文章总结： 本期涵盖国内外网络安全要闻。国内发布App个人信息收集新规、AI芯片安全规范及漏洞预警，整治汽车网络乱象。国外方面，美军对委实施网络软化战术，推进后量子密码与零信任部署；世界经济论坛发布2026展望警示AI与量子风险；多国联合发布OT安全原则；此外，威胁者对AI系统大规模侦察及量子计算风险亦受关注。 综合评分： 72 文章分类： 政策法规,AI安全,威胁情报,安全建设,漏洞预警

全球瞭望｜网络安全重大事件精选（196期）

Cismag Cismag

信息安全与通信保密杂志社

2026年1月19日 17:30 四川

国内动态

DOMESTIC  DYNAMICS

国家网信办发布《互联网应用程序个人信息收集使用规定（征求意见稿）》

网安标委发布《网络安全标准实践指南——人工智能加速芯片安全功能技术规范》

工信部：关于防范MongoDB数据库内存泄露高危漏洞的风险提示

网安标委就《人工智能应用安全指引 总则（征求意见稿）》等4项网络安全标准实践指南公开征求意见

国家网信办公开曝光新一批汽车行业网络乱象专项整治行动典型案例

国外动态

FOREIGN  DYNAMICS

美国在对委内瑞拉军事行动中采取“网络软化”战术

美国陆军通过量子安全端点方案推进后量子密码迁移

威胁行为者对人工智能系统展开大规模侦察

世界经济论坛发布《2026年全球网络安全展望》

美国国防部发布《人工智能战略》

多国联合发布《运营技术安全连接原则》，增强关键基础设施防御

美国空军启动电M-FAT计划以对抗小型无人机

新研究揭示量子计算的安全风险

美国空军研究实验室启动网络对手分析项目REDACT

美国空军投资1.2亿美元部署全球零信任网络安全方案

国内动态

1. 国家网信办发布《互联网应用程序个人信息收集使用规定（征求意见稿）》

1月10日消息，为规范应用程序个人信息收集使用活动，国家互联网信息办公室近日起草了《互联网应用程序个人信息收集使用规定（征求意见稿）》，现向社会公开征求意见，反馈截止时间为2026年2月9日。《规定》针对APP、软件开发工具包（SDK）、应用分发平台及智能终端，提出了详细的管理要求。其中明确，APP收集个人信息需遵循“最小必要”原则，索要权限应与当前使用场景直接相关，不得过度收集；应提供便捷的账号注销功能及个性化推荐关闭选项；处理不满十四周岁未成年人个人信息需获监护人单独同意。公众可通过登录中国网信网、发送电子邮件或寄送信函等方式提出意见。此举旨在进一步落实相关法律法规，切实保护公民个人信息权益。

2. 网安标委发布《网络安全标准实践指南——人工智能加速芯片安全功能技术规范》

1月12日消息，全国网络安全标准化技术委员会秘书处正式发布《网络安全标准实践指南——人工智能加速芯片安全功能技术规范》。该规范聚焦人工智能加速芯片的安全需求，系统规定了其在硬件安全、接口安全、固件安全、安全存储单元、密码技术机制、故障检测与诊断及数据保护等七个方面的具体安全功能要求与测评方法。《实践指南》旨在指导人工智能加速芯片的安全功能设计与开发，降低其应用过程中的潜在安全风险。它不仅为芯片的设计、开发和应用单位提供了明确的技术指引，也为相关安全评估、检测认证工作的开展提供了重要参考依据，有助于推动人工智能产业安全、健康、可信发展。

3. 工信部：关于防范MongoDB数据库内存泄露高危漏洞的风险提示

1月14日消息，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）近日监测发现，MongoDB数据库存在一处内存泄露高危漏洞。该漏洞源于MongoDB在处理Zlib压缩数据时存在缺陷，可能被未经身份验证的攻击者利用，读取数据库内存中的敏感信息，导致数据泄露风险。受影响的版本范围广泛，涉及8.2、8.0、7.0、6.0、5.0、4.4以及4.2、4.0和3.6系列的大量版本。目前，MongoDB官方已发布安全更新修复此漏洞。建议使用受影响版本的单位和用户立即排查隐患，尽快升级至最新安全版本，或采取临时措施禁用Zlib压缩，以防范潜在的网络攻击。

4. 网安标委就《人工智能应用安全指引 总则（征求意见稿）》等4项网络安全标准实践指南公开征求意见

1月14日消息，为应对人工智能应用带来的新型安全风险，全国网络安全标准化技术委员会秘书处近日编制了《人工智能应用安全指引 总则》等4项网络安全标准实践指南，现面向社会公开征求意见，截止日期为2026年1月27日。此次公开征求意见的指南文件共4项，包括纲领性的《人工智能应用安全指引 总则》，针对特定行业的《人工智能应用安全指引 广播电视和网络视听》，面向普通用户的《用户使用人工智能安全指南》，以及关乎AI模型质量与安全的《人工智能训练数据清洗安全指南》。该系列指南旨在为各行业AI应用提供具体的安全操作指导，全面提升安全保障能力，促进人工智能技术的健康与高质量发展。

5. 国家网信办公开曝光新一批汽车行业网络乱象专项整治行动典型案例

1月16日消息，国家网信办联合工业和信息化部等部门，针对汽车行业网络环境中存在的突出问题，持续开展专项整治行动，依法处置了一批违法违规账号，旨在维护良好市场秩序与网络生态。本次行动重点整治了四类典型乱象：一是部分账号以“贴标签”等方式挑动消费群体对立；二是恶意炒作、诋毁攻击汽车企业与企业家；三是歪曲解读企业财报，干扰正常经营；四是一些平台开展不规范测评，误导公众认知。相关典型案例涉及的账号，如“万能的大熊”“Blood旌旗”及“汽车之家”等平台内账号，均已依法依约受到处置。此次整治有力遏制了汽车行业网络虚假信息与恶意炒作，为产业健康发展营造了清朗空间。

国外动态

1. 美国在对委内瑞拉军事行动中采取“网络软化”战术

近日，相关报道指出，参联会主席丹・凯恩等官员公开承认，美国网络司令部参与了美军抓捕委内瑞拉总统马杜罗的行动，这标志着“以网络攻击作为战术软化手段”的作战模式落地，且该模式借鉴了俄罗斯的网络战略。行动前约1小时，美军网络司令部先发起大规模边界网关协议（BGP）攻击，切断委内瑞拉与外界互联网连接；同时攻击国家电网监控与数据采集（SCADA）系统，导致加拉加斯大范围停电。此举即是使委军方失去指挥、控制、通信、计算机与情报（C4I）能力的“网络软化”战术。随后美军实施电子战致盲委防空系统，使150架飞机得以顺利突破防线，而美国国家安全局（NSA）则通过电磁信号实时定位马杜罗藏身的“蒂乌纳堡”军事基地。这一战术借鉴了俄罗斯“格拉西莫夫主义”（融合混合战争、心理战与进攻性网络战的战略），但更加精准，被认为是现代战争中“网络-动能协同作战”的典型案例。

2. 美国陆军通过量子安全端点方案推进后量子密码迁移

近日，美国陆军端点安全解决方案（AESS）通过部署先进密码检测工具（ACDI），发现大量终端系统仍使用易受量子计算攻击的弱加密算法。为应对此风险，陆军通过“密码现代化计划2”（CMP2）推进后量子密码（PQC）迁移，以保护数十万终端设备，同时满足NSM-10和OMB M-23-02备忘录等联邦合规要求。陆军联合两家AESS长期合作伙伴——ECS（提供AESS托管服务近十年）与TYCHON（ACDI平台开发商）——启动分阶段部署计划：先覆盖18万个终端（后续扩展至全托管终端），通过ACDI自动发现本地/云端加密资产、监控证书、密钥、“传输层安全”（TLS）协议配置等，生成符合NIST标准的“风险评分与加密物料清单”（CBOM），并推动后量子算法迁移。经过为期数周的部署后，陆军首次得以清晰掌握AESS加密环境，分析了超1亿份文件证书，发现弱加密算法、量子易破解算法及长期有效证书等问题，从而能够优先修复漏洞、实现提前合规，并为后续扩展至网络设备等资产奠定基础，最终实现量子安全准备的常态化管理。

3. 威胁行为者对人工智能系统展开大规模侦察

安全监控平台GreyNoise从10月到本月共捕获了91,403次针对其Ollama蜜罐基础设施的攻击会话，揭示了两个系统性地寻找AI部署漏洞的行动。这些活动涵盖了OpenAI、Anthropic、Meta、Google、DeepSeek、Mistral、阿里巴巴和xAI等品牌。其中一项行动引起了安全研究人员的特别关注。12月28日发布的两个互联网协议地址在11天内对73个大型语言模型端点进行了系统探测，创建了80,469次测试OpenAI和Google Gemini的API格式的会话。攻击者使用了无害的测试查询来避免触发安全警报，针对主要商业模型供应商的大规模侦察行动，很可能旨在绘制人工智能部署日益扩大的表层地图。

4. 世界经济论坛发布《2026年全球网络安全展望》

世界经济论坛（WEF）发布《2026年全球网络安全展望》报告。报告指出，网络攻击正变得更快、更复杂，且影响愈发不均衡，94%受访者认为AI将成为年度最重大变革因素，而87%认定AI相关漏洞是增长最快的风险点。报告强调IT与OT系统融合带来新风险，太空和海底基础设施在网络风险规划中被相对忽视，尽管它们支撑着核心关键功能。37%受访者认为量子技术将在未来12个月内影响网络安全，到2030年将对密码学构成实质性威胁。为应对挑战，该报告呼吁投资预见能力、强化跨境协作，将网络韧性转化为战略优势。

5. 美国国防部发布《人工智能战略》

美国国防部发布《人工智能战略》报告，旨在扩大AI在军事作战、情报和企业职能中的应用范围。该战略通过重点项目加速军事AI主导地位。重点项目包括作战领域，例如集群作战、智能体网络；情报领域，例如技术情报转化、动态威慑；企业领域，例如全员AI赋能、企业智能体等。该战略强调释放创新、消除官僚障碍、30天内部署最新AI模型、建立战时机制。2026年将成为美军AI能力提升关键年。

6. 多国联合发布《运营技术安全连接原则》，增强关键基础设施防御

近日，美国CISA、英国NCSC、FBI等国际合作伙伴联合发布了《运营技术安全连接原则》指南，旨在帮助组织应对日益增加的网络威胁，特别是来自国家支持的行为者。当前运营技术（OT）网络互联拓展了实时分析、远程监控等应用优势，但同时也带来了入侵风险，可能引发物理伤害、环境破坏等严重后果。本指南为OT从业者和运营商提供了安全连接设计框架。多国相关负责人均强调，OT系统支撑关键民生服务，其安全连接具有国家级重要性，需将安全融入设计之初，减少攻击面、增强韧性。该指南凝聚国际合作与行业共识，建议全球OT从业者遵循八项核心原则，相关机构也呼吁组织评估自身OT连接性并落实防护措施。

7. 美国空军启动电M-FAT计划以对抗小型无人机

近日，美国空军研究实验室信息局发布泛机构公告（编号FA8750-25-S-7004），启动“多域部队应用与无人机系统交通管理（M-FAT）”计划，该计划的核心目标是融合电子战（EW）与网络战技术，通过干扰敌方小型无人机指挥控制链路实现反制，同时最大限度降低附带损害。该计划聚焦多项关键技术突破：优化电子战与网络空间作战协同，推进指挥控制自动化与自主性，研发由人工智能驱动的决策系统及传感器融合技术，还将打造集成网络-电子战能力的低成本自主拦截器，以应对小型无人机集群攻击等场景。此外，计划还包含改进敌方无人机检测/识别/跟踪传感器、建立网络战影响库、优化无人机交通管理系统（新系统仍将适配现有空管体系）和增强通信系统韧性（含弹性波形、人工智能频谱管理）等内容。预计到2030年时，M-FAT计划的总预算将达到4.9亿美元，而美国空军将在2026至2030年间分批次授予多项合同。

8. 新研究揭示量子计算的安全风险

IEEE一项新研究指出，当前云量子计算系统潜藏未被充分认知的安全风险，其共享访问、依赖第三方工具等特性，使其易遭操控、盗窃与无声破坏，且攻击难以追溯。该研究由宾夕法尼亚州立大学发现，量子电路结构本身会泄露敏感信息，区别于经典计算仅数据含机密的特点，这带来新型知识产权风险。研究强调，安全问题并非仅存在于未来容错量子计算机，当下的中尺度量子系统（NISQ）已面临威胁。为此，需从硬件设计、编译流程、系统调度全环节嵌入安全防护，并建立专门的量子安全研究体系。

9. 美国空军研究实验室启动网络对手分析项目REDACT

近日，美国空军研究实验室（AFRL）下辖的信息局（Information Directorate）发布“用于定位网络目标的研究工程开发与分析”（REDACT）项目的高级研究公告（ARA）。REDACT项目旨在开发用于分析敌方系统的系统，以根据敌方网络威胁的变化而制定新的战术、技术和程序，从而支持美国空军和美国网络司令部的网络安全和网络战工作。REDACT项目将评估需求，进行概念验证，并将相关技术部署到接近实际作战环境的场景中进行评估。REDACT项目由以下三个部分组成：目标工程设计与分析；敏捷网络任务适应；快速非动能网络能力开发。其中，“目标工程设计与分析”部分旨在提供快速的网络战情报、目标定位能力及其它能力，以帮助美军了解对手及其使用的复杂系统。该部分将涉及多模态数据融合，对对手意图和系统演变的预测性建模，以及生成关键分析报告等，其目标是实现实时洞察，自动识别关键漏洞，以及掌握新出现的威胁。“敏捷网络任务适应”部分旨在开发敏捷框架和自动化工具，以根据敌方网络战系统的变化来创建新的战术、技术和程序。“快速非动能网络能力开发”部分旨在迅速识别敌方网络系统的漏洞，从而部署无需用实体弹药摧毁目标的网络防御措施。该部分的重点是自动化漏洞发现、关键节点识别以及应用敏捷软件工程设计，以实现能规避敌方防御的弹性网络战效果。预计到2030年时，REDACT项目的预算将达到9.999亿美元。

10. 美国空军投资1.2亿美元部署全球零信任网络安全方案

近日，美国空军授予美国通用动力信息技术（GDIT）公司一项价值1.2亿美元的“下一代网关”项目任务订单，以便GDIT公司在全球范围内为美国空军提供零信任网络安全解决方案。按照该订单，GDIT公司将为美国空军部署以数据为中心的集成式“珠穆朗玛峰零信任数字加速器”（EZTDA）网络安全解决方案，从而为遍布全球187个基地的超100万用户提供支持。EZTDA方案将保护各密级的信息，并融合人工智能技术以增强威胁检测能力。该订单将帮助美国空军早在2027年9月30日的最后期限前，就提前达到美国国防部首席信息官的零信任要求。

★

★ ★ ★

★

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全与通信保密杂志社 Cismag Cismag《全球瞭望｜网络安全重大事件精选（196期）》