AI安全

守护数字边界,筑牢AI时代的安全防线

admin

头脑风暴 · 想象的力量
站在2026年的信息安全指挥塔上,俯瞰企业的数字化大潮,若把每一位员工比作一座灯塔,那么灯塔的光芒是否全部照向同一个方向,决定了整个舰队的航向是否安全。今天,我们先把思绪漂浮到两个极端的情境之中——一个是“AI暗流涌动,却无人知晓”;另一个是“深度伪造的幻影,让真实黯然失色”。这两幕戏剧不仅是想象,更是近来真实案例的映射,提醒我们:在自动化、数字化、数智化的浪潮中,安全的每一根绳索,都必须紧紧系在每个人的手上。

案例一:隐形AI泄密——“ChatGPT笔记”让核心技术不翼而飞

背景
2019 年,一家全球领先的半导体设计公司(以下简称“晶盾公司”)在研发新一代低功耗微处理器时,投入了大量人力和财力,研发成果价值数十亿美元。公司内部要求所有技术文档均在受控的内部系统中撰写、存储和审阅,外部云服务一律禁用。

事件经过
2025 年底,晶盾公司的研发工程师小李(化名)在一次紧急项目会议后,回到办公桌前,苦于思路受阻。正巧他在公司内部的沟通平台上看到同事分享了一篇 “AI 助理快速生成技术文档” 的帖子。由于公司未提供正式的 AI 助手,也未开展相应培训,小李自行下载了市面上最热的 ChatGPT 客户端,登录个人账号后,将手头正在撰写的“低功耗微处理器的功耗模型”关键段落粘贴进对话框,请求 AI 帮忙润色并补全细节。

AI 在几秒钟内生成了完整的技术章节,还自动加入了几段行业前沿的参考文献。小李对结果感到满意,直接把这段文字复制回公司内部的 Wiki 系统,随后提交了审阅。审阅人在未发现异常的情况下批准了文档。

泄密路径
数日后,晶盾公司的竞争对手在公开的技术白皮书中出现了与晶盾公司内部文档极其相似的功耗模型描述,且细节之吻合让业内专家惊呼“几乎是抄袭”。随后,行业安全监测机构对比两段文字,发现 AI 生成的章节中包含了晶盾公司内部专有的实验数据及参数。这些信息正是小李通过 ChatGPT 从个人账号的云端同步功能中泄露出去的——ChatGPT 默认会把对话内容上传至 OpenAI 的服务器进行模型训练与优化。

后果
1. 核心技术泄露:晶盾公司因此在新产品上市前失去技术优势,导致市场份额下降,损失估计超过 5 亿美元。
2. 合规违规:公司违背了内部信息安全管理制度,面临监管部门的审计与罚款。
3. 信任危机:内部员工对公司信息安全治理能力产生质疑,影响团队士气。

根本原因
缺乏 AI 工具与培训:调查显示,约 31% 的职工在使用 AI 时未接受任何公司提供的培训或正规工具(正如 Lenovo Work Reborn 2026 报告所示)。
对 AI 风险认知不足:仅有 23% 的员工高度关注“犯罪分子攻击公司 AI 系统”,说明对 AI 产生的直接风险认知薄弱。
治理空白:公司未制定针对“Shadow AI”(影子 AI)的使用政策,导致员工自行寻找不受管控的外部工具。

案例二:深度伪造视频致致命误判——金融机构因 AI 生成的 “假会议” 亏损亿元

背景
2024 年,某大型商业银行(以下简称“华金银行”)正在推进跨境并购项目,计划收购一家欧洲 fintech 初创企业。该并购涉及巨额资金调拨,需高层审批并在监管部门进行实时披露。

事件经过
2025 年 3 月,华金银行的风险管理部门收到一段声称是公司董事长在内部视频会议中亲自签字批准并购的录像。该视频画质清晰,声音同步,在会议记录系统中被标记为“正式批准”。由于项目时间紧迫,风控团队依据视频内容快速完成内部审批流程,并向监管部门提交了批准文件。

AI 伪造的真相
几周后,欧洲 fintech 的创始人发现并购协议中出现了多项不符合原意的条款,随即联系华金银行要求解释。华金银行的法务部门在核对后发现,所谓董事长签字的原始视频并非真实拍摄,而是利用最新的 “深度伪造(Deepfake)” 技术合成的。该技术通过 AI 训练模型,将董事长过往的公开讲话、语调以及面部表情进行学习,再结合目标视频的背景、光线,实现了高度逼真的伪造。

后果
1. 巨额财务损失:并购因信息失真被监管部门驳回,华金银行已支付的预付款约 2.5 亿美元被迫追回,且因合同违约需向对方支付高额违约金,累计损失超过 3.8 亿美元。
2. 声誉受损:媒体曝光后,华金银行的品牌形象急剧下滑,客户信任度下降,导致后续业务受阻。
3. 监管处罚:金融监管机构对华金银行因内部审批流程缺乏有效防伪手段进行处罚,罚款约 1.2 亿美元,并要求整改内部信息验证机制。

根本原因
缺乏 AI 生成内容的鉴别能力:仅有 40% 的员工高度关心 “深度伪造视频和 AI 生成钓鱼邮件”,说明对新型 AI 攻击手段的警惕不足。
审批流程缺乏多因素验证:未配备 AI 检测模型或数字签名等技术手段对重要文件进行真实性验证。
安全培训缺位:调查显示,74% 的员工希望通过更好的网络安全培训来提升对 AI 风险的认识,然而实际培训覆盖率远低于此。

案例剖析:从“影子 AI”到“伪造之潮”,我们该如何自救?

1. 认识风险的全景图

  • 使用比例惊人:七成员工每周使用 AI 工具至少一次,80% 预期使用频率在未来一年内继续上升。
  • 治理滞后:只有约三分之一的企业对 AI 风险有明确的治理方案,导致“Shadow AI”成为信息安全的“灰色地带”。
  • 员工焦虑与期望:近半数员工对 AI 被用于制造高级网络攻击表示高度担忧;而 74% 的员工期待更系统的 AI 安全培训。

2. 关键痛点

痛点 具体表现 潜在危害
工具缺失 31% 员工未获企业提供的 AI 工具 私自使用外部平台,数据泄露
培训不充分 培训不规律、效果不佳 对 AI 风险认知误区,误操作
治理空白 缺乏 Shadow AI 使用规范 难以追踪、审计 AI 产出
检测手段不足 未部署 AI 内容真伪鉴别工具 深度伪造等新型攻击失效
文化信任缺失 员工对企业 AI 工具可靠性存疑 抵触使用,转向非受控渠道

3. “影子 AI”迁移路径图

  1. 需求 → 2. 自行下载外部 AI → 3. 未受监管的云端同步 → 4. 敏感信息泄露或伪造 → 5. 安全事件爆发

这条链路的每一步,都有可能被安全团队截断,只要我们在关键节点植入“防火墙”。

迈向安全的数智化新纪元:我们需要怎样的行动?

1. 自动化与安全并行——“安全即代码”

自动化、数字化、数智化(Automation + Digitalization + Intelligence) 的大潮中,企业正以 AI 工作流 为核心,推动业务快速迭代。我们可以从以下三层面实现“安全即代码”的思路:

  • 治理层:在企业内部部署 AI 使用政策平台,对所有 AI 接口进行统一备案,采用 基于角色的访问控制(RBAC),确保只有经过授权的员工才能调用特定模型。
  • 技术层:引入 AI 内容审计引擎,实时检测生成文本、图像、音视频的潜在敏感信息;对外部调用的 API 加入 数据脱敏与审计日志,实现“一键回溯”。
  • 培训层:将 安全意识培训嵌入工作流,采用 情境化微学习(In‑Context Learning),让员工在实际使用 AI 时弹出安全提示,形成“使用即学习”的闭环。

2. 数智化的安全蓝图——从“防火墙”到“安全自驱”

发展阶段 关键技术 安全落地
传统 IT 防火墙、IDS/IPS 周边防护
数字化转型 云计算、容器安全 环境隔离
自动化 RPA、工作流编排 业务级防护
数智化 大模型、生成式 AI 内容安全、模型防护
自驱安全 AI‑Driven SOC、威胁情报自动化 主动预警、快速响应

数智化 阶段,安全不再是被动的“墙”,而是 主动的“警犬”——利用 AI 自身的学习能力,实时捕捉异常行为、预测潜在风险。

3. 号召全员参与——让安全成为每个人的“日常体操”

“千里之堤,毁于蚁穴;一场攻击,往往始于一次不经意的点击。”
——《孙子兵法·计篇》

借助以下四大行动点,帮助每位职工将信息安全落到实处:

  1. “AI 安全速递”——每周一封短消息,聚焦一次真实案例(如本篇案例),配合 2‑3 分钟的微视频,让安全知识在碎片时间渗透。
  2. “在岗即学”——在常用的办公系统(邮件、即时通讯、协作平台)内嵌入 AI 风险提示弹窗,如检测到上传含敏感词的文档,系统自动弹出 “请确认是否符合合规要求”。
  3. “红队演练·同舟共济”——每季度组织一次模拟攻击演练,邀请全员参与,从 钓鱼邮件、深度伪造视频Shadow AI 使用 三个维度进行渗透测试,演练结束后即时反馈改进方案。
  4. “安全星火计划”——设立 安全大使(每个部门选拔 1‑2 名),负责收集同事的安全疑问、组织内部讨论,并在公司内部论坛发布 “安全问答” 专栏,形成自下而上的安全文化。

4. 培训活动预告

时间:2026 年 6 月 10 日(周四)上午 10:00
形式:线上直播 + 现场互动(公司会议室)
主题“AI 时代的安全使命——从 Shadow AI 到 Deepfake 防御全攻略”
主讲:资深安全架构师、AI 伦理专家、案例复盘讲师
课程亮点
情景再现:现场演示 ChatGPT 泄密与 Deepfake 伪造全过程。
工具实操:手把手教学 AI 内容审计引擎、数字签名验证流程。
政策制定:教你快速绘制部门级 AI 使用治理图。
激励机制:完成培训并通过考核的员工将获得 “安全星徽” 电子徽章,并可参与年度 安全创新大奖 评选。

报名渠道:公司内部门户 → 培训中心 → 《AI 安全意识提升》专栏(截至 5 月 31 日止,名额有限,先到先得)。

结语:让每一次点击,都成为安全的弹点

自动化、数字化、数智化 的交叉路口,AI 已不再是“工具”,而是 业务的血液。然而,血液若被污染,整个机体便会出现危机。正如 “防患未然” 的古训所言,未雨绸缪方能安然无恙。

让安全从“口号”变为“行动”,从“层层防护”变为“每个人的自我防护”。
从今天起,打开你的电脑,打开你的 AI 助手,更要打开你的安全防护意识。让我们携手并肩,在数智化的浪潮中,筑起一道不可逾越的安全屏障。

“人不可失其心,事不可失其规;规立则安,安则成。”(《礼记·中庸》)

愿每一位同事都成为信息安全的守护者,让 AI 成为助力,而不是隐患。

安全不是终点,而是我们共同的旅程。

昆明亭长朗然科技有限公司致力于为企业提供定制化的信息安全解决方案。通过深入分析客户需求,我们设计独特的培训课程和产品,以提升组织内部的信息保密意识。如果您希望加强团队对安全风险的认知,请随时联系我们进行合作。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

从曝光管理看信息安全:职场防护的全景指南

admin

一、头脑风暴:如果黑客是一位挑灯夜读的侦探…

在想象的实验室里,灯光暗淡,投影仪上闪烁着一张张系统拓扑图。坐在黑暗角落的黑客,像一位古代的探子,手里握着放大镜,仔细检视每一块砖瓦、每一道暗门。他不追逐“漏洞”的数量,而是追踪“曝光”的链路——从一个看似无害的云配置到一串被泄露的机器身份,从一条被忽视的端口到一次跨云的横向移动。他的目标不是毁掉系统,而是用最短的路径,悄无声息地进入组织的核心资产。

这种思路正是曝光管理(Exposure Management)所提倡的:不再满足于“我们修复了 200 条 CVE”,而是要问“我们真的更安全了吗?”下面通过四个典型案例,展示缺乏有效曝光管理时,组织会如何在不经意间被“挑灯夜读的侦探”一步步逼近。

二、案例一:云配置误报导致千万级敏感数据泄露

事件概述
2024 年底,某大型金融机构在 AWS 上部署了一个面向客户的存储服务。由于使用了第三方的“云安全合规检查”工具,团队只看到了“无高危漏洞”。然而,工具仅能发现 单一域(如 S3 Bucket) 的配置错误,却未能关联 身份凭证网络边界。实际情况是,S3 Bucket 的访问策略被错误设置为 public-read,且同一账户下的 IAM 角色凭证被硬编码在 CI/CD 脚本中,泄露给了外部攻击者。

根本原因
1. 单域专项平台(案例 3 中提到的 “单域专家平台”)只能深度检查 S3 配置,却无法将 凭证泄露网络路径 关联。
2. 缺乏 跨域关联:未能将云资源的 身份暴露网络拓扑 结合,导致攻击路径不可见。
3. 漏洞验证不足:工具只报 “Bucket 公开”,未进一步验证 凭证是否被实际使用是否能够被攻击者利用

后果
– 在泄露被公开后,黑客快速抓取了数千万条客户交易记录,导致机构面临巨额罚款与声誉危机。
– 事件曝光后,内部审计花费数月时间才梳理出完整的攻击路径,浪费了大量人力。

教训
覆盖度:平台必须能够 发现多种曝光类型(配置、凭证、身份、网络),而不是只专注于单一领域。
路径映射:需要能够 跨云、跨环境绘制真实攻击路径,否则即使发现了问题,也难以评估真实风险。
验证 exploitability:对每个曝光都要进行 可利用性验证(如凭证是否真的可被调用),防止“噪音”淹没真正威胁。

二、案例二:AI 代码库被植入后门,供应链被“一键翻车”

事件概述
2025 年春,某知名 SaaS 公司在其内部的自动化模型训练平台上,引入了一个开源的机器学习框架(版本号 2.3.7),该框架声称已通过 “安全审计”。实则在框架的 model_loader.py 中植入了 隐蔽的命令执行后门。攻击者利用该后门在模型加载时向内部网络发起横向移动,最终窃取了公司核心业务数据库的访问凭证。

根本原因
1. 数据聚合平台(案例 2)只 归一化 第三方扫描结果,却无法检测 内部生成代码运行时行为
2. 平台缺乏 机器身份(Machine Identity) 的深度分析:AI 工作节点的机器身份未被纳入资产标签,导致暴露未被发现。
3. 没有 安全控制因子 的评估:即使框架本身被检测为低危,平台也未将 部署环境的防护层(如 EDR、容器运行时限制) 纳入风险计算。

后果
– 供应链攻击在数小时内渗透至生产环境,导致数千条业务记录被篡改。
– 事后调查发现,平台因 缺乏跨域监控,未能把 代码层面的后门机器身份网络路径 关联,导致响应延迟。

教训
深度覆盖:平台必须原生支持 AI 工作负载机器身份 的发现与分析,而不是仅依赖外部工具的 “扫描” 结果。
多层防御:在评估曝光时,需要把 安全控制(如容器安全、MFA、网络分段) 纳入路径模型。
实时验证:对代码运行时行为进行 可利用性验证(如沙箱执行、行为监控),才能捕捉到类似后门的隐蔽威胁。

三、案例三:RPA 凭证外泄,内部横向渗透链一触即发

事件概述
2025 年 9 月,某制造企业在引入机器人流程自动化(RPA)解决方案后,为了提升效率,把 企业内部 AD 域管理员账号 的密码硬编码在机器人脚本中。该脚本在运行时,凭证被写入日志文件并被同步到共享盘。一次内部审计的文件清理中,误将日志文件的访问权限设为 “Everyone”,导致 全员可读。不久后,一名被公司解雇的前员工利用公开的凭证登录 AD,创建了多个特权账号,并通过 内部网络 发起横向移动,最终获取了关键生产系统的控制权。

根本原因
1. 拼接式平台(案例 1)内部的多个模块(RPA、身份管理、网络监控)各自为政,缺少 统一的数据模型,导致凭证信息未能在全局层面被关联。
2. 攻击路径缺失:平台未能将 凭证泄露网络拓扑关键资产 进行关联,导致此类风险被低估。
3 安全控制未计入:尽管企业在网络层面部署了防火墙,但平台没有把 防火墙、MFA 等控制因素纳入风险评估,导致高危凭证被错误标记为 “低优先级”。

后果
– 关键生产系统被植入恶意脚本,导致生产线停机两天,直接损失超过 500 万人民币。
– 事件暴露后,内部审计团队耗费三个月时间才梳理出完整的 凭证—网络—资产 链路。

教训
统一平台:采用 集成式平台(案例 4)能够在同一引擎中捕捉 凭证、配置、身份 等多种曝光,并实现 跨域关联
路径验证:平台必须能够 映射攻击路径,从泄露的凭证到关键资产的每一步都要可视化。
安全控制加权:真正的风险评估应把 防火墙、MFA、EDR 等防护措施作为 风险削减因子,避免误导。

四、案例四:仅凭补丁数量自我安慰,安全团队陷入“补丁幻觉”

事件概述
2024 年 12 月,某大型零售集团在季度安全报告中,夸耀 “本季度已修复 350 条 CVE,补丁率达 98%”。然而,实际情况是,这些 CVE 主要集中在 过期的内部系统,而 业务核心的云原生服务 仍存在 未被发现的容器镜像泄露未修补的第三方库。由于平台仅基于 补丁计数CVSS 分数 做风险评估,导致安全团队忽视了 隐藏的曝光,在一次针对供应链的勒索软件攻击中,攻击者利用 旧版 Node.js 的未修补漏洞直接渗透到支付系统,导致数百万美元的损失。

根本原因
1. 只看分数:平台仅依据 CVSS补丁数 进行 优先级排序,未将 曝光的实际可利用性攻击路径关键资产 纳入评估。
2. 缺乏真实环境验证:平台没有进行 可利用性验证(如是否真的在生产环境中运行 vulnerable 库),导致“噪音”被误判为高危。
3. 未整合安全控制:即使有防火墙、容器运行时安全,平台仍未把这些 防护因素 考虑进去,导致风险被高估。

后果
– 事后复盘发现,仅有 2% 的补丁真正降低了业务风险,其余 98% 的补丁是“装饰品”。
– 安全团队在事后紧急响应时,发现 攻击路径 已经跨越多个未被监控的容器,导致 恢复时间 大幅延长。

教训
评估维度:真正的风险评估必须围绕 五大问题(本文后文详细阐述)展开,而不是单纯的 补丁计数
实时验证:平台应提供 二进制级别的 exploitability 验证,确认漏洞在实际环境中是否可被利用。
安全控制权重:把已有的 防护措施(防火墙、WAF、MFA、EDR)纳入风险模型,才能得到真实的风险画像。

五、从案例抽丝剥茧:曝光管理的五大评估维度

在上述四个案例中,我们反复看到同一个根源:平台的架构决定了组织能否看清真实风险。文章中提到的四种平台(拼接式、聚合式、单域专家、集成式)对应的优缺点,正是导致上述失误的根本。要想真正提升安全防御能力,必须围绕以下 五个关键问题 来挑选并评估曝光管理平台:

  1. 覆盖的曝光类型与深度
    • 只关注 CVE 是不够的。平台应原生发现 配置错误、凭证泄露、身份暴露、机器身份、AI 工作负载漏洞 等多种曝光。深度体现在平台能否自行采集 exploitability 条件、实际运行时信息、修复建议,而非仅依赖第三方工具的元数据。
  2. 是否能够绘制跨环境的攻击路径
    • 真实的攻击路径往往跨 本地 → 云 → 第三方服务。平台需要构建 数字孪生(Digital Twin),在同一引擎中把 网络连通性、身份信任链、控制边界 统一映射,才能发现 “从外部漏洞到内部关键资产”的完整链路。
  3. 可利用性验证(Exploitability Validation)
    • 仅凭漏洞描述无法判断风险。平台应提供 多维度验证:如端口是否开放、服务是否在运行、凭证是否被加载、容器镜像是否实际使用等,给出 二元(可利用/不可利用) 的明确答案。
  4. 安全控制因子是否被计入风险模型
    • 防火墙、MFA、EDR、网络分段等都是 风险削减器。平台必须把这些控制的 实际防护效果 融入攻击路径的评估,防止把已被防护的漏洞误标高危。
  5. 优先级排序是否基于“业务关键资产 + 可利用路径”
    • 只看 CVSS、补丁数量或资产标签是误区。平台应从 业务资产 出发,倒推 曝光 → 可利用路径 → 关键资产,计算 风险削减价值,并在每一次修复后实时更新图谱,确保 优先级清单 始终聚焦最能降低业务风险的那 2% 暴露。

六、数字化、无人化、智能体化:新环境中的安全挑战

1. 数字化转型的“双刃剑”

企业正以 微服务容器化API‑first 的速度推进业务上线。每一个微服务都是 可被攻击的暴露点,而 API 则是 身份和凭证 交互的关键通道。没有统一的曝光管理,安全团队只能在海量的日志与告警中苦苦挣扎。

2. 无人化运营的“隐形脚本”

工厂自动化、物流机器人、无人机等 无人系统 依赖 机器身份固件。一次固件的 签名失效默认密码 暴露,就可能让攻击者直接控制物理设备。传统的漏洞管理工具往往不关注这些 机器层面的曝光,导致盲区不断扩大。

3. 智能体化的 “自学习攻击”

生成式 AI 正在被黑客用于 自动化漏洞挖掘钓鱼邮件生成代码注入。攻击路径不再是手工编排,而是 AI 自动化,速度快、隐蔽性强。对抗这种新型威胁,需要平台能够 实时检测 AI 生成代码的异常行为,并将其纳入 风险评估

正如《孙子兵法》云:“上兵伐谋,其次伐交,其次伐兵,其下攻城。”
在信息安全的战场上,先发现、再关联、再验证、再削减 的思路,正是现代曝光管理所要实现的“伐谋”——把攻击者的谋略在其成形之前就拆解。

七、行动号召:加入我们的信息安全意识培训,成为“暴露扫除者”

亲爱的同事们:

  • 为何现在就要行动?
    我们的业务已经进入 AI‑驱动、自动化、跨云 的全新阶段。每一次技术升级,都可能在不经意间打开一扇通向关键资产的后门。曝光管理 的五大评估维度已经为我们指明了方向,下一步是让每一位员工都成为 风险识别的第一道防线

  • 培训亮点

    1. 案例研讨:现场拆解前文四大真实案例,演练如何在日常工作中发现潜在曝光。
    2. 动手实验:基于公司内部的 集成式平台,亲自绘制攻击路径、验证可利用性、评估优先级。
    3. 游戏化考核:通过“暴露追踪赛”,团队竞争寻找并修复最关键的 2% 暴露,奖励丰厚。
    4. AI 防御实验室:探索 AI 生成代码的安全风险,学习如何使用 行为监控模型审计
    5. 安全文化建设:每日一条安全小贴士、社交媒体安全指南、密码管理最佳实践。

  • 培训时间与方式
    本次培训将采用 线上 + 线下混合 的方式进行,分为 三期(入门、进阶、实战)。每期课时约 90 分钟,配套 自学手册视频回放,保证你可以根据工作安排灵活学习。

  • 报名方式
    请登录公司内部学习平台,搜索“信息安全意识培训”。填写报名表后,你将收到 日历邀请预研材料。名额有限,先到先得

“安全不是一场技术的对决,而是一场认知的进化。”
让我们一起把 “曝光” 从黑暗中拉进光明,把 “风险” 从未知变为可控。只有每一个人都具备 发现、思考、行动 的能力,企业才能在数字化浪潮中稳健前行。

八、结语:让每一次“补丁”都有意义,让每一次“修复”都直抵业务核心

云配置AI 后门,从 机器人凭证泄露补丁幻觉,这些案例告诉我们:安全的根本不在于修复多少漏洞,而在于修复对业务最有危害的那 2% 暴露。这需要 跨域关联、可利用性验证、控制因子加权 的全栈曝光管理平台,更需要每一位员工的 安全意识主动防御

请记住,“暴露不是罪恶,盲点才是致命。”
让我们在即将开启的培训中,打开认知的边界,用知识点亮防线,用行动筑起城墙。未来的网络空间,需要的是 敢于洞察、善于关联、勇于行动 的安全卫士——也包括正在阅读这篇文章的你。

关键词

昆明亭长朗然科技有限公司提供全球化视野下的合规教育解决方案,帮助企业应对跨国运营中遇到的各类法律挑战。我们深谙不同市场的特殊需求,并提供个性化服务以满足这些需求。有相关兴趣或问题的客户,请联系我们。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898