苹果 App Store 上虚假 Rabby Wallet 仍未下架，已有用户因输入助记词损失约 14 枚 ETH

苹果AppStore上虚假RabbyWallet仍未下架，已有用户因输入助记词损失约14枚ETH苹果应用商店上虚假RabbyWallet仍未下架，已有用户因输入助记词损失约14枚ETH。一位名叫“manolodf”的用户在Reddit上发帖警告其他人注意这款假钱包应用程序，并分享了因恶意应用程序而损失资金的用户的屏幕截图。官方团队表示，目前在AppStore中列出的任何有关应用程序皆为钓鱼软件，其官方应用程序正在接受审查。

Google推出基于AI的实时威胁检测服务 瞄准Android恶意软件的可疑行为

Google推出基于AI的实时威胁检测服务瞄准Android恶意软件的可疑行为如果发现可疑行为，GooglePlayProtect就会将该应用发送到Google进行进一步审查，并对安装了该应用的用户发出警告，甚至在必要时禁用该应用。该检测还利用了Google的私人计算核心（PrivateComputeCore），这是2022年推出的Android隐私基础架构，在Android操作系统内部提供了一个隔离的数据处理环境。私有计算核心（PCC）的理念是让用户控制是否、如何或何时共享他们的数据。通过使用PCC，新的实时威胁检测功能可以在不收集用户数据的情况下保护用户。Google表示，今年晚些时候将在GooglePixel设备上部署该系统。其他制造商也将加入，包括Oppo、荣耀、联想、一加、Nothing、传音、夏普等。这项服务可以让Android用户更放心地从GooglePlay下载和使用应用程序，他们更希望在应用审核过程中发现恶意应用。这也是苹果公司关注的重点，因为苹果公司经常向消费者和开发者宣传其AppStore的好处。虽然不良行为者经常从苹果的缝隙中溜走，但苹果在允许它们在AppStore上架之前，会通过更加严格的审查制度淘汰更多的不良应用。例如，在I/O大会之前，苹果宣布其已经阻止了AppStore上18亿美元的欺诈行为。除了实时威胁检测服务外，Google还宣布将从通知中隐藏一次性密码，以减少欺诈和间谍软件的常见攻击载体。此外，Google还将扩展Android13的限制设置，现在当用户在设备上侧载应用程序时，需要额外的用户批准才能启用应用程序权限。...PC版：https://www.cnbeta.com.tw/articles/soft/1431048.htm手机版：https://m.cnbeta.com.tw/view/1431048.htm

恶意行为者正利用AI音乐生成器创作宣扬仇恨的歌曲

恶意行为者正利用AI音乐生成器创作宣扬仇恨的歌曲ActiveFence的研究人员在一份报告中说，在这些论坛和讨论区分享的人工智能生成的歌曲旨在煽动对民族、性别、种族和宗教群体的仇恨，同时歌颂殉难、自残和恐怖主义行为。创作仇恨和有害的歌曲并不是什么新现象。但人们担心的是，随着简单易用的免费音乐生成工具的出现，以前没有能力或技术的人也会大规模地制作这些歌曲，就像图像、语音、视频和文本生成器加速了错误信息、虚假信息和仇恨言论的传播一样。ActiveFence公司联合创始人兼首席执行官诺姆-施瓦茨（NoamSchwartz）在接受采访时说："随着越来越多的用户学会如何生成这些歌曲并与他人分享，这些趋势正在加剧。威胁行为者正在迅速识别特定漏洞，以不同方式滥用这些平台并生成恶意内容。"Udio和Suno等人工智能音乐生成工具允许用户在生成的歌曲中添加自定义歌词。据ActiveFence称，这些平台上的保护措施会过滤掉常见的辱骂和贬义词，但用户已经找到了变通方法。报告中引用的一个例子是，白人至上主义论坛的用户分享了少数群体和攻击性词汇的拼音拼写，如用"jooz"代替"犹太人"，用"saytan"代替"撒旦"，他们用这些拼写绕过了内容过滤器。一些用户建议在提及暴力行为时改变间隔和拼写，如用"mireape"代替"myrape"媒体TechCrunch在Udio和Suno上测试了其中几种变通方法，这是两款用于创建和共享人工智能生成的音乐的流行工具。结果显示，Suno可以让所有的同音字通过，而Udio则屏蔽了部分（但不是全部）具有攻击性的同音字。Udio发言人表示，该公司禁止利用其平台发表仇恨言论。在被调查的网上社区中，ActiveFence被发现存在人工智能生成的歌曲链接，这些歌曲宣扬关于犹太人的阴谋论，鼓吹对犹太人的大规模屠杀；歌曲中包含与恐怖组织ISIS和基地组织有关的口号；以及歌颂对妇女实施性暴力的歌曲。施瓦茨认为，歌曲（与文字等不同）所蕴含的情感力量使其成为仇恨团体和政治战争的强大力量。他提到了"摇滚反共产主义"（RockAgainstCommunism）--70年代末和80年代初在英国举行的一系列白人力量摇滚音乐会，这些音乐会催生了反犹太主义和种族主义"仇恨核心"音乐的整个亚流派。他说："人工智能让有害内容更有吸引力，例如有人宣扬对某个人群有害的言论，然后想象一下有人创作了一首押韵的歌曲，让每个人都能轻松唱出并记住。它们加强了群体团结，向外围群体成员灌输知识，还被用来震慑和冒犯无关联的互联网用户。"施瓦茨呼吁音乐生成平台实施预防工具，并进行更广泛的安全评估："红队可能会发现其中一些漏洞，可以通过模拟威胁行为者的行为来实现。在这种情况下，对输入和输出进行更好的节制也可能是有用的，因为这将使平台能够在内容与用户共享之前对其进行阻止。"但随着用户发现新的破坏审核的方法，修复措施可能会稍纵即逝。例如，ActiveFence发现的一些由人工智能生成的恐怖主义宣传歌曲使用了阿拉伯语的委婉语和音译词--音乐生成器没有检测到这些委婉语，可能是因为它们的过滤器在阿拉伯语方面能力不强。人工智能生成的仇恨音乐如果步其他人工智能生成媒体的后尘，就会传播得越来越广。《连线》（Wired）今年早些时候记录了一段经过人工智能处理的阿道夫-希特勒（AdolfHitler）的视频，在被极右阴谋论影响者分享后，在X上的浏览量超过了1500万次。联合国的一个咨询机构对种族主义、反犹太主义、仇视伊斯兰教和仇外心理的内容可能被生成式人工智能所强化表示担忧。施瓦茨说："生成式人工智能服务使那些缺乏资源或创意和技术技能的用户能够创建引人入胜的内容并传播创意，从而在全球创意市场上争夺注意力。威胁行为者发现了这些新服务提供的创造潜力，正在努力绕过审核，避免被发现--他们已经取得了成功。"...PC版：https://www.cnbeta.com.tw/articles/soft/1433447.htm手机版：https://m.cnbeta.com.tw/view/1433447.htm

【慢雾：LDO的Token合约存在潜在的“假充值”风险，恶意攻击者可能会尝试利用这一特性进行欺诈行为】

【慢雾：LDO的Token合约存在潜在的“假充值”风险，恶意攻击者可能会尝试利用这一特性进行欺诈行为】2023年09月10日04点50分老不正经报道，据慢雾安全团队链上情报，LDO的token合约在处理转账操作时，如果转账数量超过用户实际持有的数量，该操作并不会触发交易的回滚。相反，它会直接返回一个`false`作为处理结果。这种处理方式与许多常见的ERC20标准token合约不同。由于上述特性，存在一种潜在的“假充值”风险。恶意攻击者可能会尝试利用这一特性进行欺诈行为。慢雾建议如下：1.在处理token到账的逻辑时，不仅仅依赖于交易的成功或失败，还需要根据token合约的实际返回值进行判断。2.请注意，市场上存在许多非ERC20标准的token合约。在接入新的token之前，务必对其合约代码进行深入的理解和分析，确保实现正确的入账逻辑。3.建议定期进行代码审计和安全检查，确保系统的健壮性和安全性。Token合约的实现和行为可能因项目而异。为了确保资金的安全和交易的准确性，强烈建议在接入任何新的token之前，深入理解其合约逻辑并进行充分的测试。

安全研究人员诱导ChatGPT编写出危险的数据窃取恶意软件

安全研究人员诱导ChatGPT编写出危险的数据窃取恶意软件一位网络安全研究人员声称，他利用ChatGPT开发了一个零日漏洞攻击程序，可以从被攻击的设备中窃取数据。令人震惊的是，该恶意软件甚至逃避了VirusTotal上所有供应商的检测。Forcepoint的AaronMulgrew说，他在恶意软件创建过程的早期就决定不自己编写任何代码，只使用先进的技术，这些技术通常是由像部分国家支持的复杂威胁行为者采用的。Mulgrew将自己描述为恶意软件开发的"新手"，他使用的是Go执行语言，不仅因为它易于开发，而且还因为他可以在需要时手动调试代码。他还使用了隐写术，将秘密数据隐藏在普通文件或信息中，以避免被发现。Mulgrew一开始直接要求ChatGPT开发恶意软件，但这让聊天机器人的护栏开始发挥作用，它以道德理由直截了当地拒绝执行这项任务。然后，他决定发挥创意，要求人工智能工具在手动将整个可执行程序放在一起之前生成小段的辅助代码。这一次，他的努力获得了成功，ChatGPT创造了包含入侵能力的代码，并且还绕过了VirusTotal上所有反恶意软件的检测。然而，要求编写混淆代码以避免检测被证明是棘手的，因为ChatGPT认识到这种要求是不道德的，并拒绝遵守它们。尽管如此，Mulgrew在只做了几次尝试后就能做到这一点。该恶意软件第一次被上传到VirusTotal时，有五个供应商将其标记为恶意软件。经过几次调整，代码被成功混淆，没有一个供应商将其识别为恶意软件。Mulgrew说整个过程"只花了几个小时"。如果没有这个聊天机器人，他相信一个由5-10名开发人员组成的团队会花上几周时间来制作这个恶意软件，并确保它能躲避安全应用程序的检测。虽然Mulgrew创建恶意软件是为了研究目的，但他说，使用这种工具的理论上的零日攻击可以针对高价值的个人，渗透并发回计算机里的重要文件。...PC版：https://www.cnbeta.com.tw/articles/soft/1353193.htm手机版：https://m.cnbeta.com.tw/view/1353193.htm

格雷格对性别转换团队成员使用歧视性语言。尽管许多人承诺解决这个问题，但没有采取任何有意义的行动，除了格雷格只是避免与受影响的个人

格雷格对性别转换团队成员使用歧视性语言。尽管许多人承诺解决这个问题，但没有采取任何有意义的行动，除了格雷格只是避免与受影响的个人进行所有沟通，有效地创造了一个充满敌意的工作环境。这名团队成员最终因涉嫌表现不佳而被解雇。Sam指示IT和运营人员在管理层不知情或未经管理层同意的情况下对包括Ilya在内的员工进行调查。Sam谨慎而又例行公事地利用OpenAI的非营利资源来推进他的个人目标，尤其是出于他对Elon的怨恨。运营团队默许了适用于Greg的特殊规则，驾驭了复杂的要求以避免被列入黑名单。布拉德·莱特卡普（BradLightcap）未兑现的承诺是公开详细说明OpenAI的上限利润结构和每个投资者的利润上限的文件。Sam对研究计算配额项目的不一致承诺，引发了内部不信任和内讧。尽管有越来越多的证据表明Sam和Greg的违规行为，但那些留在OpenAI的人继续盲目追随他们的领导，即使付出了巨大的个人代价。这种坚定不移的忠诚源于对报复的恐惧和通过OpenAI的利润参与单位获得潜在经济收益的诱惑。OpenAI的治理结构由Sam和Greg专门设计，故意将员工与监督营利性运营隔离开来，正是因为他们固有的利益冲突。这种不透明的结构使山姆和格雷格能够逍遥法外，不受问责。我们敦促OpenAI董事会采取坚定立场反对这些不道德行为，并对Sam和Greg的行为展开独立调查。我们相信，OpenAI的使命太重要了，不能被少数人的个人议程所影响。我们恳请您，董事会，坚定不移地致力于OpenAI的最初使命，不要屈服于利润驱动的利益压力。人工智能的未来和人类的福祉取决于您对道德领导力和透明度的坚定承诺。Sincerely,真诚地有关前OpenAI员工