安全威胁情报周报（2025/10/18-2025/10/24）

近期，国家安全机关成功破获一起重大网络攻击案件，查实美国国家安全局（NSA）长期针对中国国家授时中心实施网攻渗透，获取了确凿证据。此次案件的侦破，粉碎了美方窃密破坏“北京时间”运行安全的图谋，有力维护了国家关键信息基础设施和时间安全体系。

图：示意图

国家授时中心位于陕西西安，是我国唯一承担“北京时间”产生、保持与发播任务的机构。它为通信、金融、电力、交通、测绘、国防等关键领域提供高精度授时服务，并为国际标准时间计算提供核心支撑。该中心建有国家重大科技基础设施——高精度地基授时系统，具备全球领先的时间自主测量能力。一旦这些设施遭受攻击，将严重影响“北京时间”的稳定运行，可能引发通信瘫痪、金融系统紊乱、电力中断、交通受阻甚至空天任务失败，后果极其严重。

经查，自 2022 年起，美国国家安全局策划并实施了系统性网络攻击。2022 年 3 月 25 日起，美方利用某境外品牌手机短信服务漏洞，秘密控制国家授时中心多名工作人员的手机终端，窃取手机中存储的敏感资料。自 2023 年 4 月起，美国安局多次利用窃取的登录凭证入侵授时中心计算机系统，侦查内部网络架构。2023 年 8 月至 2024 年 6 月，美方部署新型网络作战平台，启用 42 款特种网络攻击工具，对授时中心多个内部网络系统发起高烈度攻击，并企图横向渗透至高精度地基授时系统，预置瘫痪与破坏程序。

国家安全机关发现，美方网攻通常选择在北京时间深夜至凌晨发起，利用遍布美国本土、欧洲与亚洲的虚拟专用服务器（VPS）充当跳板，伪造数字证书以绕过防护系统，并通过加密算法清除攻击痕迹，企图掩盖行踪。面对复杂隐蔽的攻击手段，国家安全机关精准反制，固定证据链条，指导国家授时中心全面清查、断开攻击链路、强化防护体系，彻底消除潜在风险。

事实再次证明，美国在全球范围内长期推行网络霸权政策。以国家安全局为代表的情报机构频繁发动跨国网络攻击，对包括中国在内的多国关键信息基础设施实施渗透、窃密和破坏。同时，美方一边发动攻击，一边炒作所谓“中国网络威胁论”，以虚假指控掩盖自身行径，妄图混淆视听、误导国际舆论。

国家安全机关提醒，关键基础设施运营者应切实履行网络安全与反间谍防范主体责任，定期对从业人员进行安全教育和技术培训，完善入侵检测与应急处置机制。公民和组织也应积极配合国家安全机关，共同维护网络空间安全。对可疑的网络间谍行为，可通过国家安全机关举报受理电话“12339”、网站（www.12339.gov.cn）或官方微信公众号进行举报。

近日，有用户在Reddit上分享经历称，在重装Windows 11系统后，电脑自动启用了BitLocker加密功能，导致两块备份硬盘被加密锁死，3TB珍贵资料无法访问。用户表示，自己从未主动开启过BitLocker，也未保存任何恢复密钥，所有数据因此彻底丢失。

图：示意图

事件发生在一台配置不俗的主机上——搭载AMD Ryzen 7 5700X3D处理器、64GB内存与NVIDIA RTX 3060显卡。用户原本只是为了修复系统性能问题进行一次干净安装，但重装完成后，D盘和E盘突然出现BitLocker锁标识，系统提示需要输入恢复密钥。由于此前从未启用过该功能，用户无法解锁，也无法通过微软账户、Active Directory或任何备份文件找回密钥。

这并非首次出现类似情况。早在2023年起，国内外论坛上就多次出现“自动BitLocker加密”事故。部分用户在更换主板、升级Windows版本或重装系统时，都经历过非系统盘被加密的情况。一旦系统检测到符合条件的硬件环境（如支持TPM 2.0、安全启动等），Windows 11专业版或企业版可能会在后台自动启用加密功能。

这种“静默加密”原本是为了提高数据安全性，防止设备丢失后被非法访问。然而问题在于，许多用户并不清楚BitLocker的触发机制，也未曾妥善保存恢复密钥。一旦误触条件，就可能在毫无预警的情况下，锁住整个硬盘的数据。

该用户在尝试使用多款恢复工具（包括UFS Explorer和Stellar Data Recovery）后仍无功而返，因为BitLocker加密基于强度极高的AES算法，没有密钥几乎无法解密。无奈之下，他只能格式化硬盘，永久失去全部资料。

值得注意的是，这一问题此前已经多次被安全专家指出。部分AMD平台主板（启用fTPM功能）在重装系统时更容易触发自动加密，而微软在新版Windows 11（24H2）中仍未完全解决此逻辑。

安全研究者建议，在进行系统重装、升级或维护操作前，用户应提前在安装介质中关闭自动设备加密功能，可通过Rufus关闭BitLocker选项或在注册表中修改相关策略。同时，应在系统首次启动后立刻备份恢复密钥到微软账户或外部存储。

网络安全研究人员发现了一场协同攻击活动：131 款经重新包装的谷歌 Chrome 浏览器 WhatsApp 网页版自动化扩展程序克隆体，正针对巴西用户进行大规模垃圾邮件发送。

图：示意图

据供应链安全公司 Socket 透露，这 131 款垃圾软件扩展共享相同的代码库、设计模式和基础设施，这些浏览器插件的活跃用户总计约 20,905 人。

安全研究员基里尔・博伊琴科（Kirill Boychenko）表示：“它们并非传统意义上的恶意软件，但属于高风险垃圾信息自动化工具，违反了平台规则。其代码直接注入 WhatsApp 网页版页面，与 WhatsApp 自身脚本一同运行，通过特定方式实现批量 outreach 和定时发送，目的是绕过 WhatsApp 的反垃圾邮件机制。”

该活动的最终目标是通过 WhatsApp 大量发送出站消息，且能绕过该消息平台的发送频率限制和反垃圾邮件管控。

据悉，该活动已持续至少 9 个月，截至 2025 年 10 月 17 日，仍能观察到新的扩展上传及版本更新。部分已识别的扩展包括：

YouSeller（10,000 名用户）

performancemais（239 名用户）

Botflow（38 名用户）

ZapVende（32 名用户）

这些扩展虽名称和图标各异，但幕后绝大多数由 “WL Extensão” 及其变体 “WLExtensao” 发布。据信，这种品牌差异源于一种特许经营模式 —— 该运营活动的分销商可将 DBX Tecnologia 公司提供的原始扩展克隆后，以不同品牌名称大量上传至 Chrome 应用商店。

这些插件还伪装成 WhatsApp 的客户关系管理（CRM）工具，宣称能帮助用户通过该应用的网页版提升销售额。

ZapVende 在 Chrome 应用商店的描述中写道：“将你的 WhatsApp 转变为强大的销售和联系人管理工具。借助 Zap Vende，你将获得直观的 CRM 系统、消息自动化、批量发送、可视化销售漏斗等多种功能。轻松高效地管理客户服务、跟踪潜在客户并定时发送消息。”

Socket 指出，DBX Tecnologia 公司推出了经销商白标计划，允许潜在合作伙伴对其 WhatsApp 网页版扩展进行重新品牌包装并销售。该公司宣称，投资 12,000 雷亚尔（巴西货币），可获得每月 30,000 至 84,000 雷亚尔的 recurring revenue。

值得注意的是，这种行为违反了谷歌 Chrome 应用商店的《垃圾信息与滥用政策》，该政策禁止开发者及其关联方提交功能重复的多个扩展程序。此外，还发现 DBX Tecnologia 在 YouTube 上发布视频，传授使用其扩展时如何绕过 WhatsApp 的反垃圾邮件算法。

博伊琴科指出：“这一系列扩展本质上是几乎相同的复制品，分散在不同的发布者账户下，主打批量非邀约 outreach，且能在无需用户确认的情况下，在web.whatsapp.com内自动发送消息。其目的是让大规模垃圾邮件活动持续进行，同时规避反垃圾邮件系统的检测。”

此次披露正值趋势科技（Trend Micro）、Sophos 和卡巴斯基（Kaspersky）曝光另一场大规模攻击活动 —— 该活动针对巴西用户，利用名为 SORVEPOTEL 的 WhatsApp 蠕虫病毒分发一款代号为 Maverick 的银行木马。

近 7.6 万台 WatchGuard Firebox 网络安全设备暴露在公共网络中，且仍受一个严重漏洞（CVE-2025-9242）影响。该漏洞允许远程攻击者在无需身份验证的情况下执行代码。

Firebox 设备是网络防御核心枢纽，负责控制内部与外部网络间的流量。其通过策略管理、安全服务、虚拟专用网络（VPN）以及 WatchGuard Cloud 提供的实时可见性实现防护功能。

全球受影响设备分布

据 “影子服务器基金会”（The Shadowserver Foundation）的扫描数据，目前全球共有 75,835 台易受攻击的 Firebox 设备，主要集中在欧洲和北美地区。具体分布如下：

美国：24,500 台（数量最多）

德国：7,300 台

意大利：6,800 台

英国：5,400 台

加拿大：4,100 台

法国：2,000 台

漏洞技术细节与影响范围

漏洞披露与评级：WatchGuard 于 9 月 17 日在安全公告中披露 CVE-2025-9242，将其评为严重级别，风险评分达 9.3 分（满分 10 分）。

漏洞本质：该漏洞是 Fireware 操作系统 “iked” 进程中的 “越界写入” 问题，而 “iked” 进程负责处理 IKEv2 协议的 VPN 协商。

攻击方式：攻击者无需身份验证，只需向易受攻击的 Firebox 设备发送特制的 IKEv2 数据包，即可迫使设备向非预期的内存区域写入数据，进而触发漏洞。

受影响版本：仅影响满足以下两个条件的 Firebox 设备：

使用 IKEv2 VPN 且配置动态网关对等体

系统版本为 11.10.2 至 11.12.4_Update1、12.0 至 12.11.3，或 2025.1

官方修复建议

优先升级版本：厂商建议将设备升级至以下任一安全版本：

2025.1.1

12.11.4

12.5.13

12.3.1_Update3（版本号 B722811）

老旧版本处理：11.x 系列版本已终止支持，不再提供安全更新，使用该系列版本的用户需升级至仍受支持的版本。

临时缓解方案：仅配置 “分支机构 VPN” 且使用静态网关对等体的设备，可参考厂商文档，通过 IPSec 和 IKEv2 协议加固连接，作为临时防护措施。

当前风险状态

10 月 19 日，影子服务器基金会检测到 75,955 台易受攻击的 Firebox 防火墙。其发言人向 BleepingComputer 表示，此次扫描结果可信度高，数据反映的是真实部署设备，暂未包含蜜罐（用于诱捕攻击者的模拟设备）。

目前尚无 CVE-2025-9242 被主动利用的报告，但厂商强烈建议尚未安装安全更新的管理员尽快为设备打补丁。

图：示意图

近日，一份联邦搜查令的解封揭示了一个前所未有的案例：美国国土安全部（DHS）要求OpenAI交出ChatGPT用户数据，以协助调查暗网儿童性剥削活动。这不仅是生成式AI平台首次面临此类数据披露令，也暴露了AI在犯罪调查中的双刃剑效应。

图：示意图

过去一年，美国移民和海关执法局（ICE）下属的国土安全调查局（HSI）团队，一直在追查一个隐秘的含有儿童性剥削内容的暗网网站。

该网站藏匿于Tor网络的层层加密之下，管理员身份如幽灵般难以捕捉。调查一度陷入僵局，直到嫌疑人在与卧底特工的秘密聊天中，无意间暴露了关键线索：变态曾使用ChatGPT生成内容。

据联邦搜查令显示，嫌疑人分享了多条ChatGPT对话记录。其中一条看似无伤大雅的提示是

“如果夏洛克·福尔摩斯遇到《星际迷航》中的Q，会发生什么？”

另一条则涉及一首长达20万字的诗歌请求，ChatGPT的回复是

一段“特朗普风格”的幽默诗作，内容夸张地描绘了前总统对“村民基督教青年会”的热爱，以其标志性的意识流和自夸笔触书写。

嫌疑人甚至直接复制粘贴了这首诗在某个平台，作为聊天佐证。

图：chatgpt生成的诗歌

这些看似闲聊的记录，却为执法部门打开了通往真相的大门。

HSI特工据此向法院申请搜查令，要求OpenAI提供输入这些提示的用户信息，包括：相关账户的姓名、地址、支付记录，以及该用户与ChatGPT的所有对话历史。

该搜查令于上周在缅因州解封，《福布斯》杂志率先披露细节。

值得注意的是，国土安全调查局并非完全依赖OpenAI数据来锁定嫌疑人身份。相反，他们通过与嫌疑人进行卧底对话（钓鱼执法），已掌握足够线索:

嫌疑人提到自己正在接受健康评估，曾在德国生活七年，其父曾在阿富汗服役。这些信息指向美国军方内部。

随后，调查人员从国防部获悉，嫌疑人曾在德国拉姆施泰因空军基地任职，并申请进一步军方职位。

综合这些线索，36岁的德鲁·霍纳（Drew Horner）浮出水面。他被指控为该暗网网站的管理员，罪名包括串谋分发 儿童性虐待材料（CSAM）。

HSI自2019年起便锁定此人，认定其同时管理15个洋葱暗网站点，总用户超30万。

这些站点组织严密，设有管理员和版主体系，甚至为活跃用户颁发虚拟徽章和奖励。内容类别五花八门，其中一处专区疑似托管AI生成的CSAM。

这份搜查令标志着美国执法对生成式AI的首次“逆向工程”——通过分析用户输入的提示词，追溯犯罪痕迹。

过去，搜索引擎如谷歌曾多次被要求交出特定查询用户的个人信息，但生成式AI平台尚未遭遇类似先例。

这起案件或将成为先河，考验OpenAI等企业的合规边界。

OpenAI已按令执行搜索，并提交了一份Excel表格，包含相关账户详情。

司法部未透露更多细节，仅表示这些数据将辅助检察官确认被告身份。

ChatGPT等工具虽非犯罪温床，却易被滥用，OpenAI数据显示，2023年7月至12月，所有科技巨头强制上报，向国家失踪与受虐儿童中心（NCMEC）报告了3.15万条CSAM相关内容。

同期，OpenAI响应政府71次数据披露请求，提供132个账户信息。

这反映出AI平台在打击儿童剥削中的双重角色：一方面是潜在工具，另一方面是情报来源。

10月20日消息，韩国主要通信运营商KT（曾用名韩国电信）因小额结算诈骗与个人信息泄露事件造成的损害规模持续扩大。最新的全面调查显示，受影响人数远超最初报告。

图：KT在韩国首都首尔光化门大厦西办公楼召开记者会

10月17日，KT在韩国首都首尔光化门大厦西办公楼召开记者会，就小额结算及个人信息泄露事件进行说明。公司承认：“确实，我们的监控体系尚未完全建立。目前正在进行全面细致的调查，并再次向公众深表歉意。”

调查发现20个伪基站入网，超2.2万用户曾连接

KT将原定于2024年6月至9月的调查期限延长，涵盖2024年8月1日至2025年9月10日期间的全部访问记录，总计13个月零10天。公司分析了1.5亿条通信计费代理交易记录，其中包括8400万条小额结算交易、6300万条DCB（直接运营商计费）交易，以及通过ARS、SMS和PASS认证进行的交易。KT还检查了共计430亿条手机与基站之间的连接日志，并通过非法家庭基站ID访问记录与全部支付数据的交叉比对，以确保调查结果的准确性。

调查发现，新增16个非法家庭基站ID，使总数从4个增加至20个。在新增的16个非法ID中，仅1个检测到未经授权的小额结算交易。小额结算诈骗受害者人数由362人增至368人，增加6人；经济损失增加约319万韩元，总额达约2.4亿韩元（约合人民币120.24万元）。

疑似因连接非法家庭基站导致个人信息泄露的用户人数增加约2200人，使受影响总数达到22227人。此前报告显示受害者仅集中在首尔、京畿和仁川地区，但此次在江原道也发现了新案例。

调查未发现与PASS认证或DCB支付相关的异常交易。DCB支付是将用户在Google Play Store、Apple App Store等应用市场的购买金额并入手机账单进行结算的方式。

KT确认首笔未经授权的交易发生于2025年8月5日，与此前调查结果一致。公司强调：“自9月5日封锁异常小额结算尝试以来，未再出现新的案例。”

KT向公众致歉并给出处理方案

KT对全面调查耗时过长向公众致歉，并表示将继续配合政府及警方的后续调查，同时引入技术与监管防护措施，防止类似事件再次发生。

尽管相关部门的联合调查仍在进行中，KT表示将持续专注于客户保护与指导工作，以防止损害进一步扩大。KT客户事业本部长金英杰表示：“我们将依据调查结果考虑免除解除合同的违约金费用。同时，也在全国各地的KT营业厅协助客户办理防钓鱼保险及安全保障服务。”

KT已将相关调查结果上报个人信息保护委员会及其他有关机构，并强调目前正为新确认的受害者采取额外保护措施。

KT正陆续通知全部22227名确认遭遇数据泄露的受害者，说明事件详情，并指导他们更换USIM卡。

金英杰还指出，本次事件的损害程度与SK电讯报告的情况有所不同，是否会向全体用户发布公司公告，KT将保持谨慎态度。

本周早些时候，微软针对一个ASP.NET Core 漏洞发布了补丁。该漏洞被标记为ASP.NET Core 安全漏洞中 “史上最高” 的严重级别。

图：示意图

这个 HTTP 请求走私漏洞（CVE-2025-55315）存在于 Kestrel ASP.NET Core Web 服务器中。已通过身份验证的攻击者可利用该漏洞走私另一个 HTTP 请求，进而劫持其他用户的凭据，或绕过前端安全控制。

微软在周二的安全公告中表示：“成功利用此漏洞的攻击者，可查看其他用户凭据等敏感信息（影响机密性）、修改目标服务器上的文件内容（影响完整性），还可能导致服务器崩溃（影响可用性）。”

微软建议的修复措施

为确保ASP.NET Core 应用程序免受潜在攻击，微软建议开发人员和用户采取以下措施：

若运行的是.NET 8 或更高版本，需从 Microsoft Update 安装.NET 更新，之后重启应用程序或计算机。

若运行的是.NET 2.3，需将 Microsoft.AspNet.Server.Kestrel.Core 的包引用更新至 2.3.6 版本，之后重新编译并部署应用程序。

若运行的是独立式 / 单文件应用程序，需安装.NET 更新，重新编译并部署应用程序。

为修复该漏洞，微软已发布多款安全更新，涵盖 Microsoft Visual Studio 2022、ASP.NET Core 2.3、ASP.NET Core 8.0、ASP.NET Core 9.0，以及适用于ASP.NET Core 2.x 应用的 Microsoft.AspNetCore.Server.Kestrel.Core 包。

漏洞影响与风险说明

微软.NET 安全技术项目经理巴里・多兰斯（Barry Dorrans）解释称，CVE-2025-55315 漏洞的攻击影响取决于目标ASP.NET应用程序的具体情况。成功利用该漏洞可能让攻击者实现以下操作：

以其他用户身份登录（实现权限提升）；

发起内部请求（用于服务器端请求伪造攻击）；

绕过跨站请求伪造（CSRF）检查；

实施注入攻击。

多兰斯表示：“但我们无法确定具体会发生什么，因为这取决于应用程序的编写方式。因此，我们在评分时会考虑最糟糕的情况 —— 即可能导致安全功能绕过、改变攻击范围的情况。”

他补充道：“这种极端情况可能发生吗？可能性不大，除非你的应用程序代码存在异常，且跳过了本应在每个请求中执行的大量检查。但无论如何，建议你立即进行更新。”

在本月的 “补丁星期二”（Patch Tuesday）中，微软共发布 172 个漏洞的安全更新，其中包括 8 个 “严重”（Critical）级别漏洞，以及 6 个零日漏洞（其中 3 个已被用于实际攻击）。

本周，微软还发布了累积更新 KB5066791。该更新包含 Windows 10 的最终安全补丁，因为该操作系统已正式进入支持生命周期尾声。

近期，网络安全公司Trend Micro披露黑客利用Cisco设备中的SNMP协议零日漏洞（CVE-2025-20352），在未受保护的交换机上部署Linux rootkit，实现持久化访问。该事件凸显关键网络基础设施面临严重威胁，攻击者可绕过安全控制并横向移动，对全球通信行业造成广泛影响。

攻击者通过Cisco IOS和IOS XE系统中的Simple Network Management Protocol（SNMP）漏洞CVE-2025-20352实现远程代码执行。该漏洞需攻击者具备root权限，主要影响未部署终端检测响应方案的Cisco 9400、9300及传统3750G系列设备。Cisco已于10月6日确认该零日漏洞遭野外利用。

植入的rootkit具备UDP控制器功能，可监听任意端口、操纵日志、绕过AAA和VTY访问控制列表，并能隐藏运行配置项。研究人员在模拟攻击中演示了攻击者可禁用日志记录、通过ARP欺骗伪装中转IP、绕过内部防火墙规则，并在VLAN间横向移动。

尽管新型交换机因地址空间布局随机化（ASLR）防护提高了抵抗能力，但Trend Micro警告持续定向攻击仍可能突破防护。rootkit通过挂钩IOSd进程实现无文件驻留，重启后组件即消失，目前尚无可靠工具能检测受感染交换机。安全团队建议对可疑设备进行底层固件和ROM区域调查。

图：示意图

全球知名时尚零售商 Mango 于 10 月 14 日正式向客户发出通知，称公司遭遇了一起由第三方营销服务供应商引发的数据泄露事件，部分客户的个人信息可能因此被未经授权访问。

这家总部位于西班牙巴塞罗那的品牌在通告中指出，事件源于其“外部营销服务供应商之一”遭到攻击。

Mango 表示：“一旦意识到异常情况，我们立即启动所有安全响应流程，并已向**西班牙数据保护局（AEPD）**及相关执法机构报告。”

Mango 强调，本次事件未影响公司核心业务系统与运营活动，泄露仅限于第三方平台中的营销数据。

图：示意图

网络安全厂商 F5 近日确认，公司遭遇了一起由国家级黑客发动的高级网络攻击，导致内部系统被长期渗透，部分源代码与漏洞研究资料被窃取。该事件最早于 2025 年 8 月被发现，攻击者在此之前已在系统中潜伏多时。

图：示意图

根据 F5 发布的官方声明，攻击者成功访问了包含 BIG-IP 产品部分源代码、内部漏洞研究文档以及少量客户配置数据的文件。尽管公司强调其软件构建系统和更新机制未受到篡改，但此次攻击仍引发业界对供应链安全和防护厂商防线的深切关注。

英国国家网络安全中心（NCSC）随后证实，事件确实涉及 F5 内部网络的部分受损，攻击方式展现出国家级持续性威胁（APT）的特征。官方建议所有政府机构与企业客户立即部署最新安全补丁，并重新审查访问控制策略。

调查人员认为，黑客的主要目标是深入了解 F5 产品的底层技术原理，以掌握潜在漏洞信息。这类情报可为后续漏洞利用或攻击行动提供技术支撑。一旦这些资料被分析或流入黑市，未来针对 F5 产品的攻击风险将显著上升。

Team Cymru 的首席信息安全官 Will Baxter 指出，这起事件再次提醒业界，现代攻击面已深入到软件研发生命周期的内部环节。攻击者不再只针对企业生产环境，而是将焦点转向源代码库与构建环境，企图从根本上理解安全机制的内部逻辑，从而获得长期的情报价值。

Baxter 强调，要有效防御此类入侵，安全团队必须强化对出站连接、威胁控制基础设施及异常数据外泄行为的可见性。同时，结合外部威胁情报与内部日志分析，才能在早期阶段发现并阻断高级持续性攻击。

目前，F5 已聘请外部网络安全公司协助事件处置和取证调查，并开始通知受影响的客户。公司表示将继续强化内部安全体系，防止类似事件再次发生。

值得注意的是，就在 F5 宣布被攻陷的前一周，另一家防火墙厂商 SonicWall 也确认其防火墙备份系统遭入侵，客户配置数据被曝光。

英国信息专员办公室（ICO）对Capita处以1400万英镑（约合1870万美元）的罚款，原因是2023年的一起数据泄露事件暴露了660万人的个人信息。

Capita是一家总部位于英国的大型外包和专业服务公司，拥有约3.4万名员工，年收入为30亿英镑，主要为英国和欧洲的客户提供咨询、数字和软件服务，客户包括地方政府、英国国家医疗服务体系（NHS）、国防部以及银行、公用事业和电信行业的组织。

数百家退休计划提供商受影响

ICO最初曾计划对Capita处以4500万英镑的罚款，但鉴于该公司承认责任、实施了重要的安全改进，并为受影响的个人提供数据保护服务，罚款金额被降低。其中，Capita plc被罚款800万英镑，Capita Pension Solutions Limited被罚款600万英镑。

ICO的调查现已确认，此次被盗数据影响了660万人，以及数百家Capita客户，包括英国的325家退休金计划提供商。

2023年4月，该公司宣布遭到黑客攻击，黑客试图入侵其内部的Microsoft 365环境，作为应对措施，部分系统被迫下线。三周后的更新确认，黑客访问了Capita内部IT基础设施的4%，并窃取了存储在被入侵系统上的私人文件。Black Basta勒索软件团伙声称对此次攻击负责，并威胁如果不支付赎金，将泄露所有被盗文件。

2023年3月22日，一名Capita员工下载了一个恶意文件，使黑客得以进入公司内部网络。尽管入侵行为在10分钟内被检测到，但Capita未能在接下来的58小时内隔离受感染的设备，这使得攻击者有足够的时间横向移动、在网络中传播并访问敏感数据库。

“该文件使得恶意软件得以部署到Capita网络中，使黑客能够留在系统中，获取管理员权限并访问网络的其他区域。”英国信息专员办公室表示。

“在2023年3月29日至30日期间，近一太字节的数据被窃取。2023年3月31日，勒索软件被部署到Capita系统中，黑客重置了所有用户密码，阻止Capita员工访问其系统和网络。”英国数据保护机构表示。

Capita因访问控制不力（缺乏分层管理员账户模型）、对安全警报的响应延迟、安全运营中心人员不足以及未能定期进行渗透测试和风险管理练习而被罚款。

Capita首席执行官阿道夫·埃尔南德斯宣布了与ICO达成的和解协议，强调自事件发生以来，公司为加强网络安全态势所做的努力和投资。他还指出，支付罚款预计不会对之前公布的投资者指导产生影响。。

图：示意图

国际知名拍卖行Sotheby’s正通知相关人员，其系统发生数据泄露事件，威胁行为体窃取了包括财务细节在内的敏感信息。

此次黑客攻击于 7 月 24 日被发现，调查团队耗时两个月才确定被盗数据的类型及受影响人员范围。

Sotheby’s是全球领先的艺术品与高价值物品拍卖行，同时也提供资产抵押借贷服务。该公司每年处理价值数十亿美元的拍卖交易，去年总销售额达 60 亿美元。

根据Sotheby’s提交给缅因州总检察长办公室的文件，此次事件中泄露的数据包括人员全名、社会保障号码（SSN）以及财务账户信息。

Sotheby’s在发送给受影响人员的信函中写道：“2025 年 7 月 24 日，Sotheby’s发现部分公司数据疑似被未知行为体从我们的系统环境中窃取。”

Sotheby’s在通知中表示：“我们立即启动调查，包括对数据进行全面审查，以确定并核实涉及的信息内容及相关人员身份。”

目前受影响人员的总数尚未披露，文件仅提及缅因州有 2 人、罗得岛州有 2 人受影响。

BleepingComputer 已联系苏富比，请求提供有关此次攻击、影响范围以及美国和全球受影响人数的信息，但截至发稿时未收到回复。

截至撰写本文时，尚无勒索软件团伙声称对Sotheby’s 此次攻击负责。

过去，勒索软件团伙曾将目标对准其他拍卖行，希望获取高额赎金。去年，RansomHub 黑客组织入侵了佳士得（Christie’s），据称窃取了 50 万名客户的详细信息。

Sotheby’s过去也发生过其他安全事件，尤其是其网站曾被植入恶意代码以窃取支付信息。2017 年 3 月至 2018 年 10 月期间，一款网页窃取器盗取了客户的银行卡数据和个人信息；2021 年，该公司还在一次供应链攻击中遭遇过类似事件。

此次收到数据泄露通知的Sotheby’s客户，可通过益博睿（TransUnion）获得为期 12 个月的免费身份保护与信用监控服务，需在 90 天内完成注册。

Sotheby’s通过发给 BleepingComputer 的声明证实，此次事件影响的是员工而非客户，因此文章内容与标题已相应更新。以下是声明全文：

“Sotheby’s发现一起网络安全事件，可能涉及部分员工信息。事件发现后，我们立即联合顶尖数据保护与响应专家及执法部门启动调查。公司正依照相关要求，向所有受影响人员发出适当通知。我们高度重视公司及个人信息的安全性，并将继续全力以赴保护我们的系统与数据。”—— Sotheby’s发言人。

图：示意图

10月18日，中国互联网络信息中心在2025（第六届）中国互联网基础资源大会上发布《生成式人工智能应用发展报告（2025）》（以下简称《报告》）。

《报告》通过最新调查数据，对生成式人工智能的用户使用情况、产业应用情况、政策制定情况进行研究分析。《报告》显示，截至2025年6月，我国生成式人工智能用户规模达5.15亿人，普及率为36.5%。

用户规模呈爆发式增长，中青年、高学历用户是核心群体

《报告》显示，生成式人工智能正逐渐融入我国各类群体的日常生活中，用户规模和普及率呈爆发式增长。一是用户规模半年翻番。上半年，国产生成式人工智能产品取得显著进步，在春节期间成为社会关注热点，推动生成式人工智能快速渗透。上半年，我国生成式人工智能用户规模增长2.66亿人，半年增长106.6%。二是中青年、高学历用户是核心用户群体。在所有生成式人工智能用户中，40岁以下中青年用户占比达到74.6%，大专、本科及以上高学历用户占比为37.5%。这两部分群体是生成式人工智能的核心用户。

国产大模型深受用户青睐，赋能各领域智能化改造升级

《报告》显示，我国相关企业积极投入生成式人工智能技术研发，国产生成式人工智能大模型得到用户广泛青睐，并推动各种应用场景下的智能化改造升级。一是超九成用户首选国产大模型。随着国内生成式人工智能技术的快速发展，相关产品日趋成熟，用户体验明显提升。针对生成式人工智能用户最常使用的产品调查发现，超过90%的用户会首先选择使用国产大模型。二是生成式人工智能助力各领域发展提质增效。生成式人工智能应用场景持续拓展，探索实践日趋深入。截至2025年8月，我国累计有538款生成式人工智能服务完成备案，263款生成式人工智能应用或功能完成登记。生成式人工智能被广泛应用于智能搜索、内容创作、办公助手、智能硬件等多种场景，还在农业生产、工业制造、科学研究等领域得到积极探索实践。

人工智能产业规模持续扩大，具身智能成为发展热点

《报告》显示，我国持续加强人工智能基础研究，同时突出应用导向，推动生成式人工智能技术不断向具体应用场景纵深渗透。一是产业体系更加完备。目前，我国已形成覆盖基础层、框架层、模型层、应用层的完整人工智能产业体系，产业链覆盖芯片、算力、数据、平台、应用等各相关环节。二是专利数量全球领先。随着技术环境的不断优化，我国在全球人工智能技术领域的话语权持续增强，已成为推动全球人工智能技术创新的重要力量。截至2025年4月，我国人工智能专利申请量达157.6万件，占全球申请量的38.58%，位居全球首位。三是具身智能成为发展热点。2025年《政府工作报告》中，首次提出将具身智能作为未来产业，建立投入增长机制。在此背景下，具身智能成为上半年投融资的热点领域，相关产品正在逐渐走出实验室，在教育、医疗、线下服务等场景得到应用，推动人工智能技术向线下服务拓展。

图：官网截图

在当今科技飞速发展的时代，低空经济正成为推动城市发展的新引擎。从物流配送到应急救援，从城市管理到环境监测，低空应用场景日益丰富。然而，随着人工智能技术在低空领域的广泛应用，安全问题也如影随形。AI系统可能遭受恶意攻击，导致数据泄露、决策失误，甚至影响整个低空运营体系的稳定运行。

2025年9月17日，在中国网络安全产业创新联盟人工智能安全工作组指导下，中国移动集团网络与信息安全管理部和多家单位联合主办的CCS 2025成都网络安全宣传周“AI+网信安全”技术交流会在成都成功举办。

图：AI+网信安全”技术交流会

会上，在中国移动集团网络与信息安全管理部的指导下，中移雄研联合中移上研、中移成研、安徽移动、启明星辰、成都思维世纪、上海嘉韦思、东方通网信、盛邦安全、泓识智汇等单位共同编制的《智慧城市低空应用人工智能安全白皮书》(以下简称：白皮书）正式公开。白皮书详细分析了低空应用AI风险，提供了AI赋能智慧城市低空应用安全的解决方案，为智慧城市构建高效、智能、安全的低空运营体系提供重要支撑，助推低空经济健康、可持续发展。

图：“三大成果”发布

中国移动依托在智慧城市低空应用AI安全实践经验，通过白皮书提出了智慧城市人工智能安全发展建议，帮助低空应用运营管理者如各级政府或组织应对人工智能安全方面面临的众多难题、挑战，助力低空经济的安全稳定发展。

中国移动将坚定不移加大网信安全与人工智能投入，持续打造安全的低空体系和智能的应用生态，为客户提供更安全、更完备的低空精细化治理方案。

近日，国家互联网信息办公室、国家市场监督管理总局联合发布《个人信息出境认证办法》（以下简称《办法》），进一步推动《个人信息保护法》第三十八条所规定的个人信息出境合规体系全面落地。

图：示意图

《办法》详细规定了个人信息出境认证的适用情形，个人信息出境认证的申请方式、认证要求及证书有效期，专业认证机构应当履行的义务，监督管理要求等关键内容，填补了此前个人信息出境认证机制在操作层面的法律空白。同时，《办法》与《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等规章相互衔接，共同构筑起一套多层次、全覆盖的个人信息出境监管框架，为实现个人信息安全有序跨境流动提供了坚实的制度保障。

在国际数据治理实践中，个人信息出境认证已成为数据跨境流动的重要合法性机制之一。欧盟《通用数据保护条例》明确将数据保护认证作为判断数据跨境流动合法性的依据，该类认证制度的适用范围不断扩大，有助于解决各国关于个人信息安全出境的制度分歧。与数据出境安全评估、个人信息出境标准合同等其他数据出境制度相比，个人信息出境认证制度展现出其独特优势：它不是由主管部门对申报材料直接审核，而是将认证活动交由具备资质的专业认证机构组织实施，并由其颁发认证证书。获证个人信息处理者在证书有效期内无需重复申请认证，既能在一定程序上确保个人信息出境的安全性，又减轻了企业合规负担。此前，国家互联网信息办公室与国家市场监督管理总局联合发布了《关于实施个人信息保护认证的公告》，提出《个人信息保护认证实施规则》，明确将推荐性国家标准GB/T 35273《信息安全技术 个人信息安全规范》和网安标委实践指南TC260-PG-20222A《个人信息跨境处理活动安全认证规范》作为认证依据，并规定上述标准、规范原则上应当执行最新版本。日前，国家标准委公布新的推荐性国家标准GB/T 46068-2025《数据安全技术 个人信息跨境处理活动安全认证要求》，将于2026年3月1日实施，《个人信息跨境处理活动安全认证规范》将不再适用。《办法》与以上文件、标准共同形成了涵盖认证标准、实施程序与机构管理的完整制度体系，使个人信息出境认证机制从原则性规定走向具体实践。总体来看，《办法》在借鉴国际通行做法的基础上，结合我国数据出境治理实践，对个人信息出境认证制度进行了系统设计，使其在保障安全的同时更好地服务于数据跨境流动的现实需求。具体而言，主要表现为以下三个方面。

第一，精准界定认证制度适用范围，实现风险分级与监管聚焦的有机结合。《办法》第五条明确，适用认证机制的个人信息处理者应为非关键信息基础设施运营者，且在当年度累计向境外提供的个人信息数量处于特定区间，即不含敏感个人信息的数量在10万人以上、不满100万人，或敏感个人信息的数量为不满1万人。同时，《办法》强调所涉出境个人信息不得包含重要数据，并禁止通过数量拆分等方式规避安全评估义务。这种分类分级的设计思路，既体现了基于风险的监管逻辑，也为不同类型、不同规模的企业提供了与其风险等级相匹配的个人信息出境路径选择，实现了精准监管与促进发展的平衡。除此之外，《办法》第七条明确，中华人民共和国境外的个人信息处理者申请个人信息出境认证的，应当由其在境内设立的专门机构或者指定代表协助进行申请，规定了我国个人信息出境认证制度的域外适用效力，有助于提升我国数据跨境流动法律制度的国际竞争力。

第二，明确专业认证机构应当履行的义务，构建权责清晰、运行透明的认证实施体系。《办法》第八条、第九条明确，专业认证机构应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动；应当在出具认证证书或者认证证书状态发生变化后5个工作日内，向全国认证认可信息公共服务平台报送相关信息。《办法》第十条明确，专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形，不再符合认证要求的，应当暂停其使用直至撤销相关认证证书。《办法》第十一条、第十二条明确，专业认证机构发现个人信息出境活动违反法律、行政法规和国家有关规定的，应当及时向国家网信部门和有关部门报告；在取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续。这些要求不仅强化了专业认证机构的规范水平、专业责任与社会信用，也通过信息公示与备案管理增强了认证过程的透明度与公信力，为认证结果的权威性奠定了制度基础。

第三，明确网信部门与市场监管部门等部门的职责分工，形成协同监管与动态治理的合力。《办法》第四条明确，国家市场监督管理部门会同国家网信部门制定个人信息保护认证规则、统一认证证书及标志。《办法》第九条、第十条、第十三条、第十六条明确，国家市场监督管理部门和国家网信部门建立认证信息共享机制，对个人信息出境认证活动开展定期或者不定期的检查，并对认证过程与结果进行抽查。在发现获证个人信息处理者存在违规情形时，国家网信部门和有关部门可依法要求专业认证机构暂停直至撤销相关认证证书，省级以上网信部门和有关部门可对涉事企业开展约谈并实施整改监督。这种分工明确、互为补充的监管模式，既避免了职能重叠与资源浪费，又确保了认证活动全流程的可控性与应变能力，充分体现了我国在个人信息保护领域治理能力现代化水平的提升。

《办法》的出台，不仅是我国个人信息出境制度完善的重要里程碑，也是全球数据治理体系中的一项积极实践。它通过认证这一市场化机制，在安全与效率、监管与市场之间找到了富有中国智慧的数据出境治理新方案。随着未来认证工作的逐步推广，我国个人信息跨境流动将迎来更加规范、便捷的新局面，为数字经济的持续健康发展注入强劲动力。

当前，网络空间是维护国家安全、保障产业发展、守护民生福祉的斗争前沿。从关键信息基础设施的稳定运行到海量数据要素的安全流转，从工业互联网的攻防对抗到个人信息权益的安全保护，网络安全的边界持续拓展、风险挑战不断升级。网络靶场作为模拟真实攻防场景、检验防护能力、孵化前沿技术的“数字演兵场”，正逐渐成为支撑国家网络安全体系建设、锤炼实战精兵、锻造防御手段的核心重要基础设施。

图：示意图

淬炼实战能力。随着人工智能、量子计算等新技术在网络攻击领域的应用，“事后补救”的传统防护模式早已难以为继，“模拟仿真、实战检验”成为提升安全防护能力的迫切需求。网络靶场正是通过构建高度仿真的网络环境，复现关键行业、典型场景下的复杂攻击链，为网络安全研究、攻防演练、人才培养和新技术测试等提供“数字平行空间”，让网络安全团队在“零风险”的模拟对抗中熟悉新型攻击手段、优化安全防御策略，从而推动安全能力实现从“被动响应”向“主动防御”的跨越式升级。

支持技术验证。当前，不少网络安全新技术、新方案因缺乏真实场景验证，难以在关键领域落地应用，形成“实验室可行、实战中失效”的困境。网络靶场凭借可复现、可度量等特性，为技术创新提供了重要的“试金石”。从隐私计算在数据共享中的安全性验证，到零信任架构在政务云中的适配性测试，再到量子加密通信应对破解威胁的性能评估，网络靶场均能模拟极端环境下的技术表现，量化评估技术的有效性及其风险点，从而加速推动新技术从“理论构想”到“实战应用”的落地转化。

守护数字疆场。我国网络安全建设正处于“补短板、锻长板、筑体系”的关键时期。按照国家网络安全战略的总体部署，加快网络靶场体系化建设势在必行。一方面，需要健全靶场建设的标准规范，推动跨行业、跨区域靶场资源的互联互通，形成“技术+人才+机制”的协同创新生态，为破解“卡脖子”安全技术难题厚植“试验土壤”。另一方面，需要强化关键领域的场景库建设，将靶场应用融入安全策略制定、应急预案优化和常态化演练等全流程，真正让网络靶场成为守护数字疆场的“坚固堡垒”，为数字中国建设蓄势赋能、保驾护航。