文章总结： 2025全球网安融资激增47%至139.7亿美元，AI治理与身份安全成资本最热赛道；国家通报71款App违法违规收集个人信息，集中暴露未告知共享、无撤回通道、缺加密等27款高风险问题；英国承认2030安全战略失败，将设统一政府网安部门并强制供应商合规；企业非人类身份达500:1，传统治理濒临崩溃，亟需自动化生命周期管理；欧洲AI合规强但运营弱，SBOM、持续监控、联合响应等指标全面落后；Chrome扩展窃90万用户AI聊天数据，内存驻留恶意软件借隐写术+AI绕过磁盘检测，显示终端与数据安全新挑战。 综合评分： 87 文章分类： 数据安全,AI安全,移动安全,安全建设,终端安全

2025年网安融资激增47%，AI治理成资本宠儿；国家网络安全通报中心通报71款违法违规收集使用个人信息的移动应用 | 牛览

安全牛

2026年1月8日 15:19

点击蓝字 关注我们

新闻速览

• 国家网络安全通报中心通报71款违法违规收集使用个人信息的移动应用

• 英国政府承认网络安全战略失败，2030年目标无法实现

• 内存攻击新态势：隐写术与AI技术如何绕过传统防御

• 2025年网安融资激增47%，AI治理成资本宠儿

• 非人类身份数量激增至500:1，传统治理模式面临崩溃

• 合规强、运营弱？欧洲AI安全落地面临五大执行缺口

• 超70%的IT领导者担忧：生成式AI合规成本或将超百亿美元

• 美国首次成功起诉跟踪软件运营商，pcTattletale创始人认罪

• ChatGPT Health上线：健康数据“隔离”能否真正降低隐私与合规风险？

• 90万次下载的Chrome扩展被曝窃取AI聊天内容，企业数据或在“无声外流”

• 电信基础设施遭挑战：Brightspeed数据泄露与服务中断风险引发关注

特别关注

国家网络安全通报中心通报71款违法违规收集使用个人信息的移动应用

依据《网络安全法》《个人信息保护法》及2025年个人信息保护专项行动要求，国家计算机病毒应急处理中心检测出71款移动应用存在违法违规收集使用个人信息情况并通报。违规类型包括：未提示隐私政策或告知不全（13款）、隐私政策未列明第三方收集信息情况（31款）、未告知个人信息共享情况并取得同意（13款）、未征得同意即收集信息（3款）、未提供有效更正/删除/注销功能或响应不及时（5款）、投诉举报处理不及时或无机制（2款）、未提供撤回同意途径（23款）、自动化决策未提供非个性化选项（3款）、未告知敏感信息处理必要性（3款）、未制定未成年人信息处理规则（3款）、未采取加密等安全措施（27款）、人脸识别作为唯一验证方式（6款）、无隐私政策（5款）。上期通报的69款应用中27款仍存在问题已下架，检测时间为2025年11月21日至12月25日，来源为国家网络安全通报中心。

原文链接：

https://mp.weixin.qq.com/s/t2f_eEe9T2wGeI4XiTYyKA

超70%的IT领导者担忧：生成式AI合规成本或将超百亿美元

Gartner最新调查显示，超过70%的IT领导者将监管合规列为生成式AI部署的三大挑战之一，但仅不到四分之一对组织的安全治理能力充满信心。Gartner预测，到2028年AI监管违规将使科技公司法律纠纷增加30%，到2026年中期，非法AI决策造成的补救成本将超过100亿美元。

当前监管环境日益复杂，欧盟AI法案已于2024年8月生效，美国多州也相继立法。科罗拉多州AI法案要求建立风险管理计划并进行影响评估，德州责任AI治理法案(TRAIGA)将于2026年1月生效，单次违规最高罚款20万美元。加州透明度法案同样将于2026年1月实施，要求AI公司在15天内报告关键安全事件，违规罚款高达100万美元。

全球性企业面临更大挑战，因各国法规对”透明度””可解释性”等概念定义不一。专家建议，企业应采用集中化治理控制系统，建立严格的用例审查程序，加强模型测试和沙箱环境部署，必要时引入外部审计机构验证高风险AI应用，以应对即将到来的监管浪潮。

原文链接：

https://www.cio.com/article/4072396

热点观察

英国政府承认网络安全战略失败，2030年目标无法实现

英国政府周二罕见承认其网络安全战略存在重大缺陷，并坦言无法实现2030年前保护所有政府机构免受已知网络威胁的目标。科学创新技术部向议会提交的《政府网络安全行动计划》指出，当前问责机制不清、各级政府及供应链的安全责任模糊，导致公共部门面临”极高”网络风险。Synnovis勒索软件攻击等事件造成患者死亡，暴露出系统性防御失败。

新计划标志着政策重大转向：摒弃此前的非强制性指导模式，转而建立集中化强制体系。明年将成立政府网络安全部门(Government Cyber Unit)，统一制定政策、协调实施并承担单一问责责任。政府供应商将面临更严格的网络安全合同要求，并设立政府网络安全职业体系以吸引人才。

然而，英国皇家联合军种研究所研究员MacColl指出，核心问题在于资金。国家审计署报告显示，数十年投资不足导致政府部门依赖难以保护的遗留系统，技术债务累积速度超过解决速度。若无充足资金替换老旧IT基础设施，仅凭行动计划难以根本提升公共部门安全标准。

原文链接：

https://therecord.media/uk-government-cyber-action-plan

非人类身份数量激增至500:1，传统治理模式面临崩溃

ManageEngine发布的《2026身份安全展望》报告显示，非人类身份增长、AI应用不均及供应商整合成为身份安全领域三大趋势。报告基于美国和加拿大515名身份安全负责人的调研数据。

非人类身份(机器身份)已在多数组织中大幅超越人类身份。服务账户、API密钥、Bot、Agent及证书随自动化和云平台扩张而激增，近半数组织的机器与人类身份比例超过100:1，部分行业甚至达500:1。然而，仅12%的受访者实现了机器身份的自动化生命周期管理，多数依赖临时追踪或定期审查，导致运营风险上升。

AI在身份安全领域应用广泛但部署不均。91%的组织正试点或使用AI功能，但仅7%实现全面部署，多数局限于异常检测或自动配置等特定场景。约三分之二受访者看好AI价值，但不足半数报告获得积极成果，数据质量、可解释性及集成复杂性成为主要障碍。

工具碎片化推动整合进程。近四分之三组织运行多个身份平台，三分之一称管理供应商的时间超过管理特权用户。76%的受访者正积极开展或评估整合工作。ManageEngine产品管理总监Ramanathan Kannabiran警告，当非人类身份以数量级超越人类时，传统治理方法将彻底失效，组织必须从根本上重新思考管理和保护这些身份的方式。

原文链接：

Identity security planning for 2026 is shifting under pressure

合规强、运营弱？欧洲AI安全落地面临五大执行缺口

Kiteworks最新报告指出，欧洲组织在GDPR和AI法案驱动下建立了强大的合规框架，但实际操作系统却显著落后，这一差距将在2026年前成为关键挑战。

AI事件响应能力发展滞后。法国、德国和英国的AI异常检测采用率分别为32%、35%和37%，均低于40%的全球平均水平。训练数据恢复能力采用率为40%-45%，同样落后于全球47%的水平。当AI系统出现异常行为时，多数组织的响应机制无法处理模型行为、数据漂移或训练集完整性等问题。

软件供应链可见性存在持续性缺口。SBOM(软件物料清单)管理在法国、德国、英国的采用率仅为20%、25%和23%，远低于全球28%的平均水平及领先地区超45%的水平。安全SDLC实践采用率不均，德国45%、法国32%、英国37%。

第三方风险管理成熟度较低。持续供应商监控采用率为28%-35%，联合事件响应手册更为罕见:法国仅4%、英国9%、德国25%，全球平均为13%。

合规流程依赖手动执行。自动化策略即代码(policy-as-code)采用率为35%-40%，低于全球43%基准。Kiteworks EMEA战略运营总经理Wouter Klinkhamer警告:”治理缺乏安全保障是不完整的，这不是合规差距，而是安全差距。”

原文链接：

What European security teams are struggling to operationalize

90万次下载的Chrome扩展被曝窃取AI聊天内容，企业数据或在“无声外流”

安全研究人员发现，Chrome应用商店中至少两款扩展程序在未充分告知用户的情况下，秘密收集并外传用户与ChatGPT、Claude、Gemini等生成式AI工具的聊天内容。这些扩展以生产力或辅助工具名义发布，累计下载量超过90万，受影响范围广泛。

研究显示，这些扩展通过读取网页DOM内容、监听浏览器事件等方式，获取用户输入的提示词、AI回复、访问的URL以及可能包含身份令牌的参数信息，并将数据发送至远程服务器。由于不少用户在AI对话中输入源代码、业务方案、内部文档甚至个人敏感信息，相关行为可能导致严重的数据泄露风险。

值得注意的是，这类扩展并未表现出明显的恶意行为特征，部分仍保持较高评分和正常功能，使用户和企业安全团队难以及时察觉。研究人员指出，当前浏览器扩展权限模型与审核机制难以有效限制“合法功能下的数据滥用”，这对企业终端安全与AI使用治理提出了新挑战。

安全专家建议，组织应限制员工安装未经审查的浏览器扩展，对AI工具使用场景进行数据分级管理，并将浏览器扩展纳入终端安全监控与审计范围。

原文链接：

https://www.securityweek.com/chrome-extensions-with-900000-downloads-caught-stealing-ai-chats/

安全事件

美国首次成功起诉跟踪软件运营商，pcTattletale创始人认罪

密歇根州跟踪软件公司pcTattletale所有者Bryan Fleming周一对联邦指控认罪，这是自2014年以来首次成功起诉跟踪软件运营商。Fleming承认创办并运营该公司，将间谍软件作为抓捕出轨伴侣的工具进行营销。

国土安全调查局(HSI)自2021年6月开始调查pcTattletale及100多个销售跟踪软件的网站。Fleming曾公开在YouTube视频中宣传该软件可秘密监控Android手机，”他们看不到它的存在，你却能看到他们所做一切的录像”。

2021年11月，卧底探员Nick Jones假扮联盟营销人员接触Fleming。Fleming提供的营销横幅写着”pcTattletale出轨丈夫?排名第一的抓奸间谍应用”。2022年1月，Jones以99.99美元订阅该软件，成功远程监控设备并获取通信内容、浏览记录和位置数据。

搜查令显示，多名客户通过邮件寻求Fleming帮助监视伴侣。Fleming告知客户可将购买记录显示为”通用计算机扫描”以避免被发现。

2024年5月，pcTattletale遭数据泄露，超过13.8万客户信息曝光，包括会员记录、被监控设备名称、截获消息、IP地址等敏感数据，公司随后关闭。

电子前沿基金会网络安全主管Eva Galperin表示，Fleming认罪具有重要意义，将对美国境内跟踪软件运营商产生震慑作用。尽管刑事起诉罕见，但市场正在萎缩，2024年可用产品已从2021年的20款降至17款。

原文链接：

https://therecord.media/stalkerware-guilty-plea-fleming

电信基础设施遭挑战：Brightspeed数据泄露与服务中断风险引发关注

近日，美国光纤宽带服务提供商Brightspeed正紧急调查一起疑似安全事件，黑客组织Crimson Collective声称成功入侵其系统并获取超过1 百万名客户的敏感信息，同时造成部分用户网络连接中断。

据威胁方透露，窃取的数据包括客户姓名、电子邮箱、电话号码、账单地址、账户状态、服务记录及部分支付信息等个人可识别信息（PII），并已向第三方安全研究人员提供泄露样本作为“证明”。安永信息 此类做法不仅增加对目标企业的压力，也反映出现代威胁行为者常用的公示与勒索策略。

Brightspeed目前尚未确认数据泄露细节，但已在调查中，并表示将及时通知受影响的客户与监管机构。该公司服务覆盖20个州、超过730万户家庭与企业，在美国电信基础设施中占重要地位，因此此次安全事件若被证实，可能对用户隐私和网络可用性造成实质性影响。

原文链接：

https://www.infosecurity-magazine.com/news/hackers-disconnect-brightspeed/

攻防技术

内存攻击新态势：隐写术与AI技术如何绕过传统防御

Morphisec Threat Labs近期披露了一起新型内存型恶意软件攻击事件，显示攻击者正加速摆脱传统依赖硬盘或SSD投放恶意载荷的方式。在一次针对房地产企业的真实入侵调查中，研究人员发现名为Tuoni C2C的恶意软件长期驻留在系统内存中，潜伏数月未被察觉。

该攻击最初通过钓鱼邮件传播，但真正的关键在于后续投放阶段。攻击者利用隐写术将恶意代码隐藏在BMP图像中，并结合AI技术，将载荷直接注入系统内存执行，绕过基于磁盘扫描的安全检测机制。进入内存后，恶意代码还能在运行时动态变形，规避传统行为检测和特征匹配。

Morphisec指出，这类内存驻留恶意软件主要用于长期窃取敏感信息，如用户凭据，仅在攻击者选择时才触发更具破坏性的行为。由于内存具有高度易变性，且始终被系统进程占用，传统安全产品往往难以及时发现此类威胁。

该事件表明，结合隐写术与AI的内存攻击正成为高级威胁的新方向，企业亟需加强对内存与运行时行为的监控能力，仅依赖传统防护已难以应对。

原文链接：

Emerging Cyber Threat: Malware Now Targeting System Memory Instead of Disk Storage

产业动态

2025年网安融资激增47%，AI治理成资本宠儿

2025年全球网络安全公司共完成392轮融资，募资总额达139.7亿美元，同比2024年的95亿美元增长47%，成为自2021年高点以来最强劲的一年。报告指出，此轮回暖并非资本泛滥，而是投资人更强调技术深度、商业执行力及与企业真实需求的匹配度。

从轮次看，种子轮和Series A占比约三分之二，但资金高度集中于后期项目。全年共有30笔融资超过1亿美元，虽仅占8%的轮次，却吸纳近一半资金。代表性项目包括Saviynt（7亿美元）、Cyera（5.4亿美元）、Armis（4.35亿美元）等。

投资方向上，围绕AI安全的治理、风险管理与合规（GRC）成为热点，身份安全被视为现代风险控制的核心执行点，同时欺诈防护、ICS/OT与关键基础设施保护也受到关注。Pinpoint指出，在预算趋紧背景下，企业更青睐能交付可量化安全效果的平台型厂商，推动市场加速整合。

原文链接：

https://www.securityweek.com/cybersecurity-firms-secured-14-billion-in-funding-in-2025/

新品发布

ChatGPT Health上线：健康数据“隔离”能否真正降低隐私与合规风险？

OpenAI宣布推出ChatGPT Health，为用户提供一个专门讨论健康问题的独立空间。该功能将健康相关对话与普通聊天分离，避免健康信息在其他对话场景中被无意引用，从而降低隐私暴露风险。OpenAI表示，目前每周有超过2.3亿用户在ChatGPT上咨询健康与医疗问题，此次调整旨在更好地管理此类高敏感数据。

当用户在普通对话中涉及健康话题时，系统会引导其切换至Health专区。在该专区内，ChatGPT可在用户授权的前提下，结合其既有使用背景，例如运动习惯等，提供更连贯的健康建议。此外，ChatGPT Health还计划与Apple Health、MyFitnessPal等健康应用或个人健康记录进行集成。OpenAI强调，这些健康对话不会用于模型训练。

OpenAI应用业务CEO Fidji Simo指出，该产品希望缓解医疗体系中存在的成本高、可及性不足和医疗连续性差等问题。但需要注意的是，ChatGPT仍基于LLM的概率生成机制，可能出现“幻觉”，并不具备判断医学真伪的能力。OpenAI在服务条款中明确声明，该功能不用于疾病诊断或治疗。该功能预计将在未来几周内逐步上线。

整体来看，ChatGPT Health在隐私隔离与数据整合上的设计值得关注，但其在医疗安全与合规方面仍面临现实挑战，网络安全从业者需持续评估其数据治理与风险控制能力。

原文链接：

OpenAI unveils ChatGPT Health, says 230 million users ask about health each week

联系我们

合作电话：18311333376

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《2025年网安融资激增47%，AI治理成资本宠儿；国家网络安全通报中心通报71款违法违规收集使用个人信息的移动应用 | 牛览》