文章最后更新时间2026年05月16日,若文章内容或图片失效,请留言反馈!
一是李强主持召开国务院常务会议 学习贯彻习近平总书记有关重要讲话精神;二是国务院印发《国务院2026年度立法工作计划》,拟加快推进人工智能健康发展综合性立法;三是国家网信办等部门联合印发《智能体规范应用与创新发展实施意见》;四是国家网信办就《消费类网联摄像头网络安全标识实施规则》及相关标准公开征求意见;五是工信部等部门发布《人工智能终端智能化分级》系列国家标准;六是五眼联盟发布联合指南,提供代理式人工智能审慎部署的最佳实践;七是特朗普政府新版反恐战略将进攻性网络行动纳入常规手段;八是美网络司令部2027财年AI预算由500万美元增至1.38亿美元;九是美FCC延长外国制造无人机、路由器等更新豁免至2029年;十是美CISA加速布局战争冲突下的关键基础设施韧性;十一是美国防部与OpenAI、英伟达等7家AI公司达成协议,旨在打造一支“人工智能主导”的作战力量;十二是欧盟拟推出《芯片法案2.0》,强化半导体技术主权;十三是欧盟将在人工智能等科技领域与日本加强合作。
一是国家数据集管理服务平台正式发布;二是国家能源局等部门印发《关于促进人工智能与能源双向赋能的行动方案》;三是数据领域国际合作上海综合试点启动;四是工信部印发《工业场景数据要素应用参考指引》。一是多领域网安事件爆发,涉及教育、电信、零售领域,数据及源码安全受影响。 本期介绍:美网络教育平台Canvas遭黑客攻击,涉及超2.75亿人数据;英国电信巨头沃达丰遭勒索攻击致7GB源码被公开;快时尚品牌ZARA遭数据泄露,约19.74万用户信息受影响。二是AI领域网安风险凸显,零日漏洞与低代码应用漏洞频发,需警惕AI技术带来的网安隐患。 本期介绍:谷歌检测到首个由人工智能生成的武器化零日漏洞;AI低代码应用曝严重漏洞,超5000个Vibe-coded应用裸奔公网。一是CNVD发布安全公告:多款智能体技能包暗藏恶意执行风险;二是美CISA将新的Linux内核高危漏洞紧急纳入其KEV目录;三是cPanel & WHM身份认证绕过漏洞已被大规模自动化利用;四是Palo Alto Networks PAN-OS存在缓冲区溢出漏洞;五是Ollama内存泄漏漏洞安全风险通告。李强主持召开国务院常务会议 学习贯彻习近平总书记有关重要讲话精神
5月9日,国务院总理李强主持召开国务院常务会议,学习贯彻习近平总书记关于当前经济形势和经济工作的重要讲话、在加强基础研究座谈会上的重要讲话精神。会议指出,要切实把思想和行动统一到党中央对形势的科学判断上来,进一步增强信心,在应对变局中把握机遇,在攻坚克难中推动发展,巩固拓展经济稳中向好势头,努力实现“十五五”良好开局。宏观政策要在用好、用足上下功夫,坚持靠前发力,不断提升实施效能。做强国内大循环要在供需协同、联动升级上求突破,落实和完善服务业扩能提质举措,加强水网、新型电网、算力网、新一代通信网、城市地下管网、物流网等规划建设。要以更大力度、更实举措加强基础研究,把基础研究工作摆上重要日程,结合国家急迫需要和长远需求,明确主攻方向和重点领域,多措并举加大投入力度,注重营造良好科研生态。(信息来源:新华社)国务院印发《国务院2026年度立法工作计划》,拟加快推进人工智能健康发展综合性立法
5月11日,国务院办公厅印发《国务院2026年度立法工作计划》。其中提到,围绕加快高水平科技自立自强、激发全民族文化创新创造活力,提请全国人大常委会修订集成电路布图设计保护条例、互联网信息服务管理办法。完善人工智能治理,加快推进人工智能健康发展综合性立法;加快完善保障数据、算力、算法、产权、网络安全、供应链安全等人工智能共性要素及规范重点应用场景方面的立法。同时,《国务院立法计划》对加快推进人工智能健康发展综合性立法作出部署,对进一步全面深化改革、加快政府职能转变、发展新质生产力、维护国家安全、加强涉外法治、高质量加快推进国防和军队现代化急需等立法项目,作了概括性安排。(信息来源:综合新华社、第一财经)国家网信办等部门联合印发《智能体规范应用与创新发展实施意见》
5月8日,国家网信办、国家发改委、工信部联合印发《智能体规范应用与创新发展实施意见》(以下简称《实施意见》)。《实施意见》提出,智能体是具备自主感知、记忆、决策、交互与执行能力的智能系统,是人工智能产品及服务的重要形态。随着大模型等新一代人工智能技术迅猛发展,智能体正加速与网络空间、物理世界深度融合,深刻改变人类生产生活方式和社会治理模式。《实施意见》明确智能体发展要坚持安全可控、规范有序、创新驱动、应用牵引的基本原则,并提出了4个方面举措:一是夯实发展基础,完善技术底座,构建标准协议。二是守牢安全底线,明确产品准则,防范安全风险,完善治理体系,强化行业自律。三是强化应用牵引,围绕科学研究、产业发展、提振消费、民生福祉、社会治理等方向,提出19个典型应用场景。四是建设创新生态,促进产业合作,强化应用推广。(信息来源:网信中国)国家网信办就《消费类网联摄像头网络安全标识实施规则》及相关标准公开征求意见
5月8日,国家网信办就《消费类网联摄像头网络安全标识实施规则》及相关标准公开征求意见。实施规则适用于消费类网联摄像头的网络安全标识的备案和使用,不适用于公共安全领域的摄像头。实施规则明确消费类网联摄像头是指消费者个人或组织购买、使用,为个人或组织提供音视频信息采集和处理服务、具有互联网联网功能的独立摄像头;消费类网联摄像头网络安全标识对应的安全能力由低到高分为基础级(一星)、增强级(二星)、领先级(三星);产品需依据《网络安全标识 消费类网联摄像头安全要求》,通过物理与硬件安全、系统与软件安全、网络与通信安全、数据与个人信息安全、安全保障等单项检测等。意见反馈截止时间为2026年5月23日。(信息来源:网信中国)工信部等部门发布《人工智能终端智能化分级》系列国家标准
5月8日,工信部、商务部、市场监管总局等部门联合启动实施《人工智能终端智能化分级》(GB/Z 177—2026)系列国家标准。标准采用“2+N”架构:“2”指《第1部分:参考框架》和《第2部分:总体要求》。这两项标准明确了智能化的概念、等级划分和测试方法,是所有品类标准的基础。终端智能化的分级体系,从L1响应级、L2工具级、L3辅助级到L4协同级,智能化水平依次提高。其中,L4协同级将根据产业发展水平,在后续修订中进一步明确和完善。“N”是面向手机、电脑、电视、眼镜、汽车座舱、音箱、耳机等不同产品的具体标准。首批标准包括7个品类,后续将推进其他品类标准研制。标准涉及移动终端、微型计算机、电视接收机、眼镜、汽车座舱、音箱、耳机等多种智能终端产品。(信息来源:工信微报)工信部启动人工智能科技伦理审查与服务先导计划
5月9日,工信部印发通知,正式启动人工智能科技伦理审查与服务先导计划,依托国家人工智能产业创新应用先导区所在省份,率先探索人工智能科技伦理审查与服务的落地路径,健全多方参与、协同高效的治理机制,支撑人工智能负责任创新和产业高质量发展。先导计划部署了四项重点任务:一是细化省级人工智能科技伦理审查制度规范,健全城市科技伦理协同治理工作机制。二是指导各类创新主体建设人工智能科技伦理委员会,探索建设人工智能科技伦理审查与服务中心。三是开展人工智能科技伦理审查实践,组织开展高风险人工智能科技活动科技伦理专家复核,推动人工智能伦理风险评估、委员会建设等相关标准研制与验证。四是构建部省市三级联动敏捷治理网络,健全审查情况通报机制,建立人工智能科技伦理风险信息报送机制,完善风险预警与推送机制。(信息来源:工信微报)工信部批复第六代移动通信系统技术试验频率
5月8日,为进一步推动我国6G技术研发、标准研制与产业化进程,工信部向IMT-2030(6G)推进组批复6GHz频段6G试验频率使用许可,支持其在部分地区开展6G技术试验,面向国际电信联盟确定的6G典型场景与关键性能指标,开展技术研发攻关和测试验证。此次批复6G技术试验频率,将有力推动我国6G高质量发展。(信息来源:工信微报)10项网络安全国家标准获批发布
5月9日消息,根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2026年第21号),全国网络安全标准化技术委员会归口的10项国家标准正式发布。具体包括:《网络安全技术 SM2密码算法加密签名消息格式》《网络安全技术 SM9密码算法加密签名消息格式》《网络安全技术 开放的第三方资源授权协议》《网络安全技术 操作系统安全技术规范》《网络安全技术 具有中央处理器的IC卡芯片安全规范》《网络安全技术 统一威胁管理产品(UTM)技术规范》《网络安全技术 软件安全开发能力评估准则》《网络安全技术 计算机基本输入输出系统(BIOS)安全技术规范》《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》《数据安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》(信息来源:全国网安标委)五眼联盟发布联合指南,提供代理式人工智能审慎部署的最佳实践
5月1日,澳大利亚、美国、加拿大、新西兰及英国网络安全机构联合发布《审慎部署代理式人工智能服务》。该指南聚焦关键基础设施与国防领域应用日益广泛的代理式人工智能系统,指出此类系统在释放强大自动化效能的同时,也带来超越传统软件及生成式人工智能范畴的新型安全风险。指南将代理式人工智能安全风险划分为权限风险、设计与配置风险、行为风险、结构性风险及责任风险五大类。针对以上风险,指南提供了保障代理式人工智能系统安全的最佳实践,助力设计、开发、部署和运营该类系统的组织开展科学的风险评估并实施风险缓解措施。(信息来源:美CISA网站)特朗普政府新版反恐战略将进攻性网络行动纳入常规手段
5月6日,特朗普政府发布新版《美国反恐战略》,首次明确将进攻性网络行动列为反恐措施的常规组成部分,并重点提及与恐怖主义相关国家行为体,旨在打击被认为对美国利益构成威胁的团体。该战略关于网络行动的表述涵盖以下三个方面:一是提出美国针对国家行为体的反恐行动包括针对计划杀害美国人或支持策划杀害美国人的特定目标的进攻性网络行动;二是提出美国将运用外交、金融、网络及秘密行动等手段,削弱或震慑协助已列名“外国恐怖组织”的敌对国家行为体;三是提出美国将继续集中运用军事打击、情报搜集及网络行动手段,打击企图加害美国公民的伊朗支持的恐怖代理人。(信息来源:奇安网情局)美网络司令部2027财年AI预算由500万美元增至1.38亿美元
5月13日消息,美网络司令部2027财年“用于网络空间作战的人工智能”项目预算申请达1.38亿美元,较2026财年的500万美元增长约26倍。该项目2026财年至2031财年总体投入预计约4亿美元,旨在通过人工智能和机器学习能力的开发、集成与部署,提升美军网络空间作战的速度、规模和精度。根据项目预算说明,美网络司令部必须部署人工智能能力,使网络作战人员能够处理海量数据、识别恶意活动,并比仅靠人工操作更快地应对威胁;人工智能工具能够以机器速度发现、分析和反制敌方活动,从而确保美在网络空间保持行动自由;美网络司令部将推进新兴人工智能和机器学习能力的发展,以提升网络空间作战的速度、规模和精度。(信息来源:奇安网情局)美FCC延长外国制造无人机、路由器等更新豁免至2029年
5月8日,美联邦通信委员会(FCC)宣布将外国制造无人机、无人机组件及消费级路由器的软件更新豁免期限统一延长至2029年1月1日。该政策适用于在2025年12月22日(无人机及关键组件)或2026年3月23日(路由器)被列入“受管制清单”前已获授权的设备。新规允许发布目的在于“减轻美国消费者伤害”的II类更新,修改射频参数III类更新仍被禁止。为防范网络安全风险,新款外国路由器与无人机依旧禁止进入美国市场,仅存量设备可享受延期更新政策。(信息来源:稻香湖智库)美CISA加速布局战争冲突下的关键基础设施韧性
5月5日,美网络安全与基础设施安全局(CISA)正式启动“关键基础设施加固”(CI Fortify)计划,旨在帮助关键基础设施所有者和运营者在遭遇大规模网络攻击或地缘政治危机时仍可维持基本服务。该计划强调采用“韧性模型”,以确保系统在网络性能下降、通信中断或核心系统被破坏的情况下继续运行。该计划侧重于两项能力,即“隔离”和“恢复”。隔离措施包括主动断开与第三方和业务网络的连接,以防止运营技术遭受网络安全影响,并在通信环境恶化的情况下维持关键业务运营。恢复工作则包括编制系统文档;备份关键文件;在隔离失效、组件无法运行时,演练系统替换或切换到手动操作的方案;解决恢复过程中的通信依赖项。(信息来源:奇安网情局)美国防部与OpenAI、英伟达等7家AI公司达成协议,旨在打造一支“人工智能主导”的作战力量
5月1日,美国防部发表正式声明,宣布已与7家顶级AI科技公司(SpaceX、OpenAI、谷歌、英伟达、Reflection AI、微软和亚马逊云科技)达成协议,将上述企业最先进的AI技术全面接入美国防部最高等级涉密网络,在六级影响(IL-6)、七级影响(IL-7)网络环境中实现规模化部署,增强作战人员在复杂作战环境中的决策能力。美国防部表示,上述协议将加速美军的转型进程,旨在将美军打造为一支“人工智能主导”的作战力量。(信息来源:CCTV国际时讯)美NIST与谷歌DeepMind、微软、xAI签署安全测试协议
5月5日,美国家标准与技术研究院(NIST)人工智能标准与创新中心(CAISI)宣布与谷歌DeepMind、微软和xAI达成新的安全测试协议。测试协议允许美联邦政府在人工智能模型向公众发布之前对其进行评估,并开展部署后的评估和研究。CAISI表示,迄今为止已完成40多项此类评估,涵盖部分尚未发布的最先进模型。测试协议有助于促进信息共享,推动企业自愿改进产品,同时确保政府对AI能力的发展态势以及国际AI竞争格局有更清晰的把握。(信息来源:美NIST网站)美空军部发布《人工智能招聘与人才发展战略》
4月30日消息,美空军部发布《人工智能招聘与人才发展战略》,围绕招募、保留、培训三大方向,加快AI军事化应用,巩固全球竞争优势。该计划依据美国防部AI战略制定,聚焦提升国家安全与作战效能。为吸引人才,军方将简化招聘流程、提供激励,并推行任务匹配战略;在留存方面,设立双轨职业发展模式,支持AI专家走技术晋升通道,减少流向私营部门;在培训方面,建立全员AI素养基准,改用技能验证机制,替代单纯课程完成。(信息来源:全球技术地图)兰德公司发布《未来中美AI安全与保障合作的应急框架》报告
5月7日消息,兰德公司发布《未来中美AI安全与保障合作的应急框架》报告,剖析了中美AI竞争格局、现有国际机制的短板,并提出一套兼顾风险管控与战略弹性的合作路径。报告指出,中美关系是影响人工智能未来发展的最重要双边关系。两国汇聚了全球绝大多数AI研究人员,部署了近乎全部的高端算力,吸纳了全球大部分AI投资;两国企业推出的基础模型与主流AI系统深度渗透全球技术体系,形成世界对中美技术的广泛依赖。这种双重主导地位,既让中美具备定义AI安全、可靠性与技术标准的能力,也使双方的政策选择直接影响全球AI发展方向。(信息来源:赛博研究院)欧盟拟推出《芯片法案2.0》,强化半导体技术主权
5月6日,欧盟计划发布《芯片法案2.0》,旨在通过提升半导体的自主生产能力、填补先进制造工艺的空白以及简化监管流程,来增强欧盟的技术主权与经济安全,进一步强化欧洲半导体产业韧性。新版法案预计将重点解决欧盟在先进制程半导体制造能力不足的问题,同时加强欧洲在部分具有竞争优势的芯片市场地位。此外,法案还将强化对半导体市场的监测与供应链预警机制,并简化现有监管框架。该提案被列为“最高优先级”立法倡议,目标在2027年第二季度完成最终通过。(信息来源:欧洲议会网站)欧盟放宽《人工智能法案》实施要求,推迟高风险AI规则生效时间
5月7日消息,欧盟成员国与欧洲议会就修订《人工智能法案》达成临时协议,决定放宽部分监管要求,并推迟高风险人工智能系统相关条款实施时间。根据协议,涉及生物识别、关键基础设施及执法领域的高风险AI规则,将由原定2026年8月推迟至2027年12月生效,已受行业法规约束的工业机械设备将被排除在《人工智能法案》适用范围之外。同时,欧盟新增针对生成AI色情内容的禁令,并要求AI生成内容强制添加水印。(信息来源:全球技术地图)欧盟发布第三版《关于在研究中负责任使用生成式人工智能的动态指南》
5月8日,欧盟发布第三版《关于在研究中负责任使用生成式人工智能的动态指南》,在多个关键点上作出具有明确指向性的更新。具体包括新增关于第三方(如会议记录、文档摘要服务)使用生成式AI的风险提醒;新增关于隐藏提示词/隐形指令的风险警告,需注意第三方提供的内容(尤其是申请文件及项目建议书)中可能包含的隐藏提示词风险,并制定规则禁止此类操纵;明确“虚假引用与错误摘要”的核查责任,指出即使引用本身正确(论文真实存在、标题正确),AI生成的摘要也可能是错误的,研究人员必须检查所有参考文献和摘要内容;注意科研评价中的公平性,避免在可能影响其他研究人员或机构的敏感活动中实质性使用生成式AI(如同行评审、研究提案评审等)。(信息来源:欧盟委员会网站)欧盟将在人工智能等科技领域与日本加强合作
5月5日,第四次欧盟与日本数字伙伴关系理事会会议在布鲁塞尔举行。欧盟委员会表示,将与日本进一步深化在数据、人工智能、量子技术、数字基础设施及在线平台等领域的监管、科研与产业合作。在数据治理方面,欧盟计划与日本共同设立“数据战略工作组”以提升数据共享水平,推动联合研发与创新。同时,欧盟对日本加入欧盟旗舰科学项目“地平线欧洲”表示欢迎,认为此举将加快双方在人工智能等数字领域的联合科研进程。此外,双方还将启动量子科技领域的联合研究项目。(信息来源:新华网)Linux基金会成立x402 Foundation,打造AI智能体支付新体系
5月7日消息,Linux基金会宣布成立x402 Foundation,意在应对智能体带来的自动化交易需求,聚焦构建智能体“按请求付费”的标准化支付体系,以开源模式推进技术研发与生态建设。组织成员覆盖云计算、支付、金融等多个关键领域,亚马逊、谷歌、微软、万事达卡、维萨、Shopify等国内外知名企业均参与其中。技术设计层面看,x402新型协议核心亮点在于将支付能力深度嵌入网页HTTP请求流程,实现AI智能体、应用程序接口(API)及各类应用在发起服务请求的同步完成交易。该协议创新采用“按请求付费”模式,每一次API调用、服务访问均可对应一笔即时支付,为机器对机器(M2M)交易搭建安全、高效、便捷的底层技术支撑。(信息来源:环球网)4月29日,国家数据集管理服务平台正式发布并启动试运行,标志着我国高质量数据集建设工作迈入集约化管理新阶段。国家数据集管理服务平台由国家数据局指导、国家数据发展研究院建设和运营,以数据集目录汇聚为基础,构建“物理分散、逻辑集中”的数据集管理体系,提供覆盖数据集全生命周期的公共服务能力,进一步促进高质量数据集有效供给,繁荣产业生态。目前,平台已开放供需发布、全域检索、凭证申领等基本功能,并与国家数据基础设施以及安徽省等地方平台完成对接。截至发布当日,平台已认证供需主体200余家,发布数据集1000余个。(信息来源:人民日报)
国家能源局等部门印发《关于促进人工智能与能源双向赋能的行动方案》5月8日,国家能源局会同国家发改委、工信部、国家数据局印发《关于促进人工智能与能源双向赋能的行动方案》(以下简称《行动方案》)。《行动方案》以能源支撑人工智能发展、人工智能赋能能源转型为主线,聚焦保障算力设施安全可靠的能源供给、推动算力设施绿色低碳转型、促进算力电力高效经济协同、开放能源领域人工智能高价值应用场景、挖掘能源领域数据价值、强化能源领域人工智能模型创新等方面部署了29项重点任务,着力促进能源、算力、场景、数据、模型等人工智能发展各要素高效协同。《行动方案》提出,力争到2030年,人工智能算力设施的清洁能源供给保障能力和能源领域人工智能应用水平大幅提升,构建人工智能与能源双向赋能、深度融合的发展新格局。(信息来源:国家数据局)
5月6日,2026全球数字合作交流会暨全球数据周在上海开幕,围绕“数据产业化、产业数字化、数据国际化”这一主题,来自全球30多个国家和地区的政企学研代表,共议数据要素国际合作,助力上海建设国际数字之都。在国家数据局指导下,上海作为数据领域国际合作首批试点,正式启动数据领域国际合作上海综合试点工作。本次试点聚焦6大板块、17项具体任务,面向2030年,上海着力构建设施领先、规则互认、载体赋能、场景融合的国际数据合作新体系,紧扣释放数据价值、繁荣数字经济、推进数字出海服务,打造“高标准跨境数据新基座、高质量规则互认新体系、高能级国际合作新载体、高协同出海服务新生态”的工作格局,为参与全球数字治理、推动数据跨境便捷流动探索创新路径。(信息来源:人民网)
5月4日,第九届数字中国建设峰会在福州闭幕。峰会期间,超6000项前沿技术、产品集中亮相;《数字中国发展报告(2025年)》《全国数据资源调查报告(2025年)》等120余项成果陆续发布;一批“十五五”数字经济项目加快对接。国家数据局公布了中国数字经济发展的最新答卷——2025年数字中国发展指数为170.1,同比增长12.99%。全国年度数据生产总量达52.26泽字节(ZB),同比增长27.28%,增速较上年提升2.28个百分点。我国数据生产总量占全球约27.44%。全国日均词元调用量从年初的超万亿增长到年末的100万亿,呈现指数级增长;全年词元累计调用量达到约21100万亿。(信息来源:综合新华社、央视新闻)
4月29日,工信部印发《工业场景数据要素应用参考指引》(以下简称《指引》),推进工业数据采集处理、流通汇集、融合应用,赋能行业提质降本增效,助力新型工业化加快推进。《指引》围绕研发设计、生产制造、经营管理、客户服务、产业协同等关键环节,凝练出23个场景,每个场景的数据要素应用分别从预期效果和数据“采、集、用”四个方面总结。《指引》以附件的形式,为每个场景提供了对应的典型实践案例。案例从要点概述、主要做法、应用成效三方面展开,帮助企业对场景有更加清晰直观的认识与理解。(信息来源:工信微报)
爱尔兰DPC调查SHEIN,聚焦欧盟用户数据跨境传输合规5月5日,爱尔兰数据保护委员会(DPC)宣布对快时尚电商SHEIN在爱尔兰的运营主体SHEIN爱尔兰公司启动数据保护调查。本次调查的核心是审查该公司向中国传输欧盟及欧洲经济区(EEA)用户个人数据的行为,是否严格符合欧盟《通用数据保护条例》(GDPR)的相关规定。DPC将全面评估SHEIN数据跨境传输全流程的合规性,重点核查三大核心义务:一是GDPR第5条规定的个人数据处理基本原则,包括合法、公平、透明、目的限制、数据最小化、准确性、存储限制、完整性与保密性等要求;二是GDPR第13条明确的透明度义务,即企业是否向数据主体充分、清晰地告知数据收集、使用及跨境传输的相关信息;三是本次调查的焦点,GDPR第五章关于向第三国传输个人数据的限制性要求。(信息来源:赛博研究院)
美网络教育平台Canvas遭黑客攻击,涉及超2.75亿人数据5月8日,美国各地广泛使用的网络教育平台Canvas在7日遭遇网络攻击后服务一度中断,此时正值全美各地高校考试季,包括哈佛大学、密歇根大学在内的美国多所高校发布通告说,Canvas平台暂时无法使用。Canvas平台由美国Instructure公司开发,在全球拥有3000万左右活跃用户。公司在声明中表示,发现有未经授权人员篡改了该平台页面,已于7日晚恢复了对大多数用户的服务,并已聘请专家团队,将此事件影响降至最低。一个名为“闪亮猎人”的黑客组织声称对此次事件负责。该组织称,已获取来自全球近9000所学校、涉及超过2.75亿人的数据。(信息来源:新华社)
5月11日消息,英国电信运营商沃达丰(Vodafone)披露一起数据安全事件。一个网络犯罪组织在其泄露网站上公开发布了约7.1GB的沃达丰内部源代码,并声称此前已给予沃达丰15天时间进行谈判,但该公司拒绝支付赎金,目前数据已被公开。此次泄露的数据并非普通用户信息,而是沃达丰内部开发环境中的源代码及项目结构文件,涉及多个内部项目代码库及测试环境,其中包括Vodafone OnePortal、Cyberhub等系统的源代码,以及部分测试环境配置文件。目前,沃达丰尚未公开说明具体入侵路径。作为全球主要通信运营商,沃达丰业务覆盖欧洲、非洲及亚洲多个国家(信息来源:Cybernews网)
快时尚品牌ZARA遭数据泄露,约19.74万用户信息受影响5月9日消息,西班牙快时尚品牌Zara遭数据泄露,已确认影响19.74万名用户,泄露内容主要包括邮箱地址、地理位置、购买记录、产品SKU、订单ID,以及客服工单对应的市场信息。勒索组织ShinyHunters宣称对此次事件负责,并称他们从BigQuer 实例中窃取了140GB文档,所用入口是被盗的Anodot身份验证tokens。数据泄露后,虽无法直接威胁用户账户,但黑客通过拼接邮箱和消费轨迹等信息,可构建针对消费者的完整画像,从而铺垫后续的钓鱼或者其它类型攻击。用户若收到与订单、退货、客服工单相关的邮件或来电,需要格外警惕,不要点开陌生链接,也不要重复提交账户信息。Zara在全球拥有超过1500家公司直营店和加盟店。(信息来源:BleepingComputer网)
5月12日消息,谷歌威胁情报小组(GTIG)的研究人员表示,一款针对流行开源Web管理工具的零日漏洞利用程序,很可能由AI生成。该漏洞利用程序可用于绕过一款流行的Web开源系统管理工具中的双因素认证(2FA)保护,但该工具名称尚未公开。谷歌威胁情报小组表示,该脚本包含大量具有教学性质的文档字符串,其中甚至包括一个虚构的CVSS评分。此外,它采用了结构化、教科书式的Python编码风格,这种特征与大模型训练数据的风格高度一致。根据这段Python漏洞利用代码的结构与内容,谷歌高度确信,攻击者使用了AI模型来发现并武器化该漏洞。目前尚不清楚攻击者具体使用了哪一种大模型来执行恶意任务。(信息来源:安全内参)
AI低代码应用曝严重漏洞,超5000个Vibe-coded应用裸奔公网5月7日,安全厂商RedAccess研究显示,Lovable、Replit、Base44、Netlify等AI低代码开发平台生成的Vibe-coded应用存在严重安全缺陷,超5000个应用无任何认证防护,直接暴露在公网,约40%泄露敏感数据。这些应用由AI快速生成并托管在平台域名,仅通过URL即可访问,部分仅需任意邮箱登录即可进入。暴露数据涵盖医疗信息、财务数据、企业策略文档、客服聊天日志、货运记录等,部分应用甚至可直接获取管理员权限。研究还发现,Lovable平台上存在大量利用该工具生成的钓鱼网站,伪装美国银行、Costco等知名机构。RedAccess通过搜索引擎定位平台域名下的应用,确认约2000个应用存在真实敏感数据泄露,并已通知数十家受害机构。(信息来源:安全牛)
CNVD发布安全公告:多款智能体技能包暗藏恶意执行风险5月11日,国家信息安全漏洞共享平台(CNVD)发布CNTA20260003安全公告,通报OpenClaw(龙虾)等主流智能体系统中,多款第三方技能包(Skills)存在隐蔽执行恶意命令、诱导高危操作等严重安全风险,可致用户敏感信息泄露、数字资产被盗。公告显示,部分Skills伪装成办公助手、数据分析、自动交易等工具,后台静默下载运行木马,绕过安全防护窃取系统密码与业务凭证,其中yahoofinance、bybittrading等恶意插件下载量已过万次。CNVD指出,Skills已成为智能体新型攻击入口,传统防护难以识别。个人用户应从官方渠道获取组件,遵循权限最小化原则,定期清理可疑插件;企业需建立白名单准入、入库安全检测、隔离部署与分级管理机制。公告同步公布首批19个恶意Skills清单,涵盖木马投毒、诱导付费、诱导虚拟货币交易三类风险,提醒用户立即排查卸载。(信息来源:CNVD网站)
美CISA将新的Linux内核高危漏洞紧急纳入其KEV目录5月5日消息,美CISA近日将一个新的Linux内核高危漏洞——“复制失败”(Copy Fail,编号CVE-2026-31431)紧急纳入其KEV目录。此举正式确认,该漏洞在公开披露仅一天后已被攻击者积极利用。Linux内核是现代IT基础设施的基石,广泛应用于服务器、云平台及容器环境。此漏洞存在于内核的密码子系统authencesn模块中,源于处理认证加密(AEAD)操作时的一处逻辑缺陷。攻击者可组合利用AF_ALG套接字接口与splice()系统调用,触发一次受控的、可导致内核崩溃或权限提升的越界写入。美CISA已为此漏洞设定了修复截止日期,并要求所有联邦文职机构在2026年5月15日前完成修补。(信息来源:安情视界)
cPanel & WHM身份认证绕过漏洞已被大规模自动化利用5月6日消息,cPanel&WHM存在身份认证绕过漏洞CVE-2026-41940(CVSS评分9.8),该漏洞源于登录流程中的会话加载与保存机制存在逻辑缺陷。攻击者通过Basic认证头在密码字段注入CRLF字符,并利用缺少ob(对象)部分的会话cookie避免密码编码,从而将恶意键值对写入原始会话文件。随后触发token_denied流程,使系统重新解析该文件并将注入的hasroot=1、user=root等记录提升至JSON缓存,最终绕过密码验证获得管理员权限。cPanel&WHM是全球主流的LinuxWeb托管控制面板。鉴于该漏洞已被大规模自动化利用,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
Palo Alto Networks PAN-OS存在缓冲区溢出漏洞5月6日,奇安信CERT监测到官方修复Palo Alto Networks PAN-OS缓冲区溢出漏洞CVE-2026-0300(CVSS评分9.8),该漏洞源于User-ID Authentication Portal服务在处理特定数据包时的边界检查不足。远程未经身份认证的攻击者通过向目标防火墙的User-ID Authentication Portal服务发送特制的网络数据包,触发缓冲区溢出条件,从而在目标设备上以root权限执行任意代码。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为16498个,关联IP总数为5996个。目前该漏洞已发现在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
5月6日,奇安信CERT监测到官方修复Ollama内存泄漏漏洞CVE-2026-7482(CVSS评分9.1),该漏洞源于处理用户上传的恶意GGUF文件时,未对张量偏移量与大小进行边界校验,导致服务器进程读取越界堆内存。攻击者可通过三次未认证API调用,远程窃取API密钥、环境变量等敏感数据,还可引发服务崩溃。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为20190个,关联IP总数为8167个。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
本文来源:国家信息技术安全研究中心官方网站
本文编辑:林青
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下
还没有评论,来说两句吧...