2026-06-16 04:34:55 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档汇总了2026年6月全球网络安全领域多项重要动态，包括中国六部委联合印发《金融信息服务数据分类分级指南》规范金融数据管理，美国对Anthropic公司Fable5和Mythos5AI模型实施出口管制，CISA要求联邦机构3天内修复高风险漏洞，以及英国首例警员利用AI伪造证据事件。报告涵盖政策法规更新、安全事件分析与产业指南，为机构提供风险管理参考。 综合评分： 85 文章分类： 政策法规,漏洞预警,安全大事件,威胁情报,安全运营

cover_image

Fable 5与Mythos 5遭出口管制，AI“越狱”风险引发争议；六部委联合发文！《金融信息服务数据分类分级指南》正式印发| 牛览

安全牛

2026年6月15日 11:27 北京

在小说阅读器读本章

去阅读

点击蓝字关注我们

新闻速览

六部委联合发文！《金融信息服务数据分类分级指南》正式印发
国家互联网信息办公室发布《中国个人信息保护报告（2025年）》
NIST发布新版勒索软件风险管理指南，全面对齐CSF 2.0
加拿大出台新规管控社交平台与 AI 设 16 岁社交账号准入门槛
多州检察长联合调查 OpenAI 聚焦数据安全与用户保护问题
安全研究人员揭露浏览器“流量洗钱”产业链：245万用户遭利用
Fable 5与Mythos 5遭出口管制，AI“越狱”风险引发争议
CISA发布新漏洞修复指令：高风险漏洞须在3天内完成处置
Minimus 安全平台新增能力筑牢企业软件供应链与容器安全防线
英国警方首曝AI伪造证据事件：涉事警员遭刑事调查

特别关注

六部委联合发文！《金融信息服务数据分类分级指南》正式印发

2026 年 6 月 8 日，国家互联网信息办公室、中国人民银行等六部门联合印发国信办通字〔2026〕2 号文件《金融信息服务数据分类分级指南》，该通知于 6 月 13 日对外发布，旨在规范金融信息服务机构的数据管理工作，全面提升金融领域数据安全防护能力。

该指南依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等多项法律法规制定，适用于国内所有金融信息服务机构开展数据分类分级、重要数据识别等工作，国家秘密数据与军事数据不在适用范围内新华网。指南构建了清晰的数据体系，按照业务属性将数据划分为业务数据、用户数据、企业数据三大一级类别，向下细分至 9 类二级数据、67 类三级数据。同时结合数据敏感度、泄露风险及危害范围，参照国家标准 GB/T 43697-2024，将数据分为核心数据、重要数据、敏感一般数据、常规一般数据四个等级中央网络安全和信息化委员会办公室中华人民共和国国家互联网信息办公室。

文件明确了完整的操作流程，要求机构依次完成数据资源梳理、分类分级、编制清单、上报目录及动态更新等工作，还配套给出 67 类三级数据的描述、示例与分级参考，为行业落地执行提供可参照标准，推动金融数据合规、安全、有序使用。

原文链接：

https://mp.weixin.qq.com/s/bdKVawpQJdrDuAXWvEZ7wQ

热点观察

国家互联网信息办公室发布《中国个人信息保护报告（2025年）》

2026 年 6 月 12 日，国家互联网信息办公室正式发布《中国个人信息保护报告（2025 年）》，这也是我国首份个人信息保护综合性年度报告。

报告以网络强国重要思想为指引，立足 “十四五” 时期个人信息保护工作基础，系统梳理 2025 年行业发展成果，同时为 “十五五” 相关工作开展提供理论与实践参考。报告分为正文与附录两大板块，正文共七个部分，从顶层设计、监管治理、社会共治、宣传教育、对外交流合作等维度总结全年工作，并对 2026 年工作方向作出展望。附录汇总了相关法律法规、国家标准及典型司法案例，具备较强实务参考价值。

相关负责人表示，此次发布报告是落实个人信息保护相关决策部署的重要举措。该报告既可为行业交流借鉴提供平台，助力营造全社会重视个人信息保护的氛围，也向国际展示我国相关工作成果。下一步，网信部门将联合各方，以高水平安全保障个人信息规范使用，切实维护民众合法权益。

原文链接：

https://mp.weixin.qq.com/s/TjB9k6fGU-y7KLg-GrmYMA

加拿大出台新规管控社交平台与 AI 设 16 岁社交账号准入门槛

2026 年 6 月 14 日，加拿大提出法案 C-34，针对社交媒体、直播平台、用户内容站点及 AI 聊天机器人出台严格监管规则，重点保护青少年群体。

数据显示，加拿大 12 至 17 岁青少年中，每四人就有一人遭遇网络霸凌，涉儿童色情材料（CSAM）等网络违法案件也持续增多。法案划定七大类有害内容，包括未经授权私密影像、伤害青少年的不良信息、仇恨及恐怖极端内容等。

新规要求平台提前开展风险评估，搭建青少年保护机制，简化举报与屏蔽功能，及时下架违规内容。AI 聊天机器人需优化算法，规避危险回复，建立危机应急处置机制。同时加拿大计划将社交媒体账号最低注册年龄定为 16 周岁，平台若能证明具备完善防护措施，可申请特例。

加拿大将设立数字安全委员会，该机构拥有核查报告、开展审计、下达整改及处罚违规平台的权力，企业还需公开数字安全执行方案。官方表示，平台自愿整改已难以应对现存风险，新规旨在督促大型数字服务商履行主体责任，提升运营透明度。

原文链接：

https://www.securitylab.ru/news/573727.php

多州检察长联合调查 OpenAI 聚焦数据安全与用户保护问题

2026 年 6 月 13 日消息，美国多个州检察长组成联盟，正式对 OpenAI 展开调查。纽约州检察长已向该公司送达传票，要求提交多类相关文件，核查范围涵盖广告运营、用户留存、模型谄媚问题、消费者数据与健康数据管理、未成年人及老年群体权益保护等内容。

OpenAI 发言人表示，公司正积极配合此次调查，重视监管方提出的各项问题，并坚持以合规安全的方式运营 AI 业务。其同时称，ChatGPT 已升级防护机制，针对未成年人及处境特殊的用户增设保护措施，并引导用户对接线下帮扶渠道，但并未透露参与调查的具体州府及取证细节。

近期 OpenAI 深陷多项法律纠纷，此前刚在与联合创始人 Elon Musk 的诉讼中胜诉，而对方已提出上诉。此外，该公司还面临版权侵权、诱导自残相关诉讼。本月初，佛罗里达州检察长就安全风险问题起诉 OpenAI 及 CEO Sam Altman。在加拿大枪击事件中，OpenAI 也因未及时向执法部门报备可疑账号受到质疑。

与此同时，OpenAI 本周已秘密递交上市申请，叠加多项调查与诉讼，其合规体系与安全治理能力正面临严峻挑战。

原文链接：

OpenAI faces investigation from state attorneys general

安全事件

Fable 5与Mythos 5遭出口管制，AI“越狱”风险引发争议

美国政府日前以“国家安全风险”为由，要求AI公司Anthropic暂停其最新模型Fable 5和Mythos 5的全球访问权限。美国商务部长Howard Lutnick向Anthropic CEO Dario Amodei发函，依据出口管制规定，禁止任何外国公民使用这两款模型，包括身处美国境内的外国员工。

由于限制范围覆盖全球用户及公司内部外籍员工，Anthropic随后宣布全面关闭Fable 5和Mythos 5访问权限，其余Claude系列模型不受影响。

此次争议核心在于所谓“jailbreaking（越狱）”问题。美国政府认为，相关模型存在绕过安全护栏的方法，可能被用于发现软件漏洞，进而形成网络攻击能力。Anthropic则回应称，相关技术仅能触发少量“已知且较轻微”的漏洞发现能力，且其他公开模型同样能够实现类似效果，并不存在“universal jailbreak（通用越狱）”。

据了解，Mythos 5此前仅向Project Glasswing成员开放，该项目主要面向网络安全企业，用于漏洞识别与防御研究。Anthropic称，其在发布前已联合美国政府、英国AI Safety Institute及第三方机构进行了数千小时红队测试，并强调Fable 5的安全防护强度高于此前任何已部署模型。

Anthropic同时警告，如果行业将“存在非通用越狱可能性”作为模型下线标准，前沿AI模型的商业发布将几乎停滞。业内分析认为，这是美国首次直接针对前沿大模型实施高强度出口管制，显示AI能力，尤其是具备高级网络安全与漏洞挖掘能力的模型，正被纳入国家级技术安全监管框架。

原文链接：

Anthropic disables new models after government calls them a national security concern

英国警方首曝AI伪造证据事件：涉事警员遭刑事调查

近日，英国德比郡警方对一名在职警官启动刑事调查，该人员被指控借助 AI 系统在多起刑事案件中伪造证据材料，涉嫌妨碍司法公正，这也是英国司法领域首起警员利用 AI 制造虚假证据的案件。

目前涉事警官已被调离一线执法岗位，案件调查尚处于初期阶段，暂未有人被逮捕，警方也未公开该警员身份、伪造证据的具体形式以及受影响案件数量等细节。德比郡警方已联合英国皇家检察院（CPS）开展后续工作，逐一排查可能受到虚假证据牵连的诉讼案件。英国皇家检察院也主动对接涉案案件的辩护律师与法院，评估该事件对司法流程造成的影响，相关涉案判决与庭审流程或将重新核查。

该事件也引发英国执法领域对 AI 应用安全的广泛担忧。此前英国国家警察局长委员会 AI 部门负责人 Alex Murray 已要求多家警队停止使用 AI 撰写法庭陈述，原因是 AI 技术在司法场景中的可靠性无法得到充分保障。此次案件进一步凸显 AI 滥用会对司法公正造成严重冲击，也为全球执法、司法行业规范 AI 使用敲响警钟。

原文链接：

UK: Derbyshire police officer investigated over alleged use of AI to ‘create evidence’

CISA发布新漏洞修复指令：高风险漏洞须在3天内完成处置

美国网络安全与基础设施安全局（CISA）近日发布新版《Binding Operational Directive（BOD）26-04》，要求联邦民事机构采用基于风险的漏洞修复机制，对最高风险漏洞的修复时限压缩至3天。业内人士认为，该政策不仅影响政府部门，也可能推动企业漏洞管理实践发生变化。

新指令取代了2019年和2021年的相关要求，核心变化是从传统漏洞严重性评级转向风险优先级评估。CISA要求机构根据四项标准判断漏洞风险：受影响资产是否暴露于互联网、漏洞是否已被实际利用、攻击是否能够实现自动化，以及漏洞被利用后是否会导致系统控制权被获取。

对于同时满足上述条件的高风险漏洞，机构必须在3天内完成修复；若漏洞可能导致系统完全失控，还需开展forensic triage（取证初步分析），判断是否已遭入侵。相比此前最高14至15天的修复窗口，新规大幅缩短了响应时间。

CISA表示，人工智能正显著提升漏洞发现和利用效率，攻击者能够更快实现大规模自动化攻击，因此防御方已无法承受数周甚至更长时间的修复周期。CISA官员强调，漏洞管理应遵循“Patch smarter, not harder（更聪明地修补，而非更频繁地修补）”的原则，将资源优先投入最具风险的资产和漏洞。

分析机构Forrester和Omdia指出，尽管该指令面向联邦机构，但其影响可能延伸至私营部门，尤其是与政府供应链相关的企业。专家认为，企业CISO应重点关注风险驱动的漏洞优先级管理、自动化修复能力建设以及责任划分机制优化。同时，资源有限的中小型组织可能面临更大的执行压力，需要借助第三方服务和自动化工具提升修复效率。

原文链接

https://www.techtarget.com/searchsecurity/news/366644336/What-CISAs-new-remediation-directive-means-for-CISOs

安全攻防

安全研究人员揭露浏览器“流量洗钱”产业链：245万用户遭利用

安全研究人员近期披露了一类利用Chrome扩展实施“Traffic Laundering（流量洗钱）”的恶意活动。攻击者通过浏览器扩展将用户设备转变为代理节点，对外出售网络带宽和IP资源，从而构建隐蔽的代理网络并获取收益。

研究发现，相关扩展通常伪装成生产力工具、VPN、广告拦截器或浏览器增强插件，在获得较高权限后，可在后台持续转发第三方流量。用户虽然能够正常使用扩展功能，但其网络连接已被悄悄纳入商业代理网络，为数据抓取、广告欺诈、账户滥用等活动提供基础设施支持。

调查显示，此类扩展累计影响超过245万用户。其中部分扩展通过代码更新引入恶意功能，采用“Bait-and-Switch（诱饵转换）”策略绕过应用商店审核，即先以合法功能积累用户，再通过后续版本激活流量共享能力。

技术分析表明，恶意扩展会利用Chrome Extension API建立持久连接，将用户设备注册到远程代理平台，并根据攻击者指令转发HTTP或HTTPS请求。由于流量来源于真实家庭和企业网络，这些代理资源更难被安全系统识别和封禁。

研究人员指出，此类攻击本质上属于“Residential Proxy Abuse（住宅代理滥用）”。虽然不会直接窃取用户数据，但可能导致用户IP被用于恶意活动，从而面临账户风控、信誉受损甚至法律风险。

安全专家建议，企业和个人用户应定期审计浏览器扩展，仅安装可信开发者发布的软件，并重点关注扩展申请的网络访问、代理控制及浏览数据读取等高风险权限。同时，应建立浏览器扩展管理机制，防范供应链更新带来的安全风险。

原文链接：

Malicious Chrome Extensions Exposed in Mass Production Traffic Fraud Scheme

产业动态

NIST发布新版勒索软件风险管理指南，全面对齐CSF 2.0

美国国家标准与技术研究院（NIST）近日发布最终版《NIST IR 8374 Revision 1：Ransomware Risk Management》，并将其定位为基于Cybersecurity Framework（CSF）2.0的勒索软件风险管理社区配置文件（Community Profile），旨在为企业和机构提供可落地的勒索软件防护与缓解指南。

该指南是在原有NISTIR 8374基础上的修订版本，重点完成了从CSF 1.1到CSF 2.0的框架映射更新，将勒索软件风险管理与CSF 2.0六大核心功能——Govern、Identify、Protect、Detect、Respond和Recover相结合。NIST表示，文件将高层框架要求转化为具体实践措施，帮助组织主动管理和降低勒索软件风险。

技术层面，指南围绕勒索软件攻击全生命周期构建防御体系，覆盖资产识别、风险评估、访问控制、漏洞管理、安全监测、事件响应以及业务恢复等关键环节。其核心目标是帮助组织建立识别（Identify）、防护（Protect）、检测（Detect）、响应（Respond）和恢复（Recover）能力，从而提升面对数据加密、数据窃取及双重勒索等攻击场景时的整体韧性。

NIST指出，该配置文件既可用于评估组织当前的勒索软件防御成熟度，也可作为制定风险缓解路线图和响应预案的参考依据。新版指南特别强调将治理（Govern）能力纳入风险管理体系，通过明确职责、风险容忍度和资源投入机制，推动勒索软件防护从技术层面扩展到组织层面的持续治理。

随着勒索软件持续成为全球网络安全领域最具破坏性的威胁之一，NIST希望通过该指南为各类组织提供统一且可操作的最佳实践，帮助其提升预防、缓解和恢复能力，降低勒索软件事件造成的业务与数据损失。

原文链接：

https://www.nist.gov/news-events/news/2026/06/now-available-practical-guidelines-preventing-and-mitigating-ransomware

新品发布

Minimus 安全平台新增能力筑牢企业软件供应链与容器安全防线

2026 年 6 月，专注云原生漏洞防护的 Minimus 正式推出两款全新企业级安全能力：Minimus Supply Chain Protection 与 minicli，现已全面商用，进一步拓展其企业安全平台能力，重点强化软件供应链与容器环境防护。

当下企业大量使用开源软件包，传统事后扫描模式难以应对依赖链风险。Minimus Supply Chain Protection 以代理形式部署在开发者与开源仓库之间，可在软件包接入企业网络前完成审计。该功能依托包元数据、运行行为生成风险评分，支持自定义白名单、黑名单与风险阈值，搭配 Minimus Actions 可实现实时告警、分级管控，并留存完整审计日志，满足合规溯源需求。

配套工具 minicli 面向开发者终端，适配多类系统与架构，支持将容器镜像配置导出为可版本管控的 YAML 文件，统一自定义镜像的编写、查看与构建规范。两款新功能可与 Minimus 核心镜像目录联动，帮助企业在系统包、应用依赖两层落地统一安全策略，无缝融入 CI/CD 流程，在不影响开发效率的前提下，构建全链路软件供应链安全体系。

原文链接：

https://dzone.com/articles/minimus-expands-enterprise-security-platform-with

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛《Fable 5与Mythos 5遭出口管制，AI“越狱”风险引发争议；六部委联合发文！《金融信息服务数据分类分级指南》正式印发| 牛览》