网络空间安全动态(202533期)
编者按:网安动向热讯,本期有九点值得关注:一是中央网信办印发《中央网信办主责国家重点研发计划重点专项管理实施细则》;二是工业和信息化部等四部门联合发布的《人工智能生成合成内容标识办法》,自9月1日起正式施行;三是《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件》等6项网络安全标准实践指南发布;四是联合国大会通过决议设立全球人工智能治理新机制;五是中国互联网金融协会发布《关于进一步加强金融领域App自律检查的通知》;六是美国防部叫停微软十年“数字护送”计划,全面禁止中国参与美国防部软件系统;七是美NIST更新SP 800-53控制措施以强化软件维护与网络风险防护;八是美国家安全局与人工智能公司合作推出新型雾计算系统;九是美谷歌公司宣布成立网络攻击部门。
数据前沿快讯,本期有五点值得关注:一是国家数据局正式发布“数据基础设施建设典型案例”;二是《可信数据空间标准化研究报告(2025版)》正式发布;三是国家数据发展研究院等发布《可信高速数据网研究报告》;四是国家数据发展研究院等发布《公共数据资源授权运营指南》;五是上海合作组织成员国元首理事会发布关于加强数字经济发展的声明。
网安事件聚焦,本期有两方面内容建议关注:一是供应链攻击事件频发,给企业和社会带来严重损失。腾讯云回应“重大安全事故”系主动部署的“蜜罐”而非配置错误;全球数学建模与工程仿真平台MATLAB遭勒索软件攻击致系统与在线服务中断;全球网络安全公司Zscaler因第三方平台遭供应链攻击致数据被窃。二是金融、科技、电力等成为数据泄露事件高发领域,部分企业因此遭重罚。知名金融科技公司关键账号密码被盗,金融巨头约1.3亿美元资金遭窃;美电信巨头AT&T遭黑客入侵,2400万用户数据被窃;韩国知名运营商SK电讯因数据泄露事件被罚约7亿元。
网安风险警示,本期有六点建议关注:一是工信部:关于防范Cursor代码编辑器远程代码执行高危漏洞的风险提示;二是工信部:关于防范Windows SharePoint Server远程代码执行超危漏洞的风险提示;三是国内知名送餐机器人曝安全漏洞,影响范围广泛;四是用友U8Cloud文件上传漏洞安全风险通告;五是开源分布式机器学习平台H2O-3存在反序列化漏洞;六是跨平台高性能文件传输服务器软件CrushFTP存在远程代码执行漏洞。
一、网安动向热讯
(一)中央网信办印发《中央网信办主责国家重点研发计划重点专项管理实施细则》
8月29日消息,中央网信办印发《中央网信办主责国家重点研发计划重点专项管理实施细则》,共5章50条,自即日起实施。本细则适用于中央网信办主责的国家重点研发计划重点专项(简称“网安专项”),网安专项实施坚持服务国家需求、实战应用导向、加强统筹协调的原则,将在国家网络安全保障体系和能力建设中有效使用、解决实际问题作为检验项目实施成效的标准。(信息来源:中国网信网)
(二)工业和信息化部等四部门联合发布的《人工智能生成合成内容标识办法》,自9月1日起正式施行
9月2日消息,国家互联网信息办公室、工业和信息化部、公安部、国家广播电视总局四部门联合发布的《人工智能生成合成内容标识办法》(以下简称《办法》),自9月1日起正式施行。《办法》明确所有AI生成的文字、图片、视频等内容都要“亮明身份”。《办法》明确,人工智能生成合成内容是指利用人工智能技术生成、合成的文本、图片、音频、视频、虚拟场景等信息。人工智能生成合成内容标识包括显式标识和隐式标识。平台在服务提供者的内容上架或上线时要进行审核,核验生成合成内容标识,对未标识或疑似生成内容要添加风险提示,从而在传播端阻断虚假信息扩散。(信息来源:法治日报)
(三)《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件》等6项网络安全标准实践指南发布
8月28日消息,《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件》等6项网络安全标准实践指南正式发布。6份文件明确了人工智能生成合成文本、图片、音频、视频等内容的文件元数据隐式标识方法、元数据安全防护指南以及生成合成内容检测框架,可为生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容文件元数据隐式标识活动以及生成合成内容检测活动提供参考。(信息来源:全国网安标委)
(四)联合国大会通过决议设立全球人工智能治理新机制
8月28日消息,联合国大会就全球人工智能治理通过一项决议,决定设立“人工智能独立国际科学小组”和“人工智能治理全球对话”机制,以促进可持续发展和弥合数字鸿沟。根据通过的《人工智能独立国际科学小组和人工智能治理全球对话的职权范围和设立及运作方式》决议,联合国将设立一个由40名专家组成的小组,以评估人工智能的风险、机遇和影响。此外,联合国将开展全球对话,开展政策讨论并达成共识,以加强全球人工智能治理,支持可持续发展目标并弥合数字鸿沟。(信息来源:新华网)
(五)中国互联网金融协会发布《关于进一步加强金融领域App自律检查的通知》
8月29日消息,中国互联网金融协会发布《关于进一步加强金融领域App自律检查的通知》,切实防范相关风险。检查对象为直接开展金融业务的App和为金融业务提供相关服务的App,重点检查发生安全事件、引发严重舆情、投诉高企、应备案未备案、不遵守自律管理相关要求等情况的App。检查内容包括App网络防护措施不到位、数据安全管理制度不完善、违规使用个人信息、App安全管理薄弱、涉嫌违法违规开展业务和不遵守自律管理相关要求等。检查方式采取非现场检查和现场检查相结合,以非现场检查为主,必要时组织现场检查。(信息来源:中国互联网金融协会)
(六)美国防部叫停微软十年“数字护送”计划,全面禁止中国参与美国防部软件系统
8月28日消息,美国防部正式宣布叫停微软已实施十年的“数字护送”计划,同时要求所有美国防部软件供应商排查并终止中国主体在美国防部云系统及软件相关工作中的任何参与。此举被视为美在敏感技术领域强化对华限制的重要动作,引发业界对跨国技术合作与供应链安全的广泛关注。“数字护送”计划核心机制为:在美方承包商远程监督下,允许中国程序员参与美国防部敏感云系统的相关工作。面对美方政策调整,微软宣布暂停中国工程团队涉及的部分美国防部云服务项目,同步调整服务协作模式,全面配合美国防部审查工作。(信息来源:全球技术地图)
(七)美NIST更新SP 800-53控制措施以强化软件维护与网络风险防护
8月29日,美国家标准与技术研究院(NIST)发布SP 800-53修订版5.2.0,重点强化软件更新与补丁管理,以应对日益严峻的网络安全风险。新版目录引入三项新控制措施:一是日志语法,通过统一格式支持安全事件记录和自动化响应;二是根本原因分析,要求追溯并整改更新中的问题;三是网络弹性设计,强调系统具备抵御攻击并保持核心功能的能力。NIST指出,补丁管理需在快速修复漏洞与确保稳定运行之间权衡,新版控制措施特别强调监控更新组件与整体系统的关系,以减少潜在运营中断风险。此外,NIST通过网络安全与隐私参考工具提供更新目录,支持OSCAL和JSON等机器可读格式,并引入实时公众反馈机制,以提升透明度和更新效率。(信息来源:IndustrialCyber网)
(八)美国家安全局与人工智能公司合作推出新型雾计算系统
8月30日消息,美国家安全局与前沿人工智能公司合作推出新型雾计算系统。该系统结合抗量子加密和内置异常检测,可在网络被降级或受到攻击的情况下确保战场数据安全。该系统采用去中心化架构,具有防篡改的分布式自治“雾团”节点,即使在竞争或断开的环境中也能继续运行;相比于云计算,数据处理系统更接近数据源,能有效减少传输延迟和带宽使用,响应更快、网络依赖性更低;利用多重加密信道实现实时数据处理,降低了对外部连接的依赖,数据安全性更高。该新型雾计算系统可有效满足美军实地行动高效数据处理和数据安全需求,大幅提高美军作战效能。(信息来源:电科防务)
(九)美谷歌公司宣布成立网络攻击部门
8月27日消息,美谷歌公司宣布组建网络攻击部门。该部门将寻求“合法且合乎道德”的干扰选项,通过主动识别并挫败攻击活动,实现从被动防御向主动应对的转变。此次行动与特朗普政府及部分国会议员主张的进攻性网络战略相呼应,包括讨论通过“私掠许可证”授权私营企业开展目前法律禁止的进攻行动。但此举又面临法律、伦理及实操层面的重大障碍,如进攻性网络行动成本高、技术复杂,且可能引发不可控的升级风险。(信息来源:FreeBuf网)
二、数据前沿快讯
(十)国家数据局正式发布“数据基础设施建设典型案例”
8月30日消息,国家数据局在2025中国国际大数据产业博览会上发布“数据基础设施建设典型案例”并展出。案例覆盖行业、区域、央企三大类别,包含14个行业标杆、29个地方样本、13个央企实践,涉及医疗、政务、教育、科研、工业互联网、城市治理、交通运输、水利、法治及跨境等多个关键领域,为国家数据基础设施建设提供有益参考。(信息来源:国家数据局)
(十一)《可信数据空间标准化研究报告(2025版)》正式发布
8月30日消息,《可信数据空间标准化研究报告(2025版)》正式发布,本研究报告基于可信数据空间建设现状,以及已有标准基础,根据我国可信数据空间未来发展趋势,以《国家数据标准体系建设指南》为指导,形成可信数据空间标准体系框架,属于国家数据标准体系中“数据基础设施—流通利用设施”标准。本研究报告与数据基础设施标准充分衔接复用,进一步明确了可信数据空间基础通用、功能技术、业务运营、安全保障、能力评价及应用服务等重点方向的标准化工作思路,避免在概念、功能上泛化,有效解决数据流通中的兼容性、互操作性和安全性等核心问题,实现互联互通,全面规范可信数据空间的建设、运营和管理。(信息来源:全国数标委)
(十二)国家数据发展研究院等发布《可信高速数据网研究报告》
8月29日消息,国家数据发展研究院联合江西省人民政府、北京交通大学、华为技术有限公司等八家单位,共同发布《可信高速数据网研究报告》。《报告》系统阐述了可信高速数据网在数据要素高效流通中的关键桥梁作用,全面分析国内外可信高速数据网发展现状、面临挑战与未来趋势,提出“数据—算力—网络—安全”协同发展的总体框架与关键技术路径。《报告》结合多地创新实践,从政策体系、运营机制、技术攻关和评估体系四个维度提出系统性发展建议,为打造安全可靠、高效畅通的数据流通基础设施提供实践指引。(信息来源:国家数据发展研究院)
(十三)国家数据发展研究院等发布《公共数据资源授权运营指南》
8月30日消息,国家数据发展研究院等发布《公共数据资源授权运营实施指南》。该指南从实施主体、实施条件、授权程序、运营程序、制度规则、标准规范、监督管理等方面提出路径建议,分享了广州、福建、贵州等地实践经验,为规范化开展授权运营工作提供参考借鉴。指南指出,要灵活选择授权运营模式,将授权运营实施方案做实做深,厘清运营机构定位,坚持公益优先的价值取向,有序开展授权运营监测,切实推动公共数据高效合规对外供给,释放公共数据要素价值。(信息来源:国家数据发展研究院)
(十四)上海合作组织成员国元首理事会发布关于加强数字经济发展的声明
9月2日消息,上海合作组织成员国元首理事会发布关于加强数字经济发展的声明。成员国将采取以下行动:包括在数字经济发展政策方面加强协作,定期开展对话;继续深化基于各国国家利益制定数据安全国际规则与标准、发展数字基础设施、提供公共服务等领域的合作;推进数字公共基础设施等建设与升级,推动关键经济领域数字化转型,培养高素质人才并提升数字技能;深化新一代通信技术合作,构建普惠、安全、可持续的通信网络体系;加强智慧城市建设和数字服务供给合作;增进数据隐私标准制定领域的经验与优秀实践交流;调动上合组织成员国智库及科研院所力量,深化数字经济领域互惠合作等。(信息来源:外交部官网)
三、网安事件聚焦
(十五)腾讯云回应“重大安全事故”系主动部署的“蜜罐”而非配置错误
8月29日消息,网络安全公司CYBERNEWS发布报告称,腾讯云存在严重的配置错误,导致包含敏感凭证和内部源代码的环境泄露到公网,攻击者可借此访问腾讯云后端基础设施。针对此事,腾讯云紧急发布澄清公告,表示此次服务器配置错误或漏洞并非真实的生产系统安全漏洞,而是腾讯云基于安全目的主动部署的蜜罐,蜜罐不包含任何真实的用户数据。蜜罐在网络安全领域是一种主动防御技术,通过模拟易受攻击的系统诱骗攻击者,从而收集攻击行为数据,科技公司通过这种方式来研究黑客的攻击手法和思路,进而部署具有针对性的安全防御措施,绝大多数的蜜罐都具有时效性。目前腾讯云蜜罐已经下线。(信息来源:IT之家)
(十六)全球数学建模与工程仿真平台MATLAB遭勒索软件攻击致系统与在线服务中断
8月29日消息,全球数学建模与工程仿真平台MathWorks公司确认,其核心产品MATLAB和Simulink的内部网络在4月遭勒索软件攻击,部分内部系统与在线服务被迫中断,包括多因素认证、单点登录、MathWorks云中心、文件交换平台、许可证中心以及在线商店。攻击者还窃取了约10476名用户的个人数据,包括姓名、出生日期、住址、社会安全号码以及非美籍用户的国家身份证号等,此类数据可能引发钓鱼攻击、身份盗用甚至商业间谍活动。MATLAB与Simulink拥有超500万用户、超10万机构客户,业务涵盖航空航天、汽车、芯片设计等。MATLAB尚未透露攻击源头及漏洞利用方式。(信息来源:安全内参)
(十七)全球网络安全公司Zscaler因第三方平台遭供应链攻击致数据被窃
8月30日消息,全球网络安全公司Zscaler确认其客户数据因第三方销售自动化平台Salesloft Drift实例遭供应链攻击而泄露,未经授权的攻击者获取了包括Zscaler在内客户的Salesloft Drift凭证。攻击者可借此有限访问Zscaler Salesforce的信息,包括姓名、商业邮箱、职位、电话号码、区域信息、Zscaler产品许可等。Zscaler公司强调,泄露数据仅限Salesforce实例,未影响其产品、服务或基础设施,并已采取多项补救措施,建议客户立即检查与Drift实例相关的所有第三方集成,撤销和轮换凭证,以降低潜在威胁。(信息来源:BleepingComputer网)
(十八)知名金融科技公司关键账号密码被盗,金融巨头约1.3亿美元资金遭窃
9月3日消息,知名金融科技公司Sinqia的巴西央行实时支付系统(Pix)的业务环境发生一起未授权访问事件,攻击者窃取该公司IT供应商的合法账号,通过操作多笔转账交易盗取约1.3亿美元资金,Sinqia的两家金融机构客户受影响,其中一家疑似为汇丰银行。Pix是巴西央行于2020年11月推出的即时支付系统。Sinqia为科技巨头Evertec的子公司,主要为银行和金融机构提供金融软件及IT服务。Evertec强调,目前没有迹象显示事件影响范围超出Sinqia的Pix环境,也无证据表明个人数据遭泄露。巴西央行已撤销Sinqia的Pix访问权限,但Sinqia表示正在努力恢复相关业务。(信息来源:安全内参)
(十九)美电信巨头AT&T遭黑客入侵,2400万用户数据被窃
9月1日消息,黑客声称已成功入侵美电信巨头AT&T的核心基础设施,并掌握了一个包含约2400万AT&T用户数据的动态数据库。攻击者可通过篡改用户电话号码与SIM卡的绑定关系,实施SIM交换攻击;绕过基于短信的双因素认证,直接读取银行、社交媒体等服务的二次验证代码;访问包含税务ID、姓名、IP地址等敏感信息的用户数据库。目前,AT&T尚未公开回应此事。(信息来源:CyberNews网)
(二十)韩国知名运营商SK电讯因数据泄露事件被罚约7亿元
9月3日消息,韩国个人信息保护委员会(PIPC)对该国运营商SK电讯开出1345亿韩元(约合人民币6.88亿元)罚款。此次处罚源于今年4月披露的一起数据泄露事件,当时SK电讯承认黑客窃取了近2700万(韩国总人口约5000万)用户的通用身份模块数据。PIPC表示,SK电讯在互联网系统与内部管理网络之间未实施最基本的访问控制,攻击者可轻松渗透SK电讯的核心系统,获取认证数据并大规模窃取用户信息。除巨额罚款外,PIPC还要求SK电讯采取一系列补救措施,包括完善加密机制、更严格的访问控制,以及对入侵检测系统的实时监控等。(信息来源:安全内参)
四、网安风险警示
(二十一)工信部:关于防范Cursor代码编辑器远程代码执行高危漏洞的风险提示
8月29日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,Cursor代码编辑器存在远程代码执行高危漏洞。由于其新建MCP配置文件时无需询问用户,攻击者可采取间接提示词注入的攻击方式将恶意指令写入配置文件,进而实现远程代码执行。受影响版本为Cursor<1.3.9。Cursor是由美国Anysphere公司开发的一款人工智能驱动的代码编辑器。目前,Cursor官方已修复该漏洞,建议相关单位和用户尽快升级版本,防范网络攻击风险。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十二)工信部:关于防范Windows SharePoint Server远程代码执行超危漏洞的风险提示
8月28日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,Microsoft SharePoint Server存在远程代码执行超危漏洞,已被用于实施网络攻击。Microsoft SharePoint Server是微软公司开发的企业级文档管理与协作平台,由于对不受信任数据的反序列化处理不当,未授权攻击者可利用该漏洞远程执行任意代码,进而完全控制系统。受影响产品包括Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Server 2019、Microsoft SharePoint Server Subscription Edition。目前,微软已修复该漏洞,建议相关单位和用户及时更新。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十三)国内知名送餐机器人曝安全漏洞,影响范围广泛
9月2日消息,安全研究员发现国内知名服务机器人厂商普渡机器人旗下产品几乎所有API都缺失有效的身份验证机制,易被攻击者劫持监控,任意发起或修改任务,可能导致恶意行为者重定向BellaBot及其他型号的普渡机器人,将餐食误送他人、干扰餐厅运营、甚至破坏医院和办公场所的敏感业务。作为全球最大的商用服务机器人制造商之一,普渡机器人向餐厅、酒店、医院、办公室和零售店提供多种产品,包括送餐机器人、清洁机器人、配备紫外线和化学喷雾器的消毒机器人以及搭载机械臂可乘坐电梯的楼宇配送机器人等。该漏洞被披露数周后仍未获修复。(信息来源:安全内参)
(二十四)用友U8Cloud文件上传漏洞安全风险通告
9月2日消息,奇安信CERT监测到官方修复用友U8Cloud文件上传漏洞QVD-2025-33710(CVSS评分9.8)。该漏洞源于用友U8cloud ServiceDispatcherServlet反序列化补丁修复不完善,攻击者可绕过鉴权将非Web目录下的文件移动到Web目录下以实现任意文件上传获取服务器权限。用友U8Cloud是用友网络科技股份有限公司推出的新一代云ERP解决方案,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十五)开源分布式机器学习平台H2O-3存在反序列化漏洞
9月3日消息,启明星辰集团VSRC监测到H2O-3存在JDBC反序列化漏洞CVE-2025-6507(CVSS评分9.8),该漏洞源于不受信任数据的反序列化,可能导致远程代码执行和系统文件被读取。攻击者可绕过用于防止恶意参数注入的正则表达式过滤器来利用该漏洞,尤其是在JDBC连接中,还可操控参数中间的空格绕过检测机制,执行未经授权的命令或访问受限文件,获得对目标系统的控制权限。H2O-3是由H2O.ai开发的开源分布式机器学习平台,支持大规模数据处理与建模,提供广泛的算法,能够在大数据环境下高效运行,并支持多种编程接口。目前,官方已发布修复版本,建议受影响用户尽快更新。(信息来源:启明星辰安全简讯)
(二十六)跨平台高性能文件传输服务器软件CrushFTP存在远程代码执行漏洞
8月30日消息,启明星辰集团VSRC监测到CrushFTP存在HTTP(S)远程代码执行漏洞CVE-2025-54309(CVSS评分9.8)。攻击者可通过逆向分析CrushFTP的代码更新,实现远程代码执行,还可通过HTTP(S)请求获取管理权限并植入恶意脚本,创建异常随机管理员账户、篡改版本号显示以及隐藏界面按钮等。CrushFTP是一款跨平台的高性能文件传输服务器软件,支持FTP、FTPS、SFTP、HTTP、HTTPS、WebDAV、SCP等多种协议,广泛应用于企业级安全文件共享、自动化文件传输和数据集成场景。官方已发布安全补丁,建议用户尽快更新。(信息来源:启明星辰安全简讯)
