供应链

2023年勒索事件高发 2023年，约有 78% 的公司使用开源软件，90%的云平台以及区块链项目使用了开源组件进行构建。随着开源软件的广泛使用以及软件供应链安全治理困难，勒索组织有针对性的攻击关键供应商，进而勒索软件供应链下游大量拥有敏感数据、能够支付高额赎金的组织。 根据大数据平台statista统计，2017年到2022年的勒索攻击次数增加了168%，…

导语 近日，腾讯朱雀实验室发现著名AI社区Hugging Face开源组件datasets存在不安全特性，可引发供应链后门投毒攻击风险。AI开发者使用该组件加载攻击者构造的包含恶意代码的数据集时，会导致PC/服务器被入侵，同时在大模型预训练、微调等场景中，最终还可能导致大模型参数被窃取或篡改。 朱雀在此建议大家及时排查，同时也将持续进行大模型基础设施安全研究…