网络空间安全动态(202618期)
编者按:网安动向热讯,本期有十一点值得关注:一是中国—东盟人工智能产业创新中心成立;二是我国牵头完成首个ITU-R 6G卫星技术趋势报告;三是美总统特朗普发布“将金融科技创新融入监管框架”行政令;四是美白宫暂缓签署AI监管行政令;五是美白宫管理和预算办公室发布备忘录,规范日志记录与网络可视化工作;六是美国防部首席数字和人工智能办公室成立GenAI.mil工作组;七是美商务部宣布20亿美元量子投资计划,加速构建量子计算产业体系;八是美能源部引入开源AI平台推进“创世纪计划”,强化科学研究与技术开发能力;九是美国与瑞典签署关于技术繁荣协议的谅解备忘录;十是英国与澳大利亚签署人工智能安全合作谅解备忘录,应对前沿模型网络安全风险;十一是欧盟委员会发布《人工智能法案》第6条高风险AI系统分类指南草案。
数据前沿快讯,本期有三点建议关注:一是国家数据局印发2026年数字经济发展工作要点;二是公安部就《公安机关电子数据取证规则(征求意见稿)》公开征求意见;三是国家数研院等发布《数据流通安全合规框架和指标体系1.0》。
网安事件聚焦,本期有两方面内容建议关注:一是高危网络攻击活动频发,攻击者针对重点行业及机构实施渗透入侵,引发系统性安全风险。本期介绍:APT组织Lazarus利用RemotePE攻击金融机构;巴基斯坦公共安全机构遭网络钓鱼攻击,VS Code远程隧道被滥用;GitHub遭供应链攻击致3800个内部代码库数据泄露。二是大量敏感数据的泄露严重威胁个人隐私及企业运营。本期介绍:纽约公立医疗系统遭网络攻击,180万名患者敏感数据被泄露;美国里士满放射学协会26.6万人数据遭泄露;全球连锁便利店7-11遭黑客组织入侵,超18.3万名用户信息被窃取。
网安风险警示,本期有六点建议关注:一是国家互联网应急中心发布“银狐”木马风险预警;二是国家网络与信息安全信息通报中心通报npm遭供应链投毒攻击;三是工信部发布关于防范Evelyn Stealer恶意软件的风险提示;四是美CISA将七个严重漏洞纳入已知可利用漏洞目录;五是Drupal高危SQL注入漏洞遭大规模利用;六是NGINX存在高危堆缓冲区溢出漏洞。
一、网安动向热讯
(一)中国—东盟人工智能产业创新中心成立
5月24日,中国—东盟人工智能产业创新中心成立仪式在北京举行。中心将重点聚焦四方面工作:一是推动技术研发与创新合作,加强大模型等新一代人工智能技术在工业典型场景中的应用,加快产业智能化升级。二是构建人工智能产业合作生态,建立中国与东盟国家人工智能产业对话机制,促进双多边贸易投资。三是深化人工智能治理实践,加强标准化协同与治理工具开发,形成更具共识的治理框架和规则。四是助力区域能力建设,共建智能基础设施,共享人工智能发展红利,推动弥合全球智能鸿沟。(信息来源:工信微报)
(二)我国牵头完成首个ITU-R 6G卫星技术趋势报告
5月20日消息,由中国信息通信研究院牵头,在WP4B国内对口组组长单位上海垣信卫星科技有限公司的组织协调下,联合中信科移动、中国电信集团卫星通信有限公司等单位共同完成的《6G卫星部分的发展和技术趋势》报告经WP4B会议审议并提交5月15日召开的SG4会议通过。报告聚焦6G卫星无线电接口技术研究,内容涉及6G卫星发展趋势、网络技术、终端发展、隐私与安全等方面。本次会议通过的这份报告,是我国无线电科技工作者对国际标准化研究的重要贡献,为未来6G卫星技术标准发展奠定了基础。(信息来源:工信部网站)
(三)美总统特朗普发布“将金融科技创新融入监管框架”行政令
5月20日消息,美总统特朗普发布关于“将金融科技创新融入监管框架”行政令。行政令指出,为促进金融创新,联邦政府必须更新相关法规、简化监管流程,允许将数字资产和创新技术融入传统的金融服务和支付系统。此外,该行政令还要求美联储通过总统经济政策助理向总统提交一份报告,阐述非受保存款机构和非银行金融公司以及直接参与实时支付网络的公司获取美联储支付账户和支付服务的法律、监管和政策框架。(信息来源:美白宫网站)
(四)美白宫暂缓签署AI监管行政令
5月24日消息,美白宫取消原计划举行的人工智能行政令签署仪式。据美媒获取的行政令草案内容,该文件的核心目标是防范先进人工智能技术被不法滥用、规避重大网络安全风险,并构建一套行业自愿性AI安全监督机制。按照草案要求,研发高端人工智能模型的企业在计划将所涵盖的前沿模型发布给其他可信合作伙伴之前,在最长90天的期限内,允许联邦政府访问这些模型。但草案将人工智能安全漏洞协调处置的主导权划归美国财政部,这与现有行业监管惯例严重不符。与此同时,草案部分实操条款的模糊性也让企业产生诸多顾虑,企业担忧“需提前向政府提交AI模型访问权限”这一要求会限制自身与盟国的安全协同测试,阻碍跨国AI安全协作的推进。(信息来源:Politico网)
(五)美白宫管理和预算办公室发布备忘录,规范日志记录与网络可视化工作
5月22日消息,美白宫管理和预算办公室发布备忘录,规范日志记录与网络可视化工作,以应对日益复杂的自动化、AI驱动网络威胁。备忘录指出,此前无差别海量留存日志的做法成本高昂、实用性不足,难以支撑快速威胁响应;要求机构建立基于风险的优先级日志管理架构,重点记录系统登录、权限变更等关键安全事件,精简冗余数据,搭配自动化分析工具提升威胁检测、响应与溯源能力,在控制成本的同时增强整体网络防御水平。(信息来源:美白宫网站)
(六)美国防部首席数字和人工智能办公室成立GenAI.mil工作组
5月20日消息,美国防部首席数字和人工智能办公室成立GenAI.mil工作组,将开展为期180天的试点计划,加速将人工智能融入军事行动。该工作组将直接派驻技术专家到作战部队,将人工智能融入到实时任务工作流程中,并支持战场决策。据悉,美国防部2025年12月启动了GenAI.mil项目,旨在为军方、文职人员和承包商提供生成式人工智能工具。(信息来源:ExecutiveGov网)
(七)美商务部宣布20亿美元量子投资计划,加速构建量子计算产业体系
5月21日消息,美政府依据《芯片与科学法案》,拟向9家量子企业提供总额20.13亿美元激励资金,以加快实用化、容错型量子计算机研发,强化美在量子技术领域的领先地位。其中,IBM公司与Global Foundries公司将分别获得10亿美元和3.75亿美元资金支持,用于建设本土量子制造与晶圆代工能力;Atom Computing、D-Wave、PsiQuantum、Quantinuum等7家企业则重点攻关量子比特扩展、误差率控制、低温系统集成与光子互连等关键技术。(信息来源:美NIST网站)
(八)美能源部引入开源AI平台推进“创世纪计划”,强化科学研究与技术开发能力
5月22日消息,美能源部与美国Reflection AI公司签署合作备忘录,将在“创世纪计划”框架下,为美国17家国家实验室提供开源人工智能平台,以加快科学研究与技术开发。该平台将整合全国科研数据、超级计算机与下一代量子系统,重点支持聚变能源、量子算法、生物技术、核数据分析和AI自主实验室等26项关键科研任务。(信息来源:MeriTalk网)
(九)美国与瑞典签署关于技术繁荣协议的谅解备忘录
5月25日消息,美国与瑞典签署关于技术繁荣协议的谅解备忘录,加强在战略科学技术领域的合作。双方重点合作领域包括:加速可信人工智能和先进连接技术的开发与普及;加速生物医学研究与创新;提升制造业和工业竞争力;释放能源创新和韧性;加强太空合作;推进国防创新;推进安全量子生态系统;加强科研和产业安全。(信息来源:美白宫网站)
(十)英国与澳大利亚签署人工智能安全合作谅解备忘录,应对前沿模型网络安全风险
5月25日消息,英国与澳大利亚签署人工智能安全合作谅解备忘录,共同应对快速演变的前沿AI安全风险。根据协议,英国AI安全研究所与澳大利亚AI安全研究所将共享前沿模型能力信息,联合开展AI风险研究,并合作制定AI系统测试与评估的国际实践,重点关注AI在网络攻击与网络防御领域的潜在影响。双方还将推动人员交流与日常协作机制建设。(信息来源:英国政府网站)
(十一)欧盟委员会发布《人工智能法案》第6条高风险AI系统分类指南草案
5月19日消息,欧盟委员会发布《人工智能法案》(AI Act)第6条项下高风险AI系统分类指南草案,并同步面向全社会公开征求意见。该指南旨在统一解读与落地标准,帮助AI提供商、使用者及监管机构准确判断系统是否属于“高风险”类别,保障AI Act在欧盟范围内一致、有效实施。该指南同时提供正反案例清单,覆盖医疗、交通、能源、金融、公共服务等领域,以增强实操性。欧盟委员会强调,指南为非约束性解释文件,最终法律效力仍以AI Act文本及欧盟法院判例为准。(信息来源:欧盟委员会网站)
二、数据前沿快讯
(十二)国家数据局印发2026年数字经济发展工作要点
5月19日,国家数据局印发《2026年数字经济发展工作要点》,对2026年推进数字经济高质量发展重点工作作出部署,提出8个方面的重点任务,具体涵盖:深化数据要素市场化配置改革、筑牢数字基础设施底座、强化数据赋能人工智能发展、提升数字经济核心竞争力、促进实体经济和数字经济深度融合、提升数字化治理与服务能力、深化数字经济国际合作和营造良好发展环境。下一步,国家数据局将会同有关部门抓好各项任务落实,以经济领域重大场景为切入,充分释放数据要素价值,助力建设现代化产业体系,加快培育新质生产力,赋能经济高质量发展。(信息来源:国家数据局)
(十三)公安部就《公安机关电子数据取证规则(征求意见稿)》公开征求意见
5月22日,公安部发布《公安机关电子数据取证规则(征求意见稿)》(下文简称“取证规则”)并向社会公开征求意见。此前,公安部曾于2019年制定《公安机关办理刑事案件电子数据取证规则》(下文简称“2019年规则”),是电子数据领域的重要规范性文件。取证规则共六章61条,并附7类法律文书样式,整体结构较2019年规则更加完整,在扩大适用范围,规范电子数据取证相关概念,明确获取密码、调取电子邮件等特殊程序,规范电子数据取证相关文书等四方面作出较大范围修订。既保留了原有“取证—检查—检验鉴定”的基本流程,又将勘验、冻结、调取、抽样取证等内容按照侦查或调查取证流程加以展开,呈现出明显的体系化和精细化趋势。(信息来源:公安部网安局)
(十四)国家数研院等发布《数据流通安全合规框架和指标体系1.0》
5月23日,国家数研院与中国电子技术标准化研究院、中国科学院信息工程研究所等联合发布《数据流通安全合规框架和指标体系1.0》,为促进数据要素合规高效流通提供专业指引。框架和指标体系围绕流通主体、行业领域、流通场景、合规管理、安全保障等维度搭建,以促进数据合规高效流通为根本导向,以满足多元主体现实需求为基本原则,以贴合行业场景实践为核心特色,以提升全过程安全合规治理效能为根本目标,可为各类市场主体开展合规治理提供依据,为服务机构开展合规评估、咨询服务提供思路借鉴,有利于助力激活市场主体供数、用数的活力。(信息来源:国家数据发展研究院)
三、网安事件聚焦
(十五)APT组织Lazarus利用RemotePE攻击金融机构
5月25日消息,网络安全研究人员揭露一种名为RemotePE的跨平台恶意软件,与朝鲜有关联的APT组织Lazarus正在利用该恶意软件攻击银行和加密货币公司。攻击者通过Telegram冒充交易公司员工,使用伪造的Calendly和Picktime链接进行社交工程攻击,通过DPAPILoader、RemotePELoader和RemotePE三个阶段链式加载,整个过程不接触文件系统,利用进程挖空、反分析检查和加密C2通信规避检测。该恶意软件于2025年9月首次被发现。2026年前4个月,Lazarus组织已窃取约5.77亿美元加密资产。(信息来源:TheHackerNews网)
(十六)巴基斯坦公共安全机构遭网络钓鱼攻击,VS Code远程隧道被滥用
5月27日消息,巴基斯坦公共安全机构遭网络钓鱼攻击,攻击者针对旁遮普省安全城市管理局及PPIC3基础设施员工发起精准鱼叉式网络钓鱼,通过情报收集定制邮件,伪装内部技术顾问,提及真实项目诱使受害者打开恶意文件。此次攻击利用VS Code远程隧道作为“离地工具”,结合Discord webhook实现数据渗出。此次攻击绕过传统防御,建议企业监控未授权注册表项、限制外部开发者端点访问。(信息来源:安全牛)
(十七)GitHub遭供应链攻击致3800个内部代码库数据泄露
5月20日消息,GitHub确认遭针对性供应链攻击,黑客组织TeamPCP利用员工终端安装的恶意VS Code扩展突破内部防护,实现无感知渗透,非法窃取平台3800个内部代码库。事件发生后,GitHub迅速隔离受感染终端,下架恶意扩展,按风险优先级轮换全部核心密钥,全面排查日志溯源攻击链路。GitHub公开表示暂无用户私有仓库与客户数据泄露痕迹,后续将加强安全防护工作。(信息来源:Varonis网)
(十八)纽约公立医疗系统遭网络攻击,180万名患者敏感数据被泄露
5月19日消息,纽约公立医疗系统NYC Health Hospitals发生一起大规模数据泄露事件,因第三方供应商存在安全漏洞,攻击者非法侵入该医院信息系统,未经授权获取约180万名患者信息,包括医保参保信息、诊疗记录、账单凭证、社保编号、银行卡信息,以及指纹、掌纹等不可重置的生物识别数据等。该医疗系统覆盖纽约五大区七十余家诊疗机构,服务海量基层病患,此类数据可被用于诈骗、勒索或黑市交易,严重威胁患者隐私与身份安全。NYC Health Hospitals确认事件属实并启动调查,同时通知受影响患者加强信息防护。(信息来源:Govinfosecurity网)
(十九)美国里士满放射学协会26.6万人数据遭泄露
5月26日消息,美国里士满放射学协会(RAR)披露一起数据泄露事件,26.6万人健康信息被泄露。RAR表示,数据泄露发生在2025年7月25日左右,黑客访问了其内部系统,但未说明何时发现入侵。RAR的事件通知以及提交给多个州当局的信函样本表明,姓名、社会安全号码和其他信息可能已遭泄露,但并未提供受影响数据的完整细节。根据德克萨斯州总检察长办公室网站上的列表,政府签发的ID号码、财务信息(包括信用卡或借记卡号码)以及医疗和健康保险详情可能在攻击中被盗。RAR开始向可能受影响的个人发送通知函,并将提供免费信用监控服务。(信息来源:SecurityWeek网)
(二十)全球连锁便利店7-11遭黑客组织入侵,超18.3万名用户信息被窃取
5月18日消息,全球连锁便利店7-11确认遭黑客组织ShinyHunters攻击,超18.3万名用户个人信息被窃取,包含加盟商身份信息、经营数据、联系方式,以及部分企业内部业务数据等。ShinyHunters已将用户数据打包为一份9.4GB的数据压缩包公开发布。目前,7-11紧急启动安全调查,全面排查系统漏洞,同时通知所有受影响加盟商做好信息防护,并拒绝支付赎金。(信息来源:BleepingComputer网)
四、网安风险警示
(二十一)国家互联网应急中心发布“银狐”木马风险预警
5月22日,国家互联网应急中心发布风险提示,监测发现黑客组织利用AI工具批量搭建高仿真钓鱼网站,大规模传播“银狐”远控木马。样本落地后将Shellcode注入系统关键进程执行远控,与境外C2服务器建立持久化连接,形成“网络钓鱼→木马下载→进程注入→远程控制”的完整攻击链,累计感染境内设备达18.2万台。建议相关部门、企事业单位立即加强内部安全培训,并采取相关防范措施。(信息来源:国家互联网应急中心)
(二十二)国家网络与信息安全信息通报中心通报npm遭供应链投毒攻击
5月25日消息,国家网络与信息安全信息通报中心监测发现,全球主流JavaScript软件包管理平台npm遭“沙虫”供应链投毒攻击。攻击者攻陷了npm官方维护者账户,并在短时间内批量投放大量恶意软件包,涉及300余个独立程序包的600余个恶意版本,影响多个热门开源项目。此次投毒攻击具备极强蠕虫式自我复制与横向传播能力,攻击者可利用窃取的npm发布权限篡改和二次发布开发者名下的其他软件包,造成供应链风险持续扩散、危害持续升级。建议相关开发者和企业做好相应排查与处置。(信息来源:国家网络安全通报中心)
(二十三)工信部发布关于防范Evelyn Stealer恶意软件的风险提示
5月26日消息,工信部发布关于防范Evelyn Stealer恶意软件的风险提示。Evelyn Stealer是一种针对开发者的信息窃取恶意程序,借助VS Code恶意扩展进行传播。当受害者安装了伪装成实用工具的VS Code恶意扩展后,该扩展会释放出伪造的Lightshot.dll组件。最终,恶意程序会在设备AppData目录创建Evelyn文件夹,向Edge/Chrome浏览器注入DLL,完成Evelyn Stealer窃取程序的部署,从而窃取浏览器密码、Cookie、加密货币钱包、即时通讯记录、VPN配置文件等敏感信息,并将这些数据压缩后上传至攻击者FTP服务器。建议用户立即组织排查,及时卸载可疑的VS Code扩展,更新防病毒软件,实施全盘病毒查杀,并可通过及时修复系统安全漏洞、定期备份重要数据等措施,防范网络攻击风险。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十四)美CISA将七个严重漏洞纳入已知可利用漏洞目录
5月21日,美CISA将七个严重漏洞正式列入其“已知可利用漏洞”目录,命令联邦机构在6月3日前完成修复。其中,CVE-2008-4250是Microsoft Windows Server服务中的一个远程代码执行漏洞(CVSS评分9.8),影响Windows XP、Server 2003等旧版系统,攻击者可发送特制RPC请求触发缓冲区溢出,无需身份验证即可执行任意代码。CVE-2009-1537(CVSS评分9.3)为Microsoft DirectX中的空字节覆盖漏洞,用户打开恶意QuickTime文件即可导致远程代码执行。CVE-2009-3459(CVSS评分9.3)是Adobe Acrobat和Reader中的堆缓冲区溢出漏洞,通过恶意PDF文件触发代码执行。CVE-2010-0249与CVE-2010-0806(CVSS评分均为9.3)为Internet Explorer中的释放后使用漏洞,攻击者利用恶意网页内容可远程执行代码,其中后者已被APT组织GREF用于零日攻击。(信息来源:SecurityAffairs网)
(二十五)Drupal高危SQL注入漏洞遭大规模利用
5月24日,奇安信CERT监测到官方修复Drupal Core PostgreSQL SQL注入漏洞CVE-2026-9082(CVSS评分9.8)。攻击者可利用该漏洞通过构造特殊请求实现任意SQL注入,进而导致信息泄露、数据篡改或删除,在特定配置下还可实现权限提升和远程代码执行。Drupal是一款基于PHP开发的开源企业级内容管理框架,广泛用于政府、金融、媒体等机构搭建门户网站、业务系统与Web应用。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十六)NGINX存在高危堆缓冲区溢出漏洞
5月26日消息,安全研究人员监测到NGINX Rewrite模块堆缓冲区溢出漏洞CVE-2026-9256(CVSS评分8.1)。该漏洞源于rewrite指令在处理包含重叠PCRE捕获组的正则表达式时,对多个未命名捕获引用的内存处理存在缺陷,攻击者可通过构造恶意HTTP请求触发NGINX Worker进程发生Heap-based Buffer Overflow,导致服务异常重启或拒绝服务。在禁用ASLR或攻击者能够绕过ASLR保护的情况下,还可能进一步实现远程代码执行。该漏洞无需身份认证即可利用,可能导致业务中断、服务器失陷及敏感业务数据泄露。建议用户尽快做好自查及防护。(信息来源:启明星辰安全简讯)
