影子 AI 难防，员工输入敏感数据激增156%

【安全洞察】YouTube 成为钓鱼、深度伪造新战场

安全研究发现，YouTube 已成为网络犯罪分子部署钓鱼攻击、恶意软件和诈骗计划的新战场。黑客将 YouTube 视为流量中转站。通过采用社会工程技术，黑客会在视频中诱导用户使用伪装成软件工具的恶意软件，将用户引导至虚假网页，实施欺诈行为。

【安全洞察】IP_flood 成为 DDoS 攻击新主力

Qrator Labs 2024 年 Q1 DDoS 主题报告显示，DDoS 攻击主力由 UDP_flood 转为 IP_flood，占比40.76%。整体混合多向量攻击量达到23.22%，约为上季度两倍。持续时间更长的 TCP 攻击，指向电商领域，攻击周期将近三周。建议部署 Akamai Prolexic 解决方案，在云端、本地和混合环境中，全面阻止 DDoS 攻击。

【安全治理】影子 AI 难防，员工输入敏感数据激增156%

Cyber​​haven 报告显示，员工向​​ ChatGPT 等聊天机器人输入敏感数据占比为27.4%，相比去年飙升156%。AI 驱动运营趋势下，员工在工作场景中使用 AI 个人帐户，若未设置与公司帐户同等的安全措施，且处于监管视野之外，企业可能难以及时发现与阻止内部敏感数据泄露。

【安全洞察】警惕 AI 平台漏洞，守护内部数据安全

Replicate AI 平台中存在严重漏洞，可能允许黑客进行跨租户攻击，入侵客户私有 AI 模型，盗取敏感数据。鉴于实现 AI 即服务解决方案的租户分离十分困难，AI 即服务提供商面临着该漏洞带来的直接威胁，若 AI 团队在工作站或服务器运行来自不受信任来源的 AI 模型时，也面临着攻击威胁。

【安全洞察】新 Wi-Fi 漏洞：基于降级攻击进行网络窃听

安全研究人员近期发现新型 Wi-Fi 漏洞，该漏洞源自 IEEE 802.11 Wi-Fi 标准中的设计缺陷。黑客基于该漏洞，可诱导受害者使用低安全等级的 Wi-Fi 实现网络窃听。从攻防视角来看，Wi-Fi 标准未始终要求 SSID 或服务集标识符的身份验证，致使攻击者可发起中间人攻击，破坏 Wi-Fi 安全环境。