此新闻已过时，更新已发布于

此新闻已过时，更新已发布于 突发！Thawte 根证书被吊销 金蝶等部分软件无法打开 附临时解决方案 附金蝶 KIS 下载地址，IT 测试可用 Reddit 上也有人开始报告同一批被吊销的根证书开始影响软件运行 ==== 被子饼 ==== 看了一下我们自己的金蝶 KIS 云专业版 V15.1，RAR 里的安装包和装好的可执行文件都是没有数字签名的 16.0 确实是用这个根证书下的证书签的，而且没做时间戳，其实年初证书就过期了，但是不影响使用，仅仅是 UAC 会弹，这次根证书被吊销直接变成了 此前 微软只是对这个根做了 ，更是只影响 TLS，不应该影响老的代码签名证书；包括 此前签发的证书在微软平台可以继续使用，而金蝶的这个证书是 20 年签发的，早于上述所有政策 这次微软是直接对这个根做了 ，确实是把他吊销了，就是这个月的事情 DisallowedTime = "8/1/2023 8:00 AM" 搜了一圈，包括评论区的资料，没有任何与本次事件有关的信息，吊销根证书是很严肃的事情，感觉就是微软搞砸了 看了一下这次 Disallow 的所有证书，大部分是 21 年 2 月做的 NotBefore 标记，剩下的有些是已经过期的根，有些是对特定 EKU 做的 Disallow；按照这个日期计算，这些根证书所签发的证书到目前为止应该已经全部过期 我个人的调查结果是，因为金蝶没有做时间戳签名，因此在微软 Disallow 这个根证书的时候遭了殃；微软会例行 Disallow 过期的根证书，以及那些已经不存在任何仍然有效子证书的根证书 做了时间戳签名的二进制，即使在代码签名和时间戳签名两个根证书双双过期且 Disallow 的条件下，Windows 也不会阻止运行 不确定微软是否会对此次事件发表评论 AuthRoot 存档备份于

微软又忘记更新TLS证书导致网站无法正常加载 而且已经过期超过25天

微软又忘记更新TLS证书导致网站无法正常加载 而且已经过期超过25天 6 月 28 日 Microsoft 365 某个 CDN 链接忘记更新证书导致全球大量用户受到影响，不过还有个地址证书过期已经超过 25 天还没有更新。这个地址是微软 SwiftKey 键盘的支持网站： 该网站已经被迁移到主域名下，因此其实际作用就是负责跳转到主域名。其使用的数字证书已经在 2024 年 6 月 10 日过期，因此目前用户访问是会被浏览器直接拦截，如果用户点击高级选项并继续访问，那么可以继续实现跳转。虽说这是个废弃的域名不过因为还负责进行 301 重定向，所以还有一点点用处的，对微软来说应当继续更新证书提供访问，亦或者选择直接彻底废弃这个域名不要再使用。微软在 2016 年花费 2.5 亿美元收购了 SwiftKey 键盘 (即输入法)，到 2022 年微软突然宣布要放弃 SwiftKey for iOS 版，引起不少用户抗议后微软放弃这个想法并继续提供更新。现在该输入法已经集成了人工智能应用 Copilot，从口碑来说这还是个挺不错的输入法，在国外有不少用户长期使用。 ... PC版： 手机版：

微软蓝屏疑因网安公司 CrowdStrike 更新导致，此事是否暴露了微软的软件管理缺陷问题？

微软蓝屏疑因网安公司 CrowdStrike 更新导致，此事是否暴露了微软的软件管理缺陷问题？ Ivony的回答 恰恰相反，微软的管理策略才是对的。 这一点虽然反直觉但实际上是几十年前就讨论烂的问题。 我们假设微软在Windows上设置了软件安全管理策略并且由微软总部统一控制，所有驱动程序如果不经微软签名认证就无法通过任何途径安装在电脑上，再对所有硬件设备统一内置安全芯片，禁止通过微软签名的应用程序获得ring0权限。 没错，短期内这样当然是更安全了。 那我就问你一个问题，中国政府还能不能用？ 其实很多开源中毒的人总是会片面的强调源代码开放的重要性。 我可以直白的讲，这样做了之后微软可以完全开源，他根本不怕你破解Windows或者创造出其他拷贝。因为微软可以掌控任意一台设备随时让他用不了。那怎么还会有盗版的问题？ 核心链条的安全性完全基于RSA的数学原理，只要数学原理上没有突破，微软公司就可以完全掌控所有设备。 就算你找到了源代码的漏洞，因为上述核心安全链条的构建，你永远无法拿到ring0的权限，也就是说微软随时可以通过OTA夺回设备的控制权…… 我们干脆把加密芯片和密钥直接内置到CPU核心里面，这样一来可以完成全封闭的产业链，而美国政府只需要控制这个产业链的核心供应商，就可以随时向全球发起信息系统攻击。 托大点儿说，你要知道正是因为微软没有完全管控你的设备和软件，才可以最终避免人类社会的毁灭……而你却嫌死的不够快…… 所以，如果你能理解上面这个例子，你自然就能想到所谓的什么所有驱动程序都需要WHQL的签名这种事情是不可能发生的。我问你一个涉密的国密设备如何让微软给你签名？我企业内控用的的加密狗怎么送给微软签名？ 然而真正值得注意的是，在互联网时代成长出来的新一代程序员，已经把静默更新，操作系统全权接管设备、远程控制等等事情当作理所当然，并认为这才是安全的表现。而这群人彻底取代现有的软件从业者之后，世界总会要来次大的…… 因为人类能从历史中学到的唯一教训就是人类从来不会吸取任何教训…… 说句托大的话，其实你的电脑安装了一个安全软件之后，这个电脑的系统其实就不是Windows了，因为这是你自己的选择。就像你将电脑加入某个域之后，这个设备也不是你的了。 不好意思，这，才是企业安全的标准实践…… 而将所有的安全寄托于某一家公司，即便这家公司是微软，也是将自己置于险境的行为…… 然而，在互联网和开源社区中成长起来的这一代人，从来都是大家都在用那么肯定没问题。从来都不会去探究背后的事实和原理。 有一些半桶水，为啥不直接点一下上面的知乎直答搞清楚你所了解的事实是啥呢？ https://zhida.ai/share/7393658926908158746?utm_psn=1798099653700501504 然后这些半桶水应该认为支付宝非常安全…… 网上流传的所谓「支付宝偷偷添加根证书，将造成安全隐患」的说法是否正确？ via 知乎热榜 (author: Ivony)

美国网络安全审查委员会报告称微软本可阻止中国黑客针对Exchange系统的攻击

美国网络安全审查委员会报告称微软本可阻止中国黑客针对Exchange系统的攻击 美国国土安全部（DHS）发布了一份措辞严厉的报告，认为这次黑客攻击是"可以预防的"，微软内部的一些决策导致了"企业文化将企业安全投资和严格的风险管理置于次要地位"。黑客使用获取的微软账户（MSA）消费者密钥伪造了访问网络 Outlook（OWA）和的令牌。报告明确指出，微软仍不确定密钥到底是如何被盗的，但主要的推测是密钥是崩溃转储文件的一部分。微软在 9 月份公布了这一理论，并在最近更新了博客文章，承认"我们没有发现包含受影响密钥材料的崩溃转储"。由于无法访问崩溃转储，微软无法确定密钥到底是如何被窃取的。微软在其更新的博文中说："我们的主要假设仍然是，操作失误导致密钥材料离开了安全令牌签名环境，随后在调试环境中通过一个被泄露的工程账户被访问。"微软 Exchange Online 黑客攻击事件的时间轴微软在 11 月向网络安全审查委员会承认其 9 月份的博客文章不准确，但"在委员会多次询问微软是否计划发布更正"后，微软在几个月后的 3 月 12 日才更正了该文章。虽然微软全力配合了委员会的调查，但结论是微软的安全文化需要彻底改变。网络安全审查委员会表示："委员会认为，这次入侵是可以预防的，根本不应该发生。"委员会还得出结论，"微软的安全文化不足，需要进行彻底改革，特别是考虑到该公司在技术生态系统中的核心地位，以及客户对该公司保护其数据和业务的信任程度。"就在委员会得出这一结论的同一周，微软推出了其专为网络安全专业人士设计的人工智能聊天机器人Copilot for Security。作为消费模式的一部分，微软将向企业收取每小时4美元的费用，以使用这一最新的人工智能工具。Nobelium 是SolarWinds 攻击事件的幕后黑手，它曾在数月内偷窥了一些微软高管的电子邮箱。微软最近承认，该组织访问了公司的源代码库和内部系统。继去年美国政府电子邮件泄露事件和近年来类似的网络安全攻击事件之后，微软公司目前正试图全面改革其软件安全。微软新的"安全未来计划"（Secure Future Initiative，SFI）旨在全面改革其软件和服务的设计、构建、测试和运行方式。这是自2003年破坏性的Blaster蠕虫病毒导致Windows XP机器大面积中招后，微软于2004年推出安全开发生命周期（SDL）以来，在安全方面做出的最大改变。 ... PC版： 手机版：

据报道，声称入侵西部数据公司(Western Digital)的黑客从该公司窃取了约10tb的数据，并将其作为抵押品。

据报道，声称入侵西部数据公司(Western Digital)的黑客从该公司窃取了约10tb的数据，并将其作为抵押品。 采访了这些黑客，他们似乎控制了西部数据的代码签名证书，属于公司高管的私人电话号码，窃取了SAP后台数据，甚至设法获得了西部数据微软Azure实例的管理员权限。 黑客正试图谈判支付“至少8位数”的赎金，以不发布被盗数据。Western Digital拒绝对这种情况发表评论，该公司目前正在与执法当局协调，并与外部安全和法律专家合作。 Western Digital承认，黑客“访问了该公司的一些系统”，网络安全事件于3月26日首次被发现，一周后披露。虽然TechCrunch声称客户数据的“reams”被盗，但该报告没有详细说明什么。 标签: #西部数据 #数据泄露 频道: @GodlyNews1 投稿: @GodlyNewsBot

要把开源管起来 还要“一举两得”限制中国 加州SB-1047法案被LeCun骂惨了

要把开源管起来 还要“一举两得”限制中国 加州SB-1047法案被LeCun骂惨了 这位Dan Hendrycks是美国AI政策领域的后起之星，2023年被《时代周刊》评选为全球百大AI人物之一。博士毕业于UC Berkeley计算机科学系，曾发明GELU激活函数和神经网络鲁棒性基准。目前担任旧金山非营利组织AI安全中心（CAIS）主任和xAI的安全顾问。图：The Boston Globe作为SB-1047的重要参与者和推动者之一，Hendrycks一直在多个平台大力宣传该法案，提醒公众警惕先进AI带来的社会风险。他在Yann LeCun转发的这则采访中指出：人工智能将“从执行日常任务到摧毁整个宇宙”，它虽不懂人类是什么，但会寻求权力并表现得”自私”，而美国加大AI监管也会“一举两得”地扼制中国人工智能发展。此番言论马上被一大批科技人士痛批“bullshit”，对这个SB-1047法案也是深恶痛绝。因为它表面看似为增强AI模型安全性、透明度、促进公平竞争做出的立法努力，实则会让开发者背负沉重负担，很可能扼杀创新，给AI初创公司和开源社区带来巨大的负面影响。a16z合伙人Martin Casado称SB-1047“是一场灾难，会攻击AI创新，伤害研究人员、学者和创业公司。”什么是加州SB-1047法案？SB-1047 法案，全称为“前沿人工智能安全创新法案（Safe and Secure Innovation for Frontier Artificial Intelligence Act）”，由加州参议员Scott Wiener在今年2月首次提出。目的是“为大规模人工智能系统的开发和部署设立严格安全标准，以确保其安全性并防止潜在重大危害。”该法案针对超过10^26次浮点运算能力（FLOPs）和1亿美元训练成本，以及任何基于以上AI模型微调的、运算能力不少于3 倍10^25 FLOPs的智能系统。几乎把现在市面所有主流大模型囊括在内。主要内容包括要求开发者进行部署前的安全评估，实施强有力的网络安全保护，具备紧急关停模型的能力，提交年度合规认证，72小时内上报安全事件等。另外还要求开发者对其模型的下游使用或修改承担法律责任。换言之，但凡有人用你的模型做了“坏事”，你就要“连坐受罚”，跟古代皇宫里“株连九族”差不多意思。在开始训练之前，开发者需要保证他们的模型不会被用来或提供"危险能力"，并实施一系列保障措施来防止未经授权的访问或滥用，还必须要立下“书面字据”。一个新成立的“前沿模型司（Frontier Model Division）”将负责监督新法规的执行。它将隶属于加州技术部，由向开发者收取的费用和罚款来资助。向该机构虚假陈述模型能力可能会因伪证罪而入狱。同时条款明文写着“鼓励告密”，呼吁AI公司内部员工报告雇主的不合规行为，且不会因此而遭到报复不知为什么，总觉得这机构满满的反派感。目前该法案的进度是，已于5月21日在加州参议院获得两党支持通过，正在众议院审议中。6月20日刚进行了最新阅读和修订，计划7月2日举行听证会，并最终在8月进行议会投票。一旦投票通过，只需州长盖文纽森一个签名，SB-1047就将正式确立为加州法律，成为悬在所有硅谷AI从业者头顶的一把大刀。极限高压严管， SB-1047将怎样影响AI开发者？只通篇略读，就已经觉得这个法案槽点太多，群起反抗迫在眉睫。加州是全球人工智能的创新热土：坐拥学术重镇斯坦福大学、加州理工、伯克利、南加大、UCLA，是Meta、Google、微软等科技巨头和OpenAI、Anthropic这些业内领军企业的总部所在地，更别提遍地涌现的AI独角兽、技术实验室和开源社区。颁布这样一条法案弊远大于利，当然引来Yann LeCun等许多权威人士的严辞抵制。首先是“受管制模型” CEO、fastai库作者Jeremy Howard指出其定义方法过于宽泛，很可能把大量风险极小的开源模型包括在内，进而误将从事有益AI项目的善意开发者活动归为犯罪。a16z普通合伙人Anjney Midha认为，随着算法效率的提升和计算成本的下降， 10^26 FLOPs的阈值将很快覆盖比科技巨头开发的最大、最尖端模型多得多的模型，这将真正伤害到大批AI初创公司。而关于“1亿美元训练成本”的界定也十分模糊。它应该包括研究人员薪资吗？是包含历代模型还是只计算最终版本，模型对齐的人类反馈费用怎么算？若是从别人的模型微调而来，那基础模型的成本又是否涵盖在内？这些都是没有明确答案的开放性问题，给小型开发者带来巨大的应对负担。接下来是批判声浪最大也最荒谬，对模型开发者施加民事甚至刑事责任的22603条款。该细则要求开发人员在训练模型之前，必须采取一系列措施防止滥用，包括实施网络安全保护、关键时刻能不考虑用户紧急关停模型等。此外，存在潜在风险的模型不得用于商业或公共用途。开发人员每年要重新评估安全措施，提交合规证明。2028年开始必须获得第三方审计员的合规证书。还要评估模型是否可能导致“严重危害”，确保能够准确追踪其衍生行为及后果。由于上述疏忽而出现AI安全事故的话，第一开发者将负连带责任。也就是前面说过的，当素不相识的下游用户做出一些不法行为时，基础模型开发者将成为共同受罚的冤大头。好比让汽车制造商对每一起驾驶员造成的事故负责，简直离大谱。Jeremy Howard在评论中写道，“AI模型是计算机上运行的通用软件，就像计算器或网络浏览器。模型的创建者无法确保模型未来不会被用于有害用途，就像网络浏览器不能决定打开什么网页一样。”这也是SB-1047法案的根本缺陷 它不是专注于滥用和恶意用户，反而试图监管模型和基础设施，把如此繁重的负担放在了初创公司、创始人和工程师身上。DeepLearning.AI创始人吴恩达在X撰写长文，称“安全性是应用程序的属性，而不是技术或模型的属性….如果有机会，我希望您能加入发声，共同反对这一法案。”接着来到22604条款，对运营计算集群的人员来说，当客户使用其算力资源训练“前沿模型”时，要收集客户的身份信息、支付方式和联系方式，包括相关金融机构、信用卡号码、账户号码、交易标识符或虚拟货币钱包地址等。而且，还要保留客户的IP地址和访问记录长达七年，每年对用户行为和意图进行评估，也要在海关、边境总署备案。诸如这样不合理的责任条款还有很多，那它们带来的实际效果会是什么呢？a16z合伙人Anjney Midha认为，它将把先进AI开发推向地下或海外，“创始人将把公司业务转移到一个监管环境更明智的辖区，而加州甚至美国将失去这些机会，就这么简单。”并且由于合规成本的增加，企业或个人开发者在开源大模型权重上会非常谨慎。而开源一直是软件技术进步的关键推动力，提供了许多现代人工智能基本构建块。事实上，生成式 AI浪潮正是源自Google实验室的Transformer架构，然后由OpenAI 去开创和继续。Mistral和Meta们的开源模型对下由贡献不可估量，今天的一切都是开源合作的结果，而这项法案会大大减缓其发展。Yann LeCun解释说，“SB-1047 的级联责任制将使开源 AI 平台面临极大风险。没有开源 AI，就没有 AI 初创公司生态系统，也没有大模型的学术研究。Meta 会没事，但 AI 初创公司将会死亡。在我看来，这才是末日景象。”Y Combinator掌门人Gary Tan表示，“SB-1047将对加州的 AI 发展产生强烈的寒蝉效应。”Kentauros AI CEO 、前Red Hat高级架构师Daniel Jeffries认为这根本不是一项AI安全法案，而是一匹“特洛伊木马”。真正目的是让一小撮反AI极端分子拥有关闭先进AI的权力，同时给加州的科技产业制造麻烦。“不要让模型对别人的犯罪负责。没人因为安然公司有人用Excel诈骗投资者就惩罚微软，该惩罚的是安... PC版： 手机版：