文章总结： 中央网信办启动3个月清朗专项行动整治账号名称信息四大乱象，三部门发布《网络数据安全风险评估办法》明确数据评估全流程合规要求，金融监管总局出台AI安全指导意见建立银行保险AI全生命周期风险管控体系。同时披露INC勒索软件攻击超830家机构、政府数据库泄露300万居民信息等安全事件，凸显网络安全威胁持续升级。 综合评分： 85 文章分类： 政策法规,网络安全,数据安全,安全建设,漏洞预警

---

中央网信办启动3 个月清朗专项，集中整治账号名称信息四大乱象；三部门发布《网络数据安全风险评估办法》| 牛览

安全牛

2026年6月22日 11:26 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

新闻速览

• 三部门发布《网络数据安全风险评估办法》，明确数据评估全流程合规要求
• 网信办就分布式数字身份互通互认规定征求意见，搭建全国统一身份链底座
• 中央网信办启动 3 个月清朗专项，集中整治账号名称信息四大乱象
• 三部门印发首批网络安全标识产品目录，网联摄像头分三星级安全认证
• 金融监管总局发布 AI 安全指导意见，建立银行保险 AI 全生命周期风险管控体系
• 欧洲刑警组织联合多国打击AudiA6，为勒索软件团伙切断资金链
• Microsoft披露AutoJack攻击链：AI代理可被恶意网页诱导执行本地命令
• 政府数据库遭入侵：300 万狩猎垂钓许可持有人证件、住址数据泄露
• AWS发布AI漏洞管理平台Continuum，实现漏洞发现到修复全流程自动化
• INC勒索软件两年半攻击超830家机构，跻身全球最活跃勒索软件团伙

特别关注

中央网信办启动 3 个月清朗专项，集中整治账号名称信息四大乱象

2026 年 6 月 18 日，中央网信办发布通知，即日起开展为期 3 个月的 “清朗・整治账号名称信息乱象” 专项行动，聚焦四类突出账号违规问题压实平台主体责任。

本次整治划定四大重点：一是各类名称冒充行为，包含仿冒党政机关、政务服务、新闻媒体、知名人士账号，使用近似名称、标识误导公众；二是身份伪装行为，无资质账号擅自标注财经、医疗、法律等专业头衔，假冒军警医护人员，蹭热点当事人流量，复制病患账号信息实施骗捐；三是夹带违规信息，账号昵称、简介、头像暗藏网址、二维码、手机号引流至黄赌平台，使用谐音、隐晦符号传播不良内容，封禁账号变相复出引流；四是账号名称信息黑灰产，通过群控刷虚假流量，售卖虚假平台认证，改造僵尸账号开展违规运营。

文件明确监管要求：平台完善专业资质认证与动态核验机制，实现账号注册、更名、展示全流程管控；畅通投诉举报渠道，针对违规账号采取限期整改、限流、禁言、封禁分级处置，问题严重平台依法处罚。

专项行动旨在肃清账号信息造假、虚假引流、网络诈骗滋生土壤，构建规范有序的网络账号生态。

原文链接：

https://mp.weixin.qq.com/s/jV0JpmBgWXaG906zjrzGpg

三部门发布《网络数据安全风险评估办法》，明确数据评估全流程合规要求

6 月 18 日，国家网信办、工信部、公安部联合发布《网络数据安全风险评估办法》，官方同步发布答记者问，明确境内网络数据安全风险评估全维度管理规则。

新规落实《数据安全法》《网络数据安全管理条例》及 “十五五” 规划数据分级分级管理要求，划定适用主体与评估频次：重要数据处理者须每年开展风险评估，数据安全状态重大变动时需追加专项评估；一般数据处理者建议每 3 年评估一次。

企业可自主评估或委托第三方机构，自行评估需专人负责，委托服务需签订权责清晰的法律文件。评估可参照 GB/T 45577-2025、GB/T 45389-2025 两项国标执行，行业另有规范的从其规定。

文件强化第三方机构约束：机构评估结果需真实完整，禁止转委托；同一机构及关联方不得连续 3 次为同一企业做年度评估，接触业务数据需严格保密，发现重大风险第一时间告知企业。

为杜绝重复检查，各主管部门每年 1 月底前报送评估检查计划，由网信部门统筹协调；同一风险事件不得重复委托第三方评估。

监管覆盖事前、事中、事后全链条：主管部门常态化行业排查，省级以上部门核验重要数据企业评估报告，存在安全隐患可责令整改、暂停数据处理；违规企业与第三方机构将依法处置，同时开放社会投诉举报渠道协同防控数据安全风险。

原文链接：

https://mp.weixin.qq.com/s/Imf0bYykZNe_IZNMqFOYpA

金融监管总局发布 AI 安全指导意见，建立银行保险 AI 全生命周期风险管控体系

6 月 18 日，国家金融监督管理总局发布《关于银行业保险业人工智能安全开发应用的指导意见》，围绕金融 AI 合规可信应用出台 32 项规范，覆盖治理、研发、数据、算力、风控、监督七大维度。

文件要求金融机构搭建顶层治理架构，搭建人工智能全生命周期管理机制，规范模型开发、部署全流程，稳妥推进金融智能体研发，共建行业 AI 应用生态。

数据与算力层面，机构需搭建高质量数据集与知识工程；布局自主可控智能算力底座，鼓励大型机构向中小机构共享算力，推动行业基础设施共建。

风控为核心要求：将 AI 风险纳入全面风险管理，实行分类分级管控，高风险 AI 业务必须设置人工监督干预流程；强化外包、供应链风险管控，提升模型稳健性、可解释性，严守网络安全、数据安全与个人信息保护底线，保障业务连续运营。

意见明确 AI 应用需符合法律规范与社会价值导向。监管部门将常态化开展监督检查，从严处置各类违规行为，动态评估、优化监管规则，提升金融 AI 领域监管适配能力，在防控风险前提下依托 AI 培育金融新质生产力，赋能实体经济发展。

原文链接：

https://www.xinhuanet.com/20260618/048469df8b834b36a4e9fe5e4249bacb/c.html

热点观察

网信办就分布式数字身份互通互认规定征求意见，搭建全国统一身份链底座

2026 年 6 月 18 日，国家网信办发布《促进分布式数字身份互通互认应用规定（征求意见稿）》，面向社会公开征求意见，反馈截止至 2026 年 7 月 18 日，意见可通过邮件[email protected]或信函渠道提交。

文件依托国家区块链网络搭建分布式数字身份链（身份链），定义分布式数字身份为基于区块链、由标识符、密钥、可验证凭证等组成的自主可控新型身份体系，覆盖个人、机构、设备多类主体。

各类主体可自愿注册身份，境内个人、企事业单位、工业设备分别由公安、编办、信用代码、工信部门核验发证；境外主体凭合规证件完成实名认证。机构接入身份链需完成网信部门备案，统一使用官方公共服务。

文件规范可验证凭证签发与核验流程，用户可自主签发授权凭证，并按需选择性披露信息；密码算法、密钥存储需符合国密标准。文件鼓励金融、税务、交通、海关、数字人民币等场景打通身份互通，支持跨境安全身份互认。

文稿明确各方权责：身份链运营方保障 24 小时应急运维；认证机构落实信息核验与审计留痕；服务机构遵循最小信息收集原则，未成年人申领身份需监护人同意。全链条主体均需落实数据安全、个人信息保护要求，重要系统配套商用密码安全评估。

新规以市场化、法治化思路培育一体化分布式数字身份生态，推动跨行业、跨平台可信身份流通。

原文链接：

https://mp.weixin.qq.com/s/ILON0mWTYtXTtkVNnvjCMA

INC勒索软件两年半攻击超830家机构，跻身全球最活跃勒索软件团伙

网络安全研究人员近日披露，INC勒索软件（INC Ransomware）自2023年8月出现以来，已在全球范围内宣称攻击超过830家组织，成为当前最活跃的勒索软件即服务（RaaS）威胁之一。研究显示，仅2026年第一季度，该组织就新增120余名受害者，其攻击规模在LockBit被执法机构打击、BlackCat停止运营后迅速扩大。

INC最初被视为一个规模较小的勒索软件团伙，但近年来持续提升技术能力和运营成熟度。其攻击模式采用典型的“双重勒索（Double Extortion）”策略，即在加密受害者数据前先实施数据窃取，以泄露敏感信息为筹码向受害机构施压。

技术分析显示，INC不断改进其恶意软件工具链，并将部分加密器重写为Rust语言版本，以增强跨平台兼容性和规避检测能力。同时，攻击者开始重点针对企业备份基础设施，尤其是Veeam环境，通过凭证窃取获取备份系统访问权限，从而削弱受害者的数据恢复能力，提高勒索成功率。

研究人员指出，INC的快速崛起与勒索软件生态格局变化密切相关。随着LockBit和BlackCat等头部团伙受到打击，大量攻击资源和附属成员（Affiliates）流向其他平台，为INC扩张创造了机会。其受害目标覆盖多个行业和地区，显示出较强的全球化运营能力。

安全专家建议企业重点加强备份系统和身份凭证保护，将Veeam等备份平台纳入与域管理员同等级别的安全管控范围，同时部署多因素认证（MFA）、最小权限访问控制及持续监测机制，以降低勒索软件攻击带来的业务中断和数据泄露风险。

原文链接：

https://thehackernews.com/2026/06/inc-ransomware-claims-830-victims-since.html

安全事件

欧洲刑警组织联合多国打击AudiA6，为勒索软件团伙切断资金链

欧洲刑警组织（Europol）近日宣布，一项国际联合执法行动成功捣毁加密货币洗钱服务“AudiA6”，切断了勒索软件团伙和网络犯罪组织的重要资金通道。调查显示，该平台在2022年至2025年期间涉嫌清洗超过3.36亿欧元（约3.89亿美元）非法加密资产，并与全球15起以上网络犯罪调查存在关联。

此次行动由美国特勤局（USSS）、美国国税局刑事调查局（IRS-CI）、波兰警方以及Europol、Eurojust等机构共同参与。行动中，两名涉嫌运营AudiA6的乌克兰籍和俄罗斯籍嫌疑人在格鲁吉亚被捕；执法部门查封25个域名、扣押30余台服务器，并冻结约69.2万欧元加密货币，另查获超过8.6万欧元加密资产。

调查人员发现，AudiA6以“专业加密货币混币（Cryptocurrency Mixing）服务”为卖点，通过大量使用盗用或购买身份信息注册的虚假交易所账户，为网络犯罪分子提供资金清洗服务。用户将非法所得加密货币转入指定钱包后，平台利用复杂交易链隐藏资金来源，并通常在1小时内返还“清洗后”的资金，收取3%至10%的佣金。

执法机构还指出，AudiA6运营者疑似同时管理暗网论坛“Dark2Web”，该论坛长期为网络犯罪活动提供交易和推广渠道。调查的突破点来自2025年9月波兰警方逮捕的一名涉案人员，其电子设备中的取证数据帮助执法机构进一步锁定整个洗钱网络。

Europol表示，此次行动再次凸显了加密货币洗钱基础设施在勒索软件生态中的关键作用，也反映出网络犯罪服务化、产业化的发展趋势。

原文链接：

Authorities Dismantle AudiA6, the Ransomware Crypto Laundering Service Behind $380M

政府数据库遭入侵：300 万狩猎垂钓许可持有人证件、住址数据泄露

2026 年 6 月 19 日外媒消息，美国得克萨斯州公园与野生动物管理局（TPWD）数据库遭非法入侵，超 300 万居民个人信息泄露，为当地史上规模较大的政务数据安全事件。

据州总检察长办公室通报，攻击者入侵存储狩猎、垂钓许可记录的数据库，外泄数据包含姓名、居住地址、驾照编号、护照等个人身份信息（PII）。官方澄清，涉事服务器未存储社保号、信用卡、出生日期等高敏感字段，整体风险等级低于初期预估。

安全专家提示，即便无金融、核心隐私数据，泄露的证件与住址信息仍可被黑产用于电信钓鱼、社工库诈骗、身份冒用等违法活动，受害民众需持续监测个人账户异常动态。

事件发生后，TPWD 开通专线 844-959-7123（工作日中部时间 8:00-17:00）受理民众咨询，并免费提供信用监控与身份防护服务。

目前事件溯源调查仍在推进，相关部门同步加固数据库防护体系。本次事件凸显政务机构海量公民数据库已成为网络攻击重点目标，公共部门数据安全防护、访问管控存在显著短板。

原文链接：

Texas government Data Breach exposes information of over 3 million Residents

安全攻防

Microsoft披露AutoJack攻击链：AI代理可被恶意网页诱导执行本地命令

Microsoft Defender Security Research披露了一条名为AutoJack的攻击链，曾可让恶意网站借助AI代理，在运行AutoGen Studio的开发者主机上远程执行命令。AutoGen Studio是用于快速构建AutoGen多代理系统原型的界面工具，问题并非单一漏洞，而是多处设计缺陷叠加形成风险。

攻击场景中，开发者在本地运行AutoGen Studio，并让AI代理访问外部网页、总结页面内容。恶意网页中的脚本可通过WebSocket连接本机的AutoGen Studio服务。由于AI代理本身运行在开发者机器上，传统依赖localhost或127.0.0.1的信任边界被绕过，网页间接获得了访问本地管理接口的能力。

关键缺陷包括：/api/mcp/和/api/ws/路径绕过了统一身份验证中间件，MCP WebSocket连接未再次校验token；同时，接口可从URL读取server_params参数，将其base64解码为StdioServerParams，并作为命令启动MCP服务器。由于缺少可执行文件白名单，攻击者可传入calc.exe、PowerShell或bash等命令及参数，实现以当前用户权限执行任意命令。

Microsoft已通过Microsoft Security Response Center上报并推动修复。修复后，WebSocket处理器不再从URL读取server_params，相关参数改由服务端通过独立请求和会话ID绑定，MCP路由也恢复统一认证检查。Microsoft强调，受影响代码未进入通过Python Package Index发布的AutoGen Studio版本，因此通过pip安装的用户不受该攻击链影响；风险主要涉及在MCP支持加入后、修复前从GitHub主分支构建AutoGen Studio的开发者。

该事件提示，AI代理一旦可访问不可信网页并连接高权限本地服务，localhost不能再被视为可靠安全边界。开发者应为所有管理接口强制认证，限制外部命令执行能力，并将代理运行在容器、虚拟机或沙箱环境中。

原文链接：

https://www.securitylab.ru/news/573992.php

产业动态

三部门印发首批网络安全标识产品目录，网联摄像头分三星级安全认证

2026 年 6 月 18 日，国家网信办、工信部、公安部联合印发《实施网络安全标识的产品目录（第一批）》及配套实施规则，同步发布标准实践指南 TC260-PG-20265A，首批适用产品为消费类网联摄像头，公共安防摄像头不在适用范围。

该标识实行自愿申领，蓝色标识有效期 3 年，标注厂商、型号、安全等级、备案码等信息，扫码可核验检测报告。安全能力划分为基础级（一星）、增强级（二星）、领先级（三星），需通过硬件、数据、通信等全维度检测达标对应等级。

检测区分要求：一星、二星可使用自有 CNAS 实验室或第三方机构；三星产品必须额外由第三方完成渗透测试。产品按芯片、固件、通信模组等要素划分检测单元，抽检比例为单元型号总数 10% 向上取整。

厂商向中国电子技术标准化研究院提交材料备案，机构 10 个工作日完成形式审查。芯片、固件等关键参数变更或标识到期，需重新检测备案。

文件明确违规处置机制：伪造材料、冒用标识将撤销备案，一年内不予受理企业新备案；检测机构出具虚假报告，一年内检测结果不予采信。相关违规行为可通过备案平台www.cncsl.cn或电话（010）64102777 举报，涉事主体将依据《网络安全法》予以处罚。标识可粘贴于设备、包装、线上商品页面，图案样式不得随意修改。

原文链接：

https://mp.weixin.qq.com/s/uo12tNYrxZXVWxpWMx-qhg

新品发布

AWS发布AI漏洞管理平台Continuum，实现漏洞发现到修复全流程自动化

AWS近日发布AI驱动的漏洞管理平台Continuum for Code Vulnerabilities，目前已进入受限预览（gated preview）阶段。该平台利用多种前沿AI模型，对代码漏洞进行发现、优先级排序、验证和修复，旨在缓解企业日益严重的漏洞积压问题。

AWS表示，随着Claude Mythos等新一代AI模型具备以“机器速度”发现软件漏洞和分析复杂攻击路径的能力，传统依赖人工分析的漏洞管理模式已难以满足需求。Continuum采用模型无关（model-agnostic）架构，可根据不同任务调用最适合的AI模型，并支持未来新模型接入。

Continuum围绕漏洞生命周期构建四个持续运行阶段。首先是Discovery（发现），平台导入企业现有漏洞库并扫描环境，识别潜在漏洞及相关攻击路径；其次是Prioritization（优先级排序），结合部署状态、网络可达性、生产环境影响及业务风险等上下文信息，对漏洞进行风险评估；随后进入Validation（验证）阶段，通过过滤误报并在沙箱环境中生成可复现的利用样例，确认漏洞真实性；最后在Mitigation and Remediation（缓解与修复）阶段，分析现有防护措施，并提出网络配置调整、策略变更或代码补丁建议，同时提供影响范围（blast radius）分析和回滚路径。

该平台可同时处理结构化数据和非结构化数据，包括基础设施配置、权限关系、网络拓扑、源代码，以及文档、通信记录和业务优先级等信息。

此外，AWS还将原有AWS Security Agent的渗透测试和代码扫描能力整合至Continuum，并新增Continuum Threat Modeling功能，可基于设计文档或源代码自动生成STRIDE威胁模型，进一步完善漏洞治理闭环。

原文链接：

https://www.infosecurity-magazine.com/news/aws-continuum-ai-vulnerability/

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《中央网信办启动3 个月清朗专项，集中整治账号名称信息四大乱象；三部门发布《网络数据安全风险评估办法》| 牛览》