网络空间安全动态（202542期）

       编者按：网安动向热讯，本期有九点值得关注：一是2025年世界互联网大会在浙江乌镇举行；二是2025年世界互联网大会乌镇峰会全球发展倡议数字合作论坛在浙江乌镇举行；三是《中国互联网发展报告2025》和《世界互联网发展报告2025》蓝皮书发布；四是国家互联网信息办公室关于发布生成式人工智能服务已备案信息的公告；五是《大模型一体机产品安全基本要求》等2项网络安全标准实践指南公开征求意见；六是工信部通报39款违规收集使用个人信息的APP及SDK；七是美战争部发布修订版“美网络司令部2.0”计划；八是美战争部正式强制实施国防供应商网络安全合规要求；九是英政府以“国家安全”为由调查中国宇通客车。

      数据前沿快讯，本期有三点建议关注：一是国务院办公厅发布《关于加快场景培育和开放推动新场景大规模应用的实施意见》；二是十部门联合印发《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》；三是美谷歌公司启动“太阳捕手计划”，抢占AI太空数据中心赛道。

      网安事件聚焦，本期有两方面内容建议关注：一是具有高度破坏性的数据擦除攻击对全球网络安全构成重大威胁。本期介绍：疑似俄罗斯国家支持的黑客组织Sandworm对乌克兰关键行业发动数据擦除攻击；西班牙知名广播电台KISS-FM遭与俄罗斯有关联的勒索组织攻击。二是大规模数据泄露事件高发频发，涉及媒体、教育等多个行业领域。本期介绍：2.78亿条包含欧盟高层官员的手机定位数据被出售；美国制造巨头Gemini集团遭勒索攻击，约2TB敏感数据在暗网泄露；韩国现代汽车集团IT服务子公司泄露270万车主个人敏感信息；美教育科技公司Illuminate因泄露43.4万名学生数据，被罚510万美元；日本经济新闻社约1.7万名员工和业务合作伙伴个人信息遭泄露。

      网安风险警示，本期有六点建议关注：一是美CISA紧急通报CentOS Web Panel高危漏洞遭攻击者利用；二是开源向量数据库Milvus Proxy存在身份认证绕过漏洞；三是Monsta FTP存在远程代码执行漏洞；四是Python Web框架Django存在SQL注入漏洞；五是三星移动设备零日漏洞被攻击者用于部署LANDFALL安卓间谍软件；六是7个ChatGPT漏洞使AI系统易受间接提示注入攻击。

      一、网安动向热讯

      （一）2025年世界互联网大会在浙江乌镇举行

    11月6日至9日，以“共筑开放合作、安全普惠的数智未来——携手构建网络空间命运共同体”为主题的世界互联网大会在浙江乌镇举行，中共中央政治局委员、中宣部部长李书磊出席开幕式并发表主旨讲话。本次峰会设置24个分论坛，涵盖全球发展倡议、数字经济、数据治理等议题，新增文化遗产数字化保护与传承、青年与数字未来等专项议题，并举办构建网络空间命运共同体理念10周年理论研讨会。峰会创新设立“六小龙乌镇对话”活动，邀请来自深度求索、宇树科技等前沿科技企业负责人，围绕全球人工智能技术创新发展等前沿趋势进行交流，探索通过跨界合作，共同应对全球性议题。来自130多个国家和地区的1600多名嘉宾参会。（信息来源：新华社）

     （二）2025年世界互联网大会乌镇峰会全球发展倡议数字合作论坛在浙江乌镇举行

     11月8日，2025年世界互联网大会乌镇峰会全球发展倡议数字合作论坛在浙江乌镇举行，论坛以“共谱数字蓝图 共促普惠繁荣”为主题，旨在推动全球数字经济发展成果普惠共享，携手构建更加紧密的网络空间命运共同体。论坛发布了《全球发展倡议数字普惠行动倡议》。倡议提出，统筹推进网络基础设施、算力基础设施、应用基础设施等建设，推动全球范围内数字基础设施合理布局；强化技术引领，推进科技创新，培育发展战略性新兴产业和未来产业；推进落实“人工智能+”国际合作倡议；促进数字普惠国际合作，参与全球数字公益项目，聚焦数字鸿沟、数字包容性评估、新兴技术社会影响等议题，促进政策对话和知识共享等。（信息来源：网信中国）

     （三）《中国互联网发展报告2025》和《世界互联网发展报告2025》蓝皮书发布

    11月8日，《中国互联网发展报告2025》和《世界互联网发展报告2025》蓝皮书在2025年世界互联网大会乌镇峰会上正式发布。《中国互联网发展报告2025》总结了一年来中国互联网发展实践成效和趋势：信息基础设施持续优化升级，人工智能、区块链、量子计算等前沿技术赋能效应凸显。网络安全保障能力和治理体系现代化持续推进，网络安全防护保障能力大幅跃升。《世界互联网发展报告2025》立足全球视野，梳理总结世界互联网发展情况：信息基础设施建设为数字化转型提供有力支撑；信息领域基础技术与应用技术加速跃升；人工智能驱动全球数字经济创新和增长。全球网络安全呈军事化智能化交织的复杂态势，主要国家和地区持续加强网络安全能力建设。各国对数字治理规则的重视程度不断提升，在技术研发、标准制定、基础设施建设等关键领域的合作与竞争并存。（信息来源：网信中国）

      （四）国家互联网信息办公室关于发布生成式人工智能服务已备案信息的公告

    11月11日消息，国家互联网信息办公室关于发布生成式人工智能服务已备案信息的公告。截至2025年11月1日，新增73款生成式人工智能服务在国家网信办完成备案，对于通过API接口或其他方式直接调用已备案模型能力的生成式人工智能应用或功能，由地方网信办开展登记，本阶段新增35款完成登记。截至11月1日，累计有611款生成式人工智能服务完成备案，306款生成式人工智能应用或功能完成登记。提供具有舆论属性或者社会动员能力的生成式人工智能服务的，可通过属地网信部门履行备案或登记程序。已上线的生成式人工智能应用或功能，应在显著位置或产品详情页面公示所使用已备案或登记生成式人工智能服务情况，注明模型名称、备案号或上线编号。（信息来源：网信中国）

      （五）《大模型一体机产品安全基本要求》等2项网络安全标准实践指南公开征求意见

    11月7日消息，全国网安标委就2项网络安全标准实践指南公开征求意见，意见反馈截止日期为2025年11月21日前。其中，《网络安全标准实践指南——大模型一体机产品安全基本要求》，围绕本地私有化部署环境下大模型一体机的技术架构与功能模块，从系统与硬件、数据、模型、智能体、应用五个维度提出安全要求，旨在保障大模型一体机的安全可靠运行与合规应用。《网络安全标准实践指南——人工智能加速芯片安全功能技术规范》围绕人工智能加速芯片构成与功能特性，聚焦硬件安全、接口安全、固件安全、安全存储单元、密码技术机制、故障检测与诊断和数据保护七个安全维度，构建技术规范体系，为相关行业安全发展提供技术支撑与合规参考。（信息来源:全国网安标委）

     （六）工信部通报39款违规收集使用个人信息的APP及SDK

    11月10日消息，工业和信息化部组织第三方检测机构对APP、SDK违法违规收集使用个人信息等问题开展治理，抽查发现39款APP及SDK存在侵害用户权益行为，涉及违规收集个人信息；APP强制、频繁、过度索取权限；强制用户使用定向推送功能；隐私政策默认同意；未明示收集个人信息清单；超范围收集个人信息；强制自动续费等。上述APP及SDK应按有关规定进行整改，整改落实不到位的，工信部将依法依规组织开展相关处置工作。（信息来源：工信微报）

     （七）美战争部发布修订版“美网络司令部2.0”计划

    11月8日消息，美战争部发布修订版“美网络司令部2.0”计划，旨在提升网络部队能力，为联合部队提供更佳的作战效果；增强美军应对网络领域突发和新兴威胁的能力，并阻止网络领域不断升级的侵略行为。该计划核心是建立三个关键机构，一是网络人才管理机构，负责识别、吸引、招募和留住一支精英网络部队；二是高级网络培训和教育中心，负责开发针对特定任务的培训和教育，以培养专业知识和技能；三是网络创新战中心，负责加速开发和交付作战网络能力。此外，该计划还明确了定向招聘、激励措施和定制化职业路径等七项核心属性，试图从根本上改变美军网络部队的生成模式，以解决长期存在的战备不足与人才流失问题。（信息来源：启元洞见）

      （八）美战争部正式强制实施国防供应商网络安全合规要求

    11月10日，《美国国防联邦采购条例补充规定》正式生效，强制要求美战争部所有招标和合同都必须包含“网络安全成熟度模型认证2.0”（CMMC 2.0）的要求，旨在确保国防供应商妥善保护美战争部敏感数据，防止其被敌对势力获取。CMMC 2.0是一个三级网络安全框架，要求处理美联邦合同信息或受控非密信息的国防供应商，根据所处理数据的敏感程度，采取适当的安全控制措施。新规则的生效标志着为期3年的三阶段实施计划启动：第一阶段（2025年11月10日开始），国防供应商必须完成其网络安全合规性自评，评估其是否符合CMMC 1级和CMMC 2级标准；第二阶段（2026年11月10日），国防供应商可能需要通过经认证的CMMC第三方评估机构证明其符合CMMC 2级标准；第三阶段（2027年11月10日），国防供应商可能需要获得国防工业基础网络安全评估中心CMMC 3级认证。（信息来源：奇安网情局）

     （九）英政府以“国家安全”为由调查中国宇通客车

    11月10日消息，英政府已确认正与英国家网络安全中心密切合作，调查中国宇通客车是否拥有对其车辆控制系统的远程访问权限。此举源于挪威的一份安全测试报告，该报告声称“中国制造商宇通的车辆存在允许远程访问和控制的严重漏洞”。截至目前，宇通已向英国市场供应约700辆电动巴士，覆盖诺丁汉、南威尔士和格拉斯哥等地区。中国宇通公司回应称，所谓“远程控制巴士”在技术上不可能实现，宇通车辆虽配备数据接口用于诊断和空中软件更新，但其车载信息单元与关键安全系统在物理层面完全隔离，杜绝了外部干预的可能。所有在欧盟运营的宇通车辆数据存储在法兰克福的亚马逊云服务器中，仅用于车辆维护与性能优化，并受到严格保护。软件更新必须获得运营商授权，且不涉及车辆控制核心。（信息来源：观察者网）

      二、数据前沿快讯

      （十）国务院办公厅发布《关于加快场景培育和开放推动新场景大规模应用的实施意见》

    11月7日消息，国务院办公厅发布《关于加快场景培育和开放推动新场景大规模应用的实施意见》。意见明确，在数字经济领域，深入挖掘数据要素潜能，支持数据分析挖掘、流通使用、安全防护等领域技术创新，丰富数据产品和服务供给，在办公、社交、消费、娱乐等领域探索应用元宇宙、虚拟现实、智能算力、机器人等技术创新应用场景，推动实体经济和数字经济深度融合。在人工智能领域，加强关键核心技术攻关和推广应用，加快高价值应用场景培育和开放，更好满足科技、产业、消费、民生、治理、全球合作等各领域发展需要。（信息来源：中国政府网）

      （十一）十部门联合印发《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》

     11月10日消息，国家发改委、国家数据局、中央网信办等十部门联合印发《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》，并同步公布国家物流公共数据共享开放清单（2025）。方案明确，将拓展物联网、云计算、人工智能等技术在物流领域的规模化应用，实现物流数据实时采集、广泛连接和高效汇聚；构建物流数据标准体系，研究制定物流数据分类分级保护、采集汇聚、共享开放、质量评价等标准规范，强化数据标准衔接，统一数据共享交换规则，加强国内国际标准接轨；建立国家物流公共数据共享开放清单，明确物流公共数据共享范围，提升物流公共数据共享质效；实行物流公共数据资源分类分级管理，加强物流公共数据授权运营跟踪监管和信息披露，规避数据违规交易。（信息来源：国家数据局）

      （十二）美谷歌公司启动“太阳捕手计划”，抢占AI太空数据中心赛道

    11月7日消息，美谷歌公司启动AI基础设施项目“太阳捕手计划”，将在太空建立一个由太阳能驱动的、可扩展的AI基础设施，旨在彻底解决地面数据中心面临的物理极限挑战，即AI模型规模和计算需求不断膨胀带来的能源和冷却限制。谷歌初步研究显示，其TPU芯片比预期更能承受太空环境的考验，表明专为AI工作负载设计的TPU芯片在太空机器学习方面可能比通用处理器更高效。该计划有望从根本上改变人工智能基础设施，即将重心从地球上的数据中心转向由太阳驱动的太空计算网络。（信息来源：AIbase网）

      三、网安事件聚焦

      （十三）疑似俄罗斯国家支持的黑客组织Sandworm对乌克兰关键行业发动数据擦除攻击

    11月10日消息，网络安全公司ESET发布报告，称疑似俄罗斯国家支持的黑客组织Sandworm对乌克兰教育、政府及粮食等多个关键部门发起多轮数据擦除恶意软件攻击。攻击集中在6月至9月，Sandworm部署了多种数据擦除器，首先由UAC-0099黑客组织进行初始渗透，随后将访问权限转交给Sandworm实施破坏性攻击，系统性摧毁受害机构数据与基础设施，导致系统难以恢复。此类协作模式增强了攻击的隐蔽性和破坏力，使防御者难以及时响应。（信息来源：安恒恒脑）

      （十四）西班牙知名广播电台KISS-FM遭与俄罗斯有关联的勒索组织攻击

    11月10日消息，西班牙知名广播电台KISS-FM遭网络攻击，与俄罗斯有关联的Rhysida勒索组织声称已窃取该电台内部数据，并在暗网以约30万美元的价格公开出售，同时还公布了窃取数据的截图样本。被盗数据可能包含该电台潜在听众的收视率日志、电台与西班牙数字转型部往来文件，以及财务发票凭证等。此类数据泄露可能导致公众信任危机，引发西班牙数据保护法及GDPR法规的合规审查，甚至破坏商业合作。目前，官方尚未就此事进行回应。（信息来源：Cybernews网）

     （十五）2.78亿条包含欧盟高层官员的手机定位数据被出售

    11月7日消息，研究人员发现一个包含2.78亿条，涉及比利时地区数百万居民以及欧洲高级官员的手机位置记录数据被出售。被售数据由免费手机应用在后台收集并出售给数据经纪公司，后者转卖给政府和军事机构。研究人员成功辨识出数百个敏感岗位人员设备，包括264名官员设备的2000个定位标记，以及欧洲议会内750多部设备的约5800个定位标记。研究人员表示，此类数据极易被用于细致追踪个人活动轨迹，建议苹果用户可通过系统功能匿名处理设备识别码，安卓用户则需定期重置设备标识符。欧盟官员已表达对数据安全的担忧，并向各部门员工发布了针对跟踪行为的新指导意见。（信息来源：cnBeta网）

      （十六）美国制造巨头Gemini集团遭勒索攻击，约2TB敏感数据在暗网泄露

     11月10日消息，勒索软件组织Rhysida在暗网泄露美国制造业巨头Gemini Group约2TB敏感数据和超过170万个文件，涉及员工姓名、职位、薪资以及客户名单等敏感信息。Gemini Group提供多种产品及服务，客户包括福特、丰田、通用等主要汽车制造商。受影响员工可能面临身份盗窃、欺诈、社会工程学攻击风险，甚至可能遭人身安全威胁。美战争部最新调查显示，该勒索组织已渗透教育、医疗、制造及地方政府等多个领域。（信息来源：HackerNews网）

      （十七）韩国现代汽车集团IT服务子公司泄露270万车主个人敏感信息

     11月11日消息，韩国现代汽车集团旗下负责IT服务的美国子公司Hyundai AutoEver America（HAEA）确认年初发生数据泄露事件，涉及270万现代、起亚和捷尼赛思车主的高度敏感信息。泄露数据包括姓名、社会安全号码和驾驶执照等，此类信息具有终身性，一旦泄露，受害者可能面临长期的身份盗用、金融欺诈和网络钓鱼风险。专家建议受影响用户监控其财务账户，启用多因素身份验证，并仅使用现代官方网站，以避免进一步欺诈。（信息来源：安全视界）

      （十八）美教育科技公司Illuminate因泄露43.4万名学生数据，被罚510万美元

    11月7日消息，美教育科技公司Illuminate因未能采取基本数据安全措施，导致2021年发生大规模学生数据泄露事件，将支付总计510万美元的民事罚款。此次事件影响全美49个州的学生，仅加州就有300万学生受影响，其中43.4万名学生隐私数据被窃取，包括姓名、种族、是否接受特殊教育服务，以及经过编码的医疗状况等。攻击者可能利用上述信息进行身份盗用或歧视性行为，对残障或特殊需求学生构成心理与社会风险。（信息来源:安全内参）

      （十九）日本经济新闻社约1.7万名员工和业务合作伙伴个人信息遭泄露

    11月6日消息，媒体巨头日本经济新闻社承认发生大规模数据泄露事件，其内部Slack平台因员工电脑感染木马导致凭据被盗，攻击者借此读取了17368名雇员及合作伙伴的姓名、邮箱与聊天记录。日经表示，事件发生后已强制重置密码并主动向个人信息保护委员会呈报，强调未泄露任何与机密消息来源或报道活动相关的信息，并表示为新闻目的收集的个人数据仍然安全。（信息来源：安全内参）

      四、网安风险警示

      （二十）美CISA警告称CentOS Web Panel高危漏洞遭攻击者利用

     11月7日消息，美网络安全与基础设施安全局（CISA）警告称攻击者正利用CentOS Web Panel（CWP）中的远程命令执行漏洞CVE-2025-48703发起攻击。该漏洞允许未授权攻击者通过有效用户名在CWP实例上执行任意shell命令，影响0.9.8.1204之前所有版本。CWP作为免费开源的Linux服务器管理面板，被广泛用于网站托管、系统管理及VPS/独立服务器运营，其漏洞风险波及全球大量企业及个人用户。美CISA要求联邦机构在11月25日前修复漏洞或停止使用受影响产品。（信息来源：代码卫士）

      （二十一）开源向量数据库Milvus Proxy存在身份认证绕过漏洞

     11月12日消息，开源向量数据库Milvus Proxy存在身份认证绕过漏洞CVE-2025-64513（CVSS评分9.8），远程未经身份验证的攻击者通过构造恶意的gRPC请求，绕过Milvus Proxy组件中的身份验证机制，进而获得对Milvus的完全管理权限，可能导致数据泄露、数据篡改或服务中断等严重后果。Milvus专为处理海量向量数据而设计，广泛应用于人工智能、机器学习和大数据分析领域。官方已修复漏洞，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）

      （二十二）Monsta FTP存在远程代码执行漏洞

     11月10日消息，启明星辰集团VSRC监测到Monsta FTP存在远程代码执行漏洞CVE-2025-34299（CVSS评分9.2）。攻击者可利用该漏洞诱导受害者的Monsta FTP实例连接到恶意的SFTP服务器，下载攻击者控制的恶意文件，并将其写入目标服务器的任意路径。Monsta FTP是一款基于浏览器的FTP/SFTP客户端，用户可通过浏览器直接访问远程服务器、上传、下载、编辑文件，而无需在本地安装桌面FTP软件。官方已修复漏洞，建议用户及时更新。（信息来源：启明星辰）

      （二十三）Python Web框架Django存在SQL注入漏洞

     11月7日消息，启明星辰集团VSRC监测到一个影响Django ORM（对象关系映射）的SQL注入漏洞CVE-2025-64459（CVSS评分9.1），具体存在于QuerySet的filter()、exclude()、get()方法以及Q类的使用中。攻击者可利用该漏洞绕过应用程序的SQL查询安全机制，执行未授权的数据库操作，可能导致敏感数据泄露、数据篡改或数据丢失。Django是一个高级的Python Web框架，用于快速开发安全、可维护的网站。官方已修复上述漏洞，建议用户及时更新。（信息来源：启明星辰）

      （二十四）三星移动设备零日漏洞被攻击者用于部署LANDFALL安卓间谍软件

     11月10日消息，Unit 42安全团队披露，三星移动设备零日漏洞CVE-2025-21042（CVSS评分8.8）被用于部署LANDFALL安卓间谍软件，攻击者通过WhatsApp发送DNG（数字负片）格式的恶意图片实施攻击，潜在目标位于伊拉克、伊朗、土耳其和摩洛哥。LANDFALL安装执行后，将作为一款全面的间谍工具窃取敏感数据，如麦克风录音、地理位置、照片、联系人、短信、文件和通话记录等。该安卓间谍软件专门针对三星Galaxy S22、S23、S24系列设备，以及Z Fold 4和Z Flip 4机型等韩国电子巨头的部分旗舰设备。三星已修复上述漏洞，建议用户及时更新。（信息来源：安全客）

      （二十五）7个ChatGPT漏洞使AI系统易受间接提示注入攻击

    11月10日消息，网络安全研究人员披露了一系列影响OpenAI旗下ChatGPT聊天机器人的7个新漏洞：浏览上下文下通过可信网站的间接提示注入漏洞；搜索上下文下的零点击间接提示注入漏洞；一键式提示注入漏洞；安全机制绕过漏洞；对话注入技术；恶意内容隐藏技术和记忆注入技术。攻击者可利用上述漏洞，在用户不知情的情况下，从其记忆数据和聊天记录中窃取个人信息。上述漏洞及对应的攻击技术存在于OpenAI的GPT-4o和GPT-5模型中。目前OpenAI已修复其中部分漏洞。（信息来源:HackerNews网）