Discord Sleuths získali neoprávněný přístup k Anthropic’s Mythos

Jako výzkumníci a praktici diskutují o dopadu, který budou mít nové modely umělé inteligence na kybernetickou bezpečnost, Mozilla v úterý uvedla, že použila včasný přístup k Antropic’s Mythos Preview k nalezení a opravě 271 zranitelností v nové verzi prohlížeče Firefox 150. Mezitím výzkumníci identifikovali skupinu středně úspěšných severokorejských hackerů, kteří používají umělou inteligenci pro vše od malwaru pro kódování vibrací až po vytváření falešných firemních webových stránek – během tří měsíců ukradli až 12 milionů dolarů.

Výzkumníci konečně prolomili rušivý malware známý jako Fast16, který předcházel Stuxnet a mohl být použit k zacílení íránského jaderného programu. Byl vytvořen v roce 2005 a pravděpodobně jej nasadily USA nebo spojenci.

Společnost Meta je žalována organizací Consumer Federation of America, nezisková organizace, kvůli podvodným reklamám na Facebooku a Instagramu a údajnému klamání spotřebitelů ohledně úsilí společnosti bojovat proti nim. Americký sledovací program, který umožňuje FBI nahlížet do komunikace Američanů bez zatykače, je k obnovení, ale zákonodárci uvízli na mrtvém bodě v dalších krocích. Cílem nového zákona je vyřešit rostoucí obavy zákonodárců, ale postrádá podstatu.

A pokud hledáte hloubku, WIRED prozkoumala letitý spor za prominentním mobilním operačním systémem GrapheneOS s důrazem na soukromí a zabezpečení. Navíc jsme se podívali na podivný příběh o tom, jak Čína špehovala americkou krasobruslařku Alysu Liu a jejího otce.

A je toho víc. Každý týden shromažďujeme zprávy o bezpečnosti a soukromí, které jsme sami do hloubky nepokryli. Kliknutím na titulky si můžete přečíst celé příběhy. A zůstaňte tam v bezpečí.

Model Mythos Preview AI od Anthropic byl nabízen jako nebezpečně schopný nástroj pro hledání bezpečnostních zranitelností v softwaru a sítích, tak silný, že jeho tvůrce pečlivě omezil jeho vydání. Ale jedna skupina amatérských detektivů na Discordu našla své vlastní, relativně jednoduché způsoby – bez nutnosti hackování AI –, jak získat neoprávněný přístup k kýžené digitální ceně: samotný Mythos.

Navzdory snaze Anthropicu kontrolovat, kdo může používat Mythos Preview, skupina uživatelů Discordu získala přístup k nástroji prostřednictvím nějaké přímočaré relativně detektivní práce: Prozkoumali data z nedávného porušení Mercoru, startupu zaměřeného na AI, který spolupracuje s vývojáři, a „udělali vzdělaný odhad o online umístění modelu na základě znalostí o formátu, který Anthropic použil pro jiné modely“, což je fráze, kterou mnozí pozorovatelé prolomili na webu. příběh.

Tato osoba také údajně využila oprávnění, která již měla, k přístupu k jiným modelům Anthropic díky své práci pro smluvní firmu Anthropic. V důsledku svého zkoumání však údajně získali přístup nejen k Mythosu, ale také k dalším nevydaným modelům Anthropic AI. Naštěstí, podle Bloombergu, skupina, která vstoupila do Mythos, jej zatím používala pouze k vytváření jednoduchých webových stránek – rozhodnutí, které mělo zabránit jeho odhalení společností Anthropic – spíše než hackovat planetu.

Bezpečnostní výzkumníci již dlouho varují, že telekomunikační protokoly známé jako Signaling System 7 nebo SS7, které řídí vzájemné propojení telefonních sítí a směrování hovorů a textových zpráv, jsou zranitelné vůči zneužití, které by umožnilo skryté sledování. Tento týden výzkumníci z organizace pro digitální práva Citizen Lab odhalili, že nejméně dva ziskoví dodavatelé dohledu skutečně použili tato zranitelnost – nebo podobná zranitelnosti v příští generaci telekomunikačních protokolů – ke špehování skutečných obětí. Citizen Lab zjistila, že dvě sledovací firmy se v podstatě chovaly jako podvodní telefonní dopravci a využívali přístupu ke třem malým telekomunikačním firmám – izraelskému operátorovi 019Mobile, britskému mobilnímu operátorovi Tango Mobile a Airtel Jersey se sídlem na ostrově Jersey v Lamanšském průlivu – ke sledování polohy telefonů cílů. Výzkumníci Citizen Lab říkají, že „high-profil“ lidi sledovaly dvě sledovací firmy, i když odmítla uvést firmy ani jejich cíle. Výzkumníci také varují, že dvě společnosti, které objevili, že zneužívají protokoly, pravděpodobně nejsou samy a že zranitelnost globálních telekomunikačních protokolů zůstává velmi reálným vektorem pro špehování telefonů po celém světě.

Na znamení rostoucího – i když opožděného – zásahu amerických donucovacích orgánů proti rozrůstajícímu se kriminálnímu průmyslu podvodných směsí pocházejících z obchodování s lidmi v jihovýchodní Asii, ministerstvo spravedlnosti tento týden oznámilo obvinění proti dvěma čínským mužům za údajnou pomoc při správě podvodného komplexu v Myanmaru a za snahu otevřít druhý komplex v Kambodži. Jiang Wen Jie a Huang Xingshan byli oba zatčeni v Thajsku začátkem tohoto roku na základě obvinění z přistěhovalectví, podle žalobců, a nyní čelí obvinění z údajného vedení rozsáhlé podvodné operace, která nalákala oběti obchodování s lidmi do jejich areálu falešnými nabídkami práce a poté je přinutila oběti podvodů, včetně Američanů, za miliony dolarů s podvodnými investicemi do kryptoměn. Ministerstvo spravedlnosti říká, že také „zadrželo“ 700 milionů dolarů ve finančních prostředcích patřících k operaci – v podstatě zmrazilo finanční prostředky v rámci přípravy na zabavení – a také zabavilo kanál na aplikaci pro zasílání zpráv Telegram, jak tvrdí státní zástupci, která byla použita k návnadám a zotročení obětí obchodování s lidmi. Prohlášení ministerstva spravedlnosti tvrdí, že Huang se osobně účastnil fyzického trestání pracovníků v jednom areálu a že Jiang v jednu chvíli dohlížel na krádež 3 milionů dolarů jedné oběti amerického podvodu.

Byly nalezeny tři vědecko-výzkumné instituce, které prodávají informace o zdravotním stavu britských občanů na Alibabě, tento týden odhalila britská vláda a nezisková britská Biobanka. Během posledních dvou desetiletí sdílelo více než 500 000 lidí svá zdravotní data – včetně lékařských snímků, genetických informací a zdravotních záznamů – s UK Biobank, která umožňuje vědcům z celého světa přístup k informacím pro provádění lékařského výzkumu. Charita však uvedla, že únik dat zahrnoval „porušení smlouvy“ podepsané třemi organizacemi, přičemž se předpokládá, že jeden z datových souborů k prodeji obsahoval údaje o všech půl milionu výzkumných subjektů. Neuvedla podrobnosti o úplných typech údajů, které byly uvedeny k prodeji, ale uvedla, že pozastavila účty Biobank těm, kteří údajně informace prodávali. Reklamy na data byly také odstraněny.

Začátkem tohoto měsíce 404 Media oznámilo, že FBI byla schopna získat kopie zpráv Signal z iPhone obžalovaného, ​​protože obsah zpráv, které jsou šifrovány v rámci Signal, byl uložen v databázi push notifikací iOS. V tomto případě byly kopie zpráv stále dostupné, i když byl Signal z telefonu odstraněn – ačkoli problém ovlivnil všechny aplikace, které odesílají oznámení push.

Tento týden, v reakci na problém, Apple vydal bezpečnostní aktualizaci iOS a iPadOS, která chybu opravila. „Oznámení označená ke smazání by mohla být neočekávaně zachována v zařízení,“ uvádí bezpečnostní aktualizace společnosti Apple pro iOS 26.4.2. „Problém s protokolováním byl vyřešen vylepšenou redakcí dat.“

I když byl problém vyřešen, stále stojí za to změnit, co se zobrazuje v oznámeních na vašem zařízení. Pro Signal můžete otevřít aplikaci, přejděte na Nastavení, Oznámenía přepněte zobrazení oznámení Pouze jméno nebo Bez názvu nebo obsahu. Je to další připomínka toho, že zatímco aplikace, jako je Signal, jsou šifrovány end-to-end, platí to pro obsah, který se přesouvá mezi zařízeními: Pokud někdo může fyzicky přistupovat k vašemu telefonu a odemknout jej, existuje potenciál, že bude mít přístup ke všemu na vašem zařízení.