破坏网络生态！网信部门依法查处今日头条、UC等互联网平台

近期，iPhone 17用户报告了频繁的Wi-Fi断连问题，影响了设备的正常使用。许多用户在连接家庭或公共网络时，发现Wi-Fi信号不稳定，导致网络中断。这一问题在不同地区和网络环境中均有出现，用户反馈显示，重启路由器或设备并未有效解决问题。

技术分析指出，iPhone 17可能在Wi-Fi 6E技术的实现上存在缺陷。Wi-Fi 6E旨在提供更快的速度和更低的延迟，但在实际应用中，部分用户发现设备在连接高频段网络时表现不佳。此外，苹果尚未发布针对该问题的官方解决方案，用户只能通过临时措施来缓解困扰。

苹果公司对此问题的回应尚未明确，用户期待尽快推出软件更新以修复此缺陷。随着用户数量的增加，Wi-Fi连接问题可能会影响iPhone 17的市场表现，苹果需对此给予高度重视。

GitHub 日前宣布了多项旨在强化npm安全性的改进计划，从账户、包验证到漏洞检测实现全链路防护，以为这个日均下载量达 50 亿次的JavaScript 包管理器设置安全护栏。

据了解，核心升级包括强制高风险账户启用双因素认证（2FA），覆盖周下载量超 100 万或依赖项达 500 个的包维护者，以防范账户接管（ATO）风险。此前 ua-parser-js 等知名包曾因账户被盗植入恶意代码，而 GitHub 对热门包接管的检测响应时间已缩短至 10 分钟。

在技术层面，计划新增基于 ECDSA 算法的包签名验证系统，替代复杂的 PGP 流程，开发者可通过 “npm audit signatures” 命令本地验真，密钥由 HSM 管理强化安全。同时，npm audit 全面接入 GitHub Advisory Database，整合超 5000 条漏洞数据，消除此前双库信息差异问题。

2025年9月23日，身份威胁保护厂商SpyCloud发布《2025年身份威胁报告》。报告显示，尽管86%的安全领导者对防范身份攻击有信心，但85%的组织在过去一年至少遭遇一次勒索软件事件。

调查表明，超三分之二的组织担忧身份网络攻击，然而仅38%能检测到因不良网络习惯导致的历史身份暴露，仅19%企业实现了身份泄露补救自动化。身份信息扩张致攻击面增大，个人数字身份涵盖众多，其在暗网暴露后易被利用。SpyCloud从暗网捕获超638亿条身份记录，同比增长24%。同时，内部威胁常源于身份泄露，恶意或无意的内部人员身份遭窃用，如攻击者利用合成身份渗透，普通员工因钓鱼攻击致身份信息被盗。

据外媒报道，英国工党领袖基尔·斯塔默预计于下周工党会议上宣布实施强制数字身份识别计划，旨在打击非法移民。然而，该计划存在诸多风险，可能带来严重负面影响。该计划拟通过集中化数据库存储公民生物识别信息、银行记录等敏感数据，要求民众在公共服务、金融交易等场景使用数字ID验证身份，理论上可提升身份核验准确性，但存在数据泄露与滥用的潜在风险。

反对者指出，大规模数据集中管理可能将英国变为“Checkpoint Britain”，即日常活动需频繁身份验证的社会，类似边境检查站的常态化监控。数据显示，已有超60%英国民众对数字ID的安全性与隐私保护能力表示质疑，呼吁政府在推进技术应用的同时，需建立严格的数据访问控制机制与透明化监管框架，平衡安全需求与公民权利。

近期，工信部对APP违法违规收集使用个人信息等问题开展治理，经组织第三方检测机构进行抽查，共发现29款APP存在侵害用户权益行为予以通报。参考链接：https://mp.weixin.qq.com/s/CCItP6cdGEq05uzR4zQwsA?scene=1&click_id=39

我国倡议建立国际打击电信网络诈骗联盟在日前举办的全球公共安全合作论坛（连云港）2025年大会打击跨国犯罪形势与对策分论坛上，中方倡议相关国家和地区共同建立国际打击电信网络诈骗联盟，推动各方和国际社会携手应对电信网络诈骗犯罪治理问题，推动构建相互协同、普遍参与的全球打击治理电信网络诈骗犯罪新格局。

Qwen团队日前推出基于Qwen3的安全审核模型系列Qwen3Guard，分为Qwen3Guard-Stream与Qwen3Guard-Gen两种模型，专为全球实时AI安全构建。据介绍，该系列支持119种语言和方言，两种模型都各自提供0.6B、4B和8B三种规模版本Qwen3Guard-Stream支持低延迟实时流式检测，Qwen3Guard-Gen提供强大的全文安全分析能力，适用于RL奖励建模。

模型采用三级风险分类：安全、争议和不安全。在安全基准测试中，其在英语、中文及其他语言上均达到了SOTA性能。 

日前，阿姆斯特丹自由大学的研究人员因发现并验证L1TF Reloaded漏洞获得谷歌公司15万美元奖金。该漏洞结合了L1TF（预兆漏洞）和半幽灵漏洞，能够绕过现有防护措施，证明瞬态CPU漏洞仍具实际威胁，可从公有云服务的虚拟机中泄露内存数据，导致敏感信息暴露。

L1TF重加载漏洞可突破防护机制，从谷歌云超管理器及共租户虚拟机中提取数据。实际测试表明，研究人员在约14小时内从受害虚拟机中提取了Nginx TLS密钥，即使在强干扰环境下仍成功。而在AWS平台上，防御机制将泄露范围限制在了非敏感主机数据。

谷歌公司目前已向研究人员颁发了15万美元奖金，并表示这是谷歌漏洞奖励计划首次颁发该级别的奖金。

日前，云安全公司Cloudflare宣布成功缓解一起创攻击规模纪录的分布式拒绝服务（DDoS）攻击，峰值流量达 22.2Tbps，再次刷新全球已知 DDoS 攻击规模纪录。

据介绍，此次采用多向量组合打击模式，攻击流量是此前最大DDoS事件（11.5Tbps UDP洪水攻击）的两倍多，持续时间仅35秒，表明恶意攻击者及其操控的僵尸网络能力显著升级。整个攻击仅持续约40秒，这种短时高强度攻击旨在防御系统完全响应前实现突破。攻击者通过海量伪造数据包耗尽目标带宽资源，同时叠加反射放大技术，加剧破坏力度。这类攻击的特点是流量规模极大，足以压垮常规防护体系。

为了应对攻击，Cloudflare 使用了全球 Anycast 网络、智能流量清洗中心（TSC）及 AI 驱动的异常检测模型，将恶意流量引导至分布式节点清洗，同时保障合法用户请求正常通行，未造成客户服务中断。

日前，全国网络安全标准化技术委员会在网站发布公告，为了切实做好网络安全国家标准编制工作，鼓励更多单位切实参加到标准编制过程中，提高标准编制工作的开放性、公正性、透明性，提升标准的实用性和质量，即日起按照《全国信息安全标准化技术委员会标准参与单位管理办法（暂行）》要求，公开征集《网络安全技术 网络安全漏洞分类分级指南》等7项网络安全国家标准参编单位，具体标准名称如下：

1、《网络安全技术 消费类智能联网设备安全要求》标准

2、《网络安全技术 网络安全漏洞分类分级指南》标准

3、《网络安全技术 集成电路芯片通用安全规范》标准

4、《网络安全技术 信息安全治理》标准

5、《数据安全技术 个人信息安全规范》标准

6、《数据安全技术 数据安全从业人员能力建设指南》标准

7、《网络安全技术 人工智能安全能力成熟度评估方法》标准

随着技术的快速深入和应用的广泛落地，生成式人工智能应用新型风险不断涌现，传统的测试集暴露出覆盖场景单一、有效知识点不足、测试方式多样性欠缺等短板，难以有效适应模型应用形式变化、全面客观评估安全风险。面向生成式人工智能应用场景多元化、风险演变复杂化等发展态势，国家互联网应急中心日前依据《生成式人工智能服务管理暂行办法》、《生成式人工智能服务安全基本要求》等，构建并发布了安全测评基准数据集1.0。

测试场景方面，覆盖聊天问答、写作创作、总结摘要、校对改写、智能回复等10个主流云端和移动端应用场景，多方位评估安全风险；

测试方法方面，模拟10种潜在的恶用滥用方式，多手段挖掘隐蔽安全风险。

本数据集的发布有助于为生成式人工智能安全测评提供基准和指引，促进多领域可信应用。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除