梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露 根据分析梅赛德斯奔驰的 GitHub Enterprise Server 上包含大量机密内容：整个源代码知识产权内容用来连接其他服务的字符串AWS/Azure 连接密钥设计蓝图设计文档SSO 密码API 密钥其他关键信息其中 AWS 和 Microsoft Azure 连接密钥则可以用来登录梅赛德斯奔驰在 AWS 和微软托管的服务器，这又可能导致更多私密数据暴露。开发者不慎在 GitHub 上暴露了令牌：GitHub 允许开发者生成身份验证令牌作为替代密码的验证方案，梅赛德斯奔驰的员工不慎在一个公共 GitHub 中暴露了自己的令牌，这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的 GitHub Enterprise Server 并下载所有数据。RedHunt Labs 基于安全验证目的浏览了部分数据，发现里面还包含 AWS 和 Azure 密钥、Postgres 数据库和梅赛德斯的其他源代码等。随后该安全公司通过 TechCrunch 联系梅赛德斯奔驰进行反馈，接到反馈后梅赛德斯奔驰立即确认了问题并撤销了令牌，同时把暴露令牌的整个存储库都删了。是否泄露数据目前还不清楚：扫描显示梅赛德斯奔驰员工是在 2023 年 9 月下旬不慎暴露自己的身份验证令牌，也就是说到撤销的时候已经有几个月，这几个月难免会有其他黑客扫描到令牌进而窃取了所有数据。遗憾的是梅赛德斯奔驰拒绝透露是否知道任何第三方访问了暴露的数据，或者说没人知道该公司有没有能力检查数据遭到异常访问，这可能需要完整的排查过去几个月的日志。 ... PC版： 手机版：

微软签名密钥不断被劫持，赛门铁克披露黑客团队Carderbee针对中国香港的攻击活动

微软签名密钥不断被劫持，赛门铁克披露黑客团队Carderbee针对中国香港的攻击活动 8月22日，赛门铁克披露了Carderbee针对中国香港的攻击活动。研究人员于4月发现了Carderbee的第一个活动迹象，但攻击活动或可以追溯到2021年9月。 攻击者使用合法的Cobra DocGuard软件执行供应链攻击，目的是在目标计算机上安装后门Korplug（又名PlugX）。Cobra DocGuard Client 是一家名为亿赛通的中国公司开发的软件，用于保护、加密和解密的软件。 攻击活动还使用了合法的Microsoft证书签名的恶意软件。该活动的大多数目标位于中国香港，也有一部分位于亚洲的其它地区。研究人员表示，关于Carderbee活动仍有一些未解之谜，比如确切的目标范围仍不清楚。 、、

文章介绍了OpenAI开发的ChatGPT大型语言模型聊天机器人，以及如何使用OpenAI Python库构建自己的项目和工具。

文章介绍了OpenAI开发的ChatGPT大型语言模型聊天机器人，以及如何使用OpenAI Python库构建自己的项目和工具。 提供了获取API密钥、设置环境变量、使用Chat Completions API进行文本生成的步骤，提供了创建博客提纲生成器和简单ChatGPT样式聊天机器人的示例代码。 此外还介绍了如何调整温度和top_p参数来增加LLM生成响应的创造性和多样性。

重要/漏洞：主流Linux发行版本存在本地提权漏洞“Looney Tunables” ，攻击者可通过 GNU C 库获得 roo

重要/漏洞：主流Linux发行版本存在本地提权漏洞“Looney Tunables” ，攻击者可通过 GNU C 库获得 root 权限 漏洞编号：CVE-2023-4911 重要等级：重要 影响版本：GLIBC 2.34 原理：Linux的主流发行版本中存在一个名为“Looney Tunables”的本地提权漏洞。攻击者可以通过此漏洞利用GNU C库获得root权限。该问题主要源于GNU C库的动态加载器ld.so，当处理GLIBC_TUNABLES环境变量时，可能会发生缓冲区溢出。本地攻击者可以在启动具有SUID权限的二进制文件时，通过恶意设置的GLIBC_TUNABLES环境变量执行提权代码。此漏洞首次出现在glibc版本2.34 处置建议：CVE-2023-4911已在上游glibc中得到修复，Linux发行商正在陆续更新修复这个问题，普通用户应当尽快更新 补充：大量流行的Linux发行版上使用了GNU C 库同时将GLIBC 2.34作为默认安装的版本，包括Ubuntu、RedHat、Debian、Fedora、Gentoo都受到此问题影响，但是某些发行版（如Alpine Linux）由于使用 musl libc 而不是 glibc 而被豁免。 相关资料：

2023年值得关注的顶级Python库 || #Python

2023年值得关注的顶级Python库 || #Python 1.：一个简化大型语言模型(LLM)调用和嵌入调用的开源库，支持OpenAI格式，提供统一的输入输出格式，便于在不同模型间切换。 2.：一个简化Python应用部署的工具，允许开发者创建自安装包，支持跨操作系统，并且具有自更新功能。 3.：一个低代码Python库，专为数据科学家设计，用于构建交互式Web UI，无需掌握Web堆栈工具，支持机器学习产品的可视化。 4.：专为Apple Silicon设计的机器学习数组框架，提供NumPy风格的API，支持自动微分、向量化和计算图优化。 5.：一个全面的文本预处理工具包，能够处理多种格式的文档，如PDF、HTML和Word文档，提供清洗、格式化和信息提取功能。 6.和：一个开源MLOps框架，用于创建可移植的生产就绪机器学习管道，以及AutoMLOps服务，用于生成、配置和部署集成CI/CD的MLOps管线。 7.：OpenAI的Whisper模型的增强版本，提供更准确的时间戳和多说话人检测，以及更快的处理速度和更低的内存占用。 8.：一个框架，允许开发者使用多个agent进行对话协作，以解决任务，类似于软件工程团队的协作。 9.：一个用于指定结构和类型、验证和纠正大型语言模型输出的库，确保模型输出符合预期。 10.：一个用于处理时间序列数据的库，支持多变量时间序列、事件日志和跨源事件流。 这些库不仅展示了Python在AI领域的强大能力，也为开发者提供了更多样化的工具，以应对各种挑战。

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时 PyPI 中出现恶意软件已经是个超级平常的事情，这些恶意软件一方面针对开发者进行供应链攻击，另一方面也会窃取敏感信息包括加密钱包的数据等。尽管 PyPI 官方并未透露为什么暂停注册和提交软件，不过事后安全公司 Checkmarx 称，在关闭注册前几个小时，PyPI 遭到了黑客攻击。黑客当然不是 DDoS，而是利用一种被称为拼写错误的技术批量提交大量恶意软件，有些开发者安装软件时可能会拼错单词，黑客只要批量提交足够多的恶意软件包，那肯定会有些命中开发者。研究人员分析后发现，黑客提交的恶意软件包具有以下目的：窃取加密钱包、浏览器中的敏感数据，包括 Cookie、扩展数据等和各种凭证等，这只是第一阶段攻击，黑客还是用有效的恶意负载在重启系统后依然实现持久化。这些恶意软件可能都是自动化创建的，它们模仿流行的软件名称，PyPI 官方如果靠手动封禁账号那可能是个巨大的工程，迫于无奈只能直接暂停新用户注册以缓解问题。此次 PyPI 暂停新用户注册超过 10 个小时，之后恢复了正常，不过接下来黑客还会继续提交更多恶意软件，所以开发者们下载安装软件时一定要谨慎。 ... PC版： 手机版：