嗨,這裡是《TO》本週資安事件懶人包,一樣告訴你本週數個與資訊安全有關的新聞事件:從 Azure 出現巨大資安漏洞、AI 算圖工具 Midjourney 生成過於真實的川普被捕照片,一路到駭客可以遠端關掉特斯拉車燈等等,帶你回顧這一週的資安大小事。

(1)利用 AI 算圖工具 Midjourney 生成過於真實的川普被捕照片,使用者沒獲得解釋就被停權

Twitter 上近來瘋傳數張由 AI 算圖工具 Midjourney 生成的「川普被捕照」,由於川普的確在近來面臨刑事指控,加上照片實在過於逼真、富有戲劇張力,因此在全球社群平台上引起廣大迴響。這也引起了部分人士的擔憂:人類是不是還沒為全新 AI 時代做好準備?

在 Twitter 上一個被廣傳的推文串,是由總部設在荷蘭的事實查核團體「冒險者」(Bellingcat)創辦人希金斯(Eliot Higgins)運用 Midjourney 算出的數張具有戲劇張力的「川普被捕照」。後來希金斯在沒有獲得任何解釋的情況下被踢出 Midjourney 的 Discord 伺服器,無法使用其服務。

華盛頓郵報》在 30 日的一篇文章中指出,Midjourney 是近來生成式 AI 中的當紅炸子雞,但事實上這間小公司才誕生 1 年,直到去年 9 月都只是個 10 人團隊,並且沒有任何投資者。在文章中,《華盛頓郵報》以「幾乎沒有內部規則可言的小公司」來形容 Midjourney。例如,Midjourney 允許使用者生成全世界領導人的圖像,卻把中國領導人習近平視為例外。

甘迺迪總統(President John F. Kennedy)用步槍瞄準某人的假照片看起來沒有太大問題。Reddit 一名網友形容,這些假照片將讓 2100 年的人們無法辨識什麼是史實。

該篇文章點出,這種雙重標準表明,包括 Midjourney 在內的這些強大的、早期的 AI 算圖公司是毫無規則可言的,或說是倉促地為其產品制定規則的:各個公司各自決定什麼能被允許、什麼不行,在 Midjourney 可以做的某些事情,換個 AI 算圖平台,如 Stable Diffusion、DALL-E 等可能就不被允許。

「AI 已經緩慢燃燒了很長一段時間,現在卻如野火一般。」麻省理工學院開放紀錄片實驗室的 Katerina Cizek 說道。AI 真的進展得太快,讓人類沒能做好準備嗎?

(2)Azure 出現巨大資安漏洞!他人 Outlook 郵件內容、Teams 聊天紀錄全看光

THE VERGE》報導,今年稍早在微軟的 Bing 搜尋引擎中檢測到一個危險漏洞,這個漏洞能讓使用者更改搜尋結果,並且從 Teams、Outlook、Office 365 等工具中訪問其他用戶的個人資訊,包括電子郵件內容、聊天內容、日曆、文件等等。

以色列知名資安新創獨角獸 Wiz 在今年 1 月份就發現了微軟雲平台 Azure 中的一個錯誤配置危及了 Bing,該公司 CEO Ami Luttwak 指出,潛在的攻擊者可能會藉此假造 Bing 的搜尋結果,並且危及數百萬人的數據。

Wiz 已在 1 月 31 日向微軟的安全響應中心(Microsoft Security Response Center)報告了這項漏洞,微軟已在今年 2 月 2 日修補完成。《THE VERGE》指出,在推出擁有 AI 聊天功能的新 Bing 之後,Bing 人氣大大飆升,本月稍早達到了破億日活躍用戶數的里程碑,並且是世界上訪問量第 30 大的網站,若沒有在幾天前修復這項問題,「Bing 的爆炸式成長將是危險的」。

(3)駭客可以遠端關掉特斯拉車燈、幫車主亂按喇叭

TechCrunch》報導,安全研究人員在上周於溫哥華舉辦的 Pwn2Own 大會上展示了特斯拉的安全漏洞,只要 3 個漏洞串聯在一起,駭客就能遠端入侵特斯拉,這包括:關閉車燈、按喇叭、打開後車箱、打開雨刷、擾亂車內娛樂系統等等。

Pwn2Own 是歷史悠久、獎金豐厚的電腦駭客挑戰賽,安全研究人員將在此大賽中從各類軟硬體中找出未發現的漏洞。這場大賽最為著名的是:「破解就能帶走」,這代表,如果安全研究人員成功駭進特斯拉,就能獲得該輛汽車。該比賽受到了如特斯拉、微軟、Zoom 等大型企業的高額獎金贊助,希望能鼓勵這些資安研究人員找出該公司旗下產品的錯誤。

特斯拉對此回應,正在努力為修補這些漏洞製作補丁,更新很快就會推送至汽車上,特斯拉也強調駭客仍無法打開或關閉汽車,也無法遠端控制方向盤。

不過,其中一位安全人員指出,「(特斯拉)說我們無法控制方向盤、加速或煞車,但根據我們對汽車架構的理解,我們不確定這是正確的,但我們沒有證據。」

《TechCrunch》指出,這位安全人員打算在把獲得的特斯拉開回家後立即進行試驗,看看特斯拉所言是否為真。此次成功駭進特斯拉並獲獎的安全團隊也強調,儘管存在這些漏洞,但特斯拉在防駭方面仍然做得很好,也有很好的網路連線能力,「因此他們需要更注意安全,因為他們可能比其他汽車更容易成為目標。」

(4)向臉書、IG 上的「精準廣告」說再見?Meta:僅限歐洲

Meta 旗下 Facebook、Instagram 時常出現令人不是太舒服、內容太過精準的廣告,現在使用者可望擺脫這種被老大哥緊盯的監視感,但僅限歐洲。

《華爾街日報》報導,為了限制一項歐盟隱私法令的影響,Meta 可能做出讓步,讓歐洲的使用者可以選擇「不接受某些高度個性化的廣告」,也就是說,歐洲的 Facebook、IG 使用者不會再因為他們觀看、點擊了什麼內容而收到相應的廣告,Meta 僅會基於大致的年齡範圍、大略位置來向這些用戶投放廣告。

Mark Zuckerberg Smile GIF - Find & Share on GIPHY

不過這件事情背後錯節盤根,《TO》將另外整理完整資訊,帶讀者了解事件全貌以及可能的影響。

本圖/文由「Techorange科技報橘」授權刊登,非經同意不得任意轉載。
原文出處:【本週資安事件懶人包】你這週看過「川普被捕照」嗎?Midjourney 假圖拉開「眼見不為憑」時代序幕