2025.01 NOTE #18

資安動態

1. TRAFFIC LIGHT PROTOCOL (TLP) : 紅綠燈協議（Traffic Light Protocol）簡稱TLP，是用來分類敏感資料的系統，規定資安資訊分享範圍的協議
2. 
   1. TLP:RED ：只允許給收件者，收件者不得揭露給其他人
   2. TLP:AMBER ：有限度揭露 (組織內有必要知悉的人，或是有必要知悉的客戶)
   3. TLP:AMBER+STRICT ：在TLP 2.0版導入，限制只在同一組織內分享
   4. TLP:GREEN ：僅限於社群的有限度揭露，資訊可揭露予以明確界定的特定群體
   5. TLP:CLEAR ：不受限制，資訊可以公開揭露
3. 美國擬禁用TP-Link路由器 : 全美已有超過300家網路服務供應商將TP-Link設備作為住家用戶的預設路由器。更值得關注的是，包括國防部、NASA和緝毒局等多個政府機構的網路中也使用了TP-Link的路由器
   # 參議院通過一項新法案，給無人機大廠大疆（DJI）一年時間證明自己並未威脅美國國家安全，否則將在明年啟動封鎖令
4. CISA呼籲高風險用戶應改用支援E2EE的加密通訊軟體因應 ：12月18日CISA發布行動通訊最佳實作指引（Best Practice Guidance for Mobile Communications）
5. 1. 建議人們改用Signal這類實作全程加密（E2EE）的加密通訊軟體
   2. 應採用FIDO身分驗證機制、密碼管理工具，並為手機設置PIN碼，
   3. 不要採用基於電話簡訊傳遞動態密碼的多因素驗證（MFA）
   4. 不要使用個人版VPN服務
5. 福斯車載資訊系統存在漏洞，攻擊者有機會遠端控制、跟蹤車輛位置 iThome: 12項漏洞，攻擊者能夠串連運用，將惡意程式注入車輛。攻擊者可透過藍牙與車載系統的多媒體元件連線，從而利用漏洞展開攻擊，估計有140萬輛福斯、Skoda汽車曝險
6. 臺灣數位皮夾即將上路，企業身分識別有新方法 : 數位部規畫於2025年推出數位皮夾服務，可存放政府核發的證件卡片，學位證書、企業核發的員工證等未來也能加入。歐盟已在通過eIDAS 2.0電子身分識別框架，建立歐盟公民跨境存取政府或企業服務的一致性數位身分識別框架，要求歐盟成員國家在2026年前提供歐盟公民免費的數位皮夾服務
7. 微軟計畫將徹底結束微軟帳戶的密碼時代-passkeys ：計畫讓10 億用戶刪除正在使用的密碼，全面轉向由 MFA 或通行金鑰 (Passkey) 的無密碼時代

程式工具

1. osv-scanner v1.9.2:

漏洞

1. Linux系統的開源套件Webmin有重大漏洞，一般帳號可趁機偷用root權限執行惡意命令 : Webmin的CGI元件存在命令注入漏洞CVE-2024-12828，一旦攻擊者成功利用，就有機會遠端於Webmin執行任意程式碼，CVSS風險評分為9.9（滿分10分）
2. 3天內再度修補網頁伺服器元件Tomcat RCE 漏洞 : 12月17日 CVE-2024-50379(更新)，12月20日再度發布公告，上述新版程式修補並不完整，並將這項弱點登記為 CVE-2024-56337
3. Critical XXE Vulnerability Discovered in libxml2 : 嚴重漏洞 CVE-2024-40896 (Critical, 9.1) ,更新，可能導致 RCE，升級至2.11.9 以上版本。多種語言和系統內建，例如 Fedora
4. CVE-2024-54682

AI 動態

由 AI API 串接產生的直接應用 (新創圈戲稱為 AI Wrapper)，在2024可以說一上線大概就有不少的替代方案(還免費)，AI App 門檻也急速下降，怎麼收到費用是一大問題 ? 快速發展的 AI 讓機器人越來越像人類，人類卻活得越來越像機器人，就是矛盾。
# AGI 好像快看到了，前提只要水力電力夠支持AGI讓全人類使用的算力

1. Meta adds AI video, live translation to Ray-Ban smart glasses
   (我對此期望值高，雖然雷朋適合鼻梁高的(歐美)，Meta 應該要出一個適合亞洲臉型)
2. 中國 Unitree 出的機器狗 : 這回出的輪式機器狗跳躍一層樓，負重40公斤最大里程50公里，最高時速20km/h ( 打算背機槍嗎? 真壞)
3. OpenAI 宣布即將轉型為「營利公司」: 以便吸引更多投資，滿足 AI 開發所需的龐大資金需求
   (AI 技術缺乏護城河，copycat 新技術一曝光立刻被抄襲，而且總不能年年賠錢吧)
4. OpenAI o3 模型智商可能已達到 157 : 已經超越了 99.9928% 的人類(人類中的 0.007% 才能達到這個智商水準)，而GPT4o 大約是 115，o1是 135
5. Spring AI 1.0.0 M5 Release : 子專案 spring-ai-mcp，實作Anthropic 的 Model Context Protocol (MCP) 協議
6. 第一款超懂臺灣法律的LLM，律果實現法務GAI應用新可能：全球唯一能通過臺灣律師第一試的LLM，精準率打敗GPT-4o、Claude-3等強力模型
7. TO Video 全 AI 影片生成 : Google Veo 2、可靈、海螺、Runway 與 Sora 等多家不同影片生成模型
8. 影像變造-深圳女孩旅遊台灣後震驚，自拍影片宣稱對台灣改觀：用AI生成影像偵測網路開源工具「sightengine」進行偵測，結果顯示網傳影像有99%機率為AI生成
9. 畢業紀念冊成 AI 濫用目標，更多日本學校或取消登載個人照 :畢業紀念冊學生個人照片遭濫用的案例持續增加，越來越多學校考慮停止公開學生照片，以減少風險

科技動態

1. 微軟 CEO 納德拉 : SaaS 模式即將崩潰
2. 適量咖啡，憂鬱和焦慮風險較低：《精神醫學研究》(Psychiatry Research) 期刊的文獻指出，每天飲用2至3杯研磨咖啡、牛奶咖啡或無糖咖啡，憂鬱和焦慮的風險最低
   Psychiatry Research The association between coffee consumption and risk of incident depression and anxiety: Exploring the benefits of moderate intake