Post Syndicated from corbet original https://lwn.net/Articles/1005445/
A reminder has gone out that the deadline for proposals for the 2025 Linux
Storage, Filesystem, Memory Management and BPF Summit is February 1;
anybody wanting to attend will need to make themselves known before then.
The reminder also says that there will be no remote participation option
(or live streams) this year.
Post Syndicated from Philip Colligan original https://www.raspberrypi.org/blog/the-need-to-invest-in-ai-skills-in-schools/
Earlier this week, the UK Government published its AI Opportunities Action Plan, which sets out an ambitious vision to maintain the UK’s position as a global leader in artificial intelligence.
Whether you’re from the UK or not, it’s a good read, setting out the opportunities and challenges facing any country that aspires to lead the world in the development and application of AI technologies.
In terms of skills, the Action Plan highlights the need for the UK to train tens of thousands more AI professionals by 2030 and sets out important goals to expand education pathways into AI, invest in new undergraduate and master’s scholarships, tackle the lack of diversity in the sector, and ensure that the lifelong skills agenda focuses on AI skills.
This is all very important, but the Action Plan fails to mention what I think is one of the most important investments we need to make, which is in schools.
“Most people overestimate what they can achieve in a year and underestimate what they can achieve in ten years.”
While reading the section of the Action Plan that dealt with AI skills, I was reminded of this quote attributed to Bill Gates, which was adapted from Roy Amara’s law of technology. We tend to overestimate what we can achieve in the short term and underestimate what we can achieve in the long term.
In focusing on the immediate AI gold rush, there is a risk that the government overlooks the investments we need to make right now in schools, which will yield huge returns — for individuals, communities, and economies — over the long term. Realising the full potential of a future where AI technologies are ubiquitous requires genuinely long-term thinking, which isn’t always easy for political systems that are designed around short-term results.
But what are those investments? The Action Plan rightly points out that the first step for the government is to accurately assess the size of the skills gap. As part of that work, we need to figure out what needs to change in the school system to build a genuinely diverse and broad pipeline of young people with AI skills. The good news is that we’ve already made a lot of progress.
Over the past three years, the Raspberry Pi Foundation and our colleagues in the Raspberry Pi Computing Education Research Centre at the University of Cambridge have been working to understand and define what AI literacy means. That led us to create a research-informed model for AI literacy that unpacks the concepts and knowledge that constitute a foundational understanding of AI.
In partnership with one of the leading UK-based AI companies, Google DeepMind, we used that model to create Experience AI. This suite of classroom resources, teacher professional development, and hands-on practical activities enables non-specialist teachers to deliver engaging lessons that help young people build that foundational understanding of AI technologies.
We’ve seen huge demand from UK schools already, with thousands of lessons taught in UK schools, and we’re delighted to be working with Parent Zone to support a wider roll out in the UK, along with free teacher professional development.
With the generous support of Google.org, we are working with a global network of education partners — from Nigeria to Nepal — to localise and translate these resources, and deliver locally organised teacher professional development. With over 1 million young people reached already, Experience AI can plausibly claim to be the most widely used AI literacy curriculum in the world, and we’re improving it all the time.
All of the materials are available for anyone to use and can be found on the Experience AI website.
With the CEO of GitHub claiming that it won’t be long before 80% of code is written by AI, it’s perhaps not surprising that some people are questioning whether we still need to teach kids how to code.
I’ll have much more to say on this in a future blog post, but the short answer is that computer science and programming is set to become more — not less — important in the age of AI. This is particularly important if we want to tackle the lack of diversity in the tech sector and ensure that young people from all backgrounds have the opportunity to shape the AI-enabled future that they will be living in.
The simple truth is that there is no artificial intelligence without computer science. The rapid advances in AI are likely to increase the range of problems that can be solved by technology, creating demand for more complex software, which in turn will create demand for more programmers with increasingly sophisticated and complex skills.
That’s why we’ve set ourselves the ambition that we will inspire 10 million more young people to learn how to get creative with technology over the next 10 years through Code Club.
But we also need to think about what needs to change in the curriculum to ensure that schools are equipping young people with the skills and knowledge they need to thrive in an AI-powered world.
That will mean changes to the computer science curriculum, providing different pathways that reflect young people’s interests and passions, but ensuring that every child leaves school with a qualification in computer science or applied digital skills.
It’s not just computer science courses. We need to modernise mathematics and figure out what a data science curriculum looks like (and where it fits). We also need to recognise that AI skills are just as relevant to biology, geography, and languages as they are to computer science.
To be clear, I am not talking about how AI technologies will save teachers time, transform assessments, or be used by students to write essays. I am talking about the fundamentals of the subjects themselves and how AI technologies are revolutionising the sciences and humanities in practice in the real world.
These are all areas where the Raspberry Pi Foundation is engaged in original research and experimentation. Stay tuned.
All of this needs to be underpinned by a commitment to supporting teachers, including through funding and time to engage in meaningful professional development. This is probably the biggest challenge for policy makers at a time when budgets are under so much pressure.
For any nation to plausibly claim that it has an Action Plan to be an AI superpower, it needs to recognise the importance of making the long-term investment in supporting our teachers to develop the skills and confidence to teach students about AI and the role that it will play in their lives.
I’d love to hear what you think and if you want to get involved, please get in touch.
The post The need to invest in AI skills in schools appeared first on Raspberry Pi Foundation.
Post Syndicated from daroc original https://lwn.net/Articles/1004893/
The idea of adding None-aware operators to Python has sprung up once
again. These would make traversing structures with None values in them
easier, by short-circuiting lookups when a None is encountered. Almost
exactly a year ago, LWN covered the previous attempt to bring
the operators to Python, but there have been periodic discussions stretching back to
2015 and possibly before. This time Noah Kim has taken up the cause. After some debate, he
eventually settled on redrafting the existing PEP to have a more limited scope,
which might finally see it move past the cycle of debate, resurrection, and abandonment that
it has been stuck in for most of the last decade.
Post Syndicated from daroc original https://lwn.net/Articles/1005380/
The
6.12.10,
6.6.72, and
6.1.125 stable kernels have been released on
the expected schedule.
Post Syndicated from daroc original https://lwn.net/Articles/1005433/
Security updates have been issued by Debian (rsync and tomcat9), Fedora (chromium, mingw-python-jinja2, redict, and valkey), Gentoo (GIMP and pip), Oracle (.NET, fence-agents, ipa, kernel, python-virtualenv, raptor2, and rsync), Red Hat (.NET 8.0 and .NET 9.0), SUSE (apache2-mod_jk, git, git-lfs, kernel, python-Django, thunderbird, and xen), and Ubuntu (audacity, bcel, dotnet8, dotnet9, gimp-dds, harfbuzz, libxml2, poppler, rsync, and tqdm).
Post Syndicated from The History Guy: History Deserves to Be Remembered original https://www.youtube.com/watch?v=F9ngDi1QDiQ
Post Syndicated from Емилия Милчева original https://www.toest.bg/kabinetut-zhelyazkov-konservativniyat-udoben-brak/
Разни караконджули наплашиха хората, че ако няма редовно правителство, българите ще ги сполетят какви ли не злини. Гражданите се отвратиха от политиците, политиците се умориха и изхабиха от поредицата избори и ето че кабинетът е факт. След такова „бабуване“ обществото изглежда готово да преглътне почти всичко, което политиците му сервират – дори най-противоречивите съюзи.
Погледнато отвън, в България вече управлява коалиция с проруска партия в редиците си. С такова заглавие излезе The Financial Times предвид участието на БСП в управляващото мнозинство, формирано от ГЕРБ–СДС. В този съюз влизат още националпопулистите от „Има такъв народ“ (ИТН) и формалните либерали от ДПС – Демокрация за права и свободи (ДПС–ДПС). То предостави своите 19 гласа, за да гарантира с мнозинство от 126 народни представители избирането на кабинета с премиер Росен Желязков (ГЕРБ–СДС).
Вярва ли някой, че такива обиграни и особено прагматични политици, каквито са несъмнено в ДПС, ще подкрепят управляващо мнозинство с решаващи гласове, без да поискат нищо в замяна? Историята говори друго, а последните събития са показателни.
През юли 2023 г. ДПС, тогава още оглавявано от олигарха Делян Пеевски, санкциониран по „Магнитски“, стана партньор в коалицията между ГЕРБ–СДС и ПП–ДБ, по-известна като не-коалиция и сглобка. Макар да не бе обявено публично, беше известно, че срещу участие в мнозинство за конституционни промени на ДПС е гарантирано запазване на влиянието в регулаторите. Когато се разбра, че им отказват, сглобката се разпадна при ротацията след едва шест месеца управление. А отменените от Конституционния съд текстове от основния закон не само обезсмислиха съглашението, но и нанесоха трудно поправими репутационни щети на ПП–ДБ.
Обновяването на най-значимите органи е сред първите приоритети на новото мнозинство, както се разбира от споразумението за управление. До 30 дни от подписването му, тоест до средата на февруари, трябва да е готова хронограмата за избор на контролни и регулаторни органи.
Всички органи с изтекъл мандат следва да бъдат попълнени в рамките на 1 година от подписването на настоящото споразумение.
Първите са Висшият съдебен съвет и неговият Инспекторат, омбудсманът, Антикорупционната комисия, Комисията за конфискация и Сметната палата. На фона на общите фрази и клишета, с които е пълно споразумението, като например „извеждане на качеството на живот на хората като първостепенен приоритет с фокус върху здравеопазването, образованието и развитието на пазара на труда“, тази конкретика е забележителна. И не само. В цялото споразумение от 11 страници всъщност има вписани само два срока – законодателна програма до месец, хронограма и избор на членове на регулатори и в съдебната власт – в рамките на година.
Но най-важните членове се избират с най-голямо мнозинство – от 160 депутати, така реши 50-тият парламент по предложение на сглобката. Затова и споразумението за кабинета „Желязков“ предвижда управляващите да обсъдят възможност за кандидати и на други формации. Някои започнаха да подсказват, че това би било шанс за ПП–ДБ, след като изгубиха възможността да участват в правителството.
На 5 януари, час след края на поредните разговори между ГЕРБ и „Демократична България“, от партията на Бойко Борисов съобщиха, че ги прекратяват заради нежеланието на ДБ да подкрепи Росен Желязков за премиер. Запазвайки тогава мълчание, ДБ проговориха едва сега, за да обявят, че не са били информирани предварително за решението на ГЕРБ и че мерките, които биха изолирали Пеевски от институционалното обновление, са останали извън споразумението.
Затова пък другото ДПС не е в изолация. А и все едно кое ДПС. Движението винаги е било част от статуквото, също и от тъмните нелегитимни мрежи на влияние, функциониращи зад кулисите на институциите. Какво се е променило? Да не би ДПС да дава своя десятък в борбата за правова държава, отказвайки се от дял във властта, само и само врагът Пеевски начело на другия брат близнак да е в опозиция? Оглавяваната от Ахмед Доган партия ДПС – Демокрация за права и свободи, успешно изигра ролята на жертва на олигарха, но виктимизацията, свързана с натиск върху активисти и кметове и с антикорупционни и прокурорски „бухалки“, не пречи да бъде поставен въпросът с какво ценностно едното ДПС е по-различно от другото. В крайна сметка тяхното ДНК е не просто сходно, а идентично.
Отделянето на Пеевски с част от някогашния елит на ДПС и със създаден от него нов не променя същността на формацията, разделила се на две. Едно е ясно – политическата аритметика може да изглежда различна, но правилата на играта в българската политика остават непроменени.
Засега обаче кръгът около Доган е наложил стратегическата фасада на политическа сила, която не иска нищо в замяна на подкрепата си. Същото направи и Пеевски в предходния парламент в опит да се препозиционира като конструктивен играч в процеса на изграждане на „правова държава“ и в предните редици на евроатлантиците.
Липсата на открити претенции за участие във властта може да е ход за намаляване на общественото недоволство, докато зад кулисите се дърпат конците. ДПС има черен колан в тази игра на влияние, а „изпуснатата“ в навечерието на връчването на мандата информация, че искат постове, но им е отказано, е просто игра. Така, от една страна, се демонстрира, че без тях не може, от друга – колко твърди и непреклонни са ГЕРБ. Обществото обаче едва ли вярва, че ДПС е обикновена подпора на правителството и мнозинството, а въпросът какво е поискало, скоро ще намери своя отговор в реализацията на приоритетите.
След гласуването на правителството, избрано повече от 80 дни след изборите, въздишките на облекчение са повече, независимо от реториката в пленарната зала. Партиите не искат нови избори. Дори и за някои от най-кресливите в опозиция, каквито са „Възраждане“ и МЕЧ, е по-изгодно да са част от работещ парламент, макар че конкуренцията в тази част на политическия спектър е огромна, а избирателите на Костадин Костадинов се умориха да чакат кога ще вземат властта.
За ГЕРБ–СДС би било недопустимо отново да се провалят в опита да съставят правителство. А и във всеки момент могат да разтурят коалицията, в случай че започне да им пари под краката. Бойко Борисов не влиза в конфронтация с Пеевски.
ГЕРБ има шанс да извлече позитиви след влизането на България в еврозоната, което е все по-вероятно да стане от 1 януари 2026 г. Така Борисов ще се похвали с пълен цикъл, след като в края на третото му правителство България беше приета в Европейския банков съюз и в т.нар. чакалня на еврозоната – механизма на валутните курсове ΕΡΜ II.
В споразумението за съставяне на кабинета пътят към еврото е изчерпан с изречението:
4.4. Продължаване на усилията за членство на България в еврозоната.
Засега министрите на БСП, която открито се противопоставя на този процес, избягват коментари по темата. Те най-вероятно са заети да четат списъци за назначения, които в скоро време ще извършат.
За еврозоната другият партньор във властта – ИТН, мисли като „Възраждане“: някой ден, но не сега. Нали двете политически сили заедно искаха да правят такъв референдум. По Нова телевизия в петък депутатът от ИТН Станислав Балабанов обясни позицията.
ИТН са „за“ България да влезе в еврозоната, но когато е готова – с тази дупка от 18 млрд. лева по-скоро не е готова.
За ПП–ДБ оставането в опозиция ще е изпитание и за лидерството им, и за вътрешнокоалиционните връзки – напрежението между двете формации е видимо, а фактът, че преговорите с ГЕРБ водеше само ДБ, намали шансовете за добър изход. В първите часове след гласуването на новия кабинет от „Продължаваме промяната“ обявиха, че пускат канал в ΥοuTube „Опозиция“, в който ежедневно ще представят позициите си.
Борисов пък обвини лидерите на ПП в съглашателство с Пеевски и неговото ДПС – Ново начало, споменавайки за „погледите като на мартенски мачароци между Асен Василев и Данчо Цонев“.
Всички колеги много искахме „Да, България“ да влезе в правителството. Затова приехме всички компромиси за съдебната реформа. Затова и чакахме до последно. Ние положихме много усилия с ДБ. Но не стана. Затова преценихме, че по-добрият вариант е АПС. Защото няма нужда от празнодумни декларации, които повече от месец да ми ги веят. Когато вкарваш в правителството най-големия враг на Делян Пеевски – Ахмед Доган… Как по-ясно да го кажа?! Да ви кажа, че няма да работим с Пеевски?! Няма да работим с Пеевски.
Запазването на Борислав Сарафов като и.ф. главен прокурор за още шест месеца не вещае добри новини за ръководството на ПП в лицето на Кирил Петков, Лена Бориславова и Асен Василев. На първите двама бяха поискани имунитетите, но Бориславова не се е отказала от своя, за разлика от Петков. Василев е застрашен от евентуални показания на сътрудника му Лъчезар Ставрев, арестуван за длъжностно престъпление и пране на пари и оставен за постоянно в ареста от Софийския апелативен съд. Много свидетелски показания изтекоха контролирано в медии, свързвани с Пеевски.
А обединилите се в правителство политически сили повече си приличат, отколкото се различават. Консерватизмът им започна да личи още повече след избора на Доналд Тръмп за американски президент, също и проруските симпатии, изразени по-слабо или по-силно при всяка от тях. (Лидерът на ИТН Слави Трифонов беше поздравил Доналд Тръмп за избирането му като американски президент като част от общото консервативно семейство.) Коалиралите се в правителството партии могат да бъдат разграничени единствено по формални белези, като членство в европейското политическо семейство например. Макар че БСП е твърде далеч от европейските социалдемократи.
Част от този консервативно-патриотичен блок е и президентът Румен Радев, без чието съдействие правителството не би било възможно. За първи път ГЕРБ ще управлява с министър-председател, който не се нарича Бойко Борисов. Това би могло да донесе само неприятности на Росен Желязков въпреки неговата маневреност и опит и в ГЕРБ, и в държавната администрация.
В парламента цялата отговорност за укрепване на мнозинството пада на гърба на Борисов. Лидерите на БСП са в правителството, групата лесно може да бъде „пробита“. ИТН са доказали, че не са от най-стабилните съюзници. Ако партия „Величие“ влезе в парламента, мнозинството става трудно за удържане и с цената на кой знае какви компромиси.
Консервативният удобен брак ще издържи ли?
Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2025/01/social-engineering-to-disable-imessage-protections.html
I am always interested in new phishing tricks, and watching them spread across the ecosystem.
A few days ago I started getting phishing SMS messages with a new twist. They were standard messages about delayed packages or somesuch, with the goal of getting me to click on a link and entering some personal information into a website. But because they came from unknown phone numbers, the links did not work. So—this is the new bit—the messages said something like: “Please reply Y, then exit the text message, reopen the text message activation link, or copy the link to Safari browser to open it.”
I saw it once, and now I am seeing it again and again. Everyone has now adopted this new trick.
One article claims that this trick has been popular since last summer. I don’t know; I would have expected to have seen it before last weekend.
Post Syndicated from Диана Кулчицкая original https://www.toest.bg/v-chernata-kutiya-na-izkustveniya-intelekt/
В последните години все повече се говори за изкуствения интелект (ИИ). През изминалата 2024 година той продължи да показва стремителен ръст в най-различни сфери. Технологията стана още по-разпространена и със сигурност можем да кажем, че съвременният човек се сблъсква с ИИ почти постоянно, макар и невинаги да си дава сметка за това. Когато използваме програми за автоматичен превод, когато търсим нещо в интернет, когато включваме гласовия помощник в нашия телефон, ние си имаме работа cъс самообучаващи се алгоритми. Те вече са част от нашия живот и в близко време няма да изчезнат.
Независимо от широкото разпространение на ИИ, в масовото съзнание той остава нещо като черна кутия, от която може да излезе какво ли не. Често самата технология се възприема като мистична, понякога дори зловеща. Най-песимистично настроените рисуват апокалиптично бъдеще, в което човечеството е във властта на машините. Други пък са излишно оптимистични и виждат само положителните аспекти на внедряването на ИИ, бързат да го прилагат безконтролно дори там, където това създава сериозни рискове. Може би по-балансираният и рационален подход би могъл да помогне да не отричаме ползите от тази иновация, но и да не си затваряме очите за съвсем реалните заплахи.
2024-та беше белязана от много ключови събития, свързани с ИИ. Почти масов стана визуалният генеративен изкуствен интелект, който позволява да се създават изображения и видеа. Инструменти като Midjourney и DALL-E генерираха големи печалби и привлякоха милиони потребители по целия свят. През изминалата година ИИ започна по-активно да се използва в сферата на медицината и здравеопазването. При разработването на нови лекарства учените все по-често прибягват до него и тези опити вече носят конкретни резултати. Освен това доста малки и средни бизнеси използват ИИ в практиката си. Отминаха времената, когато технологията беше достъпна само за големите компании със сериозни финансови възможности.
През изминалата година обаче имаше и трудности за софтуерните гиганти, които разработват ИИ. Още в края на 2023 г. световноизвестният американски вестник New York Times заведе дело срещу Open AI. Всекидневникът обвини създателите на Open AI, че са нарушили авторските права и са използвали нерегламентирано текстовете на медията. Делото стана повод за голяма дискусия относно интелектуалното право в епохата на ИИ. Някои анализатори изказаха мнение (вж. например тук, тук и тук), че е по-добре да захранваме ИИ с качествени текстове вместо с всевъзможни източници, много от които със съмнителна стойност, за да може езиковият модел да се учи и да работи с проверени данни. Несъгласието на големите традиционни медии да предоставят съдържанието си осуетява този процес.
В България 2024 година също беше богата на събития, свързани с ИИ. През есента институтът INSAIT представи bgGPT – първия езиков модел изцяло на български. Той разполага с повечето функции, които притежава ChatGPT на компанията Open AI, но работи с български източници и е изцяло безплатен. Освен това родните медии за първи път открито започнаха да прилагат активно ИИ за изготвяне на дописки. Появи се и първият виртуален водещ, генериран от ИИ. През март Bulgaria On Air представи Иван, който е създаден изцяло с помощта на ИИ и си партнира в сутрешния блок на телевизията с двама истински водещи.
Според теорията за дифузия на иновациите, популяризирана от Евърет Роджърс през 1962 г., всяка технология преминава през стандартни етапи в своето разпространение, преди да стане масова. Първоначално има малка група от иноватори, които я създават и допринасят за развитието ѝ. След това се появява т.нар. ранно мнозинство. То се състои от хора с напредничаво мислене, които не се страхуват от новото. Те започват да използват технологията и да я популяризират. После идва късното мнозинство. Накрая, когато дадена технология вече е станала масова, се появяват изоставащите – онези, които доста късно решават да се обърнат към иновацията.
Ако анализираме ИИ от тази гледна точка, ще видим, че технологията вече започва да става масова, но още не е минала пиковия си момент на развитие. Както при разпространението на други технологии, високите очаквания, а също и крайно изразените страхове показват, че още не сме съвсем наясно къде ще ни отведе ИИ. В същото време от статистическа гледна точка през изминалата година разпространението му става доста масово. Проучване на McKinsey, публикувано през май 2024 г., показва, че използването на ИИ в работна среда продължава да расте. Все повече хора признават, че интегрират технологията в работата си по един или друг начин. Според проучването, включващо участници от цял свят, около 65% от запитаните казват, че в техните организации ИИ се използва редовно. Това число представлява почти двойно увеличение в сравнение с 2023 г.
Известният британски математик и информатик Стюарт Ръсел е привърженик на „човешки центрирания“ подход към ИИ. Той смята, че технологията трябва да служи на човека, а не да преследва свои собствени цели. За момента все още не съществува свръхинтелект, тоест машина, която притежава съзнание и може да действа самостоятелно. Днес използваме алгоритми, които имат доста конкретно и ограничено приложение. Това обаче не значи, че в близкото бъдеще няма да се появи компютър, който притежава когнитивните способности на човека и дори ги превъзхожда.
Ръсел също така отбелязва, че не бива да се позволява на ИИ да взема решения, които са свързани със съдбата на човека. Например ученият смята, че използването на оръжие, управлявано от ИИ, може да доведе до катастрофални последствия, дори до геноцид.
Ако създаването на свръхефективен ИИ за момента е по-далечна перспектива, сегашната информационна среда крие по-осезаеми рискове. Манипулирането на данни и създаването на фалшиви видеа с помощта на ИИ никога не е било толкова лесно, колкото е в момента. Deep fake клипове са залели социалните медии. Днес на практика всеки може да създаде подобно съдържание, дори не е необходимо да притежава скъп софтуер и специални умения. Това прави дезинформацията и злонамереното изопачаване на фактите много по-лесно.
Друг проблем е свързан с неконтролираното използване на ИИ от ученици и студенти. Писането на есета само с помощта на ChatGPT, без редактиране и осмисляне на предложения от него вариант, води до това, че умението за създаване на авторски текстове се губи. Може би забраната на използването на ИИ в обучението не е най-добрата идея, но със сигурност има нужда да се формулират нови правила за оценяване и нови задания, които да не изкушават учащите се да прибягват до ИИ за решаване на всеки въпрос.
Трети проблем, който активно се обсъжда в различни индустрии, са промените в пазара на труда и отпадането на някои специалности, в които човекът може да бъде заменен от ИИ. Такава заплаха потенциално съществува, но е доста преувеличена. За момента ИИ прекрасно се справя с механични задачи, изчисления и търсене на закономерности, но не е добър в творчеството, защото работи със шаблони. Той може да бъде използван и в дизайна, и в изкуството, обаче без необходимата намеса на човека понякога създава произведения със съмнителна художествена стойност, макар и да има интересни попадения.
ИИ вълнува не само учените и обикновените потребители, но и политиците. САЩ продължават да бъдат лидер в сферата, но и Европейският съюз не иска да изостава в тази технологична надпревара. От една страна, през 2024 г. видяхме големи инвестиции в технологичните компании в Европа. От друга страна обаче, станахме свидетели на приемането на първите общоевропейски регулации на ИИ. В ЕС те са най-строгите, ако ги сравняваме с въведените в САЩ и Китай. Налагането на правила в тази сфера със сигурност е необходимо, но и прекалената регулация може да изиграе лоша шега на европейската ИИ индустрия, тъй като е възможно да стопира – или поне да забави – развитието на иновацията със създаването на бюрократични пречки.
Великобритания също не иска да изостава в тази надпревара. Преди броени дни премиерът на Обединеното кралство Киър Стармър направи изявление, посветено на ИИ. Стармър каза, че технологията вече е част от днешната реалност и че той иска неговата държава да е начело на новата технологична революция, която вече е в ход по света.
Всяко ново изобретение първоначално буди страх и неразбиране. Така е било с радиото в началото на неговото развитие. Някои са смятали, че децата няма да могат да заспят след слушането на радиопредавания и ще сънуват кошмари. Известно е, че изобретяването на телефона също е предизвикало много бурни реакции. Има исторически свидетелства, че мнозина са смятали телефонните линии за проводници на зли духове. Класикът на българската литература Иван Вазов получил като подарък един от първите телефони в България, но отказвал да го използва.
Изкуственият интелект буди сериозни притеснения сред хората. Мнозина смятат, че ще загубят работните си места, че децата ще затъпеят и няма да искат да мислят сами, а програмите за генериране на съдържание ще убият креативността като цяло.
Много учени отбелязват, че ИИ е поредният инструмент, който може да се използва както за добро, така и за лошо. Както казва Лин У от Университета в Пенсилвания (САЩ), трябва да си дадем сметка в какво са добри хората, в какво – машините и как те могат да работят заедно, за да постигнат по-добри резултати. Тя също така смята, че ако човек е добър в дадена сфера и използва ИИ, може да стане само по-ефективен. Но ако не е добър в работата си и залага изцяло на алгоритмите, това може да му попречи сериозно. Винаги трябва критично да се отнасяме към резултатите, получени с помощта на ИИ, защото технологията не е безупречна и вероятно никога няма да бъде. Затова критичното мислене и медийната грамотност са ключови за минимизиране на рисковете, свързани с ИИ.
Post Syndicated from The History Guy: History Deserves to Be Remembered original https://www.youtube.com/watch?v=HfBqGT_oUS0
Post Syndicated from Explosm.net original https://explosm.net/comics/incoming-danger
New Cyanide and Happiness Comic
Post Syndicated from xkcd.com original https://xkcd.com/3039/
Post Syndicated from The History Guy: History Deserves to Be Remembered original https://www.youtube.com/watch?v=Cgh8Kp83faY
Post Syndicated from Cliff Robinson original https://www.servethehome.com/lenovo-buying-infinidat-for-enterprise-storage/
Lenovo is buying Infinidat to bolster its offerings in the enterprise storage space and increase coverage in its infrastructure solutions
The post Lenovo Buying Infinidat for Enterprise Storage appeared first on ServeTheHome.
Post Syndicated from Eric Johnson original https://aws.amazon.com/blogs/compute/serverless-icymi-q4-2024/
Welcome to the 27th edition of the AWS Serverless ICYMI (in case you missed it) quarterly recap. At the end of a quarter, we share the most recent product launches, feature enhancements, blog posts, webinars, live streams, and other interesting things that you might have missed!
In case you missed our last ICYMI, check out what happened in Q2 here.
2024 Q4 calender
AWS re:Invent 2024 had 60,000 in-person attendees and 400,000 online viewers for the keynotes. The conference delivered 1,900 sessions from 3,500 speakers and included 546 AWS service and feature announcements.
The serverless content consisted of two tracks: Serverless (SVS) and App Integration (API). These tracks included 70 unique sessions and attracted nearly 11,000 attendees. Serverlesspresso, the coffee shop powered by serverless technology, operated in two locations during the event: the Expo Hall and the certification lounge.
Serverlesspresso booth in the expo hall
Videos are available on Serverless Land YouTube.
AWS marked significant milestones in serverless computing, celebrating 10 years of AWS Lambda and Amazon ECS. Lambda now serves over 1.5 million monthly customers and processes tens of trillions of requests each month. Amazon ECS launches more than 2.4 billion container tasks weekly and is used by over 65% of new AWS container customers.
AWS is commemorating this anniversary with insights from AWS Serverless Heroes, product leads, principal engineers, and AWS leadership sharing their perspectives on serverless evolution and future directions. These stories and insights are available at https://aws.amazon.com/serverless/10th-anniversary/.
The AWS Lambda team has spent a significant amount of time improving the Lambda development experience. Several enhancements have been made in the console as well as the local development experience.
Code-OSS as the new AWS Lambda inline editor
Lambda has launched a significant upgrade to its console by integrating Code-OSS, the open-source version of Visual Studio Code, delivering a familiar development experience directly in the cloud. The new Lambda Code Editor supports viewing larger function packages up to 50 MB, features a split-screen interface for simultaneous code editing and testing, and includes built-in Amazon Q Developer AI assistance for real-time coding suggestions. This enhancement comes at no additional cost and prioritizes accessibility with features like screen reader support and keyboard navigation. The update bridges the gap between cloud and local development by simplifying the process of downloading function code and AWS SAM templates, ultimately providing developers with a more streamlined and familiar serverless development experience. Watch the video explaining the changes in detail.
Additionally, the Lambda console enhances developer experience with two new features: a built-in CloudWatch Metrics Insights dashboard that surfaces key function metrics, and CloudWatch Logs Live Tail support for real-time log streaming and analysis, enabling faster troubleshooting without leaving the Lambda environment.
Top 10 Functions
Lambda now supports native JSON structured logging for .NET managed runtime applications, improving log searchability and analysis capabilities without requiring manual configuration of logging libraries.
Lambda has expanded its runtime support by adding Python 3.13 and Node.js 22 as both managed runtimes and container base images, providing access to the latest language features and ensuring long-term support through October 2029 and April 2027, respectively.
Lambda SnapStart capability is now available for Python and .NET runtimes, delivering sub-second startup performance for latency-sensitive applications by caching initialized execution environments.
SnapStart support comparison
New CloudWatch metrics for Lambda Event Source Mappings provide enhanced visibility into event processing states for Amazon Simple Queue Service (SQS), Amazon Kinesis, and Amazon DynamoDB event sources, helping customers monitor and troubleshoot event processing issues.
Lambda introduces Provisioned Mode for Kafka event source mappings, allowing customers to optimize throughput by configuring dedicated event polling resources for applications with stringent performance requirements.
Finally, Lambda introduces an enhanced local development experience through the AWS Toolkit for Visual Studio Code, streamlining the serverless application development workflow. The update features a new Application Builder interface that guides developers through environment setup, offers sample applications, and provides quick-action buttons for common tasks like build, deploy, and invoke operations. Developers can now efficiently iterate on their code with features such as configurable build settings, step-through debugging, and the ability to sync local changes quickly to the cloud or perform full deployments. The toolkit integrates with AWS Infrastructure Composer for visual application building and includes comprehensive local testing capabilities with shareable test events. This enhancement simplifies the Lambda development process by enabling developers to author, test, debug, and deploy serverless applications without leaving their preferred IDE environment.
Local IDE getting started
AWS enhances observability for containerized applications with CloudWatch Application Signals for Amazon ECS, adding infrastructure metrics correlation to existing traces and logs monitoring, enabling operators to identify and resolve performance issues across their application stack.
Amazon ECS adds service revision and deployment history tracking, allowing customers to monitor changes, track ongoing deployments, and debug deployment failures for long-running applications deployed after October 25, 2024.
Service revisions and deployment history
Amazon ECS expands testing capabilities by supporting network fault injection experiments on AWS Fargate through AWS Fault Injection Service, enabling developers to verify application resilience using six different types of fault injection actions, including network disruptions and resource stress testing.
Amazon EventBridge announces significant performance improvements, reducing end-to-end latency by up to 94% from 2,235ms to 129.33ms at P99, enabling faster event processing for time-sensitive applications like fraud detection and gaming.
Amazon EventBridge and AWS Step Functions now integrate with private APIs through AWS PrivateLink and Amazon VPC Lattice, enabling secure connectivity between cloud and on-premises applications without custom networking code.
Connections to Private APIs
EventBridge API destinations introduces proactive OAuth token refresh for public and private authorization endpoints, helping prevent delays and errors by automatically refreshing tokens before expiration.
AWS Step Functions introduces the ability to export workflows as CloudFormation or SAM templates directly from the AWS console, enabling repeatable provisioning across accounts. Developers can export and customize templates from existing workflows, and use AWS Infrastructure Composer to visually connect workflows with other AWS resources.
Step Functions also adds Variables and JSONata support to enhance workflow development. Variables allow data assignment and reference between states, simplifying payload management, while JSONata provides advanced data transformation capabilities, including date formatting and mathematical operations. These features reduce the need for custom code and intermediate states, making it easier to build distributed serverless applications. Watch the in depth video to learn more.
JSONata and variables
Amazon Kinesis introduces significant updates to its client libraries. The new Kinesis Client Library (KCL) 3.0 reduces compute costs by up to 33% through enhanced load balancing, while the Kinesis Producer Library (KPL) 1.0 improves performance and security. Both libraries now support AWS SDK for Java 2.x and eliminate dependencies on SDK for Java 1.x, enabling seamless upgrades without requiring application code changes.
KCL 3.0 metrics
Amazon MQ adds support for AWS PrivateLink, enabling customers to access Amazon MQ API endpoints directly from their VPC through interface VPC endpoints, eliminating the need for internet access and providing enhanced security through AWS’s internal network infrastructure.
AWS announces general availability of Linux support for Finch, an open source container development tool that simplifies building, running, and publishing Linux containers across all major operating systems. The release includes support for the Finch Daemon with Docker API compatibility and is available through RPM packages for Amazon Linux 2 and Amazon Linux 2023.
Amazon SQS increases the in-flight message limit for FIFO queues from 20,000 to 120,000 messages, enabling higher concurrent message processing. This enhancement allows customers to scale their receivers and process up to six times more messages simultaneously, provided they have sufficient publish throughput.
Amazon MSK now introduces Managed Streaming for Apache Flink blueprints to simplify real-time AI application development. The service enables vector-embedding generation through Amazon Bedrock, streamlining the integration of streaming data with generative AI models. Using a straightforward configuration process, users can generate and index vector embeddings in Amazon OpenSearch, while leveraging LangChain’s data chunking capabilities for enhanced data retrieval efficiency. The service handles all integration aspects between MSK, embedding models, and Amazon OpenSearch vector stores.
AWS Amplify launches the Amplify AI kit for Amazon Bedrock, providing fullstack developers with tools to integrate AI capabilities into web applications. The kit includes a customizable React UI component, secure Bedrock access, and context-sharing features, enabling developers to implement chat, search, and summarization functionalities without machine learning expertise.
AWS AppSync launches AppSync Events, enabling developers to broadcast real-time data to multiple subscribers through serverless WebSocket APIs. The service eliminates the need to build and manage WebSocket infrastructure while providing secure, scalable event broadcasting capabilities. Developers can create APIs that automatically scale and integrate with services like Amazon EventBridge. The system supports features such as channel namespaces, event handlers, and multiple authorization modes, and is available in all regions where AWS AppSync operates. Users only pay for API operations and real-time connection minutes used.
Creating an AppSunc Event API
Amazon API Gateway released a significant enhancement to Amazon API Gateway, enabling customers to manage private REST APIs using custom private DNS names. This highly requested feature allows API providers to use user-friendly domain names like private.example.com, while maintaining TLS encryption for security. The implementation process involves creating a private custom domain, configuring certificates through AWS Certificate Manager (ACM), mapping private APIs, and setting resource policies. The feature supports cross-account sharing through AWS Resource Access Manager (AWS RAM) and is now available in all AWS Regions, including AWS GovCloud (US).
Serverless office hours videos
The Serverless landing page has more information. The Lambda resources page contains case studies, webinars, whitepapers, customer stories, reference architectures, and even more Getting Started tutorials.
You can also follow the Serverless Developer Advocacy team on X (formerly Twitter) to see the latest news, follow conversations, and interact with the team.
And finally, visit the Serverless Land for all your serverless needs.
Post Syndicated from Crosstalk Solutions original https://www.youtube.com/watch?v=imfKI-2T_SE
Post Syndicated from corbet original https://lwn.net/Articles/1005222/
The kernel is, on its face, a single large development project, but
internally it is better viewed as 100 or so semi-independent projects all
crammed into one big tent. Within those projects, there is a fair amount
of latitude about how changes are managed, and some subsystems are using
that freedom in the search for more efficient ways of working. In the end,
though, all of these sub-projects have to work together and interface with
kernel-wide efforts, including the stable-release and CVE-assignment
processes. For some time, there has been friction between the direct
rendering (DRM, or graphics) subsystem and the stable maintainers; that
friction recently burst into view in a way that shows some of the
limitations of how the kernel community manages patches.
Post Syndicated from Vijay Kardile original https://aws.amazon.com/blogs/big-data/automate-topic-provisioning-and-configuration-using-terraform-with-amazon-msk/
As organizations deploy Amazon Managed Streaming for Apache Kafka (Amazon MSK) clusters across multiple use cases, the manual management of topic configurations can be challenging. This can lead to several issues:
These challenges highlight the need for a more automated and robust approach to MSK topic configuration management.
In this post, we address this problem by using Terraform to optimize the configuration of MSK topics. This solution supports both provisioned and serverless MSK clusters.
Customers want a better way to manage the overhead of topics and their configurations. Manually handling topic configurations can be cumbersome and error-prone, making it difficult to keep track of changes and updates.
To address these challenges, you can use Terraform, an infrastructure as code (IaC) tool by HashiCorp. Terraform allows you to manage and provision infrastructure declaratively. It uses human-readable configuration files written in HashiCorp Configuration Language (HCL) to define the desired state of infrastructure resources. These resources can span virtual machines, networks, databases, and a vast array of cloud provider-specific offerings.
Terraform offers a compelling solution to the challenges of manual Kafka topic configuration. Terraform allows you to define and manage your Kafka topics through code. This approach provides several key benefits:
By using Terraform for MSK topic configuration management, you can streamline your operations, minimize errors, and have a robust and scalable Amazon MSK environment.
In this post, we provide a comprehensive guide for using Terraform to manage Amazon MSK configurations. We explore the process of installing Terraform on Amazon Elastic Compute Cloud (Amazon EC2), defining and decentralizing topic configurations, and deploying and updating configurations in an automated manner.
Before proceeding with the solution, make sure you have the following resources and access:
By making sure you have these prerequisites in place, you will be ready to streamline your topic configurations with Terraform.
When your cluster and client machine are ready, SSH to your client machine (Amazon EC2) and install Terraform.
This indicates that Terraform installation is successful and you are ready to automate your MSK topic configuration.
To provision the MSK topic, complete the following steps:
main.tf and copy the following code into this file, replacing the BOOTSTRAP_SERVERS and AWS_REGION information with the details for your cluster. For instructions on retrieving the bootstrap_servers information for IAM authentication from your MSK cluster, see Getting the bootstrap brokers for an Amazon MSK cluster. This script is common for Amazon MSK provisioned and MSK Serverless.
terraform init to initialize Terraform and download the required providers.
The terraform init command initializes a working directory containing Terraform configuration files(main.tf). This is the first command that should be run after writing a new Terraform configuration.
terraform plan to review the run plan.
This command shows the changes that Terraform will make to the infrastructure based on the provided configuration. This step is optional but is often used as a preview of the changes Terraform will make.
terraform apply to apply the configuration.yes.
The terraform apply command runs the actions proposed in a Terraform plan. Terraform will create the sampleTopic topic in your MSK cluster.
terraform apply command is complete, verify the infrastructure has been created with the help of the kafka-topics.sh utility:
You can use the kafka-toipcs.sh tool with the --list option to retrieve a list of topics associated with your MSK cluster. For more information, refer to the createtopic documentation.
To update the MSK topic configuration, let’s assume we want to change the number of partitions from 50 to 10 on our topic. We need to perform the following steps:
--describe command:
This command will show 50 partitions on the sampleTopic topic.
main.tf and change the value of the partitions parameter to 10:
terraform plan to review the run plan.
terraform apply to apply the configuration.yes.
Terraform will drop and recreate the sampleTopic topic with the changed configuration.
--describe command:
Now, this command will show 10 partitions on the sampleTopic topic.
When you no longer need the infrastructure, you can remove all resources created by your Terraform file.
terraform destroy to remove the topic.yes.
Terraform will delete the sampleTopic topic from your MSK cluster.
--list command:
Now, this command will not show the sampleTopic topic.
In this post, we addressed the common challenges associated with manual MSK topic configuration management and presented a robust Terraform-based solution. Using Terraform for automated topic provisioning and configuration streamlines your processes, fosters scalability, and enhances flexibility. Additionally, it facilitates automated deployments and centralized management.
We encourage you to explore Terraform as a means to optimize Amazon MSK configurations and unlock further efficiencies within your streaming data pipelines.
Vijay Kardile is a Sr. Technical Account Manager with Enterprise Support, India. With over two decades of experience in IT Consulting and Engineering, he specializes in Analytics services, particularly Amazon EMR and Amazon MSK. He has empowered numerous enterprise clients by facilitating their adoption of various AWS services and offering expert guidance on attaining operational excellence.
Post Syndicated from Chris Boyd original https://blog.rapid7.com/2025/01/16/perfect-fit-or-business-threat-how-to-mitigate-the-risk-of-rogue-employees/
Rogue employees present significant financial and cybersecurity risks to organizations. Rapid7 threat researchers and penetration testers are actively observing how malicious actors exploit hiring pipelines to infiltrate businesses. This blog highlights real-world tactics, including:
Read on to discover how to fortify your hiring and onboarding practices against this business risk.
Rogue employees have long been an issue for hiring departments. The Occupational Fraud 2024: A Report to the Nations study reported worldwide losses of more than $3.1 billion from 1,921 fraud cases. Other studies suggest that a typical business may lose as much as 5% of their annual revenue due to this problem. Sadly, the days of “only” having to worry about employees who show up late every day, or tell a few small tales on their work history record, are but a distant memory.
While organizations have been aware of the broad risk from bogus hires for some years, many are playing catch-up with hitherto unknown cybersecurity implications, particularly when state-sponsored actors are at the helm. For example, the FBI issued warnings about remote North Korean workers sending funds to the regime back in 2022, and estimated the number of fake North Korean workers to be in the thousands. These workers generate revenue for ballistic missile development, and according to a 2022 advisory “…may share access to virtual infrastructure, facilitate sales of data stolen by DPRK cyber actors, or assist with the DPRK’s money laundering and virtual currency transfers.”
Multiple examples of other DPRK-centric malicious employment fraud have gone public over the past year. Security education firm KnowBe4 highlighted the detection and removal of a North Korean worker, who’d bypassed various checks at the hiring stage and attempted to deploy malware. In October 2024, an unnamed firm revealed a similar ploy where a remote IT worker faked employment history, downloaded data, and issued a ransom demand. A few months prior to this, a Tennessee resident was arrested for his alleged involvement in a DPRK-centric laptop farm involving stolen identities and software installed without permission.
Even without North Korean involvement, there are many other ways rogue hires can cause security issues across a business. What else lies in wait for the unwary hiring department? More importantly, how can your organization combat these threats?
Rogue hires fall into certain categories. Some are potentially more damaging to a business than others, with some overlap in terms of tactics and objectives. If you run into any of the below, then this is what you can expect them to be doing.
Malicious applicants may operate alone, but have the potential to be backed by groups or nations with access to a wide range of resources denied to more common fraudsters. These resources could include fake or stolen identity documents, or unknown malware and vulnerabilities. Their interests are frequently financial, but may veer into data exfiltration should the opportunity arise.
Some rogue hires may not intend to take on employment; instead, the interview is used as a pretext for more direct reconnaissance and malware deployment. To illustrate how a typical malicious applicant could exploit an interview process, a Rapid7 penetration tester shared their experience of a workplace infiltration assignment that they participated in:
“Standard OSINT techniques revealed several open interviews available while I was going to be on location. I typically review job postings for technology stacks the organization uses, in case I want to fall back on phishing campaigns. I also vet for potentially vulnerable endpoint software which may be in use. They did at least have a sign-in sheet and a guard to lead me to the interview.”
It’s worth noting that a penetration tester’s objectives and methods will differ from more targeted, state-sponsored attempts to compromise organizations for specific espionage or other goals. However, there will be some overlap across different groups and individuals.
“I was taken through a variety of rooms and offices, granting me a handy mental map of layout, equipment, possible locations of important devices like servers or network access. During the interview, I asked if I could visit the bathroom and was permitted to walk freely in the office. An unattended logged-in device could be susceptible to malware on a USB stick; I might find physical employee directories, or post-it note passwords. I’m wearing office clothes. If there’s no lanyard requirement enforced, who would suspect anything?”
A networked printer could be a launchpad for malware outbreaks or firmware manipulation. An unguarded stack of expense paper could help to pave the way for BEC once the interviewee has left the premises.
Seemingly innocent interview questions about standard business operations can lead to password reset phishing campaigns, designed to resemble familiar email login pages and MFA (multi-factor authentication) systems. From here, the attacker can use compromised accounts to perform social engineering, or gain deeper access into the network.
Fictitious HR workers can be deployed to send malware-laden hiring or policy documents via email domains imitating the real thing. There is a very real possibility in this scenario of long-term compromise and data exfiltration. Should the attacker decide to escalate further, they may turn to ransomware and double extortion, leading to blackmail and public data exposure.
Now that we’ve highlighted some of the worst-case scenarios from an interview gone wrong, we’ll explore in detail where the hiring pipeline is at its most exposed.
Assuming you’ve posted your job description, the key stages of ingress for bogus hires are now exposed to the wild. The three main areas of interaction are:
Providing barriers to entry at each stage will increase the likelihood of catching rogue personnel.
Businesses most commonly search an applicant’s employment history, perform criminal record checks, and verify their education history [PDF, page 48]. Checks on social media, directorship searches, and specialist vetting are all less likely. However, an astonishing 43% of organizations surveyed said no background checks were run on perpetrators prior to hiring.
This piecemeal approach to hiring gives opportunists a direct line to your organization’s most valuable assets. Those fake HR workers mentioned earlier could just as easily have been bogus IT administrators, responsible for rolling your patches out to users of your software. Now you’re a compromised third-party vendor, enabling the flow of a supply chain attack to multiple customers. They, too, could be at risk from further network ingress, malware, and data exfiltration—all because you failed to perform any background checks on a potential hire.
Beyond this, most businesses do not generally vet staff once employed. This is why precautions are still advisable during initial hire or onboarding. KnowBe4 issuing a limited access laptop to the North Korean IT hire is one reason for the would-be attacker’s lack of success.
What they want to do:
Explore LinkedIn data. If you suspect the candidate’s photograph is a stock image or AI generated, reverse image search and AI checking tools can help. In the KnowBe4 incident, the fake employee used AI to alter a stock photograph. Note that many other tricks exist to bypass checks, such as flipping the photograph horizontally or altering the colors.
You should also consider the authenticity of the profile. Has it been created very recently but boasts many years of work? Does the candidate claim 5 to 10 years of experience despite having few or no reputable contacts in the industry you work in? Are recommendations from co-workers entirely absent?
In an ideal situation for fraud, fake employees want to:
The interview: what you need to do
Using cameras has many additional benefits, such as impeding the flow of a proxy hire (someone who is paid to take interviews on the potential employee’s behalf.) It’s much more difficult for fraudsters to take instructions from a headset or even mime(!) if you can see the candidate at all times. Being able to see candidates means there’s also less chance of totally different people showing up to subsequent interviews.
If multiple interviews are planned, record these answers and have subsequent interviewers reuse a few questions. If the candidate is making it up as they go, then the story will quickly fall to pieces.
Even if a rogue has bypassed screening and interviews, you still have a chance to catch them in the act. Here’s what you can do at this stage:
Someone who successfully passes the 3 interview steps above has a wealth of options at their disposal. They might immediately try to compromise systems or data before being discovered. Alternatively, they may spend weeks or months exfiltrating data and social engineering other employees. Initial knowledge of common business practices for laptops and remote security, system updates, and authentication can potentially make it easier for them to try and bypass measures in place. It’s a much better idea to not let them get anywhere near this stage in the first place.
Rogue workers of all types are a very real threat to your data security and business revenue. From security organizations to blockchain firms, anyone is potentially at risk from a bad hire. Adapting the above hiring practices and combining them with a defense-in-depth approach will help you proactively and confidently deal with these threats to your network, and the people using it.
Post Syndicated from Caitlin Condon original https://blog.rapid7.com/2025/01/16/etr-fortinet-firewalls-hit-with-new-zero-day-attack-older-data-leak/
Rapid7 is investigating two separate events affecting Fortinet firewall customers:
On Wednesday, January 15, 2025, a threat actor named “Belsen Group” published a trove of Fortinet FortiGate firewall data on the dark web, allegedly from 15,000 organizations. The data released included IP addresses, passwords, and firewall configuration information — a potentially significant risk for organizations whose data was leaked.
Security researcher Kevin Beaumont has an initial analysis of the leaked data, along with his assessment that the data leaked this week appears to be from 2022. After conducting our own outreach to potentially affected organizations, Rapid7 has also confirmed that at least some of the leaked data originated from 2022 incidents where customer firewalls were compromised. Based on Beaumont’s analysis and observations from our own investigations, it’s likely that the data dump published by the threat actor contains primarily or entirely older data.
Rapid7 has not attributed the data leak to a specific CVE at this time. Beaumont said his observations from incident responses indicate that CVE-2022-40684 (a Fortinet firewall zero-day flaw from 2022) may have been the initial access vector that allowed for the large-scale firewall data leak.
Separately, on Tuesday, January 14, 2025, Fortinet disclosed CVE-2024-55591, a new zero-day vulnerability affecting FortiOS and FortiProxy. Security firm Arctic Wolf had previously published a blog on threat activity targeting Fortinet firewall management interfaces exposed to the public internet, saying that “a zero-day vulnerability is likely” but an initial access vector had not been confirmed. According to Arctic Wolf, the campaign “involved unauthorized administrative logins on management interfaces of firewalls, creation of new accounts, SSL VPN authentication through those accounts, and various other configuration changes.”
Fortinet’s advisory for CVE-2024-55591 includes indicators of compromise (IOCs) and notes that the vulnerability was reported as exploited in the wild at time of disclosure. No individual or firm is explicitly credited for discovering the vulnerability in Fortinet’s advisory, and Fortinet has not confirmed that CVE-2024-55591 is the zero-day vulnerability Arctic Wolf speculated was being leveraged threat activity.
Rapid7 MDR threat hunters have observed activity from IP addresses publicly attributed to the threat campaign targeting CVE-2024-55591, but our team has so far only noted connections consistent with scanning or reconnaissance activity and not exploitation.
Zero-day vulnerabilities in Fortinet FortiOS, the operating system that runs on FortiGate firewalls, have been a relatively common occurrence in recent years and have been leveraged in a wide range of financially motivated, state-sponsored, and other attacks. In addition to CVE-2024-55591, prominent FortiOS zero-day flaws have included:
Like CVE-2022-40684, CVE-2024-55591 is an authentication bypass using an alternate path or channel (CWE-288). While it does not currently appear likely that CVE-2024-55591 is the vulnerability that enabled the collection and release of FortiGate firewall configuration data on January 15, 2025, the vulnerability is nevertheless being exploited in the wild and should be treated with urgency.
According to Fortinet’s advisory, the following products and versions are vulnerable to CVE-2024-55591:
Per Fortinet, other versions of FortiOS (6.4, 7.2, 7.4, 7.6) and FortiProxy (2.0, 7.4, 7.6) are not affected. Customers should update to a fixed version immediately, without waiting for a regular patch cycle to occur, and review Fortinet’s IOCs to aid investigations into suspicious activity. Indicators include examples of administrative or local users added by adversaries.
Customers should also ensure that firewall management interfaces are not exposed to the public internet and limit IP addresses that can reach administrative interfaces. If your organization was impacted by the January 15, 2025 FortiGate firewall data leak, you should change administrative and local user passwords immediately. FortiOS also supports multi-factor authentication (MFA) for local user accounts, which Rapid7 strongly recommends implementing.
InsightVM and Nexpose customers can assess their exposure to CVE-2024-55591 with vulnerability checks available in the January 15, 2025 content release. Customers already have coverage for all other FortiOS vulnerabilities mentioned in this blog from past content releases.