网络空间安全动态（202563期）

        编者按：网安动向热讯，本期有十二点值得关注：一是国务院印发《关于推进服务业扩能提质的意见》；二是国家网信办等十部门联合公布《促进和规范电子单证应用规定》；三是我商务部回应欧盟《网络安全法》修订草案，中方坚决反对经贸问题政治化、泛安全化；四是中越发布联合声明，将积极推进智能制造、数字经济、人工智能、量子技术等领域合作；五是美众议院专委会出台对华人工智能技术审查报告；六是美白宫拟向联邦机构开放Anthropic的Claude Mythos漏洞挖掘AI访问权限；七是美参议院通过《国家量子计划再授权法案》，重启研发投入强化量子竞争力；八是美NIST将停止对低优先级漏洞评定严重程度分数；九是欧盟网络安全局发布《网络安全市场分析框架v3.0》；十是英国推出5亿英镑“主权AI基金”，全面强化国家级人工智能战略能力；十一是德国防长签署禁令，限制在德国防部使用个人手机；十二是《俄罗斯联邦人工智能法》已完成初步草案制定。

      数据前沿快讯，本期有两点建议关注：一是微软威斯康辛州人工智能数据中心提前启用；二是乌克兰3.0版HIMERA战术通信系统新增远程数据擦除和量子加密功能。

     网安事件聚焦，本期有两方面内容建议关注：一是网络攻击目标已从传统的大型实体机构，逐步向更广泛、更分散且防御能力较弱的领域扩展‌。本期介绍：主流网页部署平台Vercel遭黑客入侵，第三方AI工具成攻击突破口；去中心化区块链金融项目Kelp DAO遭黑客攻击，2.93亿美元加密货币失窃；俄罗斯加密货币交易所交易所疑遭敌对国黑客攻击，1300万美元被盗；美人工智能巨头OpenAI承认旗下产品遭供应链攻击；哈佛、斯坦福、MIT等顶尖大学网站遭黑客劫持。二是地方政府和企业等作为数据拥有者，面临数据泄露和网站遭恶意利用的双重风险。本期介绍：法国国家身份系统ANTS遭网络攻击，1900万公民数据疑似泄露；教育科技巨头确认发生数据泄露事件，影响约1350万个用户账户；精工美国公司网站遭篡改，黑客称窃取客户数据。

      网安风险警示，本期有五点建议关注：一是工信部平台通报iOS漏洞，iPhone用户应尽快升级防范网页端攻击；二是开源平台OpenClaw存在沙箱绕过权限提升漏洞；三是多款串口转IP转换器存在严重漏洞，或成关键基础设施攻击入口；四是Anthropic MCP架构存在设计缺陷，可导致远程代码执行；五是欧盟开源年龄验证App被曝存在严重安全漏洞。

      一、网安动向热讯

      （一）国务院印发《关于推进服务业扩能提质的意见》

      4月21日，国务院印发《关于推进服务业扩能提质的意见》。《意见》提出，到2030年，服务业总规模迈上100万亿元台阶，培育更多“中国服务”品牌，服务业全球竞争力、影响力明显增强，人民群众获得感持续提升。《意见》提出，要全链条补强生产性服务业薄弱环节，强化科技服务支撑作用，增强现代物流综合竞争力，加快软件和信息服务创新发展，增强供应链金融专业服务能力，积极发展节能环保服务，做强做优商务服务。在加快软件和信息服务创新发展方面，《意见》提出，深入实施“人工智能+”行动，加快智能编程工具研发使用，支持采购大模型、智能体服务。加快工业软件创新突破，建设重点行业工业软件兼容适配和应用示范中心。深入推进5G规模化应用。推动5G-A网络发展，加强6G技术研发。适度超前建设移动物联网。发展卫星互联网应用服务。围绕数据赋能，实施综合性重大场景和高价值应用场景项目，培育数智化转型服务商，打造数据、算法、场景协同应用标杆。（信息来源：工信微报）

      （二）国家网信办等十部门联合公布《促进和规范电子单证应用规定》

      4月17日，国家网信办、工信部等联合公布《促进和规范电子单证应用规定》，旨在促进和规范电子单证推广应用，提升货物贸易和运输数字化水平，服务数字经济高质量发展，自2026年9月1日起施行。《规定》明确了促进和规范电子单证应用的原则、部门职责等。提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则，鼓励电子单证的推广应用，分类分级管理电子单证系统，提升货物贸易和运输的数字化、便利化水平。明确各有关部门加强政策协同，依据各自职责促进和规范电子单证应用，推动电子单证领域的国际交流与合作。提出相关行业组织应当加强行业自律，建立健全行业自律制度和行业准则，促进电子单证的规范应用和生态繁荣发展。（信息来源：网信中国）

      （三）我商务部回应欧盟《网络安全法》修订草案，中方坚决反对经贸问题政治化、泛安全化

      4月17日消息，我商务部向欧委会提交了对欧盟《网络安全法》修订草案的评论意见。中方认为，草案以网络安全和供应链安全为名，引入极具主观随意性的“非技术风险”因素，特别是在草案中认定“网络安全关切国家”和“高风险供应商”名单，并在能源、交通、ICT等18个行业将列单的国家和供应商，全链条排除出欧盟相关供应链之外，这是经贸问题政治化、泛安全化的典型做法。据介绍，商务部在提交的评论意见中指出，欧盟《网络安全法》修订草案存在多方面问题：一是涉嫌违反最惠国待遇、国民待遇等世贸组织基本原则，既违反《1994年关税与贸易总协定》《服务贸易总协定》《补贴与反补贴措施协定》《技术性贸易壁垒协定》等多项协定规则，也违背欧盟服务贸易减让承诺。二是涉嫌超出欧盟法律授权，侵蚀成员国管理国家安全事务的专属权限。三是将对中欧经贸关系造成实质性伤害，对全球产供链造成严重冲击，也必将拖累欧盟自身的数字化、绿色化转型进程。（信息来源：商务部网站）  

      （四）中越发布联合声明，将积极推进智能制造、数字经济、人工智能、量子技术等领域合作

      4月17日，中华人民共和国和越南社会主义共和国关于在新时期持续深化全面战略合作伙伴关系、推动构建更高水平具有战略意义的中越命运共同体的联合声明。双方同意，积极推进智能制造、数字经济、人工智能、量子技术、半导体、高铁等领域开展技术合作。支持两国企业在符合各自国家法律和越南作出的国际承诺、保障彼此数据安全、网络安全、经济效益和长久利益基础上深度开展5G、大数据等数字产业合作。共同探索5G、大数据等数字技术在智能制造、智慧物流等工业场景的深度应用，推动两国传统制造业实现数字化、网络化、智能化升级。双方同意，发挥科技创新驱动发展引领作用，加强在人工智能、生命健康、清洁能源、数字技术等领域开展联合研发，培养高质量人力资源。（信息来源：新华网）

      （五）网安标委就技术文件《人工智能应用伦理安全指引》1.0版公开征求意见

      4月17日消息，网安标委就技术文件《人工智能应用伦理安全指引》1.0版公开征求意见，意见反馈截止时间为2026年4月26日24:00前。为进一步确保人工智能安全可控，统筹人工智能发展与安全，保障强化人工智能对国家经济、社会、生态等方面的持续推动作用，帮助人工智能应用相关方在各应用场景开展相关活动时，更好地兼顾发展、安全以及伦理各方面问题。本文件规定了人工智能应用活动中的伦理安全指引，包括伦理安全影响、伦理安全理念与治理原则，以及相关方开展活动的应用指引，适用于组织或个人开展人工智能应用开发、服务提供、使用等相关活动，也可为相关主管部门、行业组织和有关机构推进人工智能伦理安全治理提供参考。（信息来源：全国网安标委）

     （六）美众议院专委会出台对华人工智能技术审查报告

      4月16日，美众议院“美中战略竞争特别委员会”发布一份旨在限制中国提升前沿人工智能能力的审查报告。该委员会主席约翰·穆勒纳尔声称，中国正试图通过多种手段推进其人工智能发展目标，并敦促美国会尽快通过六项出口管制法案，以阻断中国获取美国技术栈的路径，意图维持美在人工智能领域的绝对领先地位。该委员会提出一套双轨制的立法干预响应方案，强烈建议国会主导通过《人工智能出口管制法案》《远程访问安全法案》《芯片安全法案》《阻止空壳法案》等多项核心法案，以修补现有政策漏洞并切断中国获取高端技术的各类渠道。此外，该委员会还建议美商务部工业与安全局和司法部采取更严厉的行政与司法协同执法行动，包括消除代工厂尽职调查规则中的豁免条款、将模型提取行为视作商业间谍活动予以打击，并大幅提高出口管制违规的民事和刑事处罚上限。（信息来源：合规小叨客）

      （七）美白宫拟向联邦机构开放Anthropic的Claude Mythos漏洞挖掘AI访问权限

      4月17日消息，彭博社援引内部备忘录报道，美白宫管理与预算办公室联邦首席信息官表示，正在建立防护措施，允许联邦机构开始使用Anthropic公司Claude Mythos模型的修改版本，该AI模型能快速识别网络安全漏洞并具备漏洞利用能力，要求各机构技术与安全负责人为后续安排做好准备。备忘录并未明确各机构能否最终获得Claude Mythos的访问权限，亦未给出具体时间节点或使用方式，相关细节将在“未来数周”内跟进披露。白宫官员表示，政府将继续与AI公司合作，确保其模型有助于修复关键软件漏洞。目前，Anthropic和美政府均未披露获得Mythos早期访问权限的联邦机构。（信息来源：FreeBuf网）

     （八）美参议院通过《国家量子计划再授权法案》，重启研发投入强化量子竞争力

      4月17日消息，美参议院通过《国家量子计划再授权法案》，旨在巩固美在量子计算、传感、密码等领域的领先优势，保障国家安全与经济竞争力，应对国际科技竞争。该法案将《国家量子倡议》延长至2034年12月，授权联邦资金支持量子技术研发，计划每年向美NIST拨款8500万美元，向美国家航空航天局拨款2500万美元。新增NASA量子卫星通信与传感研究，设立多所量子研究中心与人才平台，强化供应链安全评估并推进与盟友的技术协同。（信息来源：全球技术地图）

      （九）美NIST将停止对低优先级漏洞评定严重程度分数

      4月20日消息，美国家标准与技术研究院（NIST）宣布一项关于国家漏洞数据库（NVD）的重大政策调整，从2026年4月15日起，NIST仅针对符合特定风险标准的安全问题进行分析，并提供额外详细信息（如严重程度评级、受影响产品列表等），放弃对所有CVE条目的全面覆盖。NIST表示，未来将专注于三类关键漏洞：被列入CISA已知被利用漏洞数据库的漏洞、影响美联邦机构使用的软件中的漏洞，以及被归类为“关键软件”的产品漏洞。这些软件包括操作系统、网络浏览器、安全工具等核心系统组件。此外，NIST还宣布将停止提供其独立的CVSS严重性评分，转而直接引用最初由CVE发布方提供的评分。NIST解释称，做出该决定是因为提交的漏洞数量庞大，且在2026年仍在加速增长。（信息来源：美NIST网站）

      （十）美FTC正扩大AI监管范围，重点打击利用语音克隆实施的网络诈骗

      4月20日消息，美联邦贸易委员会（FTC）正扩大AI监管范围，计划依据《删除法案》对非自愿性AI深度伪造内容开展执法，并重点打击利用语音克隆实施的网络诈骗。该法案允许对传播非自愿私密图像与AI伪造内容者追究刑责，相关移除条款将于2026年5月生效，个人可提交移除通知，平台须在48小时内处理，否则将面临FTC调查与处罚。FTC表示，AI大幅降低诈骗门槛，正研究针对性管控手段，但受跨境执法与权限限制，需补充立法支持。FTC强调将逐案判定深度伪造的误导性，重点规制存在虚假陈述或未披露AI生成的内容，并将未成年人网络保护作为核心方向。（信息来源：CyberScoop网）

      （十一）美Celerium公司推出“网络穹顶”平台以保护国防承包商安全

      4月17日消息，美网络安全公司Celerium推出“国防工业基础网络穹顶”平台，该平台可为中小型国防承包商提供一体化网络安全解决方案，并满足美国防部网络安全成熟度模型认证2级要求。该平台提供24/7全天候网络持续可见性和监控能力，且无需大型内部团队。该平台由两大部分组成：一是网络拦截器，旨在持续监控网络威胁，每15分钟更新和调整一次，可部署于物理服务器或云基础设施，能自动完成大部分安全工作，并生成审计报告；二是高级防御系统，该系统利用人工智能检测新兴威胁，并可协调平台内部各参与组织进行防御响应。（信息来源：信息安全与通信保密杂志社）

     （十二）欧盟网络安全局发布《网络安全市场分析框架v3.0》

      4月17日消息，欧盟网络安全局发布新版《网络安全市场分析框架v3.0》，旨在为欧盟及利益相关方提供一套系统化、可配置的方法论，用于结构化研究、监测与评估网络安全市场。该框架核心为更强的约束响应能力‌，支持在紧迫时间内通过标准化模板保持分析质量；‌更高效的数据驱动方法‌，采用模块化工具与可重用分类法，减少重复工作；‌更灵活的工作流程‌，适配短期临时请求或长期计划性研究；‌更高可持续性‌，支持周期性分析与连续监测，实现跨研究可比性。（信息来源：天极智库）

‌       （十三）英国推出5亿英镑“主权AI基金”，全面强化国家级人工智能战略能力

      4月18日消息，英国科学、创新与技术部部长丽兹·肯德尔在伦敦出席自动驾驶AI企业Wayve的活动时，正式宣布启动一项价值5亿英镑的“主权人工智能基金”，该基金已完成首笔投资，旨在通过国家级战略资源整合，全方位赋能英国本土AI企业初创孵化与规模化扩张，确保英国在AI领域的主权技术能力，进一步巩固全球AI产业前三的领先地位。该基金同时向Prima Mente、Cursive、Odyssey等6家英国本土企业开放超级计算机网络算力支持，获投企业覆盖生物基础模型、自主智能体、世界模型等前沿领域，英政府希望通过资金与算力扶持，留住本土人工智能创新企业，强化英国在全球人工智能产业的竞争力，推动技术服务于本土就业与社会发展。（信息来源：财联社）

      （十四）德国防长签署禁令，限制在德国防部使用个人手机

      4月16日，德国《明镜周刊》披露，德国防部长鲍里斯•皮斯托里乌斯出于对间谍软件攻击的担忧，大幅限制甚至禁止在国防部及联邦国防军办公场所内使用私人手机、平板电脑及智能手表等个人电子设备。禁令并非针对整个办公区的全天候禁止，而是精准锁定高风险环节。禁令明确规定：不得携带手机、平板电脑或智能手表等私人设备，进入任何讨论“仅供官方使用机密信息”或更高级别内容的个人或虚拟会议；不能进入任何讨论“仅供官方使用机密信息”或更高级别内容的个人或虚拟会议；当会议内容涉及“演习项目/任务规划”或联邦国防军的作战准备时，此项规定尤为严格；在上述预约（会议）前，所有私人设备必须锁入会议室外的储物柜中。（信息来源：俄罗斯卫星通讯社）

      （十五）《俄罗斯联邦人工智能法》已完成初步草案制定

      4月16日消息，《俄罗斯报》《消息报》等俄本土主流媒体透露，《俄罗斯联邦人工智能法》已完成初步草案制定，目前已进入联邦数字发展部、联邦安全局、行业协会及科研机构联合征询意见、跨部门审核修订阶段。作为俄罗斯首部人工智能领域专项联邦法律，计划于2027年9月1日正式生效。据报道，草案初步版本摒弃“一刀切”监管模式，聚焦人工智能全生命周期规范，形成了以模型分类管理为核心，安全规范、权责界定、数据保护为支撑的完整体系。草案最具标志性的内容，是将人工智能模型明确划分为主权人工智能模型（该模型要求研发、训练、部署全流程均在俄境内完成，100%使用本土合规数据集，且全程禁止使用任何外国软硬件、开源组件与境外技术服务，主要应用于国防、政务、能源、交通等国家关键领域）和国家人工智能模型（该模型相对灵活，允许适度采用国际开源技术方案，训练数据可结合本土与境外合法数据，适配民用、商业等市场化场景，既降低企业研发门槛，又兼顾产业发展效率）两类，实施差异化监管与扶持，此举有助于提高俄罗斯IT行业独立性，降低数据泄露风险，确保对关键技术的控制。（信息来源：环球时报）

      二、数据前沿快讯

      （十六）微软威斯康辛州人工智能数据中心提前启用

      4月20日消息，微软公司位于美国威斯康辛州的人工智能数据中心Fairwater已提前上线。该中心总占地127.6公顷，包含三栋建筑，使用75公里深基础桩、1.2万吨钢材、193公里电缆和117公里管道，搭载闭环液冷系统。该中心总投资33亿美元，拥有数十万块英伟达GB200超级芯片，性能十倍于全球最快超算，将用于前沿AI模型的训练，为微软全球业务提供算力支持。（信息来源：启元洞见）

      （十七）乌克兰3.0版HIMERA战术通信系统新增远程数据擦除和量子加密功能

      4月17日消息，乌克兰通信安全公司HIMERA将其战术通信系统升级至3.0版本，新增远程数据擦除功能和高级加密技术，以提升战场环境下的信息安全与通信稳定性。其中，G1 PRO对讲机增加远程数据擦除功能，可在设备遗失或面临被俘风险时清除全部敏感数据，防止通信链路泄露。在加密方面，该系统在AES-256加密基础上，叠加与Quantropi公司联合开发的量子加密方案，显著增强抗拦截能力。此外，该系统还扩展了设备配置工具兼容性，优化了数据传输稳定性，并更新了用户界面，添加了乌克兰语、新菜单项及离线访问培训资料功能，以适应网络不稳定的实战环境。（信息来源：信息安全与通信保密杂志社）

      三、网安事件聚焦

      （十八）主流网页部署平台Vercel遭黑客入侵，第三方AI工具成攻击突破口

      4月20日消息，主流网页应用托管与部署开发平台Vercel遭黑客入侵，涉事黑客正试图出售窃取的数据，包括员工姓名、电子邮箱地址以及操作时间戳等。Vercel在社交平台X上发布公告证实发生安全事件，经调查确认，此次安全事件源于一款第三方AI工具，该工具的谷歌云端工作区OAuth应用遭大范围入侵，可能影响数百个机构的大量用户。Vercel建议管理员检查操作日志，采取核查并轮换环境变量的额外防护措施排查可疑行为；建议谷歌云端工作区管理员及谷歌账户持有者立即核查该应用的使用情况。（信息来源：IT之家）

      （十九）去中心化区块链金融项目Kelp DAO遭黑客攻击，2.93亿美元加密货币失窃

      4月19日消息，运行在以太坊上的去中心化区块链金融项目Kelp DAO遭黑客攻击，黑客利用其跨链通信协议里的逻辑漏洞，盗走价值2.93亿美元的约11.65万个rsETH代币。Kelp DAO是一个流动性再质押的区块链协议，rsETH代币是其交易、质押收益凭证。为了让rsETH能够在不同网络间转移，Kelp DAO使用了跨链桥技术，而攻击者伪造了一条带有合法签名的跨链指令，误导系统执行资金划转，暴露出跨链桥正在成为DeFi体系中最容易被突破的关键节点。此次攻击在多个加密平台引发连锁反应，对DeFi市场造成剧烈冲击，是目前已知损失金额最大的一起DeFi安全事件。（信息来源：彭博社）

      （二十）俄罗斯加密货币交易所疑遭敌对国黑客攻击，1300万美元加密货币被盗

      4月20日消息，俄罗斯加密货币交易所Grinex声称，遭不友好国家特种部门黑客发起的攻击，导致1300万美元加密货币被盗。区块链安全公司TRM实验室也观测到该盗窃事件，研究人员发现约70个被清空的钱包地址，被盗资产的价值估算为1500万美元。Grinex是一家在吉尔吉斯斯坦注册、已被美制裁的加密货币交易所。Grinex表示，从攻击留下的数字足迹及其特征看，攻击者动用的资源和技术水平前所未见，此种能力仅掌握在不友好国家的相关机构手中，攻击经过精心协调，目的在于直接损害俄罗斯的金融主权。（信息来源：安全内参）

      （二十一）美人工智能巨头OpenAI承认旗下产品遭供应链攻击

      4月16日消息，美人工智能巨头OpenAI公司发布声明，承认旗下产品遭供应链攻击,波及第三方库Axios。Axios是一款广泛使用的开源JavaScript HTTP客户端库，周下载量超过1亿次。据悉，朝鲜黑客组织在3月份入侵了Axios主要维护者NPM的账户，并发布两个恶意NPM软件包，以用于下载和执行一款可跨Windows、macOS和Linux平台运行的远程访问木马。恶意软件包通过拥有macOS应用签名证书访问权限的GitHub Actions工作流进入了构建过程，攻击者可滥用窃取的证书来签署恶意代码，并伪装为合法OpenAI软件。目前，OpenAI已撤销并替换了所有macOS桌面应用程序（ChatGPT Desktop、Codex、Codex CLI 和Atlas）的代码签名证书。（信息来源：凤凰网）

      （二十二）哈佛、斯坦福、MIT等顶尖大学网站遭黑客劫持

      4月19日消息，安全研究人员披露一起针对美国高校的大规模子域名劫持事件，黑客控制至少34所.edu域名机构的废弃子域名，涉及哈佛、斯坦福、MIT等顶尖院校。由于高校院系、实验室在第三方平台搭建站点并绑定子域名，项目终止后未及时清理DNS配置，导致解析指向无主外部服务。黑客通过注册同名账号，即可完全掌控高校子域名，投放色情与搜索垃圾内容。凭借.edu域名的高信任度，相关内容快速被Google索引。研究人员表示，此次攻击手法与Hazy Hawk黑客组织高度吻合，该组织长期挖掘闲置DNS记录。研究人员建议机构建立完整子域名台账，项目下线后及时清理DNS配置，避免数字声誉与域名信任度受损。（信息来源：SecurityLab网）

     （二十三）法国国家身份系统ANTS遭网络攻击，1900万公民数据疑似泄露

      4月20日消息，法国负责身份证、护照、驾照等安全证件管理的国家机构ANTS官网遭网络攻击，1900万条公民数据疑遭泄露，包括姓名、出生日期、联系方式、账户元数据等个人身份信息，未涉及证件扫描件与账户直接登录凭证。黑客组织ExtaseHunters宣称已窃取改机构数据，并以私下议价方式进行兜售，声称数据真实未篡改，支持第三方托管交易。该数据若被滥用，可引发大规模身份盗用、金融诈骗、合成身份欺诈等长期安全风险。法国内政部已确认该事件，国家网络安全部门已展开调查，并强化平台防护措施。官方提醒用户警惕钓鱼短信、电话与邮件等诈骗行为。（信息来源：SecurityAffairs网）

      （二十四）教育科技巨头确认发生数据泄露事件，影响约1350万个用户账户

      4月17日消息，教育科技公司McGraw Hill确认发生数据泄露事件，影响约1350万个用户账户。黑客组织ShinyHunters通过利用该公司环境中的配置错误获取数据，并在勒索未果后公开泄露超过100GB信息。泄露数据包含用户姓名、电话号码及物理地址等，目前已确认至少涉及1350万个唯一邮箱账号。此类信息具备较高滥用价值，可能被用于钓鱼攻击和社会工程攻击。McGraw Hill表示，此次事件仅涉及托管在Salesforce平台某网页上的“有限数据集”，包括客户数据库、课程内容及内部基础设施的核心系统未受影响。McGraw Hill表示已加固受影响页面，建议用户启用双因素认证，‌警惕钓鱼邮件和电话。（信息来源：BleepingComputer网）

     （二十五）精工美国公司网站遭篡改，黑客称窃取客户数据

      4月21日消息，精工（Seiko）美国公司网站遭篡改，攻击者声称已成功突破Shopify商店的安全系统，下载整个客户数据库，并威胁Seiko在72小时内与其联系，否则将公布数据库。遭泄露数据包括客户信息（姓名、电话号码、电子邮件地址），订单历史（购买记录、交易详情），配送数据（地址、配送偏好），以及账户详情（账户创建日期、客户备注）。目前，尚无法确定攻击者的说法是否属实，Seiko尚未公开确认该事件，但已从网站上移除勒索信息。（信息来源：BleepingComputer网）

      四、网安风险警示

      （二十六）工信部平台通报iOS漏洞，iPhone用户应尽快升级防范网页端攻击

      4月15日，工信部网络安全威胁和漏洞信息共享平台（NVDB）发布关于苹果公司面向iPhone用户的紧急安全提醒，苹果公司就已发现的针对旧版iOS的网页攻击漏洞给出三项防护措施：一是按照系统提示升级至安全版本，或安装关键安全更新；二是无法完成更新的设备，若支持可启用锁定模式强化防护；三是可前往苹果官方零售店、授权经销商或服务提供商，进行版本检测与安全修复。该预警由苹果官方发布，经工信部平台同步通报，属高优先级安全事件，建议所有iPhone用户尽快完成系统更新，避免因漏洞被利用导致设备受控、数据泄露等安全问题。（信息来源：NVDB）

      （二十七）开源平台OpenClaw存在沙箱绕过权限提升漏洞

      4月21日消息，启明星辰安全应急响应中心监测到OpenClaw沙箱绕过权限提升漏洞CVE-2026-41329（评分9.9）。该漏洞源于系统在处理heartbeat上下文继承机制时，对执行上下文及权限边界校验不充分，且senderIsOwner参数可被操控，导致攻击者能够伪造或继承高权限上下文，绕过既有sandbox限制。成功利用后，攻击者可在未获授权的情况下提升执行权限，突破安全隔离边界，进而访问受限功能、执行高危操作或影响系统完整性，对使用OpenClaw的业务系统和用户环境造成较大安全威胁。OpenClaw是一款面向自动化任务执行与智能代理调度的开源平台，支持通过命令驱动方式管理任务执行、系统配置及调试流程。官方已发布修复补丁，建议用户尽快更新。（信息来源：启明星辰）

      （二十八）多款串口转IP转换器存在严重漏洞，或成关键基础设施攻击入口

      4月20日消息，安全研究人员披露多款Serial-to-IP converter（串口转IP转换器）存在高危安全漏洞。此类设备广泛用于将传统串行通信设备接入TCP/IP网络，是工业控制系统和医疗设备网络化的重要桥接组件，受影响设备来自多家厂商，漏洞类型主要包括未授权访问、弱身份认证以及硬编码凭证。攻击者无需复杂利用，即可通过网络直接访问设备管理接口，执行配置修改、数据拦截甚至设备控制等操作。部分设备还开放Telnet或Web管理端口且缺乏访问控制，甚至使用默认凭证或内置账户允许攻击者远程登录。目前，相关厂商已发布安全公告，建议用户立即采取措施。（信息来源：安全牛）

      （二十九）Anthropic MCP架构存在设计缺陷，可导致远程代码执行

      4月21日消息，安全公司披露Anthropic推出的Model Context Protocol（MCP）存在严重设计缺陷。MCP是Anthropic 2024年推出的开放标准，旨在让大模型通过统一接口连接外部工具、数据源和服务。此次漏洞的核心在于MCP官方SDK中的STDIO接口设计，该接口原用于启动本地服务并建立通信，但实际实现中会直接执行用户传入的任意操作系统命令，即使服务启动失败，命令仍可能被执行，且缺乏输入校验与安全边界隔离。攻击路径多样，包括未授权UI注入、Prompt Injection、绕过防护机制以及通过MCP Marketplace分发恶意组件等。研究人员表示，目前超过7000台服务器暴露在公网、约20万实例及数千万级SDK下载量，潜在影响覆盖LangChain、LiteLLM、LangFlow等主流工具链。Anthropic建议开发者谨慎使用相关功能。（信息来源：TheHackerNews网）

     （三十）欧盟开源年龄验证App被曝存在严重安全漏洞

      4月20日消息，欧盟委员会推出的开源年龄验证App被曝存在严重安全漏洞，该应用在发布后短时间内即被安全专家攻破，暴露出多项高风险问题，包括敏感数据明文存储‌、‌生物识别验证可被绕过‌、‌PIN码机制脆弱，以及无自动清理机制等。该App旨在帮助社交平台和成人网站验证用户年龄，以符合《数字服务法案》对未成年人保护的要求。欧盟委员会称被测试的是演示版本，仅用于开发测试，相关漏洞已被修复。（信息来源：安全牛）