文章总结： 本期工业网络安全周报涵盖人工智能安全服务资质发布、政策法规更新、高危漏洞预警及安全事件分析。核心内容包括国家推出AI安全资质评估体系，网信办等联合发布数据安全风险评估办法，曝光Splunk、FortiSandbox等系统的关键漏洞，并预警VoidLink恶意软件及AutoJack攻击链风险。报告还涉及智能体安全、算力互联网治理等前沿技术分析，为企业提供合规指引和威胁应对建议。 综合评分： 87 文章分类： 政策法规,漏洞预警,威胁情报,安全建设,AI安全

工业网络安全周报-2026年第21期

河南省工信安联盟 河南省工信安联盟

安全牛科技

2026年6月22日 16:35 河南

在小说阅读器读本章

去阅读

热点速报

1、重磅 | 人工智能安全服务资质正式面向全社会发布

为顺应智能网络空间发展趋势，完善全域安全治理架构，规范人工智能领域安全服务能力建设，中心严格对标国内外相关标准体系，正式推出国家信息安全服务资质（人工智能安全类一级）。该资质搭建基座与模型安全、数据安全、运行环境安全、应用安全四大维度评估体系，覆盖模型训练、上线部署、运行监测、安全防护等全生命周期关键环节。围绕申请单位的技术水平、合规管控、风险治理、应急响应等核心能力开展综合测评，精准核验服务的稳定性、可靠性与实战效能，推动安全能力与业务场景深度融合、技术工具与运营流程协同联动，有效防范数据泄露、模型篡改、违规滥用、内容失范等各类安全隐患。

来源：https://mp.weixin.qq.com/s/G73th9B1ttgaH9v7NTszRg

2、掀起智能浪潮，定义原生时代——2026智能原生大会在京召开

定义智能原生，探讨原生转型路径，2026智能原生大会于6月16日在北京正式启幕。本次大会由中国通信标准化协会主办，中国信息通信研究院（简称“中国信通院”）承办。会上，中国科学院计算所研究员、副所长程学旗发表了题为《高质量数据集建设与智能赋能》的主旨演讲，中国信通院人工智能研究所所长魏凯以《智能原生：共同探索企业智能转型新路径》为题进行演讲。

来源：https://mp.weixin.qq.com/s/BhiimvTAqOnjI9Yc-WtHXw

3、中国信通院正式发布2026智能体十大关键词

2026年6月9日，中国信通院在智能体高质量发展研讨会上正式发布“2026智能体十大关键词”，中国信通院人工智能研究所平台与工程化部主任曹峰对关键词进行了解读。十大关键词分别是：智能体基础设施、智能体互联协作、智能体工程化、智能体学习进化、智能体记忆、智能体技能、智能体产品创新、智能体支付协议、智能体可信、智能体全栈评估,上述关键词全面反映了当前智能体领域的技术发展趋势、产业演进重点与生态建设方向。

来源：https://mp.weixin.qq.com/s/u4ZRDtQviinP2MRLrCBULw

4、2026华南工博会盛大举行，AI智造重构制造业新生态

6月10日，2026华南国际工业博览会（以下简称“华南工博会”）在深圳国际会展中心（宝安）盛大启幕。本届展会展览面积达8万平方米，汇聚全球超800家制造业龙头企业参展。依托珠三角完备的工业产业体系与雄厚的制造业市场根基，本届展会聚焦新质生产力培育方向，锚定制造业高端化、智能化、绿色化转型目标，设置工业自动化、机器视觉、具身智能、机器人、激光技术、数控机床、新一代信息技术、电子制造八大核心主题板块，贯通工业核心零部件、智能装备、系统解决方案与终端应用的全产业链条。开展首日，专业客商与参展企业交流洽谈氛围热烈，整体展出成效显著。

来源：https://mp.weixin.qq.com/s/GF3OkOWWn_e5UWOjyMTRIQ

5、人工智能对电子信息制造业的“双刃效应”研讨会在京召开

2026年6月9日下午，人工智能对电子信息制造业的‘双刃效应’研讨会在北京赛迪大厦召开。会议聚焦人工智能技术全面渗透电子信息制造业所带来的历史性机遇与潜在风险，邀请产业链上下游企业代表共同研判趋势、探讨应对策略。研讨会由中国电子信息产业发展研究院副总工程师刘权主持。来自芯片设计、智算服务器、设计工具、工业AI平台及终端等领域的多位企业负责人及专家，围绕“下一个类似存储涨价的风险点”等议题展开讨论。AI计算需求持续挤占传统制造产能，其风险正从存储芯片向更广泛的基础环节传导。

来源：https://mp.weixin.qq.com/s/_IbhGjCdcX_QSIF9aj-J7Q

6、中国工业互联网研究院重磅发布《Token驱动智能经济研究报告（2026年）》

近日，中国工业互联网研究院牵头联合近百家权威机构与行业龙头企业，正式发布《Token驱动智能经济研究报告（2026年）》（以下简称《报告》）。《报告》深入贯彻落实2026年政府工作报告关于“打造智能经济新形态”的战略部署，系统探究智能经济时代的发展格局与战略机遇，全面剖析Token从技术符号向新型生产要素的演进逻辑，为我国在全球智能经济规则重塑的历史交汇期掌握要素配置主导权、推动智能经济高质量发展提供了方向指引与理论支撑。

来源：https://mp.weixin.qq.com/s/m50KMqOylsJxG0xR1zhp6w

政策法规

1、国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》

为了规范网络数据安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用，根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规，制定本办法。在中华人民共和国境内开展网络数据安全风险评估，应当遵守本办法。本办法所称网络数据安全风险评估（以下简称风险评估），是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。

来源：https://mp.weixin.qq.com/s/xJoBin8fXt-Mgh3vaenCig

2、工业和信息化部等七部门关于印发《促进平台经济大中小企业协同发展行动方案（2026—2028年）》的通知

工信部联信管〔2026〕119号 各省，自治区，直辖市通信管理局，各省，自治区，直辖市及计划单列市，新疆生产建设兵团工业和信息化主管部门，党委网信办，发展改革委，科技厅（委，局），商务厅（局，委），市场监管局（厅，委），数据管理部门，各有关单位：现将《促进平台经济大中小企业协同发展行动方案（2026—2028年）》印发给你们，请结合实际，抓好贯彻落实。

来源：https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2026/art_68045e5357ff490f80a4a30a284b7b77.html

3、国家数据局发布《数字中国发展报告（2025年）》

为贯彻落实党中央、国务院关于数字中国建设的重要部署，深入实施《数字中国建设整体布局规划》，国家数据局会同有关单位，从发展基础、赋能效应、发展环境三个方面系统总结2025年数字中国建设重要进展和工作成效，展望2026年数字中国发展的形势和前景，编制形成《数字中国发展报告（2025年）》，现予发布。

来源：https://www.nda.gov.cn/sjj/swdt/xwfb/0608/20260608193210077440494_pc.html

4、金融监管总局发布《关于银行业保险业人工智能安全开发应用的指导意见》（附全文）

为深入贯彻党中央、国务院决策部署，落实中央经济工作会议、中央金融工作会议精神，推动银行业保险业扎实做好人工智能技术应用和风险防控，金融监管总局近日发布《关于银行业保险业人工智能安全开发应用的指导意见》（以下简称《指导意见》）。

来源：https://www.nfra.gov.cn/cn/view/pages/ItemDetail.html?docId=1261708&itemId=915

5、关于印发《实施网络安全标识的产品目录（第一批）》及相关实施规则的通知

根据《网络安全标识管理办法》，国家互联网信息办公室、工业和信息化部、公安部制定了《实施网络安全标识的产品目录（第一批）》及相关实施规则，现印发给你们，请遵照执行。同时，全国网络安全标准化技术委员会组织制定了《网络安全标识 消费类网联摄像头安全要求》（网络安全标准实践指南TC260-PG-20265A），作为消费类网联摄像头实施网络安全标识的标准依据，现一并转发给你们。

来源：https://mp.weixin.qq.com/s/uo12tNYrxZXVWxpWMx-qhg

6、工业和信息化部关于印发《“人工智能+信息通信”创新发展实施意见（2026—2028年）》的通知（附全文）

为贯彻落实《国务院关于深入实施“人工智能+”行动的意见》，抢抓人工智能发展机遇，推动人工智能与信息通信融合创新发展，特制定本实施意见。

来源：https://www.miit.gov.cn/jgsj/txs/wjfb/art/2026/art_c1fe635702fc4339bf85289fe605ac21.html

安全漏洞

1、Splunk AI Toolkit漏洞可导致任意操作系统命令执行攻击

Splunk公司披露了其AI Toolkit中存在的一个高危安全漏洞,攻击者可利用该漏洞在受影响系统上执行任意操作系统命令。该漏洞编号为(CVE-2026-20266),CVSS评分为9.1分,表明其对企业环境具有严重影响。该漏洞影响Splunk AI Toolkit 5.7.4以下版本,归类于CWE-78(操作系统命令注入问题)。根据Splunk说明,漏洞存在于btool配置辅助工具中,该组件负责处理工具包内的配置相关操作。

资料来源：https://mp.weixin.qq.com/s/ano7NXK9lidWQBXr5K1npg

2、世界杯运营系统严重漏洞 黑客可全面接管世界杯转播

国际足球管理机构FIFA的信息系统存在严重漏洞，一名白帽黑客发现利用漏洞可控制全球世界杯电视直播，甚至可以实时调整比分、更改比赛开始时间等操作。入侵步骤：在FIFA网站申请注册足球经纪人，任何人都可以申请，只要提交身份证并验证电子邮件。账号注册完成后，即可通过工具从系统后端API获取任意访问权限。漏洞在于，一个普通经济人账号拥有可访问FIFA所有的内部系统与核心数据平台的通道。

资料来源：https://mp.weixin.qq.com/s/yJBm6c2Juu9tK9Rapro8xw

3、英国政府在AI黑客马拉松中发现400多个漏洞

英国政府通过一系列内部人工智能（AI）黑客马拉松活动，在9个政府部门的公共代码库中发现并修复了407项安全漏洞。该活动由英国国家网络安全中心与科学、创新和技术部下属的政府网络协调中心（GC3）联合组织，每周举行一次。参与者发现了包括身份验证绕过、数据泄露和远程代码执行在内的关键缺陷。其中部分漏洞此前已被掌握，并已通过补偿性控制措施予以缓解；另有若干属于零日漏洞。目前，所有经评估为可利用的关键及高风险漏洞均已修复，未发现被利用的证据。

资料来源：https://mp.weixin.qq.com/s/PCkLpQtgBpdH-fb1-D5tow

4、攻击者正利用FortiSandbox三大漏洞发起攻击，未认证即可获取root权限

威胁攻击者正在积极利用Fortinet FortiSandbox平台的多个关键漏洞，过去24小时的实时攻击遥测数据已确认存在利用尝试。Defused安全团队标记了三个正被活跃利用的CVE漏洞，其中包括此前无公开利用记录的CVE-2026-39813。伪装成Fortinet FortiSandbox实例的蜜罐传感器和欺骗基础设施已捕获针对三个漏洞的利用尝试，攻击者均通过向/jsonrpc/API端点发送精心构造的POST请求触发，攻击流量均通过443端口传输。

资料来源：https://mp.weixin.qq.com/s/Y7x2um1kBIPiLAPD75Y_Cw

安全事件

1、任天堂美国员工数据遭泄露，第三方HR平台被勒索组织攻破

第三方人力资源平台TinyPulse遭遇供应链攻击，导致任天堂美国分公司员工记录遭窃。在臭名昭著的Shadowbyt3$勒索组织发布声明后，任天堂已确认此次数据泄露事件。攻击者并未突破任天堂自身网络边界，而是入侵了TinyPulse的云环境。勒索即服务组织Shadowbyt3$于2026年6月12日宣称实施此次攻击，并向任天堂索要200万美元赎金以阻止数据公开。该组织给出48小时支付期限，但这家游戏巨头拒绝谈判。在任天堂拒绝付款后，Shadowbyt3$转而向TinyPulse提出经济要求，设定6月16日为第二期限。期限届满未获支付，该组织开始在其暗网平台泄露数据样本。

资料来源：https://mp.weixin.qq.com/s/NQnCMaeFiBVCXQbJ7waKhQ

风险预警

1、关于防范VoidLink恶意软件的风险提示

近期，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，VoidLink恶意软件持续活跃，主要针对云环境中的Linux服务器发起攻击，可造成供应链攻击、服务器被控和业务中断等风险。VoidLink是一个高度模块化的恶意软件，专为攻击云与容器环境设计，其样本于2025年底首次被发现。攻击者通过供应链污染、云环境配置漏洞及容器逃逸等手段植入具备环境感知能力的恶意加载器，利用未签名的容器镜像、泄露的凭证等配置弱点，实现隐蔽初始入侵。

资料来源：https://mp.weixin.qq.com/s/96Ae0xBEkA1oGZr3YPh4pw

2、AutoJack暗藏致命攻击链路，一个网页可劫持AI Agent执行任意代码

微软研究人员披露了一个名为AutoJack的攻击链，该漏洞可将AI浏览Agent转变为远程代码执行的载体。只需诱导Agent加载攻击者网页，该页面的JavaScript就能访问本地高权限服务并在主机上执行任意进程。整个过程无需凭证验证、无需登录界面，Agent加载页面后也无需额外用户交互——攻击者仅需通过植入链接、URL字段或提示词注入等方式使Agent打开网页即可。

资料来源：https://mp.weixin.qq.com/s/tONGl_6QUSn3aS1jj0jmjg

技术前沿

1、专题·智能体安全 | 智能体技能安全风险分析与治理对策研究

技能是指智能体执行特定任务的模块化能力单元，通过封装任务指令、执行脚本及参考资源，为智能体提供完成特定任务所需的专业知识与操作规范。一个技能可以赋予智能体文件管理、代码执行、数据检索、API调用等多种能力，是智能体从理解指令到执行操作的核心桥梁。技能作为智能体与外部世界交互的核心接口，也是相关安全风险的主要载体与放大器。因此，深入研究智能体技能所面临的安全威胁及其防护机制，对于有效化解新兴技术应用带来的现实风险、保障智能体生态可持续发展具有重要现实意义。

来源：https://mp.weixin.qq.com/s/m8r3a2LbkXszFSHA8hFl0w

2、算力互联网安全风险与治理

算力互联网作为“云、网、边、端”一体化的新型基础设施，也是数字经济高质量发展的底层支撑，其逻辑集中、物理分散、资源异构的特性打破了传统安全边界，衍生出复杂风险。从算力互联网三层架构出发，系统梳理各类安全痛点，总结归纳风险体系；结合可信计算、可靠运行、人工智能安全赋能等核心理念，构建算力互联网安全可信框架，并提出针对性治理路径。以期为算力互联网安全实践提供理论参考，为构建全国一体化算力网筑牢安全根基。

资料来源：https://mp.weixin.qq.com/s/IPt_gAQ3pfeMZIGTSOTkxw

3、智能体工程化加速演进，智能体基础设施成为规模化落地关键支撑

2025年，国务院印发《关于深入实施“人工智能+”行动的意见》，提出到2027年，新一代智能终端、智能体等应用普及率超70%，为智能体规模化应用明确了阶段性目标。2026年5月，国家网信办、国家发改委、工信部联合发布《智能体规范应用与创新发展实施意见》，进一步提出夯实发展基础、完善技术底座、构建标准协议，促进智能体规范应用与创新发展。在此背景下，智能体正从演示验证走向生产应用，价值由内容生成、智能问答延伸至任务规划、工具调用和系统执行，产业关注点也从模型能力转向稳定、低成本、可复用的智能体基础设施。智能体基础设施是支撑智能体开发、运行、协同和治理的基础体系，也是将模型能力转化为可调用、可运行、可治理系统能力的关键底座。

资料来源：https://mp.weixin.qq.com/s/Ahpmpd3eBDJYkiDlis3jRg

4、智能经济深度观察丨智能经济发展特征与成熟度评价体系构建

智能经济的整体范畴可从生产要素、产业形态、技术应用与价值实现四个维度系统界定。智能经济重构传统经济的底层增长逻辑、生产协作范式、产业价值体系与发展保障底座，形成区别于传统工业经济、通用数字经济的“四新”特征，包括三要素闭环驱动的增长新逻辑、人机共协同的生产新范式、全链条融合的产业新价值、多元共治理的生态新底座。智能经济的完整运行体系由基础支撑层、核心产业层、融合应用层、模式创新层、治理保障层五个核心层级构成，按照“底层能力支撑→产业价值转化→场景价值落地→创新迭代升级→顶层制度保障”的逻辑形成环环相扣的闭环运行体系。

资料来源：https://mp.weixin.qq.com/s/l-NkdPqYFSTPL6i8cH-Kzg

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛科技 河南省工信安联盟 河南省工信安联盟《工业网络安全周报-2026年第21期》