一周安全漫谈|机器人ChatGPT火了！ 能测漏洞、审代码还能修bug？

 

本周安全行业最重磅的新闻——

 

11月30日，OpenAI研究实验室推出了聊天机器人ChatGPT，一跃成为人工智能领域的“当红炸子鸡”。就连马斯克也在感叹“ChatGPT 好得吓人，我们离强大到危险的人工智能不远了”。

 

据悉，ChatGPT是一种用户文本生成的自然语言处理（NPL）模型，根据验证，ChatGPT可以完成多种任务，比如回答基础提问，生成代码，根据提示撰写复杂且精准的散文等等。

 

安全419注意到，身边已经有不少安全专家开始尝试开发ChatGPT的各种用途，包括调试代码和修复代码、检测安全漏洞并创建漏洞的PoC、部署虚拟机等等，有安全专家称，从ChatGPT上看到了将AI应用到网络安全方向中的新方式，ChatGPT或许能够打开AI安全研究的新大门。

 

但我们同时也注意到，除了能够帮忙检测安全漏洞外，ChatGPT还能够用于网络犯罪。国外一名安全研究员成功的用ChatGPT生成了一种新的恶意软件，经验证可向目标设备发起攻击。因此可想而知，一旦这样的自动化工具被攻击者所掌握，注定将会造成不可预见的安全风险。

 

但幸好，OpenAI团队已经意识到相关风险，并表示下一步将重点关注“可能发生的有害输出、新风险和可能的缓解措施”，毕竟AI机器人再好，也不能任由它毁灭人类吧？

 

 

对于开屏广告，相信大家并不陌生，几乎每天都会见到。但你有没有过这样的体验：打开一个APP时，开屏广告映入眼帘，并提示你“摇动或点击按钮了解更多”。这时，如果你一不小心晃动了手机或误触了屏幕，就可能会直接跳转到某电商平台的促销活动页面或是网站的资讯页面，让人防不胜防。

 

12月2日，中国信通院发文称，已经联合华为、OPPO、vivo、小米、阿里巴巴等企业联合制定《APP用户权益保护测评规范 第7部分：欺骗误导强迫行为》等相关标准文件，试图对APP“摇一摇”类广告进行限制和规范，杜绝“自动跳转”现象，维护用户合法权益。

 

在去年7月份，工信部发布了一份《大力推进APP开屏弹窗信息骚扰用户问题根治》的文件，要求重点针对广告这一乱象进行整治。截止到2021年第二季度，开屏弹窗信息用户投诉举报数量环比下降了50%，误导点击跳转第三方页面问题同比下降80%。

 

但好景不长，很快就有广告主借助智能手机内“标配”的陀螺仪和加速度传感器，开发出了“摇一摇”的广告跳转机制。简单来说就是，应用开屏页面中央往往会写有硕大的“摇一摇”字样，提示用户摇一摇就能跳转。如果看到感兴趣的内容，摇一下无可厚非，但即使你不感兴趣，只要手机稍微一晃，就会马上跳转广告。其灵敏程度简直就是离谱妈妈给离谱开门，离谱到家了。

 

为了对 “摇一摇”广告有效整治，《规范》中对“摇一摇”的触发条件进行了明确要求，比如该功能触发的设备加速度应不小于15m/s2，转动角度不小于35°，操作时间不少于3秒等，确保用户在走路、乘车、拾起放下移动智能终端等日常生活中，非用户主动触发跳转的情况下，不会出现误导、强迫跳转。

 

总的来看，这一标准还是十分开明的，它并没有一刀切的禁止“摇一摇”广告形式，断绝App厂商的广告收入来源，而是通过对“摇一摇”动作的设备加速度、转动角度、操作时间等标准参数的制定，使得“摇一摇”广告得到更好的规范，既能规范广告乱象，又能保证后面的利益链不反复横跳，让相关产业不再肆无忌惮，值得点赞。

 

 

本周有2家安全厂商都宣布完成了新一轮融资，得到了来自资本市场的Buff加持。

 

12月8日，云集至宣布获得网络安全上市企业美亚柏科产业基金的战略投资，云集至成立于2017年，是国内新一代全数据安全领域的创新型科技公司，该团队以全数据安全为核心，拥有数据安全全生命周期10余款单品和业界完整数据安全平台产品线，并提出数据安全“数据运行环境层安全保护+数据使用层安全防护+集中管理层”的三层防护体系。未来将从技术、产品、方案、标准等多维度输出赋能，与美亚柏科形成立体式数据安全战略合作。

 

同日，亿格云宣布完成由靖亚资本领投，未来启创基金参与共同投资的数千万元A+轮融资。亿格云成立于 2021 年，目前已经打造了AllinOne的办公安全解决方案——亿格云枢，解决企业移动和远程办公安全、数据安全、终端安全等问题，用一个客户端即可提供零信任安全访问（ZTNA）、数据防泄漏（XDLP）、防病毒、威胁检测响应（XDR）、上网行为管理和桌面管理功能。

 

我们也再次对云集至和亿格云表示恭喜。

 

 

本期一周安全漫谈就到这里啦，关注安全419，我们下周再见~