网络空间安全动态(202561期)
编者按:网安动向热讯,本期有十三点值得关注:一是李强签署国务院令 公布《国务院关于产业链供应链安全的规定》;二是工信部等十部门联合印发《人工智能科技伦理审查与服务办法(试行)》;三是中央网信办等三部门部署开展2026年个人信息保护系列专项行动;四是全国网络安全标准化技术委员会2026年第一次“标准周”活动在珠海举办;五是我商务部回应Meta收购Manus;六是美白宫发布2027财年联邦政府预算申请;七是美商务部启动“美国人工智能出口计划”首轮提案征集;八是美国际贸易委员会对海信等多家中国公司发起337调查;九是美国务院要求驻外使领馆开展协调一致的“亲美反外”宣传活动;十是美国与阿联酋举行“AI加速伙伴关系跨部门工作组”首次会议;十一是法国与日本发布《法日人工智能领域合作联合声明》;十二是俄罗斯公布《关于国家监管人工智能技术应用领域的联邦法律》草案;十三是微软公司将向日本投资100亿美元,用于AI和网络防御扩展。
数据前沿快讯,本期有五点建议关注:一是国家数据局就《数据产权登记工作指引(试行)》(公开征求意见稿)公开征求意见;二是工信部组织开展普惠算力赋能中小企业发展专项行动;三是我国将加快培育太空算力产业,稳居全球“第一梯队”;四是全球首个“海风直连”海底数据中心在上海投运;五是美国Anthropic与谷歌、博通公司签署新协议,共同扩充下一代算力基础设施。
网安事件聚焦,本期有两方面内容建议关注:一是美以伊冲突持续外溢至网络空间,重要设施与政企机构遭定向网络侵袭。本期介绍:亚马逊、甲骨文数据中心遭伊朗袭击;伊朗称渗透以防空指挥系统支持公司获取机密资料;俄罗斯国营电信公司遭大规模DDoS攻击袭击,数百万用户受影响;美医疗软件厂商被黑,海量患者数据遭非法访问超8小时;美玩具巨头孩之宝遭网络攻击,部分业务中断数周。二是AI与商业领域源码泄露风险加剧,核心技术资产频遭窃取。本期介绍:Anthropic旗下AI编程工具Claude Code泄露51万行源代码;星巴克10GB核心源码遭窃取。
网安风险警示,本期有六点建议关注:一是国安部提醒:注意词元(Token)使用带来的安全风险;二是国安部提示:警惕智能穿戴设备泄露国家机密;三是工信部紧急提醒苹果用户;四是国家信息安全漏洞库通报OpenClaw高危漏洞集中爆发;五是Oracle Identity Manager系统存在命令执行漏洞;六是Google Chrome Dawn存在释放后重用漏洞。
一、网安动向热讯
(一)李强签署国务院令 公布《国务院关于产业链供应链安全的规定》
4月7日,国务院总理李强签署国务院令,公布《国务院关于产业链供应链安全的规定》,自公布之日起施行。规定旨在防范产业链供应链安全风险,提升产业链供应链韧性和安全水平,维护经济社会稳定和国家安全。规定共18条,主要规定了以下内容。一是明确产业链供应链安全工作原则。规定产业链供应链安全工作贯彻总体国家安全观,统筹发展和安全,统筹国内国际,推进高水平对外开放,促进全球产业链供应链稳定畅通。二是建立健全产业链供应链安全制度措施。建立健全产业链供应链安全工作机制。三是规定反制措施和域外适用。针对外国国家、地区和国际组织以及外国组织、个人损害我国产业链供应链安全的,建立产业链供应链安全调查制度,国务院有关部门可据此开展产业链供应链安全调查,采取反制措施。我国境内的组织、个人应当执行有关反制措施。任何组织、个人违法开展与产业链供应链有关的信息收集活动的,有关部门依法采取相应处理措施。(信息来源:新华社)
(二)工信部等十部门联合印发《人工智能科技伦理审查与服务办法(试行)》
4月2日,工信部、国家发改委、国家网信办等十部门联合印发《人工智能科技伦理审查与服务办法(试行)》,对人工智能科技伦理审查的适用范围、服务促进、实施主体、工作程序、监督管理等作出规定,并结合人工智能科技活动特点,明确了申请与受理、一般程序、简易程序、专家复核程序、应急程序等不同程序要求,有效规范人工智能科技活动伦理治理。为推进人工智能科技伦理服务体系建设,办法从标准建设、服务体系、鼓励创新、宣传教育、人才培养五个方面制定支持举措,帮助企业切实提升科技伦理风险防控能力。办法坚持促进创新与防范风险相统一,通过制定人工智能科技伦理审查规则,提升人工智能伦理治理能力,确保人工智能负责任创新,为我国人工智能产业高质量发展提供有力支撑。(信息来源:工信微报)
(三)中央网信办等三部门部署开展2026年个人信息保护系列专项行动
4月2日,中央网信办、工信部、公安部等三部门联合发布公告,部署开展2026年个人信息保护系列专项行动,明确2026年将进一步深入治理APP、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题,着力提升人民群众满意度、获得感。系列专项行动将围绕以下七方面重点问题开展:APP、SDK违法违规收集使用个人信息,互联网广告领域违法违规收集使用个人信息,教育领域违法违规收集使用个人信息,交通领域违法违规收集使用个人信息,卫生健康领域违法违规收集使用个人信息,金融领域违法违规收集使用个人信息,个人信息相关违法犯罪案件。(信息来源:工信微报)
(四)全国网络安全标准化技术委员会2026年第一次“标准周”活动在珠海举办
3月31日至4月3日,全国网安标委2026年第一次“标准周”活动在珠海举办。会上,与会专家分别围绕人工智能安全与标准趋势、电子产品信息清除强标解读、自然资源行业数据安全保障体系建设、新兴技术领域网络安全国际标准化、网络安全大模型实战技术、智能互联时代打印设备信任、芯片开发与供应链安全等主题分享网络安全技术实践和标准化探索。网安标委秘书处发布了首批网络安全标准化技术研究报告,涵盖智能体安全、智能驾驶网络和数据安全、工业具身智能安全、6G网络内生与边界安全、卫星通信网络安全等主题。“标准周”活动期间,还组织举办了网络安全产品互联互通、人工智能安全、个人信息保护、低空装备网络安全等4场技术主题交流会和粤港澳标准协同工作研讨会,以及8个工作组会议、国际标准研究组第一次会议、标准优秀实践案例展览等活动。(信息来源:全国网安标委)
(五)国家网信办就《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》公开征求意见
4月3日,国家网信办发布《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》,向社会公开征求意见,意见反馈截止日期为2026年5月3日。规定针对小型个人信息处理者制定专门的个人信息保护规则有关规定,旨在为小型个人信息处理者履行个人信息保护法律法规义务提供简化措施,支持中小微企业创新发展。规定共22条,重点对个人信息保护总体要求、个人信息处理规则简化、小型个人信息处理者义务简化、不予和从轻或者减轻处罚等作出规定。规定明确小型个人信息处理者定义范围、小型个人信息处理者处理个人信息基本原则等总体要求。(信息来源:网信中国)
(六)国家网信办就《数字虚拟人信息服务管理办法(征求意见稿)》公开征求意见
4月3日,国家网信办发布《数字虚拟人信息服务管理办法(征求意见稿)》,向社会公开征求意见,意见反馈截止时间为2026年5月6日。办法的制定旨在促进数字虚拟人信息服务健康发展和规范应用,适用于通过数字虚拟人向中华人民共和国境内公众提供互联网信息服务。针对“撞脸”“碰瓷”等乱象,办法拟规定,任何组织和个人使用自然人敏感个人信息用于建模、形象生成、场景构建等活动的,需要取得自然人的单独同意,并以显著方式、清晰易懂的语言,真实、准确、完整地告知处理目的、必要性、对个人权益的影响。在自然人撤回同意后,应当删除相关个人信息,不得留存。除当事人另有约定外,还应当注销数字虚拟人。(信息来源:网信中国)
(七)我商务部回应Meta收购Manus
4月2日,我商务部新闻发言人何亚东在例行新闻发布会上,就市场高度关注的Meta收购AI公司Manus及企业跨国经营相关问题作出回应。何亚东明确指出:“中国政府支持企业根据需要开展跨国经营与技术合作,但相关行为必须遵守中国法律法规,履行法定程序。”Meta于2025年底宣布收购总部迁至新加坡的AI初创公司Manus(蝴蝶效应公司)。因Manus创始团队与核心技术源自中国,这笔价值数十亿美元的交易备受瞩目,外界普遍关心其是否涉及中国技术出口管制等合规问题。(信息来源:新华社)
(八)美白宫发布2027财年联邦政府预算申请
4月3日,美白宫发布2027财年联邦政府预算申请。预算严格执行国防扩张、非国防收缩的双轨策略:国防职能总预算达1.5万亿美元,较2026年大幅增长44%,包含3500亿美元强制性专项拨款;非国防可自由支配预算定为6601亿美元,较2026年削减10%,且明确2027年后每年再递减2%,形成长期紧缩趋势。特朗普政府计划削减网络安全与基础设施安全局预算7.07亿美元,使其资金降至约20亿美元,还提议大幅削减多个科学机构预算,包括将美国家科学基金会预算削减54%,航空航天局预算削减23%,国家标准与技术研究院预算削减28%。此外,预算重申将人工智能和量子技术作为本届政府的优先事项,提议从拜登政府的《基础设施投资和就业法案》中拨款12亿美元,用于能源部新近成立的人工智能和量子办公室。该办公室主要协调能源部所有人工智能和量子信息科学活动,包括与“创世纪”计划相关的活动。(信息来源:美白宫网站)
(九)美商务部启动“美国人工智能出口计划”首轮提案征集
4月1日,美商务部宣布启动“美国人工智能出口计划”首轮提案征集工作,旨在进一步落实特朗普总统第14320号行政令关于要求商务部推动全球范围内安全、全栈式美国人工智能技术的部署。作为特朗普政府构建美国主导下的全球人工智能生态链的最新举措,首轮提案征集工作的启动,标志着特朗普政府正将安全与产业收益兼顾作为人工智能出口管制思路,通过制度化的产业组织形式,将美国主导的人工智能技术栈、基础设施以及安全标准等打包输出至全球市场。(信息来源:美商务部网站)
(十)美国际贸易委员会对海信等多家中国公司发起337调查
4月1日,美国际贸易委员会(USITC)决定对特定显示设备、流媒体播放器及其组件启动第337条调查。被调查名单覆盖范围较广,既包括中国企业,也涉及美国本土及第三国主体。其中,中国企业方面以海信及其多家境内外关联公司为核心,同时还包括Purple Tag Media等企业,美国企业Roku也被列入被告。相关实体横跨中国、美国及墨西哥等多个法域。根据程序安排,案件将由行政法官主持证据听证并作出初裁,随后提交委员会复审,最终裁定通常将在12至18个月内完成。(信息来源:USITC网站)
(十一)美国务院要求驻外使领馆开展协调一致的“亲美反外”宣传活动
4月3日消息,美国务院要求驻外使领馆开展协调一致的“亲美反外”宣传活动,并与美军心理战行动联动协同,以打击威胁美国家安全的外国宣传。美国务卿马可·卢比奥近日签署一份电报,指示美国驻外使领馆工作人员反击旨在破坏美国海外利益的协同性外国行动。该电报要求各使领馆实现五大目标:一是反击敌对宣传;二是扩大信息获取渠道;三是揭露“敌对行为”;四是提升支持美国利益的“当地声音”;五是推广“讲述美国的故事”。美国务院表示,该机构将继续对外国敌对宣传采取强硬立场,并将动用外交工具箱中的所有手段;被提名的负责公共外交的副国务卿莎拉·罗杰斯已将打击外国“反美”宣传列为“首要任务”。(信息来源:奇安网情局)
(十二)美议员提出《MATCH法案》拟对多家中国半导体企业实施全面出口管制
4月5日消息,美两党议员提出《硬件技术控制多边协调法案》(MATCH法案),拟针对先进半导体制造设备及关键零部件建立更严格的出口管制体系,并推动与盟友之间的规则协调。该法案延续近年来美国在半导体领域的管制思路,在既有行政出口管制基础上,通过立法形式强化对“关注国家”的限制,并将管控对象进一步细化至“受管制设施”(即特定企业或生产线)。MATCH法案的核心变化,在于将原本以行政规则为主导的出口管制体系,上升为具有更强稳定性和约束力的立法框架,同时引入“多边协调”这一关键机制。该法案试图通过与盟友同步规则,降低企业“绕道出口”的空间,从而提升管制的实际效果。(信息来源:走出去法律智库)
(十三)美国与阿联酋举行“AI加速伙伴关系跨部门工作组”首次会议
4月6日,美国与阿联酋共同举行“AI加速伙伴关系跨部门工作组”首次会议。会议汇集两国多个政府部门及企业代表,围绕人工智能合作、供应链安全及技术监管展开协调。阿联酋方面重申将继续推进对美1.4万亿美元投资承诺,并加大对数字基础设施投入;美国则承诺在安全合规前提下保障阿联酋获取美制AI芯片。美方强调,与可信伙伴合作对保持AI领先地位、应对对华竞争至关重要。(信息来源:全球技术地图)
(十四)法国与日本发布《法日人工智能领域合作联合声明》
4月1日,法国与日本发布《法日人工智能领域合作联合声明》。两国在人工智能领域的合作重点主要围绕三方面展开:一是在AI安全与全球治理上加强协调,共同推动安全、可信、负责任的国际规则制定,应对高风险AI并在军事AI应用等领域保持协同立场;二是聚焦经济安全、供应链韧性与科技创新,深化在半导体、量子、云计算等关键领域合作,促进科研交流与产业对接;三是推动AI服务公共利益,共同应对虚假信息、降低AI环境影响,并助力其他国家提升人工智能能力建设。(信息来源:法国总统府网站)
(十五)英国创新署发布最新战略展望,将突破性创意转化为行业巨头
4月7日消息,英国创新署发布最新战略展望文件《英国创新署:将突破性创意转化为行业巨头》,宣布自2026年4月起启动全新的运作模式。该战略将围绕英国《现代产业战略》展开,聚焦八大优先产业中的六个,包括先进制造业、清洁能源产业、创意产业、国防产业、生命科学、数字与技术产业。其中,“数字与技术”还特别强调布局六类前沿技术:人工智能、先进连接技术、网络安全、工程生物学、半导体、量子技术。前沿技术的扶持范围将延伸至应用场景,包括金融服务、专业商业服务等。(信息来源:基础研究观察)
(十六)俄罗斯公布《关于国家监管人工智能技术应用领域的联邦法律》草案
4月1日消息,俄罗斯政府公布《关于国家监管人工智能技术应用领域的联邦法律》草案,旨在加速发展和应用人工智能技术创造法律条件,确保个人、社会和国家安全,以及在俄罗斯联邦使用人工智能技术时的国家技术主权。法律的适用范围包括在俄罗斯境内从事AI技术开发、应用和实施活动的自然人和法人,但不适用于与国防、国家安全和维护法律秩序相关的AI技术应用。法律草案共计21条,涵盖了AI定义、监管原则、主体责任、数据安全、国际合作等多个方面,旨在为俄罗斯AI技术的发展和应用建立全面的法律框架。该法律草案拟于2027年9月1日生效,目前正在征询相关专业部门意见。(信息来源:清华大学智能法治研究院)
(十七)微软公司将向日本投资100亿美元,用于AI和网络防御扩展
4月3日,微软公司宣布将于2026年至2029年期间在日本投资约100亿美元,用于扩展人工智能基础设施和加强与日本政府的网络防御合作,主要围绕扩建AI基础设施与算力、强化网络安全合作,以及大规模数字人才培育3个关键领域展开。微软公司将与包括软银在内的日本国内企业合作,将扩展日本本土的人工智能计算能力,使企业和政府机构能够在访问Microsoft Azure服务的同时,将敏感数据保存在日本国内。同时,还将深化与日本当局在网络威胁和犯罪预防相关情报共享方面的合作。(信息来源:安情视界)
二、数据前沿快讯
(十八)国家数据局就《数据产权登记工作指引(试行)》(公开征求意见稿)公开征求意见
4月3日,国家数据局发布《数据产权登记工作指引(试行)》(公开征求意见稿),向社会公开征求意见,意见反馈截止时间为2026年4月19日。指引旨在推动建立健全数据产权制度,构建全国统一的数据产权登记体系,助力培育全国一体化数据市场。指引明确,数据产权是权利人对特定数据享有的财产性权利,包括数据持有权、数据使用权、数据经营权等,指引适用于我国境内数据资源、数据产品等各类形态数据的产权登记。同时,指引明确了登记机构遴选条件,还明确了申请、受理、审查等登记程序。(信息来源:新华社)
(十九)全国数标委就《数据 基础术语(征求意见稿)》等22项国家标准公开征求意见
4月1日,全国数标委发布《数据 基础术语(征求意见稿)》等22项国家标准征求意见稿,向社会公开征求意见,意见反馈截止时间为2026年5月31日。22项国家标准包括:《数据 基础术语》《数据产品 质量评价通用要求》《数据产品 描述要求》《公共数据资源登记 实施指南》《公共数据资源授权运营 监测评估指南》《城市全域数字化转型 城市数据有效利用水平评估模型》《城市全域数字化转型 术语》《城市全域数字化转型 技术参考模型》《高质量数据集 格式要求》《数据利用管理技术要求》《数据匿名化流通实施及评估指南》《数据基础设施 参考架构》等。(信息来源:全国数标委)
(二十)工信部组织开展普惠算力赋能中小企业发展专项行动
4月2日消息,工信部组织开展普惠算力赋能中小企业发展专项行动,明确五项重点任务:算力资源配置提升行动、算力服务普惠供给行动、重点行业企业赋能行动、产业生态协同共建行动、人才培养能力建设行动。提出到2028年底,基本建成覆盖广、成本低、服务优、生态活、人才强的普惠算力服务体系,在中小企业划分标准适用的15类行业中覆盖门类不少于10类,进一步加强对中小企业算力应用的公共服务力度,显著降低中小企业获取、使用算力门槛,为推动中小企业专精特新发展提供坚实算力支撑。(信息来源:工信微报)
(二十一)我国将加快培育太空算力产业,稳居全球“第一梯队”
4月3日,2026太空算力产业大会在北京经开区(亦庄)举办,业界首个太空算力产业协同平台“太空算力专业委员会”正式成立,北京太空算力创新中心启动筹建。据工信部信息通信发展司副司长赵策介绍,我国将加快太空算力产业生态培育,围绕遥感实时处理、通信增强、时空信息等场景发掘太空算力应用,探索“通导遥算”一体化服务创新。支持在低空经济、应急通信等领域开展数据在轨处理,促进算力与卫星互联网等融合发展。据了解,工信部将支持相关单位积极开展太空算力技术前瞻性研究,逐步建立覆盖软硬件、网络、安全等环节的标准体系,推动星载抗辐射芯片、星间激光通信等技术和产品研发。(信息来源:综合人民邮电报、工信微报)
(二十二)全球首个“海风直连”海底数据中心在上海投运
4月3日消息,全球首个“海风直连”海底数据中心在上海临港正式投入运营。临港海底数据中心海面以上高32米,总重1950吨。海平面以下10至15米深处,是海底数据中心的核心——数据仓,它依靠圆桶立式结构稳稳扎在海床上。相比传统陆上数据中心,海底数据中心有占地面积小、节能节水和用电成本低三项突出的优势。(信息来源:人民邮电报)
(二十三)美国Anthropic与谷歌、博通公司签署新协议,共同扩充下一代算力基础设施
4月7日消息,美国Anthropic宣布与谷歌、博通公司签署新协议,共同部署数吉瓦的下一代TPU算力资源,预计于2027年起正式投入使用。据悉,大部分新算力设施将选址美国本土,进一步深化了其在2025年11月承诺的500亿美元投资计划。作为Anthropic多云战略的核心,其将继续利用亚马逊Trainium、谷歌TPU及英伟达GPU等多种硬件资源,以实现工作负载的优化匹配。(信息来源:全球技术地图)
三、网安事件聚焦
(二十四)亚马逊、甲骨文数据中心遭伊朗袭击
4月2日,伊朗伊斯兰革命卫队海军司令部在社交媒体发布消息称,伊朗打击了美国技术巨头甲骨文公司和亚马逊公司在海湾地区的数据中心,分别位于阿联酋迪拜和巴林。亚马逊公司随后证实,其位于巴林的AWS区域服务因“该地区的无人机活动”出现中断,目前正在协助受影响用户迁移至其他AWS区域,但未透露设施受损程度或预计恢复时间。AWS作为亚马逊主要利润来源,对全球众多网站及政府机构运营至关重要。甲骨文公司及美国防部尚未对袭击声明作出正式回应。巴林与阿联酋政府保持沉默。(信息来源:数据要素社)
(二十五)伊朗称渗透以防空指挥系统支持公司获取机密资料
4月2日消息,据伊朗伊斯兰革命卫队发布的消息,一个黑客组织称,在一次网络攻击中成功渗透了以色列负责设计和实施一体化指挥控制防空系统的公司网络,并完全提取了其服务器上的所有敏感数据。据了解,该公司被认为是以色列指挥控制中心、通信系统和关键国防基础设施的幕后策划者。现在,所有与该公司指挥控制中心、通信系统和机密文件相关的绝密信息已被获取,并直接移交给了相关抵抗力量的导弹部队。(信息来源:央视新闻)
(二十六)俄罗斯国营电信公司遭大规模DDoS攻击袭击,数百万用户受影响
4月6日,俄罗斯莫斯科国营电信公司Rostelecom遭大规模DDoS攻击,导致俄罗斯30个主要城市的互联网接入、网上银行和政府服务平台受阻,数百万用户受影响。Rostelecom在其移动、宽带和付费电视服务上拥有超过1亿用户,同时还为数千家俄罗斯企业提供数字服务,包括数据处理和云存储。Rostelecom向俄国营新闻媒体报道了此次袭击,称已采取相应措施,其数据网络现已恢复正常运行。到目前为止,没有任何黑客组织宣称对此次攻击负责。(信息来源:Cybernews网)
(二十七)美医疗软件厂商被黑,海量患者数据遭非法访问超8小时
4月2日消息,美医疗软件厂商CareCloud称,其内部存储患者电子健康记录的云环境遭黑客非法访问超8小时,可能对业务造成实质影响。据悉,该公司为超过4.5万家医疗服务提供者提供技术支持服务,其中包括电子健康记录存储,其客户覆盖数千家医院和医疗机构的医生,涉及数以百万计的患者。CareCloud未透露此次事件影响的具体人数,已向美国证券交易委员会报告该事件,尚不清楚是否有数据被窃取。(信息来源:安全内参)
(二十八)美玩具巨头孩之宝遭网络攻击,部分业务中断数周
4月5日消息,美玩具巨头孩之宝遭网络攻击,部分业务中断数周。该企业于当地时间3月28日发现未经授权的入侵行为,随即关闭了部分系统,以遏制事件影响。目前,对该事件的调查仍在进行中,孩之宝称已实施业务连续性计划,以便在解决此问题期间继续接单、发货及开展其他关键操作。孩之宝是全球领先的玩具和娱乐公司之一,其业务范围已从传统玩具扩展至影视、数字游戏、授权及实景娱乐等多个领域,主要产品有大富翁、小马宝莉、变形金刚等。(信息来源:TechCrunch网)
(二十九)Anthropic旗下AI编程工具Claude Code泄露51万行源代码
3月31日,由于NPM(包管理器)打包失误,Anthropic旗下爆款AI编程工具Claude Code的部分源代码泄露,共约51.2万行,包含4756个源文件、超过40个工具模块及多项未发布功能,主要涉及Claude Code的核心业务逻辑、工具调用系统与插件机制、功能开发路线图和内部模型代号等商业敏感信息。由于原始代码库具备本地Shell执行、脚本自动运行等高级能力,掌握完整源码的攻击者可以轻松构造精准的利用程序。攻击者只需诱骗开发者克隆不可信仓库,或打开特制的项目文件,就有可能实现对设备的静默控制或凭证窃取。建议用户优先使用官方已修复问题的稳定版本。企业必须立即部署防御措施,保护开发环境免受此类投机性攻击。(信息来源:BleepingComputer网)
(三十)星巴克10GB核心源码遭窃取
4月3日消息,网络安全威胁组织ShadowByt3s宣称对星巴克发起新一轮网络攻击,并窃取了10GB专有源代码和运营固件。被盗数据包含高度敏感的运营技术,这些技术作为星巴克实体门店设备的数字控制器,具体包括饮料分配器固件、Mastrena II意式咖啡机软件和FreshBlends资产等。据报道,这些数据是从一个名为“sbux-assets”的配置错误的亚马逊S3存储桶中获取,这是针对云漏洞的更大规模攻击行动的一部分。除实体设备固件外,此次入侵还涉及星巴克多个基于网页的内部管理工具。ShadowByt3s组织威胁星巴克需在4月5支付赎金,否则将公开全部数据集。(信息来源:FreeBuf网)
四、网安风险警示
(三十一)国安部提醒:注意词元(Token)使用带来的安全风险
4月7日消息,国家安全部发布提醒,注意国家数据局正式定名的AI领域核心术语——词元(Token)使用带来的安全风险。据统计,截至今年3月,我国日均词元调用量已超过140万亿,较2024年初增长1000多倍。词元是AI大模型处理信息的最小单元,兼具可计量、可定价、可交易三大特征。词元在使用过程中存在泄露劫持、伪造篡改,以及诈骗陷阱等安全风险,需加以防范。词元使用时应认清词元属性、强化使用规范、遵守法律法规,注意信息安全、隐私安全,提高安全防范意识,做到了解词元、善用词元。(信息来源:国家安全部)
(三十二)国安部提示:警惕智能穿戴设备泄露国家机密
4月1日消息,国家安全部发布提醒,警惕智能穿戴设备泄露国家机密。近日,某国发生一起因智能穿戴设备导致的军事机密泄露事件。该国某重要军事装备正在执行任务,一名军官跑步时佩戴的智能运动手表持续记录并公开了高精度GPS数据,致使该军事装备实时位置等重要敏感信息泄露,给该国国防安全造成难以弥补的重大损失。使用智能穿戴设备时应严控使用场景,敏感区域“慎触碰”;严控权限开关,“精打细算”给权限;严控数据分享,织牢信息“防护网”,做到多维防护,防患未然。(信息来源:国家安全部)
(三十三)工信部紧急提醒苹果用户
4月3日消息,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布《关于及时更新iOS特定版本 防范漏洞攻击利用的风险提示》。攻击者通过短信、邮件或网页投毒等方式,诱导用户使用Safari浏览器访问包含恶意代码的网页,综合利用终端设备中存在的安全漏洞,向受害终端产品植入远程控制木马,窃取用户敏感信息,获取最高权限并控制。建议使用苹果公司终端产品的用户做好风险排查,尽快通过升级版本和安装补丁等方式修复漏洞,防范网络攻击风险。(信息来源:NVDB)
(三十四)国家信息安全漏洞库通报OpenClaw高危漏洞集中爆发
4月3日,国家信息安全漏洞库(CNNVD)通报,2026年3月10日至4月2日期间,共采集OpenClaw漏洞155个,其中超危漏洞11个、高危漏洞53个,中危漏洞80个、低危漏洞11个,包含了访问控制错误、代码问题、路径遍历等多个漏洞类型,OpenClaw 2026.4.1之前的多个版本受影响。核心风险包括未授权访问配置接口、路径遍历读取系统文件、远程代码执行等。部分漏洞利用门槛极低,攻击者可通过恶意链接或钓鱼页面诱导用户触发,实现无感知入侵。目前,OpenClaw官方已发布了更新修复漏洞,建议用户尽快采取修补措施。(信息来源:CNNVD)
(三十五)Oracle Identity Manager系统存在命令执行漏洞
4月7日消息,Oracle Identity Manager系统存在命令执行漏洞CVE-2026-21992(CVSS评分9.8)。攻击者无需登录即可利用该漏洞执行任意代码,获取系统控制权限,进一步实施横向渗透、数据窃取或服务破坏等攻击行为。该漏洞可能导致企业关键业务系统失控,并存在违反数据安全及合规要求(如数据保护与访问控制要求)的风险。Oracle Identity Manager是一款企业级身份与访问管理平台,用于统一管理用户账户、权限分配和生命周期控制,实现自动化的身份治理与安全合规。该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。(信息来源:安恒信息CERT)
(三十六)Google Chrome Dawn存在释放后重用漏洞
4月1日消息,奇安信CERT监测到Google发布公告称Google Chrome Dawn释放后重用漏洞CVE-2026-5281(CVSS评分8.8)存在在野利用。该漏洞源于Dawn图形组件内存释放后未清空指针,导致已释放内存被重复访问。攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,Dawn是Chrome内置的跨平台图形渲染组件。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
