各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. “邪恶版”ChatGPT 出现：毫无道德限制

正当 OpenAI 因 ChatGPT 疲于应对各方审查时，一款“没有道德界限或限制”的「邪恶版 ChatGPT」悄然在网络上蔓延：WormGPT。

2. 2023上半年最“费钱”的漏洞来了，勒索赎金超7亿元

随着近期Clop 勒索软件组织利用 MOVEit Transfer 文件传输工具漏洞进行大规模攻击，Coveware发布报告称，Clop将从中获得7500万美元至1亿美元的赎金收入。

3. IBM：2023 年数据泄露的平均成本将达到 445 万美元

IBM 发布年度《数据泄露成本报告》，显示 2023 年全球数据泄露平均成本达到 445 万美元，比过去 3 年增加了 15%。创下该报告的历史新高。

4. 苹果将下架 iMessage 和 FaceTime 以抗议英国新的隐私法案

近日苹果公司表示，它宁愿停止在英国提供 iMessage 和 FaceTime 服务，也不愿屈服英国政府对数字监控的新提案。

5. 苹果发布安全更新，修复了今年第11个零日漏洞

苹果公司在一份公告中描述了一个 WebKit 漏洞，该漏洞被标记为 CVE-2023-37450，已在本月初的新一轮快速安全响应 (RSR) 更新中得到解决。

安全事件

1. WordPress Ninja Forms 曝出严重安全漏洞

WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞，攻击者可以通过这些漏洞实现权限提升并窃取用户数据。

2. Ubuntu 曝Linux漏洞，近 40% 用户受影响

Wiz 研究人员 s.Tzadik 和 s.Tamari 发现 Ubuntu 内核中存在两个 Linux 漏洞 CVE-2023-32629 和 CVE-2023-2640，没有特权的本地用户可能利用其在设备上获得更高权限，影响大约 40% 的 Ubuntu 用户。

3. 武汉地震监测中心遭网络攻击！黑手疑来自美国

7月26日，武汉市应急管理局发布声明称，该局所属武汉市地震监测中心遭受境外组织的网络攻击。这是继2022年6月份西北工业大学遭受境外网络攻击后又一具体案例。

4. 2023史诗级漏洞后门曝光！存在长达几十年，美国或用于监听全球

近期，荷兰研究人员发现一种用于全球关键数据和语音无线电通信的技术存在严重的安全漏洞，甚至还有一个故意设置的后门。值得一提的是，该技术一直处于保密状态，以防止任何人仔细检查其安全属性，查找漏洞。

5. 恶意软件已渗透商业环境，超40万个企业凭证被窃取

网络安全公司 Flare  与 BleepingComputer 分享的一份报告显示，在对暗网和 Telegram 渠道上出售的近 2000 万条泄密数据日志进行分析后，发现信息窃取恶意软件已实现了对商业环境的严重渗透。

一周好文共读

1. 每月被攻击4000万次，全球最不安全的关键基础设施实锤了

根据联合国贸易和发展会议（UNCTAD）的数据显示，超过80%的国际贸易货物经由海上运输，而这个比例在发展中国家甚至来得更高。整个行业依赖一系列复杂的“及时”供应链，只要一个环节遭到破坏，可能会产生巨大的影响。【阅读原文】

2. AI安全之给中文 AI 的100瓶毒药

有专家提出“主动给AI大模型投毒”。一大批由国内环境社会学、社会学、心理学等领域的权威专家和学者组团向AI大模型投毒，其效果如同打疫苗，先行将不安全的内容喂给AI大模型，直接提升AI在实际使用过程中的“免疫力”。【阅读原文】

3. 攻防演练 | 记一次打穿某车企全过程

本文介绍了笔者在某次攻防演练中，如何从外网渗透到某车企的内网的详细过程（为了保护敏感信息，所有数据都已经脱敏，有些截图也不完整）。【阅读原文】

省心工具

1. Artemis：一款功能强大的模块化网络侦查和漏洞扫描工具

Artemis是一款功能强大的模块化网络侦查和漏洞扫描工具，该工具基于Karton项目开发，可以优化和增强CERT PL扫描活动。【阅读原文】

2. 如何使用Azure-AccessPermissions枚举Azure活动目录环境中的访问权限

3. Scanner-and-Patcher：一款功能强大的Web漏洞扫描和修复工具