CCERT月报:大模型训练要保护数据集安全
2025-03-24 中国教育网络
随着DeepSeek开源,各高校都在加速推进具有自身特色的AI应用落地。AI作为一种全新的技术,在助力学校发展个性化学习、智能化教学、科研赋能、智慧管理等方面的同时,也会带来新的安全挑战。近期,各类AI组件如雨后春笋般涌现,其中有不少伪造成AI的木马程序应用,用户还是要仔细识别,尽量使用大厂商提供的AI组件或程序。如何做好个性及隐私数据保护,也是AI本地化需要考虑的重要问题之一。
2024年12月-2025年2月CCERT安全投诉事件统计
近期新增严重漏洞评述
01
微软2025年1月和2月的例行安全更新共包含微软产品的安全漏洞228个。鉴于漏洞带来的风险,建议用户尽快使用系统自带的更新功能进行安全更新。这些漏洞中需要特别关注的有以下几个。
Windows OLE远程代码执行漏洞(CVE-2025-21298)。Windows的OLE中存在一个远程代码执行漏洞,攻击者可以伪造特制的邮件或文档引诱用户打开,成功利用该漏洞可远程执行任意代码。
Windows Reliable Multicast Transport Driver(RMCAST)远程代码执行漏洞(CVE-2025-21307)。Windows Reliable Multicast Transport驱动程序中存在一个远程代码执行漏洞,攻击者可通过向目标系统的PGM端口发送特制数据包来触发漏洞,进而实现远程代码执行。该漏洞无需用户交互,但需要PGM监听了端口并对外服务。
Windows NTLM V1权限提升漏洞(CVE-2025-21311)。Windows NTLM V1协议中存在一个身份绕过漏洞,攻击者通过向目标系统发送特制的网络请求,可绕过身份验证机制将权限提升至系统级别。该漏洞利用过程无需用户交换,但需用户系统启用NTLM协议支持。
Windows远程桌面服务系列代码执行漏洞(CVE-2025-21309)。Windows远程桌面服务中存在一个远程代码执行漏洞。该漏洞无需用户交互可直接利用。
Windows轻型目录访问协议(LDAP)远程代码执行漏洞(CVE-2025-21376)。Windows目录服务中存在安全漏洞,未经身份验证的攻击者可以通过特制的LDAP调用来执行代码,从而在LDAP服务的上下文中执行任意代码。
微软高性能计算包远程代码执行漏洞(CVE-2025-21198)。微软公司的高性能计算包(HPC Pack)中的关键功能缺少身份验证功能,攻击者可能通过向目标头节点或Linux计算节点发送特制的HTTPS请求来利用此漏洞,从而获得在连接到目标头节点的其他集群或节点上执行RCE的能力。
02
多款压缩软件存在安全漏洞,包括:
7-Zip任意代码执行漏洞(CVE-2025-0411)。7-Zip在处理带有MOTW标志的恶意压缩包时存在缺陷。目前厂商已在最新版本中修补了该漏洞,由于7-Zip不提供自动更新功能,需要用户手动下载最新版本覆盖安装才能修补相关漏洞。
WinZip远程代码执行漏洞(CVE-2025-1240)。WinZip在解析7z格式的压缩文件时存在缺陷,由于对用户提供的数据校验不足,可能导致内存越界读写,攻击者可生产包含恶意程序的压缩文件引诱用户解压,从而远程执行任意代码。
03
PHP中一个2年前的代码执行漏洞(CVE-2022-31631)最近被再次提及,漏洞影响PHP 8.0以前的所有版本。建议使用PHP的用户尽快检查自己所使用的PHP版本号,若低于上述版本应尽快升级。
04
OpenSSH中间人攻击漏洞(CVE-2025-26465)。OpenSSH 9.9P之前的版本中存在一个中间人攻击漏洞,允许攻击者在VerifyHostKeyDNS选项中对OpenSSH客户端发起主动的中间人攻击。厂商已在最新版本中修补了该漏洞,建议用户尽快进行版本更新。
安全提示
AI大模型是一种全新的技术,与传统的应用有很大区别,传统的数据安全防护经验对于大模型的数据安全防护参考意义不大。当前是AI应用落地快速发展的阶段,各单位都会针对模型做一些数据私有化的训练。在这个过程中,要注意保护好训练数据集的安全。同时,在技术还未明朗时不要将带有用户隐私的数据作为训练样本,一定要对内部数据做好脱敏后再提供给大模型学习。对于内部已训练好的大模型,要做好访问控制,同时设定好应答边界,避免内部数据外泄。
来源:《中国教育网络》2025年1月刊
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:陈茜
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。
相关阅读
CCERT月报:微软宣布将终止对Windows 10系统的支持服务2024/12/02
CCERT月报:做好漏洞的风险管控工作2024/11/18
CCERT月报:关注定制开发应用系统的漏洞风险2023/10/09
CCERT月报:密码技术审查和评测将从严执行2023/06/12
CCERT月报:钓鱼邮件攻击大幅增加!高校需防范2023/06/02
CCERT月报:虚拟化平台病毒攻击频发2023/03/06
CCERT月报:让ChatGPT为网络安全工作服务2023/04/23
CCERT月报:VMware 高危漏洞需警惕2022/12/14
CCERT月报:做好漏洞的风险管控工作2024/11/18
CCERT月报:关注定制开发应用系统的漏洞风险2023/10/09
CCERT月报:密码技术审查和评测将从严执行2023/06/12
CCERT月报:钓鱼邮件攻击大幅增加!高校需防范2023/06/02
CCERT月报:虚拟化平台病毒攻击频发2023/03/06
CCERT月报:让ChatGPT为网络安全工作服务2023/04/23
CCERT月报:VMware 高危漏洞需警惕2022/12/14
一起关注互联网发展、互联网技术、互联网体系结构……
在教育部科技司领导下,中央电化教育馆组织实施了教育信息化教学应用实践共同体项目...
工作要点聚焦:教育信息化、网络安全……都怎么干?
投稿、转载或合作,请联系:eduinfo#cernet.com (请将#替换为@)
版权所有:中国教育和科研计算机网网络中心 CERNIC,CERNET
京ICP备15006448号-16 京网文[2017]10376-1180号 
京公网安备 11040202430174号
![京网文[2017]10376-1180号](/images/indexnew/www1024.jpg){kind=link}
关于假冒中国教育网的声明 | 有任何问题与建议请联络:Webmaster@cernet.com