NIST发布新版《人工智能风险管理框架》草案。2022年8月18日,美国国家标准与技术研究所(NIST)正在就其人工智能(AI)风险管理框架第2稿公开征求意见。NIST表示,该指南旨在自愿采用,通过在AI产品、服务和系统的设计、开发、使用和评估中纳入可信性因素,实现AI的风险管理。框架就可信AI系统具有的有效和可靠、公平和偏见保障、安全和弹性、可问责和透明、可解释和可说明、隐私增强等关键特征进行了详述。
【天枢点评】:随着AI技术的广泛和深化使用,其双刃剑的作用也日益凸显,因此针对其潜在的风险成为在关键领域深入推广的考虑因素。该版是自2021年12月发布概念文件之后的第二次更新,尤其就如何从可信AI系统的关键特征方面考虑风险管理进行了解释。框架虽然是非强制性的,但对就AI技术采用的共识达成方面具有引导意义。
以色列工业网络安全公司Claroty旗下的Team82研究团队开发一种称为Evil PLC攻击的新技术。其中PLC被武器化并用于突破并控制工程师站,然后以工程师站为支点,攻击者可以访问连接该机器的操作技术网络上的任何其他设备包括其它PLC。利用这种技术攻击的目标主要是从事工业网络运维、PLC配置和故障排除的工程师。根据Evil PLC攻击向量的特点,研究人员提出,Evil PLC可以用于进攻和防御两种方式,并设计了三种不同的攻击场景。
【天枢点评】:这种攻击得逞的主要原因在于,在多数情况下,软件对来自PLC的数据不加选择的信任,从而当工程师将预制工程文件上传到工程师站解析时触发漏洞实现攻击目的。这是一种新的思路,在攻击侧,可将PLC武器化为一个受控“水坑”,在防御侧,可将PLC武器化为一个“蜜罐”。最终赢得胜利者,会是策略应用最成功的一方。
* 如需了解《数字安全观察》完整版信息,请联系anquanke@360.cn,关注360天枢智库