如今，元宇宙已經(jīng)不再是一個(gè)流行詞，但隨著近期ChatGPT和其他類似的人工智能工具又開(kāi)始流行起來(lái)，虛擬世界的概念重新進(jìn)入人們的視線內(nèi)。同時(shí)也引起了一些威脅行為者的注意。

西門子，作為一家收入超過(guò)71萬(wàn)億美元、在全球擁有30萬(wàn)名員工的德國(guó)跨國(guó)公司，也趕上了元宇宙的紅潮。2022年，它與美國(guó)跨國(guó)技術(shù)公司NVidia合作建立了工業(yè)元宇宙。

最近，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)，一個(gè)由西門子工廠和辦公室創(chuàng)建的數(shù)字平臺(tái)泄露了一些敏感信息。這些信息一旦被那些攻擊者拿到，很可能會(huì)對(duì)該公司和其他使用其服務(wù)的大公司產(chǎn)生毀滅性的后果，包括勒索軟件攻擊。

不過(guò)西門子表示，這個(gè)問(wèn)題目前已經(jīng)得到解決。

研究人員懷疑該網(wǎng)站或存在其他更嚴(yán)重的漏洞

3月1日，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)托管在metaverse.siemens.com域名上的環(huán)境文件，里面包含了ComfyApp的憑證和端點(diǎn)。另外，研究團(tuán)隊(duì)還發(fā)現(xiàn)西門子泄露了WordPress里的四組用戶信息，以及系統(tǒng)中的三套后臺(tái)和身份驗(yàn)證端點(diǎn)URL。

WordPress雖然只暴露了用戶名和頭像圖片信息，但四個(gè)基于西門子WordPress的子域都有漏洞。早在2017年，WordPress就曾修復(fù)過(guò)一個(gè)漏洞，因此研究人員懷疑這個(gè)網(wǎng)站可能還存在其他更嚴(yán)重的漏洞。

一般來(lái)說(shuō)，用戶訪問(wèn)網(wǎng)站前，需要通過(guò)后臺(tái)和認(rèn)證端點(diǎn)URL驗(yàn)證，所以攻擊者極有可能通過(guò)漏洞竊取信息并加以利用。

此外，研究人員發(fā)現(xiàn)西門子辦公管理平臺(tái)ComfyApp的用戶憑證也被曝光，這十分令人擔(dān)憂。因?yàn)槲鏖T子公司的應(yīng)用程序是專門用于工作空間管理的，所以這意味著該應(yīng)用程序會(huì)獲取一些敏感數(shù)據(jù)，包括平面圖、物聯(lián)網(wǎng)（IoT）設(shè)備的信息、員工日歷和內(nèi)部圖片等。不過(guò)目前還不能確定如果僅使用ComfyApp憑證能獲取到多少上述的數(shù)據(jù)信息。

網(wǎng)絡(luò)新聞研究人員希望西門子能在那些威脅者發(fā)現(xiàn)前修復(fù)這個(gè)漏洞，因?yàn)槲鏖T子的信息中涉及到很多關(guān)鍵基礎(chǔ)設(shè)施使用的技術(shù)和機(jī)器，因此一旦信息被入侵，極可能造成大量敏感數(shù)據(jù)泄露。

Cybernews團(tuán)隊(duì)還表示：西門子的客戶中包括一些資產(chǎn)數(shù)十億（美元）的公司，有時(shí)會(huì)協(xié)助這些客戶處理一些極其敏感的數(shù)據(jù)，這對(duì)于那些攻擊者來(lái)說(shuō)是非常有價(jià)值的。

目前尚無(wú)法判斷攻擊者入侵元宇宙數(shù)據(jù)的獲益方式

如果有人走進(jìn)你的辦公室，偷看你放在桌子上的工作計(jì)劃和照片，甚至是你的日歷，你會(huì)怎么做？員工應(yīng)該都知道問(wèn)題的答案，那就是直接不讓陌生人進(jìn)入他們的辦公室。但如果是在虛擬的數(shù)字辦公室呢，規(guī)則會(huì)有什么不同?

Cybernews研究人員表示，一旦攻擊者窺探過(guò)數(shù)字辦公室后，他就可以知道辦公室內(nèi)所有的空間布局，甚至可以熟練操作任何辦公設(shè)備、比如智能空調(diào)，熟練程度堪比在那工作了好多年的老員工一樣。他們可能會(huì)直接在辦公室電腦里插入一個(gè)感染病毒的USB驅(qū)動(dòng)器，然后通過(guò)勒索軟件實(shí)施勒索企業(yè)的目的。

由于元宇宙的構(gòu)建方式要求其必須包含最新的工廠數(shù)據(jù)，所以攻擊者一旦攻入，就能直接提取到一些商業(yè)機(jī)密，如制造技術(shù)。這里有很多威脅行為者的機(jī)會(huì)。研究小組還表示，由于這是首批通過(guò)元宇宙泄露現(xiàn)實(shí)敏感數(shù)據(jù)的案例，還沒(méi)有什么過(guò)往經(jīng)驗(yàn)，所以到底這些威脅者會(huì)用什么方法獲益，目前還尚不清楚。

預(yù)計(jì)到2026年，元宇宙的市場(chǎng)規(guī)模將達(dá)到7600億美元

在之前元宇宙炒作的巔峰時(shí)期，扎克伯格甚至將其 Facebook更名為Meta，成為一家“元宇宙優(yōu)先，而非 Facebook 優(yōu)先”的公司。但毫無(wú)疑問(wèn)，很多火爆營(yíng)銷的元宇宙項(xiàng)目都在虧損。這似乎在告訴大家，圍繞元宇宙這個(gè)概念的炒作期似乎已經(jīng)告一段落了。

所以專家擔(dān)心的到底是什么?首先，這涉及到了隱私問(wèn)題和犯罪問(wèn)題，因?yàn)樗_實(shí)代表了一個(gè)前所未有的攻擊面。

元宇宙的早期用戶此前就曾報(bào)告過(guò)與騷擾、欺凌、仇恨言論等惡劣行為相關(guān)的問(wèn)題。而且像釣魚(yú)網(wǎng)絡(luò)這樣的攻擊方式在日常中可能更難預(yù)防，因?yàn)樵谠钪嬷?，攻擊的載體可能會(huì)擴(kuò)展到你的大腦。

趨勢(shì)科技的研究人員曾預(yù)測(cè)過(guò)“黑暗宇宙”的興起，這里指的就是元宇宙中的暗網(wǎng)，這些威脅者正在執(zhí)法部門無(wú)法觸及的地方暗自生長(zhǎng)。

相比最近爆火的ChatGPT和它的競(jìng)爭(zhēng)對(duì)手，元宇宙的話題可能已經(jīng)有點(diǎn)黯然失色，但這個(gè)概念并沒(méi)有消亡。比如：

韓國(guó)首爾最近推出了全球首個(gè)元宇宙官方商務(wù)、娛樂(lè)平臺(tái)。去年，迪拜也曾推出了一項(xiàng)雄心勃勃的元宇宙發(fā)展戰(zhàn)略，稱2030年將在元宇宙創(chuàng)造4萬(wàn)余個(gè)虛擬工作崗位。此前歐盟也曾花費(fèi)40萬(wàn)美元?jiǎng)?chuàng)建了一個(gè)專門面向青年的元詩(shī)式數(shù)字會(huì)場(chǎng)，以通過(guò)這種方式讓年輕人更加了解歐盟在世界舞臺(tái)上的一些輝煌事跡。

以上列舉的是最近幾個(gè)與元宇宙發(fā)展關(guān)系緊密的案例，這個(gè)進(jìn)展速度可能比人們比預(yù)期慢了不少。但這對(duì)于企業(yè)來(lái)說(shuō)，是以元空間為重點(diǎn)的網(wǎng)絡(luò)安全的重要一環(huán)。

預(yù)計(jì)到2026年，元宇宙的市場(chǎng)規(guī)模將達(dá)到7600億美元。