网络空间安全动态(202564期)
编者按:网安动向热讯,本期有十一点值得关注:一是国家网信办发布《中国网络法治发展报告(2025年)》;二是国家网信办等八部门联合发布《金融产品网络营销管理办法》;三是中国禁止外资收购Manus项目;四是美白宫发布备忘录:严防前沿AI模型遭遇工业级蒸馏;五是美国防部发布2027财年国防预算方案,大幅扩充军备并强化多域作战能力;六是美空军部发布数据与人工智能战略以加速巩固军事优势;七是特朗普政府解散美国国家科学委员会,全体成员被撤职;八是美众议院两党人工智能工作组推出《人工智能领导力法案》,以系统性联邦框架统筹AI发展与安全;九是美商务部要求芯片设备商暂停向华虹部分工厂供货,进一步收紧对中国先进制程设备管制;十是英美等十国网络安全机构发布报告炒作中国网络安全威胁;十一是欧盟委员会发布“数字欧洲计划”提案征集。
数据前沿快讯,本期有五点建议关注:一是工信部、国家数据局启动2026年“模数共振”行动;二是国家数据局发布《数字中国发展报告(2025年)》;三是国家数据局新设两大组织,推进数据基础设施与数据标准建设;四是美众议院推动联邦数据隐私立法,拟统一规则并强化企业数据约束;五是意大利数据保护局通过《电子邮件追踪像素使用指南》。
网安事件聚焦,本期有两方面内容建议关注:一是网络攻击目标已从传统核心关键基础设施,逐步向各国政务财政、民生公用事业这类领域蔓延。本期介绍:斯里兰卡财政部遭网络攻击,致超370万澳元被盗;美公用事业技术公司Itron内部IT网络遭未授权入侵。二是数据泄露事件频发,攻击目标已从传统核心关键基础设施,逐步向民生、商业及特殊领域扩散。本期介绍:荷兰化妆品巨头Rituals遭黑客攻击,超4100万会员数据泄露;美家庭安全公司ADT遭黑客攻击,1000万客户信息被窃;医疗设备巨头美敦力遭黑客组织攻击,超900万条记录被窃;英国生物银行50万志愿者医疗数据在阿里巴巴平台挂牌出售;上海隧道新加坡子公司发生数据泄露;伊朗黑客组织称已公布2379名驻中东美军士兵信息。
网安风险警示,本期有五点建议关注:一是美CISA紧急敦促政府机构修补Defender零日漏洞;二是开源框架Apache Camel存在高危远程代码执行漏洞;三是日志管理与可观测性平台LogScale存在路径遍历漏洞;四是Milesight AIOT摄像头存在硬编码SSL证书漏洞;五是开源框架Spring Boot存在默认安全过滤链权限绕过漏洞。
一、网安动向热讯
(一)国家网信办发布《中国网络法治发展报告(2025年)》
4月28日,国家网信办发布《中国网络法治发展报告(2025年)》。《报告》以习近平法治思想、习近平总书记关于网络强国的重要思想为根本遵循,全面盘点2025年我国网络法治建设的丰硕成果,系统总结经验,持续凝聚共识。《报告》分为正文和附录两大板块。正文共有六个部分,开篇系统概述2025年我国网络法治建设取得的积极进展,主体部分全面总结网络立法、网络执法、网络司法、网络法治宣传教育和涉外网络法治建设方面的实践成效。附录以大事记形式收录2025年度网络法治建设各领域具有重要意义的事件,清晰呈现年度工作关键节点与重要成果。(信息来源:中国网信网)
(二)国家网信办等八部门联合发布《金融产品网络营销管理办法》
4月24日消息,国家网信办等八部门联合发布《金融产品网络营销管理办法》,旨在规范金融产品网络营销活动,保障金融消费者和投资者合法权益,促进互联网金融健康有序发展。《办法》明确了金融机构主体责任,要求其对网络营销内容的合法合规性负责,建立审核工作机制。要求第三方互联网平台加强信息披露,便于金融消费者和投资者查询和核实合作金融机构和营销金融产品的基本信息。要求网络营销内容应当使用准确通俗的语言介绍金融产品关键信息,不含有虚假或者引人误解的内容。针对算法推荐、直播营销等新模式,以及强制搭售、骚扰营销、违规使用金融字样等问题,提出相应的规范要求。办法自2026年9月30日起实施。(信息来源:中国网信网)
(三)中国禁止外资收购Manus项目
4月27日,中国外商投资安全审查工作机制办公室(国家发展改革委)依法依规对外资收购Manus项目作出禁止投资决定,要求当事人撤销该收购交易。这是《外商投资安全审查办法》2020年实施以来,首个被公开叫停的AI领域外资收购案。Manus并购案被禁止,主要出于以下原因:一是禁止“洗澡式出海”的不合规做法。Manus通过将总部迁至新加坡,将境内AI业务的核心人员、技术等关键资产陆续转移至境外,同时剥离境内非核心业务,最终实现将核心业务整体转让给境外公司Meta。依据《外商投资安全审查办法》,这种试图规避监管的跨境资产转移行为,会被纳入外商投资安全审查视野。二是防范开放中的安全风险。Manus早期主要研发在中国,技术团队是中国工程师,这些关键特征决定了其人员、技术、数据的流动必然与中国利益产生关联。根据《外商投资安全审查办法》,此类技术相关投资活动,应依法接受安全审查。(信息来源:央视新闻)
(四)美白宫发布备忘录:严防前沿AI模型遭遇工业级蒸馏
4月23日,美国白宫总统科技助理兼科技政策办公室主任迈克尔·克拉齐奥斯签发国家科技备忘录《针对美国人工智能模型的对抗性蒸馏活动》(NSTM-4)。该备忘录称,美国前沿人工智能系统正遭遇境外实体有预谋、工业化规模的蒸馏活动——此类活动旨在系统性破坏美国研发能力、窃取专有信息,不仅能刻意剥离模型原有安全协议,还会消除确保人工智能模型保持“意识形态中立”和“追求真理”的约束机制。为此,特朗普政府在备忘录中列出四项重点行动计划:强化信息共享机制、提升私营部门协同能力、确立行业防御标准、实施问责与追责措施。目前该法案刚刚提交众议院,尚未进入委员会审查、听证或表决环节。(信息来源:美白宫网站)
(五)美国防部发布2027财年国防预算方案,大幅扩充军备并强化多域作战能力
4月22日消息,美国防部发布2027财年国防预算方案,总额达约1.5万亿美元,重点推动军工基础、先进武器与多域作战能力建设。预算较上一财年增加4409亿美元,增幅44%,预算中约7568亿美元用于发展新型作战能力与国防工业基础,涵盖供应链、关键矿产及中小企业体系;同时投入180亿美元推进“金穹”本土导弹防御系统建设,并增加317亿美元用于战备能力提升。此外,预算大幅加码前沿领域,包括约740亿美元用于无人机及反无人机技术、658亿美元用于造舰、超过750亿美元用于太空力量建设,以及200亿美元用于网络空间能力建设。(信息来源:全球技术地图)
(六)美空军部发布数据与人工智能战略以加速巩固军事优势
4月27日消息,美空军部首席数据与人工智能官办公室发布《数据战略》与《人工智能战略》,明确以打造“人工智能优先的作战力量”为牵引,加快依托数据与人工智能构建全域军事优势。《数据战略》旨在为人工智能应用提供坚实数据支撑,将数据定位为核心战略资产,构建去中心化数据体系,以任务所需速度为作战人员提供可信数据,全面提升战场感知、指挥决策和作战响应效能,掌握决策主导权。《人工智能战略》聚焦多域作战、战备保障、兵力效能、研发现代化、模拟训练5大关键任务领域,推进人工智能技术的实战化规模化运用,提升决策优势与作战敏捷性。(信息来源:国防科技要闻)
(七)特朗普政府解散美国国家科学委员会,全体成员被撤职
4月28日消息,特朗普政府已解散美国国家科学委员会,22名成员被全部撤职。该委员会成立于1950年,负责指导美国国家科学基金会运作,并就科学与工程政策向总统及国会提供建议。白宫方面回应称,委员会的相关权限可能需要更新,并强调国家科学基金会工作将不受影响,持续进行。(信息来源:央视新闻)
(八)美众议院两党人工智能工作组推出《人工智能领导力法案》,以系统性联邦框架统筹AI发展与安全
4月28日消息,美众议院两党人工智能工作组推出《美国人工智能领导力法案》。该法案整合了20多项跨党派提案,重点关注AI标准制定、创新投资、联邦治理现代化、劳动力发展及深度伪造防护等公共安全议题,旨在将工作组报告中的共识转化为连贯的国家战略。这是美国会试图整合此前分散的众多AI相关提案、建立统一联邦AI政策路径的最新举措,以推动美国在全球AI竞争中保持领导地位。(信息来源:全球技术地图)
(九)美商务部要求芯片设备商暂停向华虹部分工厂供货,进一步收紧对中国先进制程设备管制
4月29日消息,美商务部近日向多家芯片设备企业发出通知,要求暂停向中国第二大芯片制造商华虹旗下两处设施供应部分设备和材料,涉及泛林集团、应用材料、科磊等美国主要设备商。报道称,美方担忧华虹及其代工业务华力微电子可能推进先进计算芯片制造,其中上海Fab6已被指在准备7纳米工艺,另一处8a设施被认为仍在建设中。(信息来源:全球技术地图)
(十)英美等十国网络安全机构发布报告炒作中国网络安全威胁
4月23日,英国国家网络安全中心牵头,联合美国、澳大利亚、加拿大、德国、日本等九国网络安全机构,发布《防范中国背景的受感染设备隐蔽网络》报告,大肆鼓吹所谓“中国背景网络行为者”的网络安全威胁。报告认为,近年来“中国背景网络行为者”的战术出现重大转变,从使用单独采购的基础设施,转向利用外部提供的、大规模受感染设备构成的隐蔽网络。报告还按组织规模和受隐蔽网络威胁程度将组织分为一般组织、大型或较高风险组织、超大型或最高风险组织三个层级,分别给出防护建议。(信息来源:美CISA网站)
(十一)欧盟委员会发布“数字欧洲计划”提案征集
4月23日消息,欧盟委员会发布“数字欧洲计划”提案征集,总额达6300余万欧元,重点支持人工智能在医疗健康和网络安全等领域的创新应用,进一步推动数字技术在欧洲范围内的落地与普及。其中,900万欧元将用于支持基于人工智能的医学影像筛查项目,主要面向癌症和心血管疾病的早期预防与诊断。约2400万欧元将用于推动欧洲健康数据空间建设,支持数字医疗服务与系统发展。同时,相关资金还将用于扩大“更安全的互联网中心”网络覆盖范围,强化未成年人网络保护和数字福祉建设。1250万欧元用于开展高级数字技能培训,850万欧元用于开发促进合规的创新数字解决方案,600万欧元用于加强在线信息完整性研究,100万欧元用于设立欧洲数字信息中心支持平台,另有180万欧元用于“数字欧洲”计划的宣传与推广工作。(信息来源:中国国际贸易促进委员会网站)
(十二)英国国家网络安全中心发布跨域安全新指南
4月21日,英国国家网络安全中心发布跨域安全新指南,旨在应对现代复杂威胁。该指南提出从传统的单点防御转向端到端的分层安全架构,引入了“信任区域”、“信任边界”、“控制点”和“管道”等概念。该指南核心理念是承认“信任是分层且需持续验证的”,要求在不同安全级别的系统间传输数据时建立多层验证的“管道”以确保安全。该指南还反映了对灵活、分层控制的需求,并在很大程度上取代跨域解决方案的旧安全原则。(信息来源:英国国家网络安全中心网站)
(十三)德国BSI发布《实现云计算自治标准(C3A)》,将美国科技“网络主导”列为国家安全威胁
4月28日消息,德国联邦信息安全局(BSI)发布《实现云计算自治标准(C3A)》,首次明确将美国大型科技公司对客户系统和数据的永久访问与控制能力定义为新型国家安全威胁,旨在为欧盟构建“主权云”设立严格标准。该框架从战略主权、法律与司法主权、数据主权、运营主权、供应链主权及技术主权六大维度设定了严格标准,要求云服务在欧盟管辖下运营、确保数据不出欧、加密密钥归客户、运营可断外网连接等,以削弱美国科技巨头在数字基础设施中的主导权。(信息来源:安情视界)
(十四)日本通过《国家情报会议设置法案》
4月23日,日本众议院通过《国家情报会议设置法案》并送交参议院审议。日本拟构建以“国家情报会议”为核心、“国家情报局”为执行机构的情报体系,负责统筹安全保障、反恐等领域的情报活动以及涉外国间谍的“对外情报活动”,“国家情报局”还被赋予要求政府各省厅向其提供情报的综合协调权。待设立“国家情报局”法案正式生效后,政府还将全面启动“防止间谍法”的立法工作以及设立独立对外情报机构的专项研讨工作。(信息来源:新华网)
二、数据前沿快讯
(十五)工信部、国家数据局启动2026年“模数共振”行动
4月28日消息,工信部、国家数据局联合启动2026年“模数共振”行动,旨在通过模型与数据资源的深度融合,推动人工智能高水平赋能制造业的新型工业化进程。该行动面向钢铁、汽车、航空航天等20个重点行业,依托选定的重点城市和中央企业,计划构建高质量行业数据集、研发专用模型与智能体,并打造名为“模数共振”空间的协同基础设施,以形成“数据-模型-场景应用”的良性循环,并最终将这些空间发展为“智能体工厂”。行动明确了七项重点任务和具体时间节点,要求各地区和企业在2026年5月底前提交实施方案,并做好跟踪与中期评估,及时开展成效总结。(信息来源:工信微报)
(十六)国家数据局发布《数字中国发展报告(2025年)》
4月29日消息,在第九届数字中国建设峰会期间,国家数据局发布《数字中国发展报告(2025年)》。提出2025年数字中国建设呈现“实”的基础持续加固、“融”的效应不断彰显、“好”的环境持续优化三大特点,各地区各部门推进数字中国建设取得显著成效。报告显示,2025年数字中国发展指数稳步增长,一批数智领域新制度、新技术、新场景、新基建加快落地,我国已成为全球人工智能专利最大拥有国,5G演进网络实现广泛覆盖,数字人才队伍持续壮大。以人工智能为代表的数智技术深度赋能“五位一体”总体布局,数字经济、数字政务、数字文化、数字社会、数字生态文明建设协同发展。同时,数字中国投融资服务、安全保障、治理效能和国际合作能力持续增强,相关法规不断完善,国际合作不断深化,数字生态持续向好。(信息来源:国家数据局)
(十七)国家数据局新设两大组织,推进数据基础设施与数据标准建设
4月28日,国家数据局宣布成立“数据基础设施技术社群”,发布“数据标准语义化服务平台”,旨在加快推进“十五五”时期国家层面数据基础设施与数据标准化进程。新成立的“数据基础设施技术社群”将吸纳数据基础设施建设方、运营方、技术服务方、场景开发方、数据加工方等主体,开展技术研讨、验证、共享、应用和普及,共同降低数据基础设施落地实践门槛。新发布的“数据标准语义化服务平台”将助力大模型等人工智能技术精准解析数据、深度挖掘信息、开展智能计算,为数据加工、价值挖掘、业务落地等提供标准保障。(信息来源:国家数据局)
(十八)美众议院推动联邦数据隐私立法,拟统一规则并强化企业数据约束
4月21日消息,美众议院提出《安全数据法案》和《保卫金融数据法案》两项数据隐私法案,拟通过联邦立法取代当前各州分散的数据隐私法规体系,并对科技公司及金融机构的数据收集与使用设定统一规范。主要内容包括:一是推动联邦标准优先于现有州级隐私立法,缓解当前州际规则碎片化问题;二是赋予消费者访问、更正、删除、数据可携带及退出定向广告等权利,并对金融数据等敏感数据处理设置更严格的要求;三是将人工智能因素引入金融数据监管,要求金融机构披露其在收集和处理非公开个人信息时使用人工智能的方式。(信息来源:赛博研究院)
(十九)意大利数据保护局通过《电子邮件追踪像素使用指南》
4月17日,意大利数据保护局通过《电子邮件追踪像素使用指南》,其认为追踪像素因其隐藏和不可感知性质特别具有侵入性,能够破坏用户对其数据的控制和电子通信的机密性。该指南适用于所有参与在电子邮件中使用追踪像素的公共和私人实体,包括电子邮件发送者、电子邮件服务和营销自动化提供商、追踪技术提供商、列表经纪人和批量电子邮件提供商等。该指南强调了各类数据保护法律所规定的透明度、同意及问责义务,除非事先获得同意或适用特定的法定豁免,否则一般禁止使用追踪像素。该指南将在官方公报发布后生效,各实体有六个月的期限进行合规整改。(信息来源:Federprivacy网)
三、网安事件聚焦
(二十)斯里兰卡财政部遭网络攻击,致超370万澳元被盗
4月26日消息,斯里兰卡财政部遭网络攻击,致超370万澳元被盗,涉事资金原计划用于偿还对澳大利亚的债务。此次攻击是斯里兰卡国家机构遭黑客窃取金额最大的一起事件。斯里兰卡财政部秘书称,攻击者非法访问存有转账数据的邮件服务器,在主权债务付款流程中篡改了收款帐户。目前,斯里兰卡当局正在调查此事。(信息来源:安全牛)
(二十一)美公用事业技术公司Itron内部IT网络遭未授权入侵
4月28日消息,美公用事业技术公司Itron披露,其部分内部系统遭未授权第三方访问。Itron称在发现异常后已启动网络安全响应计划,向执法部门报案,并引入外部顾问开展调查、缓解、修复与遏制工作。目前相关未授权活动已被阻断,且尚未发现后续活动。Itron表示,此次事件未波及客户环境,业务运营也未出现重大中断,现阶段预计不会产生进一步实质性影响。Itron总部位于美国华盛顿州,业务涉及电网、供水和燃气网络等关键基础设施。(信息来源:BleepingComputer网)
(二十二)荷兰化妆品巨头Rituals遭黑客攻击,超4100万会员数据泄露
4月24日消息,荷兰化妆品巨头Rituals遭黑客攻击,超4100万会员数据泄露,包括客户姓名、出生日期、电子邮件地址、电话号码等。Rituals发言人表示,泄露数据为英国客户的会员数据,同时部分美国客户也受影响。截至目前,Rituals尚未就此次网络攻击的具体性质、数据泄露发生的具体方式,以及是否被勒索等作出回应。(信息来源:启明星辰安全简讯)
(二十三)美家庭安全公司ADT遭黑客攻击,1000万客户信息被窃
4月25日消息,美最大家庭安全公司ADT遭黑客攻击,1000万客户信息被窃。ADT表示,泄露的客户信息包括姓名、出生日期、电话号码、住址和税号后四位等,银行账户、信用卡等支付信息并未泄露,客户的安防系统也没有受到影响。黑客组织ShinyHunters声称对此事件负责,并发出了赎金威胁,要求ADT在4月27日前作出回应否则将公开数据。(信息来源:BleepingComputer网)
(二十四)医疗设备巨头美敦力遭黑客组织攻击,超900万条记录被窃
4月27日,医疗设备巨头美敦力公司证实,未经授权的第三方访问了其部分企业IT系统中的数据,超900万条记录被窃取,黑客组织ShinyHunters声称对此事件负责。该公司表示,已在外部网络安全专家的协助下启动了针对该的事件响应机制,尚未发现对产品安全、患者安全、运营、财务系统或医疗服务造成任何影响。目前,美敦力正在评估是否有个人数据被泄露,将通知受影响个人,并提供相应支持。(信息来源:启明星辰安全简讯)
(二十五)英国生物银行50万志愿者医疗数据在阿里巴巴平台挂牌出售
4月28日消息,英国政府证实,英国生物银行(Biobank)约50万名志愿者的医疗数据在阿里巴巴平台被挂牌出售。该数据包含基因信息、临床记录等,虽无直接个人标识,但专家警告可通过关联公开信息识别个体。目前,Biobank已与中国政府等合作将信息删除,并暂停访问研究平台,限制数据导出。英国政府将发布新数据处理指南,并采取进一步措施加强系统安全,防止此类事件再次发生。(信息来源:安全牛)
(二十六)上海隧道新加坡子公司发生数据泄露
4月29日消息,负责新加坡裕廊区域线三座地铁站及樟宜第三座新生水厂建设的上海隧道工程股份(新加坡)有限公司报告了网络安全事件,其与这两个项目相关的数据发生泄露,具体事件时间尚未明确;新加坡陆路交通管理局和公用事务局均表示已暂停该公司的数字系统访问权限。经调查,泄露数据为可公开获取的项目招标文件,未涉及敏感数据、未影响在建工程,当地媒体也未在勒索软件门户及黑客论坛发现相关被盗数据。目前,该公司回应称已采取控制措施,正与外部网络安全专家合作调查,并表示全力配合相关主管机构。(信息来源:安全内参)
(二十七)伊朗黑客组织称已公布2379名驻中东美军士兵信息
4月28日,伊朗黑客组织“Handala”宣称已在互联网公开驻中东地区2379名美国海军陆战队员的完整个人信息,包括姓名、身份证明、家庭住址、日常出行路线及购物习惯等,并威胁称这些数据可能用于后续物理打击。该组织被指与伊朗情报部门关联密切,此次行动被视为对美以军事行动的报复性网络心理战。(信息来源:新华社)
四、网安风险警示
(二十八)美CISA紧急敦促政府机构修补Defender零日漏洞
4月23日,美网络安全与基础设施安全局(CISA)敦促联邦机构在两周内采取措施,保护其Windows系统免受一个已被用于零日攻击的Microsoft Defender权限提升漏洞的侵害。该漏洞被追踪为CVE-2026-33825,属于高危级别,允许低权限的攻击者利用访问控制粒度过细的弱点,在未打补丁的设备上获得SYSTEM最高权限。安全研究人员披露,已有攻击者利用这些零日漏洞发动实际攻击。(信息来源:BleepingComputer网)
(二十九)开源框架Apache Camel存在高危远程代码执行漏洞
4月27日消息,Apache官方发布安全公告指出Apache Camel存在高危远程代码执行漏洞CVE-2026-40453(CVSS评分9.9)。攻击者可利用消息代理,通过生产者权限向Camel路由注入特制的头部信息,绕过现有的过滤机制,进而触发下游组件执行系统命令或写入任意文件。该漏洞目前尚未观察到广泛的在野利用迹象,但鉴于其高严重性评分,建议用户立即采取升级措施以消除风险。(信息来源:Apache网站)
(三十)日志管理与可观测性平台LogScale存在路径遍历漏洞
4月26日消息,安全研究机构披露日志管理与可观测性平台LogScale存在路径遍历漏洞CVE-2026-40050(CVSS评分9.8)。攻击者可通过构造包含特殊编码字符的恶意HTTP请求,直接针对LogScale集群中缺乏充分身份认证和输入验证的API端点进行攻击,无需任何凭据即可实施利用。目前未明确关联特定的已知攻击者,但鉴于其高严重性评分且无需认证,APT组织或勒索软件团体极有可能将其作为初始入侵或横向移动的手段,建议用户及时更新。(信息来源:SecurityAffairs网站)
(三十一)Milesight AIOT摄像头存在硬编码SSL证书漏洞
4月28日消息,美CISA发布ICSA-26-113-03紧急安全通告,指出Milesight AIOT摄像头的特定固件版本存在硬编码SSL证书漏洞CVE-2026-32644(CVSS评分9.8)。攻击者可能利用中间人攻击或会话劫持方式对系统进行攻击。由于证书包含硬编码的默认私钥,攻击者可拦截并解密设备与云端服务器或管理平台之间的加密通信数据,或者伪装成合法设备进行身份验证绕过。该漏洞目前尚未观察到广泛的在野利用迹象,但鉴于其高严重性评分和关键基础设施属性,存在潜在的高风险被用于针对工业物联网环境的定向攻击,建议受影响用户升级至最新版本。(信息来源:奇安信威胁情报中心网站)
(三十二)开源框架Spring Boot存在默认安全过滤链权限绕过漏洞
4月28日,VMware官方发布安全公告,披露开源框架Spring Boot存在默认安全过滤链权限绕过漏洞CVE-2026-40976(CVSS评分9.1)。攻击者可能利用以下特定组合条件对系统进行攻击:目标应用是基于Servlet的网络应用程序;未配置自定义的Spring Security配置,而是依赖默认的网络安全过滤器链;引入了spring-boot-actuator-autoconfigure依赖;且未引入spring-boot-health依赖。在此类环境下,攻击者可绕过安全限制直接访问所有端点。目前尚无公开的在野攻击活动,但鉴于其低攻击复杂性和无需认证的特性,攻击门槛极低,建议用户尽快升级补丁。(信息来源:奇安信威胁情报中心网站)
