网络空间安全动态(202547期)
编者按:网安动向热讯,本期有八点值得关注,一是中央经济工作会议:深化拓展“人工智能+”,完善人工智能治理;二是特朗普签署《确保人工智能的国家政策框架》行政令;三是美战争部发布《准备迁移至后量子密码学》备忘录;四是美拟发布新版《国家网络安全战略》,将聚焦六大战略支柱;五是美CISA发布跨部门网络安全效能目标2.0版;六是美能源部投入超3.2亿美元推进人工智能科学体系建设;七是特朗普选定资深特战军官担任下任美国网络司令部司令;八是越南国会通过《人工智能法》及《网络安全法》。
数据前沿快讯,本期有三点建议关注:一是七部门联合印发《产品碳足迹因子数据库建设工作指引》;二是国家能源局印发《能源行业数据安全管理办法(试行)》;三是《数据安全技术 电子产品信息清除技术要求》强制性国家标准获批发布。
网安事件聚焦,本期有两方面内容建议关注:一是网络攻击和数据库暴露频发致个人信息泄露。本期介绍:美金融科技和数据服务公司700Credi遭网络攻击致超560万人信息泄露;MongoDB数据库暴露约20亿条个人信息;音频流媒体平台SoundCloud安全漏洞致2800万用户数据泄露。二是法国内政部证实电子邮件服务器遭网络攻击。
网安风险警示,本期有八点建议关注:一是工信部发布关于防范PolarEdge僵尸网络的风险提示;二是美CISA更新KEV目录,要求联邦机构2026年初修复漏洞;三是美CISA强制要求修复GeoServer高危XXE漏洞;四是全天相机系统管理页面Allsky WebUI存在路径遍历漏洞;五是Crafty Controller存在远程代码执行漏洞;六是私有云拾光坞旗下sgwbox N3产品存在命令注入漏洞;七是帆软FineReport存在SQL注入漏洞;八是DeepChat开源人工智能代理平台存在跨站脚本漏洞。
一、网安动向热讯
(一)中央经济工作会议:深化拓展“人工智能+”,完善人工智能治理
12月15日消息,中央经济工作会议将“深化拓展‘人工智能+’,完善人工智能治理”列为明年重点任务。会议明确,要坚持创新驱动,加紧培育壮大新动能。制定一体推进教育科技人才发展方案。建设北京(京津冀)、上海(长三角)、粤港澳大湾区国际科技创新中心。强化企业创新主体地位,完善新兴领域知识产权保护制度。制定服务业扩能提质行动方案。实施新一轮重点产业链高质量发展行动。深化拓展“人工智能+”,完善人工智能治理。创新科技金融服务。会议强调,要在大局中把握明年经济工作的关键着力点,围绕做强国内大循环,拓展内需增长新空间;围绕发展新质生产力,推动科技创新和产业创新深度融合;围绕激发高质量发展的动力活力,坚定不移深化改革扩大开放;围绕不断增进民生福祉,加大保障和改善民生力度;围绕守牢安全底线,稳妥做好重点领域风险化解。(信息来源:新华社)
(二)特朗普签署《确保人工智能的国家政策框架》行政令
12月11日消息,美总统特朗普签署《确保人工智能的国家政策框架》行政令,要求建立一个负担最小化的国家人工智能政策框架,改变各州人工智能法规不统一、合规成本高昂的局面,维持和加强美国在全球人工智能领域的主导地位。该行政令提出的主要措施包括:一是指示司法部设立人工智能诉讼工作组,负责对与本行政令提出的政策相悖的州人工智能法律提出质疑;二是要求商务部发布报告,评估与国家人工智能政策优先事项相冲突的州人工智能法律;三是规定被认定人工智能法律繁重的州没有资格获得“宽带公平接入和部署”计划下的剩余资金,并要求各行政部门和机构考虑将其负责的拨款项目与州人工智能立法情况挂钩;四是指示联邦通信委员会启动一项程序,以确定是否采用取代相互冲突的州法律的人工智能模型联邦报告和披露标准;五是指示联邦贸易委员会发布政策声明,以预先阻止各州法律强制要求人工智能模型进行不公平和欺骗性操作;六是指示人工智能与加密技术特别顾问和总统科学与技术事务助理应共同起草一份立法建议,建立统一的人工智能联邦政策框架,以取代与本命令所述政策相冲突的州人工智能法律。(信息来源:美白宫网站)
(三)美战争部发布《准备迁移至后量子密码学》备忘录
12月15日消息,美战争部首席信息官发布《准备迁移至后量子密码学》备忘录,指示各部门加快向后量子密码学(PQC)转型,并立即识别和清点美战争部信息系统中使用的所有密码学。美战争部责成相关负责人监督PQC采购要求,传播PQC信息,实施量子攻击风险管理计划,并跟踪所有相关测试、评估与战备计划,以及负责维护系统中各类形式的密码技术完整清单。备忘录指示各部门在2030年底前逐步淘汰用于抗量子防护的预共享密钥方法与对称密钥协议。此外,首席信息官要求各部门提交任何PQC及PQC相关技术的测试、开发、评估或采购记录,核查潜在安全隐患或未缓解风险。(信息来源:MeriTalk网)
(四)美拟发布新版《国家网络安全战略》,将聚焦六大战略支柱
12月12日消息,美媒报道称,特朗普政府将于2026年1月发布新版美国《国家网络安全战略》。该战略将修订美国核心网络安全政策,并聚焦六大战略支柱:一是采取“先发制人式”进攻性措施,通过结合网络威胁情报与间谍机构信号情报工具、加强与私营部门合作等更积极的网络行动削弱外国对手黑客能力;二是改革网络安全法规以减轻合规负担;三是推进联邦网络现代化,重点推动各机构采用量子安全措施及“零信任”工具;四是保障关键基础设施安全,核心是摆脱外国技术和装备;五是鼓励新兴技术优势发展;六是构建业务导向的网络安全人才储备,通过探索商业激励措施来激发网络安全职业兴趣,发展建立美网络安全学院的理念,并通过风险投资计划为网络安全初创企业提供资金。(信息来源:奇安网情局)
(五)美CISA发布跨部门网络安全效能目标2.0版
12月11日消息,美网络安全与基础设施安全局(CISA)发布跨部门网络安全效能目标2.0版(CPGs2.0),为组织将网络安全整合到日常运营中提供了更强大的框架。更新后的CPGs与美国国家标准与技术研究院网络安全框架2.0(CSF2.0)保持一致,结合了三年来的运营见解,并通过数据驱动的、可操作的指导来应对新出现的威胁。这些改进旨在促进问责制,改善风险管理,并支持跨部门的战略性网络安全治理。CPGs2.0为关键网络安全领域提供了扩展和明确的指导,包括账户和设备安全、数据保护、治理、漏洞管理、供应链风险以及事件响应和恢复。在版本1.0.1的基础上,CPG2.0引入了几个显著的改进,包括治理重点、统一的目标结构、威胁响应扩展、精简框架、增强的文档。每个目标涵盖更清晰的方法和支撑材料,以减少臆测和改进实施。CPGs2.0的主要目的体现在三个方面:一是提供关键基础设施实体可以采取的可衡量的行动,以实现基本的网络安全水平;二是弥合IT/OT技术人员和组织领导之间的沟通差距和分歧,以协调网络安全优先事项;三是通过为近期和长期网络安全投资提供明确的指导,支持战略规划。(信息来源:美CISA网站)
(六)美能源部投入超3.2亿美元推进人工智能科学体系建设
12月15日消息,美能源部宣布投入超3.2亿美元推进创世纪计划的人工智能能力建设。投资聚焦人工智能科学战略方向,旨在构建一体化美国科学与安全平台,并在未来十年内提升美国科研与工程创新的生产效率和投资回报、巩固技术与安全优势。此轮投资重点支持四大方向:一是美国科学云承担AI模型与科研数据的托管、管理及分发,向相关机构开放并提升资源共享与协同效率;二是变革性AI模型联盟开发可跨领域复用的自我改进型基础模型,为多领域科学工程任务提供支撑;三是14个机器人与自动化项目以具身智能等技术推动实验与科研流程高度自动化;四是37项基础AI能力建设项目通过整理科研数据、开发稳健可靠的AI模型,为解决国家重大科学挑战提供支撑。(信息来源:美能源部网站)
(七)特朗普选定资深特战军官担任下任美国网络司令部司令
12月17日消息,美媒报道称,特朗普政府已选中美印太司令部副司令约书亚·鲁德担任下任美网络司令部司令兼国家安全局局长,并已正式向美参议院提交其由中将晋升为上将的申请。约书亚·鲁德曾担任美太平洋特种作战司令部司令、美印太司令部参谋长,并于2024年9月25日就任美印太司令部副司令。下任美网络司令部司令的职责包括破坏对手计算机网络,并需回应美国会和政府日益增长的呼吁,即提升网络进攻能力,尤其是在应对民族国家对手网络威胁方面。(信息来源:奇安网情局)
(八)越南国会通过《人工智能法》及《网络安全法》
12月10日,越南国会通过《人工智能法》及《网络安全法》。《人工智能法》共8章35条,具体包括:基于风险的分级管理机制、明确各方责任与透明度要求、国家基础设施与技术主权、促进发展与激励政策、禁止行为与道德底线、特殊领域的应用与监管、法律责任与赔偿、实施与过渡。该法预计于2026年3月1日起正式生效。《网络安全法》在合并2018年《网络安全法》和2015年《网络信息安全法》的基础上制定,明确规定公安部牵头负责网络安全的国家管理,国防部管理军事信息系统,政府机要局管理系统、密码系统,旨在克服重叠现象并增强在网络威胁日益严峻背景下的协调能力。该法预计于2026年7月1日正式生效。(信息来源:越通社网站)
二、数据前沿快讯
(九)七部门联合印发《产品碳足迹因子数据库建设工作指引》
12月12日消息,国家发改委、工信部、国家数据局等七部门联合印发《产品碳足迹因子数据库建设工作指引》,以推动建设产品碳足迹因子数据库。该指引提出4方面11项重点工作任务:一是形成协同共建共享格局,包括明确产品碳足迹因子数据库建设思路,构建产品碳足迹因子数据共享与集成机制等内容。二是健全数据研制全流程管理体系,包括规范产品碳足迹因子数据研制流程,明确产品碳足迹因子数据来源与更新要求,开展产品碳足迹因子数据质量评价,强化产品碳足迹因子数据安全保护。三是明确数据库构建技术要求,包括规范产品碳足迹因子数据库组成架构,统一因子数据命名、分类与编码体系,创新前沿技术应用。四是持续加强政策保障与国际交流,包括强化数据库建设保障,推动数据库国际交流与衔接。(信息来源:国家数据局)
(十)国家能源局印发《能源行业数据安全管理办法(试行)》
12月12日消息,国家能源局印发《能源行业数据安全管理办法(试行)》,以规范能源行业数据处理活动,加强数据安全管理,防范数据安全风险,促进数据开发利用。该办法共6章37条,适用于在中华人民共和国境内开展能源行业数据处理活动及其安全监督管理。一是聚焦能源行业数据,该办法明确能源行业数据是指在开展能源活动中收集和产生的数据。能源活动主要包括与能源相关的规划、设计、建设、生产、储运、消费、科研等。二是聚焦非密数据,该办法明确,能源行业数据处理活动如涉及国家秘密或由其汇聚关联后属于国家秘密事项,相关能源数据处理者应遵守《中华人民共和国保守国家秘密法》等法律、行政法规的规定。三是聚焦能源行业主管部门职责,考虑城市燃气、供热、加油站等能源活动不在国家能源局职责范围内,该办法明确,与这些领域相关的数据处理活动应遵守有关主管部门规定。该办法自2026年7月1日起施行,有效期5年。(信息来源:国家能源局)
(十一)《数据安全技术 电子产品信息清除技术要求》强制性国家标准获批发布
12月13日消息,中央网信办提出并归口的《数据安全技术 电子产品信息清除技术要求》强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布,并将于2027年1月1日起正式实施。该标准规定了电子产品信息清除的基本要求、功能要求,以及二手电子产品信息清除过程要求。该标准适用于面向境内生产、销售的,具有非易失性存储介质的电子产品,也适用于电子产品厂商、第三方开发电子产品信息清除功能,以及回收经营者对二手电子产品进行信息清除。该标准不适用于处理国家秘密的电子产品,涉及国家秘密的电子产品按照国家保密相关规定执行。(信息来源:中国网信网)
三、网安事件聚焦
(十二)美金融科技和数据服务公司700Credi遭网络攻击致超560万人信息泄露
12月15日消息,美金融科技和数据服务公司700Credit遭网络攻击,致超560万人信息泄露。攻击者在5月至10月间窃取了从经销商收集的个人数据,包括姓名、地址和社会安全号码等核心个人身份信息。公司确认事件仅限于应用层,未影响其内部网络或运营,且没有迹象表明此事件涉及身份盗窃、欺诈或其他信息滥用。目前已向联邦调查局和联邦贸易委员会报告此事件并展开调查。(信息来源:SecurityAffairs网)
(十三)MongoDB数据库暴露约20亿条个人信息
12月15日消息,网络安全研究人员发现一个约16TB的未受保护的MongoDB数据库完全暴露在互联网上。该数据库包含九个独立集合,其中至少三个集合暴露了约20亿条个人信息,包含姓名、电子邮箱、电话号码、职位、工作经历和教育背景等。研究人员表示,攻击者可凭借此类信息自动实施高度个性化的诈骗,如钓鱼攻击或CEO欺诈等,这些记录可能成为网络罪犯创建可搜索数据库的基础,便于针对大公司员工等高价值目标发起攻击。(信息来源:FreeBuf网)
(十四)音频流媒体平台SoundCloud安全漏洞致2800万用户数据泄露
12月15日消息,音频流媒体平台SoundCloud证实,攻击者利用安全漏洞窃取了其用户信息数据库,并访问了包含电子邮件地址及公开个人资料中的信息,但未涉及财务数据和密码等敏感信息。此次数据泄露影响约2800万用户,公司表示已阻止所有未经授权的系统访问,并联合第三方网络安全专家采取强化措施,包括改进监控与威胁检测、审查身份访问控制及系统评估。(信息来源:BleepingComputer网)
(十五)法国内政部证实电子邮件服务器遭网络攻击
12月15日消息,法国内政部证实其遭网络攻击,电子邮件服务器遭入侵。攻击者访问了部分文档文件,但未确认数据是否被盗。目前内政部已升级安全协议并强化信息系统访问控制,通过技术取证以及与国际情报组织合作,试图追溯攻击路径,同时设立专门网页通报事件进展,并呼吁公众保持警惕。(信息来源:BleepingComputer网)
四、网安风险警示
(十六)工信部发布关于防范PolarEdge僵尸网络的风险提示
12月16日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现攻击者正利用思科、华硕等路由器漏洞部署PolarEdge后门程序,通过下载恶意脚本植入设备,进行环境清理、进程隐匿和加密通信,最终组建僵尸网络。该后门会伪装成合法系统进程,创建守护进程,并采用自签名证书和多种加密技术隐蔽通信。官方建议用户立即排查设备、更新固件、禁用高危服务组件、关闭非必要互联网暴露服务,并定期离线备份敏感数据。(信息来源:安全内参)
(十七)美CISA更新KEV目录,要求联邦机构2026年初修复漏洞
12月13日消息,美CISA将CVE-2025-14174(Google Chromium越界内存访问漏洞)和CVE-2018-4063(Sierra Wireless AirLink ALEOS无限制上传漏洞)补充至已知可利用漏洞(KEV)目录。CVE-2025-14174是Google Chrome 143.0.7499.110版本前Mac系统存在的ANlge图形库漏洞,该漏洞源于Metal渲染器对GL_UNPACK_IMAGE_HEIGHT值的错误计算,当图像高度超过缓冲区容量时,会触发越界内存访问,导致内存损坏、程序崩溃甚至任意代码执行。漏洞CVE-2018-4063则影响Sierra Wireless AirLink ES450固件4.9.3的upload.cgi组件,经身份验证的攻击者可发送特制HTTP请求,在设备Web服务器上传并执行恶意代码,实现远程代码执行。该漏洞自2018年披露以来,因未及时修复被CISA纳入目录。(信息来源:启明星辰安全简讯)
(十八)美CISA强制要求修复GeoServer高危XXE漏洞
12月16日消息,美CISA发布紧急指令,要求联邦民事行政部门机构在2026年1月1日前修复GeoServer开源地理空间服务器中的严重XML外部实体(XXE)注入漏洞(CVE-2025-58360)。该漏洞存在于GeoServer 2.26.1及更早版本,通过未充分清理的XML输入端点处理外部实体引用,使攻击者可实施拒绝服务攻击、窃取敏感文件或执行服务器端请求伪造访问内部系统。Shadowserver组织追踪到2451个暴露的GeoServer实例,而Shodan扫描显示全球超过1.4万个服务器暴露于公网,存在被大规模利用风险。美CISA已将该漏洞列入已知可利用漏洞目录,强调其正被积极用于攻击,并敦促用户尽快修复。(信息来源:启明星辰安全简讯)
(十九)全天相机系统管理页面Allsky WebUI存在路径遍历漏洞
12月16日消息,安全研究人员公开披露了Allsky WebUI存在路径遍历与命令执行漏洞CVE-2025-63414(CVSS评分10.0)。攻击者可通过构造特制的HTTP请求,向端点发送包含恶意路径与命令的id参数,绕过路径限制,无需身份认证实现对底层操作系统的任意命令执行。目前尚未发现大规模在野利用事件,但其技术成熟度和公开程度极高,极有可能已被自动化攻击工具或恶意扫描器广泛部署。建议用户立即采取升级与加固措施,防止系统被入侵或用于后续攻击活动。(信息来源:GitHub网)
(二十)Crafty Controller存在远程代码执行漏洞
12月17日消息,安全研究人员披露Crafty Controller存在远程代码执行漏洞CVE-2025-14700(CVSS评分9.9)。攻击者通过构造恶意Webhook模板内容,利用模板引擎对特殊字符或表达式未正确中和的缺陷,实现服务器端模板注入,进而执行任意系统命令。目前尚未发现该漏洞遭在野利用,但已具备被广泛滥用的潜力,可能成为横向移动与持久化攻击的关键入口。建议相关组织立即排查受影响系统,优先采取临时缓解措施。(信息来源:奇安信威胁情报中心)
(二十一)私有云拾光坞旗下sgwbox N3产品存在命令注入漏洞
12月15日消息,VulDB平台发布漏洞通告,披露sgwboxN3存在命令注入漏洞CVE-2025-14706(CVSS评分9.8),攻击者可绕过输入校验机制,将恶意命令注入到系统执行上下文中,进而获得设备的完全控制权限。由于攻击无需认证、攻击向量为网络、复杂度低,且可造成机密性、完整性、可用性全面破坏,极有可能被用于构建僵尸网络、横向渗透或持久化后门。建议用户立即隔离受影响设备并升级到安全版本。(信息来源:Vuldb网)
(二十二)帆软FineReport存在SQL注入漏洞
12月17日消息,奇安信CERT披露FineReport存在SQL注入漏洞QVD-2025-48729(CVSS评分9.8)。该漏洞源于对export/excel接口传入的参数没有严格校验,攻击者可构造恶意SQL语句上传Webshell实现远程代码执行,进而获取服务器权限。帆软报表(FineReport)是由帆软软件有限公司推出的企业级Web报表与数据分析平台,广泛应用于金融、电信、政府等行业的经营分析、监管报送与决策支持场景。目前官方已修复该漏洞,建议用户尽快更新。(信息来源:奇安信CERT)
(二十三)DeepChat开源人工智能代理平台存在跨站脚本漏洞
12月16日消息,DeepChat开源人工智能代理平台存在跨站脚本漏洞CVE-2025-67744(CVSS评分9.6),攻击者可通过构造恶意的Mermaid图表内容,利用不安全的渲染配置与暴露的ElectronIPC接口,实现任意JavaScript执行,进而通过Electron环境权限提升,执行系统级命令,完成远程代码执行。目前尚未发现明确的在野利用,但漏洞特性符合APT组织或自动化攻击工具链中常见的漏洞链利用模式,需警惕后续被集成进攻击框架具备被恶意利用的完整攻击链,建议用户立即升级至安全版本,并加强本地应用的安全管控,防范潜在的供应链攻击与社会工程攻击。(信息来源:GitHub网)
