网络空间安全动态（202514期）

     编者按：网安动向热讯，本期有九点值得关注：一是网安标委印发《全国网络安全标准化技术委员会2025年度工作要点》；二是美国务院重组网络情报机构，推动外交战略向“美国优先”转向；三是美国美中战略竞争委员会发布首份针对中国人工智能企业DeepSeek的调查报告；四是美CISA停用两大网络安全分析工具；五是美国防部启动软件“快速通道”采购流程；六是美信息技术产业委员会发布《量子技术政策指南》；七是美NIST修订隐私框架并公开征求意见；八是乌克兰重构关基保护战略：放弃传统方法，转向风险管理；九是新加坡CSA在认证计划中增加云、AI、OT等内容，以增强网络安全指导。

      数据前沿快讯，本期有五点值得关注：一是国家数据局发布数据流通交易合同示范文本征求意见公告；二是全国数标委就《可信数据空间 技术架构（征求意见稿）》公开征求意见；三是美ICE构建大规模移民监控系统ATrac；四是英国发布政府部门负责任采购人工智能产品指南；五是韩国PIPC发布《个人信息处理政策制定指南》。

      网安事件聚焦，本期有两方面内容建议关注：一是勒索软件、钓鱼攻击、新型恶意软件被更广泛地利用，引发大规模网络攻击活动。本期介绍：日本证券市场遭大规模网络攻击，已导致近7亿美元的未经授权交易；大规模勒索软件活动利用被盗AWS密钥攻击S3存储桶；黑客组织APT29针对欧洲外交实体发起钓鱼攻击；新型恶意软件即服务平台“SuperCard X”正在针对Android设备发起攻击；中国台湾长慎医院遭勒索软件攻击。二是政府和企业数据泄露事件频发，凸显规范化数据管理操作的重要性。本期介绍：员工扫描会议纪要自动备份至网盘，127份涉密文件遭泄露；美白宫内部敏感文件遭万人共享；英国软件公司Logezy数据库未设置密码保护，导致800万记录被泄露；匿名论坛4chan遭黑客攻击下线，管理员信息及源代码疑遭泄露。

      网安风险警示，本期有六点建议关注：一是Erlang/OTP SSH存在高危远程代码执行漏洞；二是深度学习框架PyTorch中存在远程代码执行漏洞；三是华硕搭载AiCloud功能的路由器存在身份验证绕过漏洞；四是Apple公司紧急修复两个关键零日漏洞；五是压缩软件WinRAR中存在安全漏洞，可绕过Windows安全机制执行恶意程序。六是Windows NTLM漏洞遭大规模利用。

     一、网安动向热讯

      （一）网安标委印发《全国网络安全标准化技术委员会2025年度工作要点》

      4月17日，全国网络安全标准化技术委员会印发《全国网络安全标准化技术委员会2025年度工作要点》。2025年度工作要点包括:一是加快推动重点领域网络安全国家标准研制;二是以承办SC27国际会议为发力点积极引领国际标准制定;三是多举措提升网络安全国家标准实施应用效果;四是强化网络安全标准战略布局和前瞻性研究;五是不断完善委员会工作机制并加强自身能力建设。在制定重点领域网络安全国家标准方面，文件提出推动关键信息基础设施边界确定方法、安全保护能力指标体系等急需标准试点及报批，加快关键信息基础设施主动防御、监测预警等标准研制。同时提出推动发布人工智能生成合成内容标识方法强制性国家标准，研制配套标准实践指南和贯标应用工具;研制出台生成式人工智能服务安全基本要求、训练数据安全、数据标注安全等标准；启动人工智能安全能力成熟度、应用分类分级等标准研制。（消息来源：全国网安标委）

      （二）美国务院重组网络情报机构，推动外交战略向“美国优先”转向

      4月22日，美国国务卿卢比奥启动国务院重大重组，将网络空间和数字政策局（CDP）划归经济增长办公室，情报与研究局（INR）并入聚焦网络安全与AI的新兴威胁局，同步裁减15%国内员工并关闭132个办事处。此次重组以“效率改革”为名，实质推动外交战略向“美国优先”转向：CDP职能从制定全球数字规则转为服务经济扩张，INR强化对华技术监控；民主、人权等机构遭裁撤。与此同时，将设立一些新的机构，包括成立一个新部门专门应对所谓“新兴威胁”，重点关注网络安全、人工智能扩散等领域。（消息来源：新华社）

      （三）美国美中战略竞争特别委员会发布首份针对中国人工智能企业DeepSeek的调查报告

      4月21日消息，美国美中战略竞争特别委员会发布首份针对中国人工智能企业DeepSeek的调查报告，指控DeepSeek涉嫌数据窃取、信息操控、技术盗用及规避美国出口管制，威胁美国“国家安全”。基于这些指控，该报告提出两类政策建议：一是加强出口管制与AI风险管理，采取增加执法资源、扩大芯片管制、远程访问控制、更新管制定义、举报奖励机制、追踪终端用户、防止芯片走私、强制芯片定位、制定AI安全标准、禁止中国AI模型等措施；二是防止AI战略突袭，推行跨部门协调、监控中国AI进展、军事规划、提升国防部角色、制定应急计划等举措。（信息来源：网络法理论与实务前沿）

     （四）美CISA停用两大网络安全分析工具

      4月21日消息，美网络安全与基础设施安全局(CISA)已停止使用两大主流网络威胁分析工具VirusTotal和Censys。这两款工具被CISA分析师广泛用于追踪恶意活动、逆向工程及识别联邦系统威胁。CISA向500多名分析师发送的信件承认这些工具的重要性，并表示正在寻找替代方案。此前CISA已终止多项私营部门网络安全合同，近期还曾计划终止对CVE漏洞目录计划的支持，后在业界反对下延长合同11个月。（信息来源：SecurityLab网）

      （五）美国防部启动软件“快速通道”采购流程

      4月23日消息，美国防部一位高级技术官员表示，该部门正在启动新的软件审批框架SWIFT计划，以全面改革其软件采购流程。SWIFT计划将采用“后端AI工具”取代授权操作（ATO）流程，从根本上缩短原本需要数月甚至数年才能完成的流程。该官员称，软件供应商需将开发环境（沙盒）和生产环境的软件物料清单（SBOM），以及第三方组件SBOM上传至企业任务保障支持服务系统，系统后端部署的AI工具将自动分析数据，若一切符合数字化ATO标准，即可实现自动审批，无需等待人工审查。下步，美国防部计划将发布信息请求，以尽快构建该计划标准。目前，此软件“快速通道”采购流程已获美国防部签署授权。（信息来源：MeriTalk网）

      （六）美信息技术产业委员会发布《量子技术政策指南》

      4月14日消息，美信息技术产业委员会（ITI）发布《量子技术政策指南》，概述了应对量子计算、量子通信和量子传感带来的机遇和风险的战略建议。指南重点介绍了量子技术用于加速药物研发、财务建模、供应链优化和安全通信的案例，并对量子计算、人工智能和高性能计算的融合进行了探讨，以及三大技术驱动的混合系统对于加速气候研究、材料科学和国防领域突破的作用。该指南旨在为政策制定者、行业合作伙伴和其他利益相关者提供有关量子技术现状、其潜力和对全球经济的现实影响的基础知识，以及如何培育量子技术蓬勃发展所需的有利于创新的生态系统的建议。（信息来源：美信息技术产业委员会官网）

      （七）美NIST修订隐私框架并公开征求意见

      4月16日消息，美国家标准与技术研究院（NIST）发布《隐私框架1.1》的初始公开草案，旨在帮助组织管理信息技术系统中的隐私风险，并与2024年修订的《网络安全框架2.0核心（CSF 2.0）》相协同。与旧版相比，新版隐私框架增加了有关人工智能和隐私风险管理的章节，明确概述了人工智能与隐私的关系，以及如何使用隐私框架来管理人工智能隐私风险。此外，NIST将使用指南移至在线交互式FAQ页面，便于用户查询和动态更新。该草案征求意见截止时间为6月13日。（信息来源：美NIST网站）

      （八）乌克兰重构关基保护战略：放弃传统方法，转向风险管理

      4月22日消息，乌克兰总统泽连斯基签署《乌克兰关于国家信息资源和关键信息基础设施对象的信息保护与网络安全的若干法律修正案》，旨在强化对国家网络和关键基础设施的保护，以应对不断升级的俄罗斯相关网络攻击。该法律最具影响力的内容之一，是建立了国家网络事件响应系统。另一项重大结构性改革是废除了“综合信息保护系统”框架，取而代之的是一种现代化的风险管理模式，强调在数字系统的整个生命周期内持续保障安全。除推动国内改革外，该法案还使乌克兰更加接轨欧盟的网络安全指令NIS2。（信息来源：安全内参）

      （九）新加坡CSA在认证计划中增加云、AI、OT等内容，以增强网络安全指导

      4月21日消息，新加坡网络安全局（CSA）宣布扩展其Cyber Essentials和Cyber Trust认证标志，新增云安全、AI安全和运营技术（OT）安全领域。扩展后的Cyber Essentials为组织提供了针对云、AI和OT相关网络攻击的防护指南。Cyber Trust则在其评估模板中新增了风险、网络安全防范和风险处理三个领域，旨在简化组织（尤其是中小企业）在新领域的网络安全要求，促进良好网络安全实践的推广。CSA正在评估是否要求有敏感数据访问权限的组织在获得许可或竞标政府合同之前必须具备这些认证。此外，CSA还为符合条件的中小企业提供高达70%的共同资助，用于网络安全咨询服务。（信息来源：IndustrialCyber网）

      二、数据前沿快讯

      （十）国家数据局发布数据流通交易合同示范文本征求意见公告

      4月18日消息，为推进数据基础制度建设，培育全国一体化数据市场，促进数据合规高效流通交易，国家数据局研究制定了数据流通交易合同示范文本（含数据提供合同、数据委托处理合同、数据融合开发合同和数据中介合同），供社会各界在参与数据流通交易活动中参考，并向社会公开征求意见，截止日期至5月18日。（信息来源：国家数据局）

      （十一）全国数标委就《可信数据空间 技术架构（征求意见稿）》公开征求意见

      4月18日，全国数据标准化技术委员会就《可信数据空间 技术架构（征求意见稿）》公开征求意见，截止日期4月25日。《可信数据空间 技术架构》文件规范了可信数据空间技术架构，明确可信数据空间在国家数据基础设施中的定位，可信数据空间的核心技术特征、最小功能集合以及关键业务流程。文件适用于地方数据基础设施试点及可信数据空间试点的规划、建设和运营、管理。（信息来源：全国数标委）

      （十二）美ICE构建大规模移民监控系统ATrac

      4月21日消息，美移民和海关执法局(ICE)正在开发名为“ATrac”的大型监控系统，该系统整合了包括社保、税务、医疗及生物识别等数十个政府机构的敏感数据。据内部文件显示，ATrac具备实时追踪移民嫌疑人、协调执法行动等功能。该项目与美AI公司Palantir合作开发，合同金额达3000万美元。目前该系统已接入美联邦调查局、烟酒枪支及爆炸物管理局等执法机构数据，并计划扩展至美劳工部、国税局等部门。（信息来源：SecurityLab网）

      （十三）美联邦法院限制DOGE访问社保数据

      4月19日消息，美联邦法院颁布初步禁令，裁定政府效率部（DOGE）未经充分法律授权获取社会保障局（SSA）敏感数据的行为违法。法官在裁决书中强调，DOGE必须立即删除已获取的非匿名数据及SSA系统内安装的软件，并每周提交合规报告。美司法部表示将上诉，坚称DOGE的数据访问合法且对政府现代化至关重要。美国会计划举行听证会，审查DOGE的运营权限。（信息来源：CyberSecurityNews网）

      （十四）英国发布政府部门负责任采购人工智能产品指南

      4月16日，英国地方政府协会（LGA）、伦敦技术与创新办公室（LOTI）、平等与人权委员会（EHRC）和信息专员办公室（ICO）联合发布《如何将平等原则与数据保护融入人工智能委托及采购流程：英格兰各议会指南》。该指南旨在将平等原则与数据保护融入人工智能采购流程，强调需遵守《公共部门平等责任》及数据保护法律，包括《英国通用数据保护条例》和2018年《数据保护法》。本指南适用于任何包含基于人工智能技术的商品或服务的采购。（信息来源：清华大学智能法治研究院）

     （十五）韩国PIPC发布《个人信息处理政策制定指南》

      4月21日，韩国个人信息保护委员会更新并公布了最新版《个人信息处理政策制定指南》，旨在切实保障数据主体的权利，同时减轻个人信息处理者的负担。该指南特别强化了对人工智能应用（如自动化决策）、跨境数据传输等数字治理前沿领域的规制要求；为机构提供了从数据收集到销毁的全生命周期合规框架，结合行业特性（如医疗、金融、电商）灵活调整政策细节，是应对韩国隐私监管的核心工具。（信息来源：韩国PIPC官网）

      三、网安事件聚焦

      （十六）日本证券市场遭大规模网络攻击，已导致近7亿美元的未经授权交易

      4月21日消息，日本金融厅（FSA）发出警告称，自今年3月以来，日本证券市场出现大量交易账户被黑客攻击的情况，已导致近7亿美元的未经授权交易。数据显示，截至4月16日，12家证券公司报告了3300多次账户非法访问和1454起欺诈交易。黑客主要通过假冒证券公司官网的钓鱼网站和信息窃取型恶意软件窃取用户登录凭证，控制受害者账户，卖出其持有股票后用所得资金购买其他资产。FSA提醒投资者警惕伪装成正规证券公司的钓鱼网站，并密切关注账户中的可疑交易。（信息来源：TheCyberExpress网）

      （十七）大规模勒索软件活动利用被盗AWS密钥攻击S3存储桶

      4月18日消息，研究人员披露一起大规模勒索软件活动，攻击者利用超1200个被盗的亚马逊网络服务（AWS）密钥加密S3存储桶，并留下勒索信，要求受害者支付0.3比特币（约合2.5万美元）的赎金。攻击者首先从泄露的1.58亿条AWS密钥记录中，筛选出有效并权限充足的凭证，利用亚马逊云服务器端加密工具将客户的数据重新加密并实施加密勒索。由于亚马逊云不会保存用户设置的加密密钥，一旦遭到加密，用户几乎无法恢复数据，只能选择支付赎金。截至目前，攻击者身份尚未明确。（信息来源：勒索病毒头条）

     （十八）黑客组织APT29针对欧洲外交实体发起钓鱼攻击

      4月21日消息，俄罗斯国家支持的黑客组织APT29针对欧洲外交实体发起高级钓鱼攻击。攻击者伪装成某欧洲国家外交部，向目标对象发送品酒会邀请邮件，诱使其点击链接下载包含恶意软件的ZIP压缩包。攻击使用了WINELOADER恶意软件的新变种和此前未公开的恶意软件加载器GRAPELOADER。软件公司Check Point指出：“改进版的WINELOADER是后期使用的模块化后门程序，而GRAPELOADER是新发现的初始阶段工具，用于指纹识别、持久化和有效载荷投递。GRAPELOADER改进了WINELOADER的反分析技术，同时引入了更高级的隐蔽方法。”（信息来源：Freebuf网）

     （十九）新型恶意软件即服务平台“SuperCard X”正在针对Android设备发起攻击

      4月22日消息，安全研究人员发现，新型恶意软件即服务平台“SuperCard X”正在针对Android设备发起攻击。该平台利用NFC中继攻击技术，支持攻击者在POS终端和ATM上使用被盗的支付卡数据进行交易。移动安全公司Cleafy报告称，SuperCard X通过Telegram频道进行推广，目前已观测到在意大利使用该恶意软件的攻击活动。值得注意的是，SuperCard X尚未被VirusTotal上的任何防病毒引擎标记，且由于其不包含危险权限请求和攻击性功能，可规避启发式扫描检测。（信息来源：BleepingComputer网）

      （二十）中国台湾长慎医院遭勒索软件攻击

      4月19日，网络安全平台ThreatMon发现中国台湾长慎医院遭Nightspire勒索软件组织攻击。约800 GB的数据遭未经授权访问并存在泄露风险。长慎医院是一家位于台湾省桃园市的慢性病专科/康复医院，提供内科、外科和康复服务方面的专业护理。截至目前，此次攻击的详细技术细节和赎金要求尚未公开。（信息来源：HookPhish网）

      （二十一）员工扫描会议纪要自动备份至网盘，127份涉密文件遭泄露

      4月21日消息，我国某机关工作人员因贪图便利，违规使用互联网扫描软件扫描涉密会议纪要，使该文件被自动备份至网盘。因其网盘账号密码遭暴力破解，使得攻击者获取了其在3年间扫描的127份涉密文件，后泄露文件经境外社交媒体传播，造成重大失泄密事件，对我国家安全构成现实威胁。国家安全部提醒广大人民群众，特别是涉密岗位工作人员，要切实提高安全意识，自觉规范软件应用使用行为，做好信息安全防护。（信息来源：国家安全部）

      （二十二）美白宫内部敏感文件遭万人共享

      4月21日消息，《华盛顿邮报》查阅的内部记录显示，美政府官员与联邦工作人员不当分享了敏感文件，其中包括可能属于机密的白宫平面图。报道称，美总务管理局的职业雇员对此次不当分享负有责任。相关员工无意中将包含敏感文件的谷歌云端硬盘文件夹分享给了美总务管理局全体员工。根据在线名录，该机构员工总数超过11200人。此外，共享内容还包括白宫游客中心拟建防爆门的详细信息，以及协助特朗普政府新闻发布会的供应商银行账户信息。目前美总务管理局已启动内部安全审查。（信息来源：央视新闻）

     （二十三）英国软件公司Logezy数据库未设置密码保护，导致800万记录被泄露

      4月17日消息，网络安全研究员Jeremiah Fowler在互联网上发现一个未设置密码保护的数据库。该数据库包含近800万条记录，总量高达1.1TB，与总部位于英国的软件公司Logezy相关联，该公司专门从事员工数据管理和薪资服务。泄露数据包括个人就业相关文件，如工作许可、国家保险号码、电子签名、身份证件、用户照片等。许多记录与医护人员和组织有关，包括人事代理机构和临时就业服务机构。在Fowler发送披露通知后，该数据库的访问权限已被限制。目前尚不清楚该数据库的暴露持续时间以及是否已被未授权访问。（信息来源：InfoTechLead网）

      （二十四）匿名论坛4chan遭黑客攻击下线，管理员信息及源代码疑遭泄露

      4月16日消息，匿名论坛4chan在14日突发宕机，随后长时间处于下线状态。事件发生后，Soyjak.party图片论坛成员声称对此次攻击负责，并发布多张据称是4chan管理后台界面的截图以及一份据称包含4chan管理员、版主及协助维护人员电子邮件地址的列表。截图内容显示，攻击者可能获得了访问管理员工具的权限，这些工具或可用于查看用户IP地址、地理位置信息、管理论坛版块、日志、访问数据库等。4chan论坛于2003年创建，是互联网上最早、最具影响力的匿名论坛。截至目前，4chan官方尚未就此次攻击事件发布正式声明。（信息来源：GoUpSec）

      四、网安风险警示

      （二十五）Erlang/OTP SSH存在高危远程代码执行漏洞

      4月20日消息，安全研究人员披露，Erlang/OTP SSH组件中存在高危漏洞CVE-2025-32433（CVSS评分10），攻击者可利用该漏洞在未经验证的情况下在暴露系统上执行任意代码。Erlang是一种编程语言，以容错性和并发性见长。Erlang/OTP是构建于Erlang之上的库、设计原则和工具的集合，为远程访问提供各种组件如SSH应用。当SSH守护进程以root权限运行时，攻击者可能完全控制系统，所有基于Erlang/OTP SSH库构建的SSH服务器应用或服务均可能受到影响，包括各类依赖Erlang的高可用性系统环境，特别是电信设备、工业控制系统和联网设备等关键基础设施。Erlang已在GitHub安全页面发布公告，建议用户升级至最新修补版本。（信息来源：FreeBuf网）

      （二十六）深度学习框架PyTorch中存在远程代码执行漏洞

      4月21日消息，安全研究员发现，深度学习框架PyTorch中存在远程代码执行漏洞CVE-2025-32434（CVSS评分9.3）。该漏洞影响PyTorch 2.5.1及之前版本，源于不受信任数据的反序列化，特别是在使用参数为weights_only=True的torch.load函数加载模型时，可能允许恶意攻击者在未经身份验证的情况下远程执行任意代码。PyTorch是一个用于机器学习和深度学习的开源深度学习框架，由Facebook于2016年发布，其主要实现了自动微分功能，并引入动态计算图使模型建立更加灵活。目前，PyTorch团队已发布更新版本2.6.0，建议用户尽快升级。（信息来源：Ogma网）

      （二十七）华硕搭载AiCloud功能的路由器存在身份验证绕过漏洞

      4月21日消息，华硕发布安全警告称，其搭载AiCloud功能的路由器存在身份验证绕过漏洞CVE-2025-2492（CVSS评分9.2）。远程攻击者可通过构造特殊请求触发该漏洞，在未授权情况下执行设备功能。AiCloud是华硕路由器内置的云服务功能，允许用户通过互联网上连接至路由器的云硬盘USB存储设备，查看、编辑、上传或下载文件。目前，华硕已针对3.0.0.4_382、3.0.0.4_386、3.0.0.4_388和3.0.0.6_102系列发布了固件更新，建议用户尽快升级。（信息来源：TheHackerNews网）

     （二十八）Apple公司紧急修复两个关键零日漏洞

      4月18日消息，Apple公司发布紧急更新，修复两个被用于向特定iPhone用户实施高度定向、复杂攻击的关键零日漏洞。其中CVE-2025-31200存在于iOS/iPadOS音频处理核心组件CoreAudio框架中，源于音频解码器在处理特殊构造的音频流时未充分验证数据边界，攻击者可构造畸形音频文件触发堆缓冲区溢出，最终实现在内核态执行任意代码；CVE-2025-31201影响RPAC安全机制，允许具备任意读写权限的攻击者绕过指针认证功能（该功能可防止代码被篡改）。Apple公司已发布iOS 18.4.1和iPadOS 18.4.1更新，鉴于影响范围较大，建议用户尽快做好自查及防护。（信息来源：FreeBuf网）

      （二十九）压缩软件WinRAR中存在安全漏洞，可绕过Windows安全机制执行恶意程序

      4月21日消息，日本安全团队CSIRT披露压缩软件WinRAR中存在安全漏洞CVE-2025-31334。该漏洞能够绕过微软Windows的Mark of the Web（MoTW）安全机制，使用户在不知情的情况下，有可能执行来自网络的恶意程序，造成严重安全风险。微软Windows的MoTW通常是在用户尝试运行从网络下载的未知软件时出现，提醒用户执行来自不明来源的程序存在风险，并提供继续执行或取消操作的选项。目前，WinRAR官方已在7.11版本中针对该漏洞进行了修复，建议用户及时更新版本。（信息来源：国家网络安全通报中心）

      （三十）Windows NTLM漏洞遭大规模利用

      4月18日消息，网络安全研究人员发现新型网络钓鱼攻击正在大规模利用Windows系统漏洞CVE-2025-24054。当用户提取包含恶意.library-ms文件的ZIP压缩包时，会触发Windows资源管理器向远程服务器发起SMB身份验证请求，导致在无需任何用户交互的情况下泄露用户的NTLM哈希值。NTLM是Windows系统中使用的旧式身份验证协议，依赖于基于哈希的质询-响应交换，而非传输纯文本密码，截获的哈希值容易受到暴力破解或重放攻击。目前，微软已发布该漏洞补丁，美CISA已将该漏洞添加到已知可利用漏洞列表中，并要求美联邦机构在5月8日前修补该漏洞。（信息来源：FreeBuf网）