OWASP 世界初のサイバーセキュリティに特化したチャットボットである OpenCRE-Chat をリリース
Today we at @owasp launch OpenCRE-Chat: the world's first generally available security-specialized chatbot! https://t.co/bUedNP8B9W
— Rob van der Veer (@robvanderveer) September 11, 2023
Thank you @googlecloud, @kerberosmansour, @justeattakeaway, @sig_eu , and my OpenCRE co-lead @0xfde#ai #appsec #security #LLM pic.twitter.com/RLr7h29XMj
Google の PaLM AI テクノロジーを使用して、OpenCRE で収集されたセキュリティ標準から質問に答える大規模な言語モデルを作成しました。このアプローチの利点は、回答が精査された主要な標準 (ISO、NIST、CAPEC、CWE、OWASP など) に基づいているため、より信頼性が高く、さらにチャットボットが回答とともに参照先を提供することです。注: これは依然として生成 AI であるため、完璧な品質を保証するものではありません。
Open CRE
試しにMicrosoftから2023年9月12日にアナウンスされたばかりの脆弱性をOWASP OpenCRE Chatに確認したところ“MS Teams を悪用したランサムウェア攻撃を行う新しいマルウェアです。”といった回答が得られました。
プロンプト:
Storm-0324 Exploits MS Teams Chats to Facilitate Ransomware Attacks
OWASP 2023 GLOBAL AppSec Washington DC
開催日時:2023 年 10 月 31 日火曜日午後 1:15 ~ 午後 2:00 EDT
世界初のサイバーセキュリティに特化したチャットボットである OpenCRE-Chatは、これらすべての情報を結びつける: トップ10、ASVS、プロアクティブコントロール、テストガイド、チートシート、SAMM、SSDF、ISO27001、CSA CCMv3、CWE、CAPEC、PCI-DSS、NIST 800-53および63bを含む複数の標準にまたがるトピックをリンクしている。さらに、コードサンプルと攻撃的なツールの設定やルールをリンクしています。そうすることで、経営幹部、コンプライアンス・オフィサー、調達担当者、アーキテクト、開発者、テスターなど、関係するあらゆる役割をつなぐユニバーサルな翻訳機として機能します。
この講演では、openCRE.orgがどのように機能するのか、どのようにしてこれらすべての標準を一つにまとめたのか、どのようにAIを革命的な方法で使用したのか、そして管理者、ビルダー、改革者、バイヤー、そしてスタンダード・メーカーとして、どのようにあなたの仕事に利益をもたらすことができるのかを紹介します!この講演の対象者は、アプリケーション・セキュリティに関わり、規格から規制、コード、設定までをマッピングした使いやすいガイドを探している全ての人達を想定しています。
OWASP 2023 GLOBAL AppSec Washington DC
Meta からCode Llama発表
Meta からCode Llama発表、コードと自然言語プロンプトの両方からコードとコードに関する自然言語を生成できる最先端の LLM です。日本がLLMで目指すべきは、このような新たな市場を拓く人材を活かすエコシステムだと思います。
As part of our continued belief in the value of an open approach to today's AI, we've published a research paper with more information on Code Llama training, evaluation results, safety and more.
— Meta AI (@MetaAI) September 6, 2023
Code Llama: Open Foundation Models for Code ➡️ https://t.co/u7iXXE08Bd pic.twitter.com/EakdnT52M5
多様なプログラミング言語によるMultiPL-E ベンチマーク (Python、C++、Java、PHP、TypeScript、C#、Bash)の結果 どの言語のコード生成においても、同じサイズの LLAMA 2モデルを上回る性能を示しました。
生成AI活用の必須スキル。最適な回答を引き出す命令文作成を競うプロンプト大会を開催
生成AI活用の必須スキル。最適な回答を引き出す命令文作成を競うプロンプト大会を開催
プロンプトのスキルがなければ、精度の高い情報を引き出せない。つまり、ChatGPTは確率的オウム🦜と呼ばれており、あなたのスキルを写す鏡のようなものです。
ソフトバンクもプロンプトスキルを競い合い研鑽している模様です。
これから プロンプトエンジニアリング 🦜といった技術が広く普及していくと思います。
Microsoftより2023年9月のセキュリティアップデートが公開されました!
以下の脆弱性は悪用が確認されています。
- CVE-2023-36802 Microsoft Stream Services サービスのプロキシの特権の昇格の脆弱性
- CVE-2023-36761 Microsoft Word の情報漏えいの脆弱性
詳しくはこちらへ👉 https://msrc.microsoft.com/blog/2023/09/202309-security-update/
お早めにアップデートすることをお勧めいたします。
Adobe Acrobat および Reader のゼロデイ脆弱性
CVE-2023-2636 Critical CVSS 7.8
任意のコードが実行される可能性があり、既に悪用されていることが確認されています。
お早めにアップデートをお勧めします。
Free Download Manager のバックドア – Linux マシンに対するサプライ チェーン攻撃の可能性
少なくとも2020 年から 2022 年までの 3 年間にわたって悪意のある Debian リポジトリからマルウェアがインストールされていました。
Free Download Manager backdoored – a possible supply chain attack on Linux machines
FDMよりアナウンス:システム内のマルウェアの存在を確認するために使用できる bash スクリプト( linux_malware_check.sh )が提供されています。
認知領域を含む情報戦への対応
この件は、最高裁で沖縄県に対する国の指示は「適法」とする判決を言い渡し、日本の法に基づいて進められてきた事案です。最近では、中国が国連総会で人権を口実とした内政干渉に反対表明しました。ITによって国や言葉の壁も取り払われ、こうした流れは更に加速していくと感じます。
【主張】玉城氏が人権理へ 国益を害する言動やめよ https://t.co/KNKuyTr1WW
— 産経ニュース (@Sankei_news) September 15, 2023
スイス・ジュネーブで18日から開かれる人権理の会議で、国の方針を完全に否定するスピーチを行うことを意味する。
認知領域を含む情報戦は既に始まっていると感じます。
ニューリジェンの一コマ
東京へ行く機会があり、情報を聞きつけたニューリジェンの皆さんから、私たち3人の歓迎会を催して頂きました。
海で日焼けした最首さんの話題から、男料理、AIについて和田さんと仲上さんとメンバーで語り合えたのは刺激的でした。
”セキュアなデジタル世界を実現する”想いが、夜空の向こうまで響いていました。
ニューリジェンセキュリティ
社名について Nuage(フランス語で「雲」を意味します)+ Intelligenceの造語。
クラウドセキュリティ分野においてIntelligenceを提供するという思いを込めています。
https://nuligen.com
