OpenSSL软件库曝高危漏洞,可实施中间人攻击
OpenSSL 修补了由苹果发现的高严重性漏洞 CVE-2024-12797,该漏洞可能导致中间人攻击。
OpenSSL 项目在其安全通信库中修复了一个高严重性漏洞,编号为 CVE-2024-12797。OpenSSL 软件库用于在计算机网络中实现安全通信,防止窃听并确保通信双方的认证。该库包含了安全套接层(SSL)和传输层安全(TLS)协议的开源实现。
漏洞主要影响那些显式启用 RPK 并依赖 SSL_VERIFY_PEER 来检测认证失败的 TLS 客户端。OpenSSL 维护者指出,默认情况下,RPK 在 TLS 客户端和服务器中均为禁用状态。项目公告中明确表示:“只有在 TLS 客户端显式启用服务器端的 RPK,且服务器也发送 RPK 而非 X.509 证书链时,才会引发此问题。受影响的客户端通过设置验证模式为 SSL_VERIFY_PEER,期望在服务器的 RPK 与预期公钥不匹配时握手失败。”
即便如此,启用服务器端原始公钥的客户端仍可通过调用 SSL_get_verify_result() 来检查原始公钥验证是否失败。该漏洞最初出现在 OpenSSL 3.2 版本的 RPK 支持实现中。受影响的版本包括 OpenSSL 3.4、3.3 和 3.2,此漏洞已在 3.4.1、3.3.2 和 3.2.4 版本中得到修复。
2022 年 11 月,OpenSSL 项目发布安全更新,修复了其加密库中的两个高严重性漏洞,编号分别为 CVE-2022-3602 和 CVE-2022-3786。这两个漏洞影响了 3.0.0 至 3.0.6 版本的库。
这两个漏洞均为缓冲区溢出问题,攻击者可通过提供特制的电子邮件地址在 X.509 证书验证中触发。Censys 发布的一篇文章中提到:“第一个漏洞 CVE-2022-3786 允许攻击者‘在证书中构造恶意电子邮件地址,以溢出包含.字符的任意字节。第二个漏洞 CVE-2022-3602 类似,但攻击者可以通过恶意电子邮件溢出栈上的四个受控字节。’这可能导致服务拒绝或远程代码执行。”
这种缓冲区溢出可能导致服务拒绝,甚至引发远程代码执行。
微软:生成式AI可导致人类认知能力下降
AI正在掀起一场“工作革命”,根据Anthropic公司近日发布的AI经济指数报告,在软件开发(37.2%)、艺术文化创作(10.3%)等知识密集型领域,57%的交互呈现"人机协作"特征。但是,在“AI大大增强工作效率”的同时,是否也会对人类知识工作者产生负面影响?
近日,微软与卡耐基梅隆大学的一项研究发现,生成式人工智能可导致知识工作者的认知和批判思维能力下降。以下为报告内容摘要:
生成式人工智能(Generative AI,GenAI)工具正在迅速渗透知识型工作者的日常工作流程,为他们提供文本生成、数据分析、代码编写等各类智能辅助。然而,随着这类工具的普及,人们开始担忧它们是否会影响用户的批判性思维能力。历史上,每当新技术出现,总会引发关于人类思维能力退化的讨论,例如苏格拉底曾反对书写,认为它会削弱记忆力,而今天的人工智能则面临类似的争议。
微软的研究通过对319名知识工作者的调查,探讨他们在使用GenAI工具时的批判性思维实践,以及GenAI对他们认知努力的影响。研究发现,知识工作者在使用GenAI时,批判性思维主要表现为信息验证、内容整合和任务管理,同时用户对人工智能和自身能力的信心会影响其批判性思维的水平。
研究方法
研究采用在线问卷调查的方式,向319名知识工作者收集了936个真实的GenAI使用案例,并衡量他们在执行这些任务时的批判性思维程度。调查问题围绕两个核心研究问题:
-
何时以及如何在GenAI辅助的工作中展现批判性思维?
-
何时以及为何GenAI会影响批判性思维所需的努力程度?
研究采用布鲁姆分类法(Bloom’s Taxonomy)对批判性思维活动进行分级,包括知识回忆、理解、应用、分析、综合和评估六个层面,并通过统计回归模型分析影响因素。
主要研究发现:
1
知识工作者如何展现批判性思维?
受访者的批判性思维主要体现在以下三个方面:
-
目标设定与查询优化:知识工作者在使用GenAI工具前,会明确自身目标,并优化查询方式,以提高AI的输出质量。例如,有些用户在调整DALL-E的图像生成提示词,以确保AI生成的图像符合特定需求。
-
响应检查与信息验证:知识工作者会对GenAI的输出进行审查,包括检查内容的逻辑性、可行性和相关性。有些受访者会与外部资源(如技术文档或行业标准)交叉验证AI输出的正确性。
-
内容整合与调整:知识工作者并不会完全接受GenAI的生成内容,而是会选择性地整合或调整。例如,部分用户会修改AI生成的文本,使其更具个人风格或更符合专业写作规范。
2
何时会展现批判性思维?
受访者在约60%的任务中报告使用了批判性思维。研究发现,以下因素显著影响知识工作者是否在GenAI辅助任务中实施批判性思维:
-
对GenAI的信心:当用户对GenAI的能力越信任,其批判性思维的可能性越低。换言之,越信任AI,越倾向于直接接受其输出,而不加审视。
-
对自身能力的信心:相反,如果用户对自身完成任务的能力更自信,则更有可能主动批判性地思考AI的输出,而不仅仅是被动接受。
-
用户的反思倾向:那些习惯于在工作中进行反思的知识工作者,在使用GenAI时也更可能展现批判性思维。
3
GenAI如何影响批判性思维?
研究发现,在大多数情况下,GenAI降低了知识工作者在批判性思维活动中的认知努力。然而,这种影响在不同认知活动之间存在差异:
-
对知识回忆、理解和应用的努力减少:由于GenAI可以提供快速的信息检索和内容摘要,用户在记忆和理解方面的努力明显减少。
-
对分析和综合的努力减少:AI提供的现成内容使得用户在分析和综合信息时的认知负担降低。
-
对评估的努力增加:由于AI的输出可能包含错误或偏见,用户需要投入更多精力去评估其内容的真实性和准确性。
此外,研究还发现,任务的复杂性、用户的AI信任度以及任务的重要性都会影响GenAI如何改变批判性思维的努力程度。例如,在高风险任务(如法律或医疗咨询)中,用户更可能谨慎评估AI的建议。
讨论与设计建议
微软的研究揭示了GenAI在知识工作中带来的机遇和挑战。一方面,GenAI提高了工作效率,并减轻了某些认知任务的负担;另一方面,它也可能导致批判性思维的下降,使用户容易过度依赖AI。
为避免GenAI削弱用户的批判性思维能力,我们提出以下设计建议:
-
增强AI透明度:提供详细的来源信息和不确定性提示,帮助用户更好地评估AI输出的可靠性。
-
促进用户参与:引导用户进行反思性互动,例如在生成内容前,要求用户输入目标或标准。
-
避免自动化陷阱:在关键任务(如医学或法律咨询)中,加入强制性的人类审核环节,以确保AI输出的准确性。
-
培养长期批判性思维能力:鼓励用户通过GenAI进行自主学习,而不仅仅是依赖AI提供答案。
结论:警惕AI导致的认知“钝化”
生成式人工智能正在深刻改变知识工作的方式,同时也产生了钝化人类认知能力,尤其是批判性思维能力的新威胁。微软的研究发现,用户的批判性思维水平受到AI信任度、自身信心以及反思习惯的影响。同时,GenAI在减少认知努力的同时,也可能导致认知依赖。
未来,GenAI工具的设计应当更加关注如何支持用户保持和提升批判性思维,而不是简单地提供答案。只有这样,我们才能在享受AI带来的便利的同时,保持人类独有的思辨能力和创造力。
声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。如涉及版权问题请及时联系我们,我们会在第一时间删改,谢谢!文章来源:GoUpSec、 FreeBuf、
参考链接:https://www.microsoft.com/enus/research/uploads/prod/2025/01/lee_2025_ai_critical_thinking_survey.pdf
原文始发于微信公众号(e安在线):OpenSSL软件库曝高危漏洞,可实施中间人攻击 | 微软:生成式AI可导致人类认知能力下降
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论