今宵のサイバーセキュリティについて気になること:テキスト駆動ビデオ生成、AIクローン詐欺、SANS LLM時代のサイバーセキュリティ、情報漏洩を防止するCloudflare One for AIなど

Table of Contents

テキスト駆動のビデオ生成を行う Runway AI Gen-2 、無料で利用できるGen-1で動画を作成してみました。

Gen-1: The Next Step Forward for Generative AI

Use words and images to generate new videos out of existing ones.

Towards Unified Keyframe Propagation Models

テキスト、画像、またはビデオクリップを使用して斬新なビデオを生成できるマルチモーダル AI システム。

Gen-2: The Next Step Forward for Generative AI

A multi-modal AI system that can generate novel videos with text, images, or video clips.

Structure and Content-Guided Video Synthesis with Diffusion Models

希望するアウトプットに関する視覚的またはテキスト的な説明に基づいて動画を編集する動画拡散モデルを実証

AIクローン詐欺

「息子の声に騙されたマリオンさん」の手口は、友人や家族の声をAIがクローン化するというものですが、この新しいタイプの詐欺は、最近オランダで発生し始めております。

SANS LLM時代のサイバーセキュリティ

SANS LLM時代のサイバーセキュリティ:リスク、オポチュニティ、そしてAIを活用した情報セキュリティの将来性

参加者は、脅威インテリジェンス、脆弱性管理、インシデント対応における AI と、セキュリティ専門家と AI リサーチャーのコラボレーションの重要性について学びました。

情報漏洩を防止するCloudflare One for AI

ChatGPTなど生成型AIへの機密情報漏洩を未然に防ぐ「Cloudflare One for AI」をリリース

  • APIアクセスを制御
  • データアップロードを制限
  • プロキシなしの利用を制御

Cloudflare Oneは最高50ユーザーまで無料で利用できる模様です。

AIを最大限に活用するための Zero Trustセキュリティの 完全ツールスイート

https://blog.cloudflare.com/ja-jp/zero-trust-ai-security-ja-jp/

グローバルなAIのルールメイキングが始まる

OpenAI AIを制御するための民主的なプロセスを構築する10万ドルのプロジェクトを10件開始します。私たちの目標は、AIがどのように振る舞うべきかについて、人々から様々なフィードバックを収集する方法について実験を行う資金を提供する事です。2023年6月24日までにお申し込み下さい。

“ヨーロッパでは、AIをどのように規制するのがベストなのか議論し、とても充実した1週間でした!この地で事業を展開していくことに興奮していますし、もちろん撤退するつもりは全くありません。”

イギリス スナク首相

“安全かつ確実に行われることで、AIは変革をもたらし、経済を成長させる可能性を秘めています。

今晩、私がお会いした OpenAI 共同創設者 サム・アルトマンGoogle DeepMind CEO デミス・ハサビスおよび Anthropic CEO Dario Amodeiと、英国がAIに関して国際的なリーダーシップを発揮する方法について議論しました。”

by イギリス スナク首相

フランス マクロン大統領

“フランスで優秀な人材と技術を開拓すること、フランス、ヨーロッパ、そして世界レベルでのルール作りのために行動すること、これらが人工知能の観点で私たちが優先することです。”
by フランス マクロン大統領

スペイン サンチェス首相

“OpenAIの共同創設者のサム・アルトマンに会ってきました。
人工知能は私たちの社会をモダナイズする大きなチャンスであることを共有しました。しかし、その開発には、人権および民主主義の価値を尊重することが不可欠です。”

by スペイン サンチェス首相

ポーランド モラヴィエツキ首相

“OpenAI CEO サム・アルトマンと会談しました。 ポーランド人はOpenAIのメンバーとして重要な役割を担っている

主な話題:
➡️人工知能の発展とポーランド企業が参加する可能性
➡️人工知能が経済や社会に与える影響
➡️人工知能の利用に関する法的規制に関する問題 ”

by ポーランド モラヴィエツキ首相

高度なAIのためのIAEA

“高度なAIのためのIAEA:国際原子力機関のようなものは、考える価値があり、技術の特性上、実現可能かもしれない。
(そして、これをわざと誤解されることを避けるために、このような規制はAI能力を枠に閉じ込めないことが重要である)”

by OpenAI CEO サム・アルトマン

マッキンゼー 生成A Iの出現 

マッキンゼー 生成A Iの出現 – ChatGPTのようなツールがビジネスにもたらす変化テクノロジーの初期段階に存在するリスクを認識すべきというトーンでした…。

  • 人間的な感性や創造性が求められる領域へのさらなる進出
  • ビジネスへの豊富な応用用途(5つ)
  • 新たな可能性への期待と注意すべき点
  • 経営リーダーのための初期ステップ

QLoRA LLMを数時間でファインチューニング

Google Colabで33 billionパラメータのLLMを数時間でファインチューニングできた模様

新たな論文によると、QLoRAは、標準的な16ビットモデルの微調整と比較して、性能のトレードオフなしにLLM微調整のメモリ使用量を削減することができます。
この方法により、24GBのGPUで33B、46GBのGPUで65Bのモデルファインチューニングが可能になりました。
QLoRAは、ベースモデルの重みを格納するストレージデータ型(通常4ビットNormalFloat)と、計算を実行するための計算データ型(16ビットBrainFloat)を持っています。
QLoRAは4ビット量子化を用いて、事前に学習させた言語モデルを圧縮します。その後、LMパラメータを圧縮し、比較的少数の学習可能なパラメータをLow-Rank Adaptersという形でモデルに追加します。
微調整の際、QLoRAは圧縮された4ビット量子化事前学習言語モデルを通して勾配をバックプロパゲートし、Low-Rank Adaptersに追加する。
また、OpenAssistantデータセット(OASST1)上のLLaMAモデルにQLoRAファインチューニングを用いたGuanacoモデルは、最先端のチャットボットシステムであり、VicunaベンチマークではChatGPTに迫る結果を出しています。これは、QLoRAチューニングの威力をさらに示すものです。

スーパーコンピュータ「富岳」LLM研究開発開始

東京工業大学、東北大学、富士通株式会社、理化学研究所は、スーパーコンピュータ「富岳」を活用した大規模言語モデルの分散並列学習手法の研究開発を2023年5月から開始

”日本の研究者やエンジニアが大規模言語モデルの開発に活用できるように、今回の「富岳」政策対応枠で得られた研究成果をGitHubやHugging Faceを通じて、2024年度に公開する予定です。多くの研究者や技術者が基盤モデルの改善や新たな応用研究に参画することで、効率的な方法が創出され、次世代の革新的な研究やビジネスの成果に繋がることが期待されます。
さらに、ものづくりをはじめとする産業分野などへの応用を想定したマルチモーダル化のためのデータ生成手法および学習手法の開発を行う名古屋大学や、大規模言語モデル構築のためのデータおよび技術提供を行う株式会社サイバーエージェントとの連携も今後検討していきます。”

スーパーコンピュータ「富岳」政策対応枠における大規模言語モデル分散並列学習手法の開発について

https://www.titech.ac.jp/news/2023/066788

ChatGPTに検索エンジンのBingが導入

ChatGPTに検索エンジンのBingが導入されました。回答は検索やウェブデータに基づいた引用が含まれているため、詳細を把握できます。

Instacart plugin in Bing Chat

中国政府が関与するVolt Typhoon

中国政府が関与するVolt Typhoonは、Living-off-the-land(LotL)とハンズオンキーボードのTTPを使用して、グアムおよび米国内の重要インフラ組織を標的としたスパイ活動をしている模様です。
取引のある日本企業もサプライチェーンセキュリティ対策を。

原因究明のためのRoot化:Project Zeroのバグの亜種を発見

CVE-2022-36449(Project Zero issue 2327)の亜種であるCVE-2022-46395を調べ、それを使ってArm Mali GPUを使用する信頼できないAndroidアプリから任意のカーネルコードの実行とルート権限を取得する方法。また、CVE-2022-36449の原因分析がCVE-2022-46395の発見につながった経緯の説明について。

パロアルトと、アクセンチュアがパートナーシップを結んだ模様

クライアントのサイバーレジリエンスを向上させる SASE ソリューションを提供するパロアルトと、アクセンチュアがパートナーシップを結んだ模様です。

Accenture and Palo Alto Networks to Provide Integrated Prisma SASE Solutions to Help Organizations Improve Cyber Resilience

英国最大の民間年金基金、Capitaのハッキングにより47万人分の加入者データが危険にさらされていると発表

“昨日、Sunday Timesに、サイバーセキュリティをめぐるCapitaの動向についての記事が掲載されました。
私はそれについて深堀りスレッドを行いたいと思います。 お付き合いください。
まず、Capitaは自社のウェブサイトで、機密と書かれた多くの内部方針を公開していた。これらは現在削除されています。
S3バケットについては、研究者がこれを発見していました(しばらく前からオンラインでもインデックスされていました)。 私は4月24日にCapitaに通知したのですが、どういうわけか彼らはクライアントに伝えなかったのです。そして、ソフトウェアのリリースノートであるかのように装ったのです。しかし、PIIが含まれていました。
CapitaのCEOがこのインタビューを受けたとき、Black Bastaはすでにキャピタのファイルのスクリーンショットを彼らのポータルに置いていた。 どうやら誰も彼に言わなかったようだ。 Capitaは3月31日にBlack Bastaの身代金請求書を受け取った。 奴らは常習的に二重の恐喝(データ流出)を行っています。
ユニリーバ、PWC、内閣府(郵便局)は現在、データ漏洩の通知を行っている。
Capitaの問題は、企業文化に起因している。 情報漏えいは起こるものですが、それにどう対応するかが重要です。
MSPの組織を守るためにITインシデントにどう対応するかという行動指針は、サイバーセキュリティには適用されませんでしたが、例:データ保護法は存在します。 これは、すべての企業にとって重要な学習だと思います。
バケット問題については、さまざまな議会で検討されていますが、内部で徹底した透明性を保つ文化があれば、先手を打つことができたかもしれません。 バケットには、人々が請求している給付金や市税に関する個人データが含まれていました。
Capitaの従業員は、人としてどうかと思う。100%.   この件に関しては、何年も語り継がれることになるでしょう。
ちなみに、なぜ私がこの件に関して言及したかというと、Capitaは英国内のあらゆる場所に進出しているからです。 市税の支払い? おそらくCapitaでしょう。 年金? セキュリティの審査? 子供たちの学校の記録?
とても重要なことなので、彼らにはその責務を負う義務があるのです。
USSの年金プロバイダーは、今夜、キャピタ経由でデータが流出したことを通知し始めました。以前は「あったかもしれない」と表現されていたものです。
Capitaに個人情報を預けている企業は、何が起きたかについて真剣に問い質すべきでしょう。ランサムウェアの通知まで53日。”

G7広島市のホームページについて

Google検索で “hiroshima”と入力すると広島市公式ホームページが、G7広島サミットのアイコンと共に検索順位トップに表示されます。

なお、5月20日午後4時45分ごろから、G7招待国首脳、国際機関トップたちの出迎えのタイミングで、広島市のホームページが接続しにくい状態になりました。

プログラマーになりたい若者へ一連の騒動について

プログラマーになりたい若者が一連の騒動で、開発者に対して憶測で批判しているのを見ていると思います。

私も高校生の頃からプログラマーのアルバイトしてきましたが、アーキテクトの非機能の考慮漏れはテスト仕様にも含まれず、実装段階で見つけ整合させることを、ほぼ不可能であり、期待すべきことでは無いと思っております。

IPA システム構築の上流工程強化(非機能要求グレード)
デジタル庁 デジタル社会推進標準ガイドライン
デジタル庁 デジタル社会推進標準ガイドライン

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ