（FASC）的权力，以防止敌对国家入侵联邦政府的技术供应链。根据FASC改进法案，FASC将被授权发布具有约束力的命令，以排除联邦采购系统中的可疑来源，并将FASC的关注范围扩展到更广泛的采购安全问题。该法案还将加强FASC的治理结构，将其移入总统行政办公室，并提高FASC成员的资格要求。此外，法案将重新分配已授权的拨款，以在国家网络总监办公室内设立一个FASC项目办公室，提供运营、法律和政策支持。

05 | 美众议院委员会推进儿童隐私和网络安全法案

9月19日，美众议院能源和商业委员会通过了两项儿童网络安全和隐私法案，即《儿童网络安全法案》（KOSA）和《儿童和青少年在线隐私保护法案2.0》（COPPA）。这两项法案已提交众议院进行进一步审议。COPPA 2.0法案旨在更新20多年前的立法，以加强对儿童数据的保护。委员会主席凯茜·罗杰斯（Cathy McMorris Rodgers）强调了社交媒体对儿童心理健康的潜在危害，并表示支持该法案。

二、网络行动

01 | 黎巴嫩真主党遭受传呼机爆炸袭击

9月17日和18日，黎巴嫩真主党遭遇了一起严重的传呼机爆炸袭击事件，造成37人死亡、近3400人受伤。此事件中被破坏的设备包括寻呼机、对讲机和无线通信设备等。据真主党指控，以色列是此次袭击的幕后黑手。据悉，真主党武装所订购的一批传呼机，在抵达黎巴嫩之前已被秘密改装，每部传呼机内电池附近均被植入了重量约为一到两盎司的少量炸药，并配备了可远程控制的引爆装置。这次事件可能成为网络战争和物理战争原则融合的案例，揭示了终端硬件常被忽视的安全漏洞，以及过时设备可能存在的未知风险。美国家安全局（NSA）的前负责人保罗·中曾根（Paul Nakasone）表示，数千枚真主党装置的爆炸显示了以色列的先进强大的情报收集能力，并突显了全球供应链的潜在脆弱性。

02 | 美与新加坡举行第14届战略安全政策对话

9月13日，美代理国防部副部长阿曼达·多里（Amanda Dory）主持了第14届美新战略安全政策对话。此次对话的参与者还有新加坡国防部常任秘书陈永吉（Chan Heng Kee）。双方讨论了加强两国在国防和安全合作的努力，以及新兴合作领域，包括实施《数据、分析和人工智能合作意向声明》和国防创新进展。新加坡分享了其决定支持《印度-太平洋国防工业基地合作原则声明》以及参与“印度-太平洋工业复原力伙伴关系”的意图，并表达了参与印太工业韧性伙伴关系的意愿。

03 | 美NIST专注于构建联邦网络安全和隐私学习计划

9月16日，美商务部国家标准与技术研究院（NIST）为特别出版物（SP）800-50提供了最新指南，旨在帮助联邦政府开发和管理强大的网络安全和隐私学习计划。指南强调了在联邦信息生命周期中隐私和安全的重要性，并要求各机构建立相应的安全和隐私意识及培训计划。该文档明确了构建网络安全和隐私学习计划（CPLP）的关键阶段，包括计划与策略、分析与设计、开发与实施以及评估与改进。

04 | 美监察长办公室建议司法部加强勒索软件监控指标

9月19日，美司法部监察长办公室（OIG）评估了司法部应对勒索软件攻击及相关威胁的策略，并建议该部门改进其追踪对威胁行为者破坏活动进展的指标。报告强调，无论司法部是否将勒索软件作为优先目标，都应确定哪些指标最具影响力，以确保它们能够捕捉到其打击勒索软件威胁行动的有效性。报告还呼吁副总检察长办公室评估其在勒索软件案件中实施的政策的执行情况，以确保合规性和执行的一致性。此外，联邦调查局（FBI）应明确定义国家网络调查联合工作组犯罪任务中心的角色，以确保其努力的有效性。

05 | DARPA寻求创新技术以部署隐蔽通信系统

9月20日，美国防高级研究计划局（DARPA）的信息创新办公室正在征集提案，以开发用于部署具有隐私和性能保障的韧性隐蔽网络的新技术。DARPA的目标是将软件定义网络方法与新兴技术模型相结合，以测试隐蔽通信系统（HCS）在现实世界中的表现是否符合预期。提案内容应重点关注科学、设备和系统方面的突破性进展，并确保所提出的解决方案在性能上优于当前的手动HCS开发流程，同时确保网络保持隐蔽状态。DARPA将在10月1日前接受摘要提交，10月17日前接受问题咨询，11月5日前接受完整提案。

三、智能快讯

01 | 美计划于11月召开全球人工智能安全峰会

美政府宣布将在11月20日至21日于旧金山举办全球人工智能安全峰会。此次会议将由美商务部长雷蒙多和国务卿布林肯主持，旨在推动全球合作，确保人工智能的安全、可靠和可信发展。此次会议是美组建的国际人工智能安全研究所网络的首次会议，成员包括美国、英国、澳大利亚和欧盟等多个国家和地区。生成式人工智能的兴起带来技术进步的同时也引发了对就业、选举安全和潜在灾难性影响的担忧。旧金山会议的目标是为2024年2月的巴黎人工智能行动峰会铺路，并讨论人工智能安全的技术合作。

02 | 联合国警告全球需合作监管人工智能发展

9月20日，联合国专家组发布报告，警告称人工智能的发展不应仅受市场规律支配，而应建立国际合作机制进行监管。报告指出，目前，全球在人工智能领域缺乏统一的治理方法，发展中国家在相关讨论中被边缘化。为改善全球合作，建议在联合国秘书处内建立灵活的协调结构，并组建类似政府间气候变化专门委员会（IPCC）的科学家小组，专注于人工智能研究。报告强调，人工智能必须基于正义和安全原则服务人类，否则可能对民主、和平与稳定造成严重威胁。报告还提到，随着人工智能的快速发展，需要警惕其带来的一系列风险，包括虚假信息传播、深度伪造技术、自主武器发展以及犯罪和恐怖组织对人工智能的利用。

03 | 联合国咨询机构就治理人工智能提出七项建议

9月19日，联合国人工智能咨询机构发布《以人为本的人工智能治理》的最终报告，提出七项针对人工智能相关风险和治理空缺的建议：一是设立全球人工智能科学顾问委员会；二是建议就人工智能治理开展新的政策对话；三是建立人工智能标准交流平台，衡量并评估人工智能系统标准；四是建立各国和全球人工智能能力发展网络，以提高治理能力；五是建立全球人工智能基金，以解决能力和协作方面的差距；六是倡导形成全球人工智能数据框架，以确保透明度和问责制；七是提议设立一个小型人工智能办公室，以支持和协调提案的实施。这些建议旨在通过全球合作和协调来增强人工智能治理的代表性、协调性和实施性，确保人工智能技术的发展能够惠及全球所有人群，同时保护人权和促进可持续发展目标的实现。

04 | 加拿大财政委员会启动首个联邦公共服务人工智能战略公众咨询

9月16日，加拿大财政委员会主席安妮塔·阿南德（Anita Anand）启动加拿大首个联邦公共服务人工智能战略公众咨询。公众咨询过程的下一阶段将收集全国各地加拿大公民关于联邦政府应如何使用人工智能的见解。该战略将概述加拿大政府如何在技术和运营中利用人工智能提高公务员的生产力、科研能力和数字服务水平。

05 | 白宫联合IT巨头共同打击人工智能深度造假

9月16日，美白宫联合多家IT巨头，包括Adobe、微软、OpenAI等，共同发起行动，旨在打击未经授权传播色情图像的恶意行为。这些公司承诺改进人工智能开发流程，防止产品被滥用于创建和分发性化深度假货，并将加强对系统的审查，从训练数据中移除裸露内容，并停止为相关活动提供支付服务。这些措施是对之前白宫呼吁采取更多措施打击网络暴力的回应，体现了私营部门在防止数字空间中的暴力和滥用方面的关键作用。

06 | 美国防部首席数字和人工智能办公室寻求测试和评估军用生成式人工智能

9月17日，美国防部首席数字和人工智能办公室（CDAO）发布招标书，寻求创新能力对新一代人工智能和基础模型系统进行测试和评估。根据招标通知，所需能力应符合国防部评估人工智能在国防用例中的有效性、稳健性和风险的标准。未来，通过的解决方案将用于帮助建立通用人工智能评估、风险管理的综合框架。

07 | 微软与阿联酋人工智能公司将联合建立两个研究中心

9月17日，美微软和阿联酋人工智能公司G42将在阿布扎布开设两个新的研究中心。其中一个中心将汇集来自私营部门的学术研究人员和人工智能从业者，共同开发和分享负责任的人工智能的最佳实践。另一个中心将专注于为“代表性不足的语言”开发大型语言模型。相关中心将致力于确保“生成式人工智能模型和应用程序的安全开发、部署和使用”。

点击下图 了解详情