轻人开始谈论AI伦理
|
什么是Repo Jacking? 依赖存储库劫持(又名“Repo Jacking”)是供应链上一个鲜为人知的漏洞,在概念上类似于子域名接管,影响超过7万个开源项目,影响从web框架到加密货币的所有操作。这个漏洞利用起来很不容易,会导致远程代码注入,并影响来自谷歌、GitHub、Facebook、Kubernetes、NodeJS、Amazon等公司的重大项目。研究人员在最近的一次活动中首次发现这个漏洞后,就想知道这个漏洞有多普遍,于是就对所有开源项目进行了递归分析,结果发现它非常普遍。 哪些对象易受Repo Jacking攻击? 每个编译依赖于GitHub存储库动态链接代码的项目都可能受到攻击,不过攻击要成功,需要满足以下两个条件:
当链接的存储库所有者更改其用户名时,任何人都可以立即重新注册该用户名。这意味着,任何链接回原始存储库URL的项目现在都很容易受到依赖劫持的远程代码注入的攻击。恶意攻击者可以注册旧的GitHub用户名,重新创建存储库,并使用它向依赖它的任何项目提供恶意代码。 即使依赖于GitHub存储库的项目现在还不容易受到攻击,但如果其中一个依赖关系的所有者更改了他们的用户名,那么该项目和其他依赖于该旧链接的项目就会受到repo jacking的攻击。当存储库更改位置时,可能会出现某种警告,比如“404 -未找到存储库”之类的漏洞,但实际上没有。此外,Github的一项小功能(存储库重定向)使此漏洞明显更加危险。 “存储库重定向”使攻击更加严重
当GitHub用户更改存储库的名称或用户名时,GitHub设置了一个从旧URL到新URL的重定向,这种重定向同时适用于HTTP和Git请求。当用户更改其用户名、传输存储库或重命名存储库时,就会创建此重定向。这里的漏洞是,如果重新创建原始存储库(在本例中为“twitter/bootstrap”),重定向将中断,并将你发送到新创建的存储库。 Lacy说:“FAIR极其重要。它是我们数据战略的基础。” 一个小组开发的数据对于其他小组所做的工作常常有所帮助。为了高效使用数据,各个小组就要知道数据的存在以及如何找到这些数据,而且数据必须兼容。 Lacy说:“如果你在单单一家工厂进行各种检验,无论是现场检验还是在实验室中进行不同的实验,你必须能够将这些数据整合起来。这就好比七巧板,你进行的所有这些不同检验都是这七巧板的拼块。项目负责人要把那些拼块拼完整。” 信任 与许多转型一样,向数据驱动型组织转变取决于信任:对团队成员和新流程的信任,相信从数据获得的洞察力将对业务带来积极影响。 Santhanam表示,在益百利,性能、扩展、采用和信任这“四大支柱”是每个机器学习和人工智能项目的指导准则。在过去,信任问题制约了许多银行用分析模型来处理问题。 Santhanam说:“过去许多定位模型都是相当简单的逻辑回归模型,原因就在于银行在开发更复杂、更不透明的系统方面的信心带来了一定程度的风险,这使人们感到这种风险超出了受到严格监管组织的风险偏好范围。不过我们发现,这个领域的监管框架和企业认识到更复杂的算法和更复杂的技术具有的价值,更多地采取了一种分阶段的方法,在负责任的前提下,凭借可解释型人工智能框架进入该领域。”
他补充道:“最终,推动影响力需要满足这4个方面,如果你不以这些业务成果为导向,就很容易迷失方向。” (编辑:济宁站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
