开源模型 Inkling 问世与 Gold Eagle 平台上线:AI 安全新动态
点击蓝字 关注我们
资讯速递
人工智能应急安全标准编制工作启动,网安标委开放行业申报
美国发布 Gold Eagle 平台,利用 AI 加速漏洞发现与修复协作
开源 AI 模型 Inkling 登场,强调本地可控与业务自主微调
英国开启关键云服务监管,AWS、Azure、Google Cloud 受金融监管
一键触发千次攻击,AI 已能独立完成黑客全流程操作
微软发布创纪录的 570 项安全补丁,同日再现 Windows 零日漏洞
292 个 GitHub 仿冒仓库传播 InfoStealer,开发者下载成攻击入口
执法监控数据成高危资产,旧金山无人机事件暴露政务共享链路漏洞
视觉大模型机器人陷“过度思考攻击”,纸质标签即可致服务迟滞
源码泄露引发版权与安全双重危机,Suno 训练数据合规性遭质疑
深度聚焦
美国推出 Gold Eagle 平台,利用 AI 加速漏洞发现与修复协作
美国白宫近期宣布正式启用名为 Gold Eagle 的网络安全漏洞协调平台(Vulnerability Management Clearinghouse),旨在借助先进 AI 模型提升软件漏洞的发现、验证及修复效率,降低关键基础设施面临网络攻击的风险。该项目是 2026 年 6 月 AI 行政令落地后的首项关键行动。
Gold Eagle 由美国财政部、国土安全部(DHS)、网络安全和基础设施安全局(CISA)及相关政府部门共同推动,并联合 AI 开发商、开源社区以及金融、能源、医疗、公用事业等关键基础设施运营方开展协作。平台通过集中共享 AI 发现的漏洞情报,避免重复扫描与分析,实现漏洞验证、优先级排序及修复协调,从而提升整体响应效率。
白宫指出,随着前沿 AI 模型能以空前速度发现软件漏洞,漏洞数量持续攀升,传统漏洞管理流程已面临巨大压力。Gold Eagle 将利用 AI 能力快速识别高风险漏洞,并向政府和企业提供可执行的修复建议,帮助防御方在漏洞被攻击者利用前完成处置,增强关键基础设施的网络韧性。
原文链接:
https://www.cybersecuritydive.com/news/vulnerability-clearinghouse-ai-white-house-launch-gold-eagle/825298/
热点观察
英国启动关键云服务监管,AWS、Azure、Google Cloud 接受金融监管机构监督
英国财政部(HM Treasury)宣布,自 2026 年 7 月 13 日起,将 Amazon Web Services(AWS)、Google Cloud、Microsoft Azure 和 Oracle 正式指定为金融领域的关键第三方(CTPs),并纳入直接监管体系,以提升英国金融系统的网络安全和运营韧性。
根据新规,这四家云服务商将接受英国央行(Bank of England)、审慎监管局(PRA)和金融行为监管局(FCA)的联合监督。监管重点并非企业整体业务,而是其向英国金融行业提供的关键云服务。监管机构可要求企业开展运营韧性测试、提交定期自我评估、报告重大安全事件,并对关键服务的风险管理和恢复能力进行审查。
英国政府表示,随着银行、保险机构及金融市场基础设施日益依赖公有云,一旦云平台因网络攻击、技术故障或运营中断发生服务不可用,可能同时影响多家金融机构,进而威胁金融稳定。因此,新监管框架旨在加强云服务供应链安全,降低系统性风险,同时提升监管部门对关键第三方服务的可视性和协同响应能力。
值得注意的是,金融机构仍需承担自身第三方风险管理责任,CTP 监管并不会替代现有合规要求。英国政府表示,未来还可能根据风险评估结果,将更多关键技术服务提供商纳入该监管体系。
原文链接:
https://www.cm-alliance.com/cybersecurity-blog/aws-azure-and-google-cloud-are-now-under-direct-uk-oversight
视觉大模型机器人遭“过度思考攻击”,纸质标识即可造成服务延迟
2026 年 7 月 15 日,密歇根理工大学研究团队披露一种针对搭载视觉语言大模型(LVLM)机器人的新型拒绝服务攻击——AI 过度思考攻击,仅依靠印刷文字标识就能大幅拉长机器人决策时延,使其停滞超一分钟。
当前机器人依靠视觉语言模型解析画面内全部文字,研究人员利用模型“过度思考”特性制造攻击:将物理计算题、道德抉择、代码编写、强制分步推理等多重复杂指令整合印制在标识牌,放置于机器人摄像头视野内。模型会持续生成超长推理文本,推理 token 数量激增直接拉高运算耗时,形成可用性层面的安全威胁。
该攻击无需获取模型权重、篡改传感器或修改系统配置,普通人可正常阅读的纸质标牌即可完成部署。团队通过迭代筛选自动生成最优攻击文本,仅依靠文本开头少量字符就能预判攻击效果,大幅降低筛选成本。
实测数据显示,针对同源模型 Gemma3,推理速度放缓近 7 倍;跨模型 Kimi-VL、Qwen3-VL 延迟提升 1.5 至 3.5 倍;实体机器人实景测试中,设备运算速度最低降至原本 1/5,其余模型时延翻倍。传统文本对抗提示词打印后几乎无效,专用场景文本触发器才具备攻击效果。
该攻击防护方案成本极低:设置推理 token 上限、硬性超时阈值,搭配轻量监控程序识别早期超长推理特征,触发超时后切换简化决策策略,即可阻断攻击,仅对无推理时长限制的实时机器人系统存在威胁。
原文链接:
https://www.helpnetsecurity.com/2026/07/15/robot-ai-overthinking-attack/
源码泄露引发版权与安全双重风险,Suno 训练数据合规性受质疑
AI 音乐生成平台 Suno 近日因黑客攻击陷入新的争议。根据 404 Media 获得的泄露数据,攻击者通过一次供应链攻击获取员工凭据,随后访问了 Suno 内部源码及训练数据配置文件。泄露内容显示,Suno 曾从 YouTube Music、Deezer、Genius、Pond5 等平台抓取音频、歌词及播客数据,用于训练 AI 模型,其中仅 YouTube Music 数据集就包含超过 200 万段音频片段。
泄露文件还披露了多个训练数据集规模,包括约 11.39 万小时 YouTube Music 音频、15.22 万小时标注音频,以及来自 Deezer、Jamendo、Freesound、IMSLP 等平台的数万小时数据,相关脚本包含“过滤非音乐内容”等处理逻辑。上述内容与美国唱片业协会(RIAA)此前指控 Suno 通过“流媒体抓取”绕过 YouTube 技术保护措施获取训练数据的说法形成呼应。
除训练数据