网络安全相关资讯，业界发展大事要闻，安在媒体重要发布，甲方社群互动交流，都在安在 · 网安周报。与网安发展同步，采业界资讯共赏，天天见闻，周周必报。

本期焦点

ChatGPT黑产出现：每100次收费37元，还能修改恶意软件代码

现在，黑客已经靠ChatGPT赚钱了——机器人即服务RaaS，前20次免费使用，之后每100次收取5.5美元（约37元）。服务范围主要包括恶意内容的创建，比如写写网络钓鱼邮件、改改恶意软件代码之类。总之，整个过程没有任何OpenAI的限制和障碍，你可以用它来为所欲为。

据相关安全公司消息，黑客们首先找到一种可以绕过OpenAI限制的方法，通过使用ChatGPT API集成到他们的一个应用程序中。事实上证明，相较于网页端，API版本反而不会对恶意内容进行强制限制。其中有个论坛的用户，就将其与Telegram消息APP结合起来，以此来出售服务Telegram bot。

甚至还正儿八经地做了广告。

 

专家点评：

ChatGPT 在网络安全方面给我们带来新的风险的同时也为网络安全防御带来了新气象，它也可以是一个强大的网络安全工具，具体体现为：

1、提升防御的自动化水平并减少人为错误

ChatGPT 作为人工智能的典型代表，它对实现自动化防御措施提供了有力支撑。目前，安全编排、自动化和响应（SOAR）工具在网络安全策略中越来越受欢迎。由于 SOAR 具有减少应对安全威胁所需的人为干预能力，利用 ChatGPT 这样的 AI 来协助网络安全策略的部署和动态调整，可以大大减轻安全专家的工作量和工作强度，从而可腾更多的时间来聚焦处理 AI 无法处理的创造性工作。

2、ChatGPT 是信息安全人员的好助手

ChatGPT 可以通过进行研究、撰写报告、创建处理各种事件的脚本和检查数据来帮助信息安全专家。安全专家可以使用 ChatGPT 的综合分析结果来增加对安全问题的了解，进一步还可以借助 ChatGPT 的能力来寻找到应对网络风险的最佳方法。此外，它还是安全研究人员的很好的信息安全伴侣，因为它可以很好地完成许多任务，同时与人们十分自然地交互。未来，它可以与安全管理团队深度配合，特别是那些处理脚本、恶意软件分析和取证的团队。

3、编写事务性的处理代码

可以利用 ChatGPT 编写代码，特别是事务性处理程序代码。安全运维常见的任务是处理特定的日志文件、针对某些模式的 grep 并将其导出，以获得对事件或问题的有意义的见解。通常安全运维需要知道并熟悉一种脚本语言（如 Python），ChatGPT 可以以多种语言为他们编写这些脚本，可以管理各种格式（LEAF、CEF、Syslog、JSON、XML 等），甚至可以做得更好。

本期特邀专家

朱诚 

大型IT服务集团事业群信息安全负责人

网安行业热点

安全事件

1、“清朗·2023年春节网络环境整治”成效明显

中央网信办部署开展“清朗·2023年春节网络环境整治”专项行动，截至目前，重点平台累计拦截清理违法不良信息119万余条，处置违规账号、群组16万余个。

2、世界水果巨头遭勒索攻击

全球最大的新鲜果蔬生产与分销商之一都乐食品（Dole Food）宣布遭受勒索软件攻击，目前正在着手解决由此引发的运营影响。

3、恶意软件 Stealc “横空出世”，窃密能力一流

Stealc 除了能针对网络浏览器数据、扩展程序和加密货币钱包等典型目标外，还有一个可定制化的文件抓取器，能够人为设置想要窃取的任意文件类型。

4、中联重科遭网络诈骗滥用

中联重科发布一则声明，称近日有不法分子冒用该公司名义制作非法APP、网址及小程序，以租赁机械设备、众筹等理由骗取财物，该公司已经向属地公安机关举报备案。

5、美国软件公司Beeline的数据库被攻击者发布在黑客论坛

数据库内包含亚马逊、瑞士信贷、3M、波音、宝马、戴姆勒、摩根大通、麦当劳、蒙特利尔银行等Beeline客户的数据。

6、黑客利用云技术窃取数据和源代码

据BleepingComputer消息，一个被称为 "SCARLETEEL "的高级黑客行动正针对面向公众的网络应用，其主要手段是渗透到云服务中以窃取敏感数据。

7、乌克兰打脸普京！国情咨文发布遭攻击，导致停电、直播中断

乌克兰黑客声称对俄罗斯国家媒体发动了网络攻击，该攻击导致普京总统在向俄罗斯议会发表国情咨文期间出现断电。

8、加拿大电信巨头Telus员工信息及源代码遭泄露

事情始于前不久一名黑客（昵称Seize）在BreachForums论坛上声称其已获得Telus的敏感数据，并公开兜售。

法规政策

1、中共中央 国务院印发《数字中国建设整体布局规划》

《规划》指出，建设数字中国是数字时代推进中国式现代化的重要引擎，是构筑国家竞争新优势的有力支撑。到2025年，基本形成横向打通、纵向贯通、协调有力的一体化推进格局。

2、《新疆维吾尔自治区公共数据管理办法（试行）》

办法为规范和促进自治区公共数据资源共享开放，加快公共数据汇聚、融通、应用，提升政府治理能力和公共服务水平。

3、工业和信息化部发布《关于进一步提升移动互联网应用服务能力的通知》

通知规范安装卸载行为，优化服务体验，加强个人信息保护，响应用户诉求，落实APP开发运营者主体责任，强化平台分发管理。

4、交通运输部印发《地铁车辆运营技术规范（试行）》

此次印发的《技术规范》主要包括四部分内容，文件目的和适用范围，车辆总体技术要求，各组成部件和系统技术要求，与其他系统接口相关要求。

5、《深圳市数据交易管理暂行办法》施行

《办法》共八章35条，包括总则、数据交易主体、数据交易场所运营机构、数据交易标的、数据交易行为、数据交易安全、管理与监督以及附则。

创投融资

1、「天懋信息」获数千万元B+轮融资

https://36kr.com/p/2152497266954496

天懋信息正式宣布完成数千万元B+轮融资，由磊垚资本独家投资。

新品亮点

1、“蜀道”再升级！车路协同导航服务为司机带来新体验

蜀道集团联合四川数字、阿里云、达摩院、高德发布蜀道·高德行业版APP，这是国内首个将智慧高速车路协同技术与车机导航融合的应用。

2、安华金和构建医疗数据“管理-脱敏-分发”一体化解决方案

产品实现了医疗行业“行业标准-医疗数据-安全应用”的整体落地，从而加快推动医疗行业高质量发展进程。

3、2023年绿盟科技合作伙伴政策正式发布

4、腾讯安全与锐捷网络发布一款集成威胁情报的新一代防火墙

对双方技术发展来说，腾讯安全基于威胁情报领域多年的实践，帮助锐捷网络实现威胁检出覆盖面、关键威胁识别率、威胁事件刻画维度的三大提升。

调查报告

1、《网络安全保险研究报告》发布

报告围绕网络安全保险的内涵外延、我国网络安全保险发展现状以及存在的问题挑战展开，并对我国网络安全保险产业规范健康发展进行展望、提出针对性对策建议。

2、《中国数字乡村发展报告（2022年）》

《报告》全面总结2021年以来数字乡村发展取得的新进展新成效，涵盖乡村数字基础设施、智慧农业、乡村数字惠民服务、智慧绿色乡村、数字乡村发展环境等8个方面内容。

3、第51次《中国互联网络发展状况统计报告》发布

《报告》显示，截至2022年12月，我国域名总数达3440万个，IPv6地址数量达67369块/32，较2021年12月增长6.8%；我国IPv6活跃用户数达7.28亿。

安在有声

超级CSO研修班 | 谭晓生：洞察产业，安全的万里长城

在Z｜墨云科技高薪诚招高级安全研发工程师、高级安全研究员、产品总监

社群话题

话题一：安全预算规定不低于IT总投入的10%

话题二：企业如何申请访问外网

话题三：rasp能提高漏洞应急响应时效，在止血和特定防护时很有用

话题四：对监管而言，经纬度坐标属于测绘数据吗？

话题五：推广ChatGpt主要注意考虑防护内部数据泄露

资料荟萃

资料详细名称列表

1、2022数据安全治理实践指南（2.0）-数据安全推进计划

2、2023车路云一体化系统白皮书-CAICV

3、2023金融大数据反诈技术白皮书-蚂蚁集团&清华大学

4、2023年网络安全十大趋势预警报告-奇安信

5、共建金融风控科技研究报告（2022）-腾讯安全+21世纪经济报道

6、全球数字治理白皮书（2022）-中国信通院

本期“在看”全文所述报告、话题、活动议题PPT等各类资料，都已在诸子云知识星球分类归档，即入可取。

RECOMMEND

推荐阅读 

在看 | 服务器一夜挤爆！复旦发布中国版ChatGPT出师不利

在看 | 疑似45亿地址信息泄露事件跟进后续

在看 | 欧美大量服务器遭“黑” 网安机构催打补丁

戳“原文阅读”查看往期网安精彩内容

点【在看】的人最好看

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/