中央网信办召开优化营商网络环境工作经验总结交流会；小模型能否扛起钓鱼网站识别大旗？| 牛览

• 中央网信办召开优化营商网络环境工作经验总结交流会

• 关于发布四项关基团体标准的公告

• 美国特勤局揭露节日期间高发的网络犯罪新手法

• 勒索软件攻击致美国多地应急警报系统瘫痪

• 伦敦三区地方议会共享IT系统遭网络攻击，关键服务受影响

• NIST发布IoT安全入网三部曲，强化设备全生命周期防护

• AI巨头遭遇商标阻击：Cameo诉OpenAI侵权案初战告捷

• 黑市求职者画像：青少年涌入，逆向工程师薪资领跑

• 小模型能否扛起钓鱼网站识别大旗？

• 美国众议院推新版儿童网络安全法案，删除科技公司 “注意义务” 条款

• 告别“金鱼记忆”：Opus 4.5上线Infinite Chat

11月26日，中央网信办在北京召开优化营商网络环境工作经验总结交流会。中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文出席会议并讲话。中央网信办副主任、国家网信办副主任杨建文主持会议。

会议指出，党的十八大以来，习近平总书记高度重视优化营商环境，发表一系列重要讲话，作出一系列重大部署。要深入学习贯彻习近平总书记重要讲话和重要指示批示精神，深刻认识优化营商网络环境对护航经济高质量发展、提振企业发展信心、营造清朗网络空间的重要意义，不断增强做好工作的责任感、使命感和紧迫感。

会议强调，优化营商网络环境是优化营商环境的重要内容，也是网信部门的重要职责。近年来，全国网信部门对涉企网络乱象进行集中整治，涉企网络乱象多发频发势头得到明显遏制，涉企信息治理机制更加完善，网上涉企舆论环境持续向上向好，但也存在一些亟待优化完善的问题。

会议要求，各级网信部门要加强组织领导，高位推动落实，保持高压态势，加大对网上涉企侵权行为处置力度，强化宣传引导，加强政策解读，曝光典型案例。网站平台要坚持问题导向，严格落实主体责任，提升对明显涉企侵权信息的发现力、处置力，强化对财经类“自媒体”和MCN机构账号管理，不断提升对不法信息、账号处理精准度。要提升规范化水平，优化举报受理处置机制，规范涉企网络侵权信息受理处置工作流程，细化涉企侵权账号处置标准。要提高治理效能，网信部门要勇于担当作为，积极开拓创新，擦亮“优化营商网络环境”专项行动品牌，总结推广一批可复制的好经验好做法。

中央网信办网络综合治理局主要负责同志通报2025年优化营商网络环境工作开展情况，北京、上海、福建、四川网信办负责同志，微博、腾讯、抖音负责人在会上作交流发言。中央网信办相关局（中心）负责同志，各省、自治区、直辖市网信办，新疆生产建设兵团网信办负责同志，以及部分重点网站平台负责人参加会议。

原文链接：

https://mp.weixin.qq.com/s/2NvlXkdGMSxgSSj0xmsEaQ

为深入贯彻落实《中华人民共和国标准化法》及《国家标准化发展纲要》对团体标准规范发展的相关要求，进一步推动关键信息基础设施安全相关领域的标准化建设，支撑并促进该行业的高质量发展，中关村华安关键信息基础设施安全保护联盟（以下简称“关保联盟”）根据《团体标准管理规定》及联盟内部《团体标准管理办法》（试行）的相关规定，现已完成以下四项团体标准的立项、调研、编制起草、征求意见及专家审定等全部标准制定流程。经审议，现批准并正式发布以下四项标准：《关键信息基础设施安全分析识别能力要求与评价》编号：T/CIIPA 00001—2024、《关键信息基础设施网络安全事件分类分级与处置能力要求》编号：T/CIIPA 00003—2024、《关键信息基础设施安全防护能力要求与评价》编号：T/CIIPA 00004—2024、《关键信息基础设施数据安全能力要求》编号：T/CIIPA 00008—2024，上述四项标准将于2025年11月26日正式发布，并自2025年12月1日起开始实施，现予以公告。

原文链接：

https://mp.weixin.qq.com/s/jYn0Tz6-VPMzjIW1KDMU9g

美国特勤局发布假日网络安全预警，指出网络犯罪分子正利用新型技术手段实施诈骗。该机构提醒公众，在节日期间购物和使用数字支付时需格外警惕，因攻击者已开始采用“账户接管”（ATO）与“授权推送支付欺诈”（APP scams）等高级手法。特勤局强调，这些攻击往往结合社会工程学与自动化工具，可绕过传统验证机制。数据显示，2024年相关欺诈案件造成的损失显著上升，部分受害者单次损失超数万美元。建议用户启用多因素认证、监控账户活动，并避免点击可疑链接。

原文链接：

https://www.hstoday.us/subject-matter-areas/cybersecurity/u-s-secret-service-issues-holiday-warning-on-new-techniques-used-by-cyber-criminals/

美国联邦法院就名人视频平台Cameo诉OpenAI商标侵权案作出初步裁决，裁定支持Cameo，发布临时限制令，禁止OpenAI在其Sora应用中使用“Cameo”一词及其近似变体（如“Kameo”“CameoVideo”），禁令有效期至12月22日。争议焦点在于Sora应用内一项允许用户上传肖像生成AI视频的功能，OpenAI将其命名为“Cameo”，意指“客串出演”，但Cameo公司认为此举易引发消费者混淆并稀释其品牌价值。Cameo于10月提起诉讼，CEO Steven Galanis表示欢迎法院裁决，并希望OpenAI永久停用该名称。OpenAI则反驳称“cameo”为通用词汇，不应被独占，并将积极应诉。主审法官Eumi K. Lee已定于12月19日举行听证会，以决定是否将限制令转为永久禁令。

原文链接：

https://securityonline.info/cameo-wins-tro-against-openai-sora-barred-from-using-cameo-trademark/

近期研究探索了利用小语言模型(SLM)扫描HTML源码以检测钓鱼网站的可行性。测试选取了1000个平衡样本，仅保留导航、图像及元数据等关键HTML片段以控制算力成本。结果显示，模型准确率在56%至89%之间，其中10B至20B参数的中等规模模型表现已接近旧版大模型。尽管SLM本地部署具备保障数据隐私、低延迟及避免供应商锁定等显著优势，但在格式一致性和整体性能上仍落后于大型专有系统。这意味着虽然SLM能处理网络钓鱼检测任务，但仍面临漏报风险，技术成熟度有待进一步提升。

原文链接：

https://www.helpnetsecurity.com/2025/11/26/research-slms-website-phishing-detection/

美国多地应急警报系统遭勒索软件攻击，致数据泄露与严重服务中断。过去一周，多州市县及执法部门告知公众，Crisis24提供的OnSolve CodeRED系统因网络攻击受损，无法发送紧急通知。该系统用于发布洪水等公共安全警报，此次事件未影响国家紧急警报系统。Inc Ransom组织宣称发动攻击，因厂商只愿支付10万美元赎金而谈判破裂。目前部分被盗数据已公开售卖。Crisis24声明数据被公布，已通知执法，停用旧平台并加速新平台上线。

原文链接：

https://www.securityweek.com/ransomware-attack-disrupts-local-emergency-alert-system-across-us/

伦敦三个长期共享IT服务的地方议会——皇家肯辛顿与切尔西区、威斯敏斯特市议会及哈默史密斯-富勒姆区——近日确认遭遇“网络安全事件”。该事件于周一上午首次被发现，目前已影响电话线路等多个系统。涉事议会已启动业务连续性及应急计划，优先保障对弱势居民的关键服务，并正与国家网络安全中心及专业团队协同处置。哈默史密斯-富勒姆区称已采取预防性措施隔离并保护其网络。目前尚不清楚攻击者身份及动机，但议会已按标准流程通知信息专员办公室（ICO），并调查是否存在数据泄露。尽管有媒体报道东伦敦哈克尼区亦受影响，但该区明确否认，强调自身系统未受波及且安全措施完备。议会表示将陆续向公众通报进展。

原文链接：

https://therecord.media/cyber-issue-london-councils-attack

美国国家标准与技术研究院（NIST）下属国家网络安全卓越中心（NCCoE）于2025年11月25日发布三份关于物联网（IoT）安全入网的最终版技术出版物。这些文档聚焦“可信网络层入网”（Trusted Network-Layer Onboarding）机制，旨在为IoT设备提供唯一本地网络凭证，并实现全生命周期安全管理。其中，《NIST CSWP 42》概述自动化安全入网方法；《NIST IR 8350》阐述其核心能力与安全价值；《NIST SP 1800-36》则提供基于现有标准和商用技术的实施指南。该系列成果源于四年产业合作，旨在防范未授权设备接入及网络攻击，提升IoT生态整体安全性。

原文链接：

https://www.nist.gov/news-events/news/2025/11/final-nccoe-iot-secure-onboarding-publications-now-available

一项基于2023年1月至2025年6月间收集的2,225条暗网招聘帖的研究显示，暗网持续作为平行劳动力市场运作，具备自身招聘规范、薪资预期，并反映全球经济变化。研究发现，69%的求职者未限定专业领域，愿接受任何工作；IT相关岗位需求最旺，其中开发者、渗透测试员和洗钱人员最为抢手，而逆向工程师平均薪资最高。值得注意的是，大量青少年活跃于该市场，多寻求快速小额收益，且普遍熟悉欺诈手段。与合法就业市场类似，暗网招聘也日益重视实操能力而非学历，并开展背景核查，供需波动亦呈同步趋势。研究预测，受全球裁员潮影响，未来暗网求职者平均年龄与资质或将上升。

原文链接：

https://securelist.com/dark-web-job-market-2023-2025/118057/

美国众议院能源和商务委员会周二公布多项儿童网络安全新法案，包括新版《儿童网络安全法》（KOSA）。该版本删除了此前未获通过的草案中核心的 “注意义务” 条款 —— 原条款要求科技巨头为其产品引发的社会伤害承担法律责任，这一设定曾因涉及言论自由争议导致法案在众议院停滞（2024 年 7 月参议院曾高票通过含该条款的版本）。

新版 KOSA 要求平台制定并执行 “合理政策与流程”，应对针对未成年人的人身威胁、性剥削及毒品交易等危害，相关要求将根据平台规模、复杂度及技术可行性灵活调整。此次同步公布的还有《应用商店问责法》（要求应用商店验证用户年龄）、《儿童与青少年网络隐私保护法 2.0》（COPPA 2.0，将隐私保护范围从 13 岁以下扩展至 17 岁以下）等共 19 项法案，众议院委员会将于周二举行听证会推进相关立法，科技行业与受害儿童家属此前已就该议题展开多轮游说。

原文链接：

https://therecord.media/house-commttee-unveils-new-kosa-bill

紧随谷歌发布Gemini 3 Pro，AI独角兽Anthropic正式推出旗舰模型Opus 4.5。此次更新聚焦办公生产力，深度集成了Microsoft Excel。Claude for Excel功能支持数据透视表和图表创建，测试显示准确率提升20%，效率提升15%。为解决AI记忆短板，新推出的Infinite Chat功能打破了传统上下文窗口限制，实现长对话记忆。在技术层面，Opus 4.5增强了Agentic工作流的自修正能力。安全方面，Anthropic声称这是其迄今最安全的模型，在抵御提示注入攻击(prompt-injection attacks)方面优于Gemini 3 Pro。目前该模型已全线开放，API定价为每百万tokens 5美元。

原文链接：

https://securityonline.info/anthropic-unleashes-opus-4-5-excel-integration-infinite-chat-for-enterprise-ai/