迪士尼樂園現對遊客使用面部辨識技術

上週末，一名槍手企圖進入在華盛頓特區舉行的白宮記者協會晚宴，當時總統唐納·川普（Donald Trump）、副總統詹姆斯·戴維·范斯（JD Vance）及其他政府官員皆在場。媒體報導及川普本人隨後確認嫌犯為 31 歲的工程師兼電腦科學家科爾·托馬斯·艾倫（Cole Tomas Allen）。這位加州居民於週六在現場被捕，並於週一在美國哥倫比亞特區地方法院出庭，面臨三項聯邦指控：企圖暗殺總統、在州際貿易中運輸槍支，以及在暴力犯罪期間開火。

名為 FIDO 聯盟的身份驗證標準組織本週宣佈與 Google 和萬事達卡（Mastercard）成立工作小組，旨在為驗證與保護由 AI 代理發起的交易開發技術規範。同時，鑑於某些使用 AI 的工作日益普及且敏感性增加，OpenAI 為面臨高度攻擊風險的 ChatGPT 和 Codex 帳戶推出了「進階」安全風險模式。

本週的一項新研究揭露了一起事件，其中從一名歐洲名人的手機中提取的 9 萬張螢幕截圖被洩露在網路上——這凸顯了市售間諜軟體所帶來的風險，既是對個人隱私的侵犯，也是對大規模數據洩露和濫用的威脅。此外，《連線》（WIRED）雜誌關注了阿拉伯聯合大公國因民眾分享螢幕截圖及其他網路內容而導致的逮捕事件。

還有更多消息。每週，我們都會彙整那些我們未深入報導的安全與隱私新聞。點擊標題即可閱讀完整故事。請保持警惕，注意安全。

迪士尼推行面部辨識

這個「地球上最快樂的地方」變得有點令人毛骨悚然。華特迪士尼公司本週宣佈，前往迪士尼樂園（Disneyland Park）和迪士尼加州冒險樂園（Disney California Adventure Park）的遊客將可以「選擇」通過配備面部辨識技術的通道入園。雖然該公司表示接受面部辨識是「完全自願的」，但它也指出，如果您通過未設有面部辨識系統的通道入園，「您的影像仍可能被拍攝」。迪士尼的面部辨識技術與許多其他系統一樣，透過將人臉影像轉換為數值，進而用於與其他影像中的面孔進行比對。該公司表示，這些數值將在 30 天後刪除，「除非因法律或防範詐欺目的而必須保留數據」。

面部辨識系統在美國及世界各地被廣泛使用。執法機構頻繁使用該技術，但它也已滲透到日常生活的方方面面，從機場到大聯盟（MLB）和美式足球聯盟（NFL）體育場，再到麥迪遜廣場花園。

美國國家安全局正在測試 Anthropic 的 Mythos AI 工具以發現可駭漏洞

Anthropic 的 Mythos 預覽版 AI 模型被描述為非常擅長挖掘軟體中可被駭客利用的漏洞，以至於其使用至今一直受到嚴格限制，以防止落入惡意駭客之手。因此，如果美國國家安全局（NSA）尚未開始嘗試使用它，或許反而更令人驚訝。

《彭博新聞》和《Axios》本週報導稱，NSA 是獲准提前使用 Mythos 的機構和公司之一。據《Axios》報導，目前僅限 40 個組織使用。據向《彭博社》匿名透露的消息人士稱，該機構已使用該工具在微軟的軟體中尋找漏洞——這很自然，因為全球大多數電腦仍運行微軟系統——並對其在發現可利用漏洞方面的速度和有效性印象深刻。畢竟，該機構的職責包括協助美國政府發現並修復其所用軟體中的安全漏洞，有時也會在 NSA 自身的行動中利用這些漏洞。

儘管美國國防部宣佈禁用 Anthropic（此前國防部長皮特·海格塞斯聲稱該公司代表了供應鏈風險），但 NSA 對 Anthropic AI 工具的測試或採用似乎仍在進行。海格塞斯在二月份表示，國防部將在六個月內逐步停止使用 Anthropic 的工具，而 Anthropic 已提起訴訟以阻止禁令實施。鑑於 NSA 隸屬於國防部，目前尚不清楚 NSA 僅是在禁令生效前的窗口期使用 Mythos，還是該工具強大到足以說服 NSA 重新考慮禁令，或為其破例。

19 歲 Scattered Spider 勒索軟體組織疑似成員被捕

名為 Scattered Spider 的勒索軟體組織對近期一些最具破壞性的勒索駭客行動負有責任，包括入侵美高梅國際酒店集團（MGM Resorts）、凱撒娛樂（Caesars Entertainment）以及瑪莎百貨（M&S）和哈洛德百貨（Harrods）等零售商。該組織在勒索軟體團伙中也因其成員構成而顯得與眾不同：成員通常非常年輕、說英語，且居住在與美國執法部門有合作關係的國家——因此，他們往往會被逮捕。

最新被確認身份並起訴的疑似成員是 19 歲的彼得·斯托克斯（Peter Stokes），他在芬蘭的一家機場被捕，當時他正準備搭乘前往日本的航班。據《芝加哥論壇報》報導，斯托克斯涉嫌參與針對四家 Scattered Spider 受害公司的行動，相關細節記錄在一份已被封存的刑事起訴書中。據報導，斯托克斯被指控協助從這些未具名的受害公司（包括一個線上通訊平台和一家奢侈品零售商）竊取數百萬美元。根據起訴書，他還過著噴氣式飛機往返的奢華生活，足跡遍布杜拜、泰國和紐約，並在一張照片中戴著一條寫有「駭入地球」（HACK THE PLANET）的鑽石項鍊。

聯邦醫療保險數據庫洩露醫療服務提供者的社會安全號碼

據《華盛頓郵報》報導，一個在公開網路上處於可存取狀態的聯邦醫療保險（Medicare）數據庫，無意中洩露了全美醫療服務提供者的社會安全號碼和其他個人資訊。該數據庫與美國聯邦醫療保險和聯邦醫療補助服務中心（CMS）的一個線上目錄相關聯，該目錄允許聯邦醫療保險患者查詢醫療服務提供者接受哪些保險計劃。據《郵報》報導，這些洩露的敏感數據在網路上存在了「至少數週」。報導稱，該目錄的推出是川普政府「建立全國醫療服務提供者數據庫」努力的一部分，該項目由美國政府效率部（DOGE）代理負責人艾米·格里森（Amy Gleason）監督，她同時也在 CMS 擔任官員。