2023年，对于软件产业而言又是非同寻常、充满变革的一年。一方面是宏观经济环境的影响，另一方面则是以生成式AI为代表的新技术冲击。这新一轮技术变革，从软件开发模式的改变开始，还将改变软件应用环境和商业模式，对软件产业的未来发展产生极其深远的影响。

近日，一个叫「逆转诅咒」（Reversal Curse）的新概念成为了 AI 圈热议的话题，现在流行的所有大语言模型全部都中招了。面对简单到不能再简单的问题，它们的准确率不仅是接近为零，而且看不出有增加正确率的可能性。

近日，奇安信CERT监测到Apple修复多个高危在野利用漏洞，包括CVE-2023-41991 Apple 多产品安全特性绕过漏洞、 CVE-2023-41992 Apple 多产品权限提升漏洞、 CVE-2023-41993 Apple 多产品代码执行漏洞。目前这三个漏洞已发现在野利用事件，鉴于这些漏洞影响范围极大，建议客户尽快做好自查及防护。

API技术逐渐成了现代数字业务环境的基础组成，也是企业数字化转型发展战略实现的核心要素，几乎所有的企业都依赖API进行服务连接、数据传输和系统控制。然而，API的爆炸式应用也为攻击者提供了更多的方法，而现有的安全工具却难以检测和减轻特定于API的威胁，使组织容易受到妥协、滥用和欺诈的影响。

云计算技术的出现，改变了数据计算和存储的方式，它解决了在海量数据之下，传统数据存储技术的性能瓶颈，越来越受到企业组织的青睐，并得以快速普及。随着越来越多的敏感信息在线存储于云上，企业对业务和数据安全性的担忧也进一步加大。

随着当前网络安全威胁的不断扩展与升级，开展渗透测试工作已经成为众多组织主动识别安全漏洞与潜在风险的关键过程。然而，传统的渗透测试对测试人员的经验水平有很强的依赖，对相关知识的掌握有很高的要求，企业需要投入较大的时间和人力成本才能完成。

随着组织不断加快数字化工作，那些喜欢尝试新鲜事物的人可能会因为好奇或炒作而急于进入下一个大事件。近年来，人工智能（AI）、云服务、区块链和物联网（IoT）等新兴技术应用激增，吸引了大量组织采用这些技术。其中一个因素可能是由于全球人口中更适应数字技术和采用新技术的数字原生代数量的增加。

API技术逐渐成了现代数字业务环境的基础组成，也是企业数字化转型发展战略实现的核心要素，几乎所有的企业都依赖API进行服务连接、数据传输和系统控制。然而，API的爆炸式应用也为攻击者提供了更多的方法，而现有的安全工具却难以检测和减轻特定于API的威胁，使组织容易受到妥协、滥用和欺诈的影响。

近日，奇安信CERT监测到JumpServer未授权访问漏洞(CVE-2023-42442)：未经身份验证的远程攻击者利用该漏洞可以访问录像文件，远程获取到敏感信息。如果会话重播存储在S3或OSS或其他云存储中，则不受影响。

云安全公司Wiz本周一撰文披露微软AI研究部门从2020年7月开始公开泄漏了高达38TB的敏感数据，该部门当时正在向一个公共GitHub代码库贡献开源AI学习模型。此次数据泄漏事件持续三年之久，直到一位Wiz研究人员发现一名微软员工不小心分享的一个URL指向包含泄露信息的Azure Blob存储桶（该URL被配置为可分享该账户下所有38TB的文件）。