针对近期活跃的ChatGPT攻击活动专题分析报告
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)
01概 述
02ChatGPT攻击活动分析
自ChatGPT流行以来,启明星辰ADLab持续追踪了大量基于ChatGPT的网络攻击活动,并针对相关木马样本进行了采集和分析。这些攻击样本的传播渠道多样,可能的传播源包括各大软件下载平台的ChatGPT应用、开源平台的ChatGPT项目、社交媒体平台、技术论坛、地下交易论坛等等。涉及的木马样本多以“ChatGPT”为主体进行命名,同时会结合版本号、安装信息、应用名称(如支持ChatGPT插件的应用)等特征进行伪装。典型命名例如ChatGPT.exe、CHAT GPT AI SETUP.exe、ChatGPT on PC.exe、chatgpt-telegram.exe等,攻击载荷的类型则包括压缩包、可执行程序和APK文件等,部分样本信息如下图所示。
对于捕获到的这些攻击活动,启明星辰ADLab进行了深度溯源与追踪,并针对涉及的攻击载荷进行了技术研判与分析。本节也将基于传播方式、网络武器及攻击技术等角度分析近期ChatGPT相关攻击活动的现状与特点。
目前,ChatGPT相关攻击活动可能涉及的传播方式主要可以划分为以下三类:
第一类是直接以ChatGPT相关应用程序为伪装目标并进行传播的攻击方式。例如伪装ChatGPT应用的安装包(如ChatGPT-Download、CHAT GPT AI SETUP、Install ChatGPT)、关联ChatGPT插件的应用(如telegram、Linkvertise、hypnohub)等,这也是我们捕获到的攻击中最为常见的一类。黑客只需将现有攻击工具进行快速的改造升级,例如在攻击载荷中添加ChatGPT相关元素,之后在各类下载网站、论坛或社交媒体等渠道上进行扩散。这种攻击方式最为简单直接,是一种典型且快速的低投入高回报的攻击方式。
第二类方式中,黑客采用植入的方式将攻击工具嵌入到开源项目或是软件组件中混淆视听,此类方式可能形成类似“供应链攻击”的二次传播并造成更大的危害。例如我们在第一篇文章中分析的攻击活动,就是黑客通过Fork热门ChatGPT项目并将窃密木马植入项目中进行打包投毒,之后利用ChatGPT超高的热度在开源社区中传播恶意打包文件;此外,一些黑客也可能将窃密木马植入到正常软件包、组件中进行传播和扩散(如IDM下载器)。这种攻击方式相对隐蔽,潜在的危害相对直接传播也更大。
第三类方式中,黑客通过部署仿冒网站的方式欺骗用户下载执行恶意应用。例如黑客伪造OpenAI的官方网站并且使用带有 “ChatGPT” 字符的域名来迷惑用户,该伪造网站与OpenAI的官方网站几乎无异,普通用户难以从域名和网站内容中察觉异常;同时,黑客还在伪造网站中添加了链接诱导用户下载恶意的ChatGPT应用客户端,使普通用户在不知不觉中遭受攻击。
在进一步溯源分析后,我们发现黑客对其伪造的OpenAI官网采用了多个域名和IP地址,如chat-gpt-pc[.]com、chat-gpt-desktop[.]online等,其中部分域名和IP在VirusTotal平台中的检出率很低。黑客通过抢注chatgpt相关域名,然后伪造官网开展攻击活动,能够让受害者在毫无防备的情况下遭到攻击,我们将近期收集到的黑客抢注chatgpt相关恶意域名进行了统计,如下表所示。
恶意域名 | 发现时间 |
chatgpt-go.online | 2月6日 |
chat-gpt-pc.online | 2月6日 |
openai-pc-pro.online | 2月14日 |
chat-gpt-online-pc.com | 2月20日 |
chatgpt-pc.com | 2月27日 |
chat-gpt-desktop.online | 3月2日 |
综上所述,当前ChatGPT相关的攻击活动主要基于广撒网式的社交媒体传播、软件投毒传播、仿冒网站下载传播等常规的传播方式,考虑到未来各政府、企事业单位以及社会各行各业都有可能接入类ChatGPT项目或使用相关组件,需要进一步提防传播方式的升级以及可能出现的高级威胁性攻击,例如APT攻击、供应链攻击等高危安全事件。
从我们当前捕获到的攻击工具来看,涉及的平台涵盖了桌面端和移动端,样本类型则包括压缩包、可执行程序和APK文件等。在攻击工具的具体实现上,涉及Python打包混淆木马、.NET混淆木马、Android木马等多类不同的形式,这些木马在技术实现上普遍结合了多种对抗技术,如多层Loader混淆加密、虚拟机检测、沙箱检测、调试器检测、抓包程序检测、安全工具检测、代码膨胀等手段以对抗安全分析和检测。
从通信方式来看,大部分攻击样本采用了HTTP POST/GET的方式来传输上线及窃密信息,此类黑客尤其关注浏览器凭证、Cookie、社交应用账户、金融账户等基于WEB端的凭证信息。值得一提的是,部分黑客还利用了谷歌应用平台“Google Apps Script”来对抗监管审查和流量分析。该类黑客基于“Google Apps Script”平台托管了自定义的程序在URL“https://script.google[.]com/macros/s/{id}/exec”。由于“script.google[.]com”是谷歌的高可信域名,所以采用这种方式在一定程度上能够躲避掉IDS、IPS等网络安全设备和CSP等信任控件的监控。部分样本的C&C信息如下表所示。
HASH | C&C(URL) |
21f8b454ac62e95ab9b66dd9a48a0ce8 | https://script.google.com/macros/s/{id}/exec |
2a38698ca96ca323d7922f3b058c3a2d | https://mercvip[.]com/api/ |
60ebaeff6b1c23d45a19fd7682f7763f | https://api.game4fa[.]com/api/data |
174539797080a9bcbb3f32c5865700bf | http://h1x.ddns.net |
7b96de66236654ca5f0af554fc41b9aa | http://82.115.223[.]66/VideogamedblinuxPublic.php? |
从木马功能来看,这批捕获到的桌面攻击工具以窃密木马为主,主要用于窃取受害者设备上的浏览器凭证、社交应用账户、金融账户和特定格式的文件等,部分攻击者还使用了僵尸程序、下载器和勒索病毒等。针对移动端的恶意代码,如我们近期捕获到的Spynote木马新变种,则会申请多项敏感权限并尝试从感染设备窃取多项敏感数据,包括通讯录信息、短信信息、通话记录、安装的应用列表等数据。这些高危的窃密行为在近期围绕ChatGPT话题展开的攻击活动中非常普遍,病毒程序一旦大面积扩散可能产生极大的危害性。
03ChatGPT攻击案例分析
近期基于ChatGPT的网络攻击活跃,启明星辰ADLab持续监测并追踪到大量基于ChatGPT的网络攻击活动;其中,黑客采用多种方式开展攻击活动并使用了多种攻击武器,试图窃取用户的多种隐私信息。本章节将选取部分典型的攻击案例进行深入分析与研究。
3.1 伪造官网实施攻击
近期,我们捕获到了多起黑客利用伪造的OpenAI官网开展攻击的事件,我们将以其中一次攻击为例,对黑客的攻击流程、攻击工具的特点及可能的黑客意图进行深入分析。在此次攻击中,黑客伪造与OpenAI官网高度相似的网站并诱导用户下载恶意的ChatGPT应用程序,当用户 “中招” 后,黑客将通过恶意程序收集用户的多种隐私数据并进行上传,并且恶意程序还会对运行环境进行多种检测,如虚拟机检测、调试器检测、抓包程序检测等。起初,黑客在Facebook中发布ChatGPT相关的帖子,并在帖子中诱导其他Facebook用户点击链接进入伪造的OpenAI官网。
其中,黑客对伪造的OpenAI官网使用了多个域名,其中还包括chat-gpt-online-pc[.]com、chat-gpt-desktop[.]online等。我们将黑客伪造的站点与OpenAI官网进行了对比,如下图所示。可以看出,黑客伪造的网站与OpenAI高度相似,仅存在细微的差异;黑客将OpenAI官网的跳转链接改成了恶意程序下载链接,并且新增了更多链接来诱导用户下载恶意程序,普通用户很难分别其真伪。
当用户点击伪造官网中的链接时,浏览器会下载一个名为 “ChatGPT-OpenAI-.Full-Destop-63f6f5c3ae530d5930f758b2.rar” 的压缩包文件,而点击真实官网中的链接则会跳转到真正的ChatGPT测试界面。用户从伪造网站下载的文件为其实是一个伪装成ChatGPT桌面应用程序的压缩包,其下载界面如下图所示:
该压缩包被解压后得到一个与压缩包同名的可执行文件,其中,黑客为了防止恶意代码被提交到云端进行杀软检测,在可执行程序文件末尾(偏移为0x10817696)插入大量的垃圾数据,使代码从10.3M膨胀到310M,其中黑客插入的部分垃圾数据内容如下图所示:
经过分析,该程序为Python打包的可执行程序,我们通过pyinstxtractor工具可以解包出恶意程序相关的python文件,如下图所示:
通常情况下,对经过Python打包后的可执行文件进行解包后,其核心代码会被保存在多个经过编译的python文件(pyc)文件中。同理,本次攻击的样本解包后能得到多个pyc文件,如下图所示:
由于pyc文件无法直接阅读,我们需要对这些pyc文件进行反编译。通常情况下,逆向分析人员对pyc文件进行反编译时会采用uncompyle6工具,但uncompyle6仅仅支持对python 3.8版本及其以下的pyc文件进行反编译。从解包后的文件中可以看出,本此攻击中的恶意程序是用python 3.10编写并打包,因此我们需要使用另一种开源工具Decompyle++对样本的pyc文件进行反编译。经过分析,MicrosoftOffice.pyc为恶意程序的核心代码保存的文件,该反编译后的代码如下图所示。需要注意的是,在反编译后的python文件中,黑客对核心代码进行了加密,需要在运行python时进行解密,然后使用eval函数执行解密后的代码。
解密后的代码会在%appdata%\Roaming目录下创建data.txt文件,该文件用于标识文件执行次数,如果是第一次执行,就会拷贝自身到启动目录,然后伪装成MS Excel.exe进程以实现持久化,关键代码如下图所示。
此外,该恶意代码还会对运行环境进行检测,一旦发现虚拟机、调试器、抓包软件、静态分析工具、进程dump、任务管理器,注册表、冰点还原、沙箱等进程则退出执行。检测代码如下图所示:
名称 | 进程 |
VMware虚拟机 | vmwareuser、vmtoolsd、vmacthlp、vmwaretray、vgauthservice |
VirtualBox虚拟机 | vboxtray、vboxservice |
VirtualPC虚拟机 | vmsrvc、vmusrvc |
Parallels虚拟机 | prl_cc、prl_tools |
qemu虚拟机 | qemu-ga |
JoeBox沙箱 | joeer、joeboxcontrol |
冰点还原 | df5serv |
调试器 | x96dbg、x32dbg、ollydbg |
抓包工具 | wireshark、fiddler 、httpdebuggerui |
静态分析 | ida64、pestudio |
进程分析 | taskmgr、processhacker、ksdumper、ksdumperclient |
注册表 | regedit |
同时,恶意代码还会通过网址http://lumtest[.]com/myip.json获取受感染主机的公网IP,部分代码如下图所示:
该恶意代码还定义了用于传递数据的电报令牌和聊天 ID,部分令牌数据如下图所示:
同时,恶意代码中的checkads函数还会搜索用户浏览器中的Facebook的cookie,并且通过cookie获取用户的Facebook平台的userID,如果获取失败即userID为空则会将向https://mercvip[.]com/api/上报受感染主机的隐私数据,包括userID,cookie,国家,mac地址,计算机名称,然后退出。
如果程序成功获取userID,则会利用userID继续获取用户的Facebook个人信息及用户在facebook平台最近的活动详细信息。
紧接着,程序还会尝试从Facebook指定接口中获取用户的token,然后尝试利用token访问Facebook的graph接口从而获取用户的Facebook用户名,id,邮箱及其商业管理信息。
恶意程序收集的这些信息都会发送到黑客额C2服务器中,我们尝试访问黑客的C2域名mercvip[.]com,得到下图所示的页面,从图中导航栏内容可以看出,这可能是黑客的bot的控制页面,其中包括多种bot操作和恶意行为指令:
我们尝试对网站导航中的部分内容进行访问,发现需要进行身份认证,说明黑客的C2仍然活跃:
从本次攻击活动的发生以及涉及恶意程序的行为来看,黑客主要以Facebook用户为目标,通过对感染的用户浏览器中缓存的Facebook平台cookie入手,进一步窃取Facebook用户的主机信息、历史行为信息及商业管理信息,黑客可能正在为开展某些定制化攻击进行信息收集和准备。
3.2 移动端攻击
在近期捕获的攻击中,除了针对桌面设备的ChatGPT攻击外,针对安卓的ChatGPT攻击同样活跃。我们近期捕获到了一个Spynote木马的新变种,其伪装成了ChatGPT的安卓端应用诱骗受害者下载安装,并且在图标中显示OpenAI的官方图标。该木马申请了多项敏感权限并尝试从感染设备窃取多项敏感数据,如通讯录信息、短信信息、通话记录、安装的应用列表等数据,同时该木马还会利用辅助服务将感染设备的界面操作信息记录到日志文件中以实现对感染设备操作的监控。除此之外,该木马还会利用感染设备执行运行时命令、拨打电话、录音、播放指定音频、打开指定应用、修改感染设备密码以、读写文件及执行其他一系列恶意操作。
该木马主要以伪装成与ChatGPT相关的应用程序来诱使受害者下载。其安装后图标为OpenAI图标,程序名称为AI photo。
木马启动后,会弹出辅助服务界面,引导受害者打开敏感权限(见下图)。当受害者选择OK并再次点击该木马图标时,其则会弹出“应用未安装”信息并同时从手机桌面中删除自身图标以欺骗受害者未安装成功,而实际上木马已在后台静默执行。
当我们打开感染设备应用列表,发现该木马申请了感染设备的多项敏感权限,主要包括相册权限、通讯录权限、地理位置权限、麦克风权限、电话权限、短信权限以及存储权限。由此猜测其主要是通过这些敏感权限来进一步窃取被感染设备上的敏感数据。
通过分析我们发现,该木马的C2域名“h1x.ddns[.]net”及端口7771等信息被硬编码在其资源文件中。具体如下图所示。
下图是该木马运行的核心逻辑,其会在确定感染设备能够正常联网后,创建socket套接字,并与C2进行网络交互。如果C2连接成功,则木马将初始化socket输入输出流,且执行其主功能函数;若C2连接失败,木马则关闭socket并退出。
除此之外,其还会将失败信息记录到shared_prefs目录下的cmf0.c3b5bm90zq.patch_preferences.xml文件中。此次木马执行后的文件内容显示,未能解析地址“h1x.ddns[.]net”,没有主机与其关联,具体内容如下图所示。
由于C2失效,木马未能执行其主功能函数,我们选择以静态分析的方式查看其恶意操作。经分析,我们发现该木马的主要功能为窃取感染设备的联系人信息、通讯录信息、短信信息、通话记录、安装的应用列表等敏感数据。同时,其还会利用感染设备来执行运行时命令、拨打电话、录音、播放指定音频、打开指定应用、修改感染设备密码、读写文件以及执行其他一系列恶意操作。除此之外,该木马还会利用辅助服务将感染设备的界面操作信息记录到日志文件中以实现对感染设备操作的监控。由此可见,一旦木马和C2成功连接,其则会根据接收的控制指令,来执行相应的恶意操作。部分命令解析和执行逻辑如下图所示。
木马的控制指令和其对应的恶意操作如下表所示。
控制指令 | 恶意功能 |
10254 | 停止录音 |
10255 | 获取感染设备壁纸 |
10256 | 开始录音 |
10257 | 获取感染设备相机信息,如是否支持闪光灯模式,是否支持自动对焦 |
10258 | 相机预览 |
10259 | 停止相机预览 |
10260 | 设置相机参数 |
10261 | 获取感染设备外置存储路径下的文件列表和文件最后修改时间 |
10262 | 获取指定的图片文件 |
10263 | 获取指定视频中的一帧图片 |
10264 | 不从视频中截取图片 |
10265 | 获取指定文件的大小 |
10266 | 压缩并回传指定文件 |
10267 | 读取并回传指定文件内容 |
10268 | 向指定文件写入指定内容 |
10269 | 获取感染设备地理位置信息 |
10270 | 关闭获取地理位置服务 |
10271 | 获取感染设备通话记录 |
10272 | 获取感染设备账户名称列表和账户类型列表 |
10273 | 获取感染设备通讯录信息 |
10274 | 获取感染设备短信内容 |
10275 | 获取感染设备已安装应用名称列表和安装时间列表 |
10276 | 打开指定应用 |
10277 | 监听用户输入的信息 |
10278 | 无明显意义 |
10279 | 拨打指定电话号码 |
10280 | 启动指定界面 |
10281 | 建立socket,窃取感染设备IMEI |
10282 | 关闭socket |
10283 | 向指定文件写数据 |
10284 | 使用Runtime.getRuntime().exec()执行指定命令 |
10285 | 创建指定文件 |
10286 | 重命名指定文件 |
10287 | 删除指定文件 |
10288 | 使用Runtime.getRuntime().exec()删除指定文件 |
10289 | 设置感染设备壁纸 |
10290 | 将数据从一个文件写入到另一个文件 |
10291 | 播放指定音频 |
10292 | 停止播放 |
10293 | 压缩指定账户类型的文件 |
10294 | 压缩指定文件 |
10295 | 获取感染设备详细信息,包括设备名称、品牌、序列号、IMSI、IMEI等 |
10296 | 获取蓝牙、WiFi、GPS信息 |
10297 | 获取日志文件列表 |
10298 | 回传日志文件内容 |
10299 | 删除指定的日志文件 |
10300 | 开启监听感染设备界面操作功能 |
10301 | 关闭监听感染设备界面操作功能 |
10302 | 向shared_prefs下写入数据 |
10303 | 删除指定电话号码的通话记录 |
10304 | 删除指定联系人名称的通话记录 |
10305 | 向通讯录中插入指定的联系人名称和电话号码 |
10306 | 清除数据、锁屏、重置密码 |
10307 | 打开指定文件 |
10308 | 收集指定应用图标、Activity、Receiver等信息 |
10309 | 无明显意义 |
10310 | 显示指定的Toast信息 |
10311 | 取消感染设备震动 |
10312 | 设置感染设备震动 |
需要注意的是,该木马会利用辅助服务将感染设备的界面操作信息记录到日志文件中,并将其存放在感染设备“/sdcard/service player ”目录下。日志文件名称格式为“config”+“日期”+“.log”。
图30 木马记录操作日志
表5 日志文件内容
固定数值 | 固定数值 | 非固定 | 固定数值 | 非固定 | 固定数值 | 非固定 | 固定数值 |
-1 | 10215 | 操作对象的字符串 | 10251 | 操作应用的包名 | 10251 | 操作时间 | 10250 |
3.3 桌面应用攻击
3.3.1 攻击案例一
在最近捕获的攻击中,我们发现了一起利用ChatGPT桌面应用软件针对游戏用户的网络攻击活动,黑客似乎正在以 “基于ChatGPT的游戏插件” 为伪装在游戏论坛中开展网络攻击活动。其中,黑客将伪造的ChatGPT应用软件安装程序与伪造的桌面游戏应用程序进行打包,诱导游戏用户进行下载并安装,从而对受害者进行隐私数据窃取,其中包括多款浏览器凭证、广告账号及数据、广告支付周期及数据、商业、Facebook及数据、发票电子邮件等。
黑客以ChatGPT应用软件的压缩包为伪装进行窃密木马的分发,压缩包解压后如下图所示。通过分析我们发现,除恶意软件外,其他文件目录及DLL文件并未被调用,我们猜测其意图是用于迷惑用户,以便更进一步提高恶意软件自身的整体真实性。
执行后,伪装为ChatGPT的恶意软件安装界面如下图所示。
一旦用户点击安装程序,其则会在当前目录下释放另一个名为“setup.exe”的恶意软件。该恶意软件首先遍历查找名为“gmlib”的资源模块且进行解压缩处理。
解压出的PE文件则是最终的窃密木马,其被保存在“C:\Program File\ Mspsecurity”目录下。
有趣的是,恶意软件除了释放并加载窃密木马以外,同时还会将自身伪装为国外一款名为 “Instant Sports Summer Games”的桌面运动游戏,此后除非用户手动关闭,否则该界面随同下方的进度条持续显示。我们对此进一步的做了追踪溯源分析,发现关联出的恶意软件曾在1月初进行过木马分发活动,且当时尚未利用ChatGPT热点。由此我们猜测该木马早期仅借安装游戏进行传播,然后伪装成基于ChatGPT的游戏插件在游戏论坛中进行传播以扩大其传播范围,可见,热度效应背后往往都会有黑客身影。
执行的窃密木马使用相同的方法查找和解压出核心功能模块,并以不落地形式从内存中加载。具体如下图所示。
该木马能够窃取用户的浏览器版本、浏览器储存的各种账户凭证以及浏览器Cookie等各种敏感信息,所涉及的浏览器除了常用热门款,还涵盖了一些小众款,种类多达十几种。具体如下图所示。
窃取浏览器凭证的部分代码如下图所示:
此外,其还会获取用户本机外网IP等地理位置的相关信息并进行保存,以便后续将所获得的信息发送给远程服务器。
窃取的所有敏感数据以固定格式保存,再经压缩后发送给远程服务端。
最后,将固定打印信息及返回值写入.log文件中,具体内容如下图所示。
除此之外,我们还发现模块类中包含广告账号及数据、广告支付周期及数据、商业、Facebook及数据、发票电子邮件等相关恶意类及数据成员。虽然其对应代码的编写和调用目前尚未完全实现,但若其后续再进行扩展补充,该木马的功能则会更完善,同时将对用户造成的损害也更严重。
3.3.2 攻击案例二
近期,黑客将恶意程序伪装成ChatGPT应用在网络中传播,黑客同样使用python对窃密木马打包,其会窃取感染设备浏览器中存储的Cookies、密码、信用卡凭证等个人敏感数据。值得一提的是,此次攻击者利用了谷歌应用平台“Google Apps Script”来收集窃取到的敏感数据。当黑客成功窃取到个人敏感数据后,攻击者会将这些敏感数据发送到托管于“Google Apps Script”的自定义程序“https://script.google[.]com/macros/s/{id}/exec”。因为“script.google[.]com”是谷歌的高可信域名,所以采用这种方式在一定程度上能够躲避掉IDS、IPS等网络安全设备和CSP等信任控件的监控。
恶意程序被攻击者命名为 “CHAT GPT AI SETUP.exe”,并且将OpenAI的官方标志作为恶意程序图标,如下图所示:
经过分析,此恶意程序同样采用python进行编写并打包,我们使用pyinstxtractor工具可以解包出恶意程序相关的python文件,如下图所示:
此恶意程序解包后得到多个pyc文件,由于此恶意程序由python 3.9 打包,因此我们需要使用Decompyle++工具对pyc文件进行反编译。经过对反编译的文件进行分析,我们发现名为“tv9q.pyc” 为恶意程序的核心代码存储的文件,其反编译后的代码如下图所示:
我们对反编译的python文件进行分析,发现此恶意程序会窃取感染设备浏览器存储的用户凭证,涉及到的浏览器十分广泛,包括Chrome、Edge、Opera、Brave等知名浏览器和torch、7star、uran等一系列小众浏览器。
其中,木马窃取的数据主要包括浏览器存储的Cookies、密码、信用卡凭证等敏感数据。
接下来,攻击者会利用谷歌应用平台“Google Apps Script”来收集被盗窃的个人数据。下图是木马收集受害者信用卡信息的代码片段:可以看到,木马将收集到的信用卡名称、卡号、过期时间等敏感信息发送到了托管于“Google Apps Script”的自定义程序“https://script.google[.]com/macros/s/{id}/exec”。由于“script.google[.]com”是谷歌的高可信域名,所以攻击者利用其收集敏感数据在一定程度上会躲避掉IDS、IPS等网络安全设备和CSP等信任控件。
不过,经我们测试,托管的相关的恶意程序代码已不能访问。
04总 结
通过对近期出现的攻击事件分析来看,通过ChatGPT来达成攻击目的的黑客活动逐渐趋于活跃,攻击手段、恶意代码也趋于多样化。因而在未来相当长的一段时间,只要ChatGPT的影响力持续存在,那么相应的黑客攻击活动也会长期存在,同时黑客攻击手法会不断演进,对抗也会不断升级。一些高级黑客可能会对热门ChatGPT项目实施供应链攻击、或者利用ChatGPT应用漏洞进行APT攻击等。此外,黑客们也可能使用更复杂和多样化的攻击武器,如定制化的间谍软件、勒索病毒等。因此,随着ChatGPT及类ChatGPT的广泛应用,也会滋生依赖于此的黑色产业链,甚至是网络间谍活动,未来各政府、企事业单位以及社会各行各业在相关业务上也应该随时保持安全意识,防止被黑客钻空子,造成不必要的损失。
启明星辰积极防御实验室(ADLab)
ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截止目前,ADLab已通过CVE累计发布安全漏洞1100余个,通过 CNVD/CNNVD/NVDB累计发布安全漏洞近3000个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全、工控安全、云安全、信创安全、移动与物联网安全、无线安全、高级威胁、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。