--- title: Linuxcat周刊(第6期) 打爆云账单,只需要S3桶名 tags: - 网络安全 - Apple - IBM - AI - OpenAI categories: - Linuxcat周刊 index_img: /img/weekly/2024/06/00066-3115939548.webp banner_img: /img/weekly/2024/06/00066-3115939548.webp permalink: /weekly/2024-06/index.html date: 2024-5-01 16:21:00 --- ## 1 印度某银行的IT系统破旧不堪,以至于被禁止开设新账户。 印度中央银行已禁止科塔克·马欣德拉银行(Kotak Mahindra Bank)通过其线上平台和应用程序为新客户开设账户或信用卡。 科塔克·马欣德拉银行拥有超过4100万客户,管理资产超过5000亿美元。该行在其FY 22/23年度报告中强调了年内对“强化安全措施”的重视。然而,印度储备银行对此并不满意。 > 消息来源: [The Register](https://www.theregister.com/2024/04/25/rbi_india_kotak_mahindra_bank/) ## 2 IBM 收购 HashiCorp 以加强多云 IT 自动化实力 IBM于4月24日宣布,将以64亿美元现金收购IT基础设施提供商HashiCorp IBM在新闻稿中表示,HashiCorp的基础设施与安全生命周期管理软件将补充IBM在混合云和人工智能方面的服务。收购完成后,HashiCorp将继续作为IBM内部的一个独立部门运作。 如同2018年IBM收购Red Hat一样,此次收购将进一步巩固IBM在云原生计算领域的地位。许多云原生部署已经使用了HashiCorp的Terraform多云基础设施配置工具。 > 消息来源: [thenewstack](https://thenewstack.io/ibm-purchases-hashicorp-for-multicloud-it-automation/) ## 3 美国总统拜登签署针对TikTok的“禁令”法案,使之正式成为法律 美国总统乔·拜登签署了一项包含法案的对外援助方案,该法案规定,如果中国母公司字节跳动在未来一年内未能剥离TikTok,将禁止该短视频应用。 如今,这项“剥离或禁用”法案已成为法律,标志着字节跳动需开始着手进行相关操作的计时开始。该公司最初有九个月的时间来达成交易,但如果总统认为取得进展,可再延长三个月。 > 消息来源: [The Verge](https://www.theverge.com/2024/4/24/24139036/biden-signs-tiktok-ban-bill-divest-foreign-aid-package) > 评价: 虽然我很讨厌抖音,但是让它恶心外国人还是很好的 ## 4 苹果最新的AI模型预示了AI可能如何应用于iPhone之中 苹果对于其在生成式AI领域的计划一直保持低调,但随着今天发布的新AI模型,公司显然在短期内致力于让AI在苹果设备上本地运行。 周三,来自苹果的研究人员在Hugging Face模型库发布了OpenELM系列,共包含四个非常小巧的语言模型。苹果在其Hugging Face模型页面表示,OpenELM(全称为“开源高效语言模型”)在电子邮件撰写等文本相关任务上表现出极高效率。这些模型均为开源,可供开发者直接使用。 它共有四种尺寸:2.7亿参数;4.5亿参数;11亿参数;以及30亿参数。 > 消息来源: [The Verge](https://www.theverge.com/2024/4/24/24139266/apple-ai-model-openelm-iphone-laptops-strategy) ## 5 TensorFlow AI 模型因 Keras API 缺陷面临风险 由于Keras API中存在的一个漏洞,可能导致潜在不安全代码执行,使得基于TensorFlow的AI模型面临供应链攻击的风险。 Keras是一种神经网络API,用Python编写,为深度学习软件库(如TensorFlow和Theano)提供高级接口。 被追踪为CVE-2024-3660的漏洞影响Keras 2.13版本之前的所有版本,该漏洞于上周二由CERT协调中心披露。该漏洞存在于Lambda Layers处理机制中,Lambda Layers是一种AI“构建块”,允许开发人员将任意Python代码作为匿名lambda函数添加到模型中。 > 消息来源: [SC杂志](https://www.scmagazine.com/news/tensorflow-ai-models-at-risk-due-to-keras-api-flaw) ## 6 73%的中小企业安全专家忽略了或未能及时响应关键警报 根据Coro公司的调查,由于需要管理安全堆栈中多种工具的复杂性和要求过高,使得中小企业(SMEs)的IT人员不堪重负,导致他们无法及时发现并应对严重级别的安全事件,从而削弱了企业的安全态势。 > 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/25/73-of-sme-security-pros-missed-or-ignored-critical-alerts/) ## 7 黑客利用两个零日漏洞(CVE-2024-20353、CVE-2024-20359)对Cisco ASA设备进行了后门植入 一个国家资助的威胁行为者已经成功地入侵了全球政府网络中使用的思科自适应安全设备(ASA),并利用两个零日漏洞(CVE-2024-20353,CVE-2024-20359)在这些设备上安装了后门。这一情况由思科Talos研究团队于周三分享。 首个由思科客户确认的活动发生在2024年1月初,但实际攻击始于2023年11月。“此外,我们发现了证据表明这种能力早在2023年7月就开始被测试和开发。”研究人员补充道。 > 消息来源: [helpnetsecurity](https://www.helpnetsecurity.com/2024/04/24/cve-2024-20353-cve-2024-20359/) ## 8 打爆云账单,只需要S3桶名 如果您正在使用亚马逊网络服务,并且您的S3存储桶可以从公开网络访问,那么最好不要选择一个通用的名称作为空间名。避免使用“example”,跳过“change_me”,甚至不要选择“foo”或“bar”。有人也许会有与您相同的“稍后更改此名称”的想法,但这可能会让您损失一台MacBook的金额。 问问Maciej Pocwierz吧,他恰好选择了一个S3名称,而“其中一个流行的开源工具”使用了该名称作为其默认备份配置。在为客户项目设置存储桶后,他查看了自己的账单页面,发现在一天之内有近1亿次未经授权的尝试在他的存储桶上创建新文件(PUT请求)。账单超过了1300美元且还在不断增加。 > 消息来源: [arstechnica](https://arstechnica.com/information-technology/2024/04/aws-s3-storage-bucket-with-unlucky-name-nearly-cost-developer-1300/) ## 9 神秘的“gpt2-chatbot”人工智能模型突然出现,令专家感到困惑。 近日,社交媒体开始传播一个名为“gpt2-chatbot”的新神秘聊天机器人出现在LMSYS聊天机器人竞技场上的消息。一些人推测这可能是OpenAI即将推出的GPT-4.5或GPT-5大型语言模型(LLM)的秘密测试版本。付费版本的ChatGPT目前由GPT-4 Turbo提供支持。 > 消息来源: [arstechnica.com](https://arstechnica.com/information-technology/2024/04/rumors-swirl-about-mystery-gpt2-chatbot-that-some-think-is-gpt-5-in-disguise/) ## 10 苹果“极度隐私”的Safari在欧洲并非如此隐私 苹果对欧洲反垄断规定的勉强接受,允许iPhone上的第三方应用商店,却让Safari浏览器的用户面临潜在的网络活动追踪风险。 开发者Talal Haj Bakry和Tommy Mysk调查了苹果在iOS上通过Safari实现第三方软件市场安装过程的方式,并得出了这样的结论:苹果的方法特别粗糙。 > 消息来源: [The Register](https://www.theregister.com/2024/04/30/apple_safari_europe_tracking/) ## 11 埃隆·马斯克最新的想法是将特斯拉汽车变成轮上的AWS。 特斯拉这家电动汽车制造商正在考虑一个极具盈利性的点子——利用其车辆中的所有计算能力来处理工作负载以赚取现金,就像是一种轮上的AWS。 由埃隆·马斯克领导的这家公司在其最近的日历第一季度财报电话会议上表示,他们注意到其车辆有相当一部分时间只是闲置不动。许多车辆都装备了相当数量的处理能力,那么为什么不让它们做些有用的事情,也为公司赚些钱呢? > 消息来源: [The Register](https://www.theregister.com/2024/04/30/tesla_ai_workloads/) ## 12 数百万个 Docker 存储库在推送恶意软件和钓鱼网站 自2021年初以来,已发现三次大规模活动针对 Docker Hub 用户,植入了数百万个存储库,推送了恶意软件和钓鱼网站。 据JFrog安全研究人员发现,Docker Hub托管的1500万个存储库中约有20%含有恶意内容,从垃圾邮件到危险的恶意软件和钓鱼网站不等。 研究人员发现了近460万个不包含 Docker 镜像的存储库,这些镜像无法在 Kubernetes 集群或 Docker 引擎上运行,并且将约281万个存储库与三个大规模的恶意活动联系起来。 > 消息来源: [bleepingcomputer](https://www.bleepingcomputer.com/news/security/millions-of-docker-repos-found-pushing-malware-phishing-sites/)