文章总结: 本期网络安全动态主要涵盖国内外多项重要举措与事件。国内方面,中央网信办深入推进清朗·整治AI应用乱象专项行动第一阶段工作,并开展网络平台涉志愿服务违规信息专项整治;国家数据局印发《数据产权登记工作指引(试行)》,同时多项网络安全国家标准发布或征求意见。国际上,美国CISA建立新的咨询机构框架以加强关键基础设施安全,NIST发布供应链风险管理计划;欧盟委员会和英国也分别发布了网络安全与人工智能行动计划;美日两国深化网络安全合作。此外,近期网络攻击事件频发,如美国陆军网站遭篡改、UPS等企业遭遇勒索软件攻击,同时多起源代码泄露事件引发供应链安全危机。风险警示方面,工信部提示防范AI编程工具安全隐患,美CISA等机构也发布了多项高危漏洞预警。
综合评分: 85
文章分类: 政策法规,网络安全,供应链安全,恶意软件,漏洞预警
安全动态丨网络空间安全动态第341期
国信中心 国信中心
极客安全
2026年7月12日 18:30 北京
在小说阅读器读本章
去阅读
编者按
网安动向热讯,本期有十二点值得关注:
一是中央网信办深入开展“清朗·整治AI应用乱象”专项行动第一阶段工作;二是中央网信办关于开展网络平台涉志愿服务违规信息专项整治的通知;三是美CISA宣布建立一个新的咨询机构框架;四是美NIST发布《为系统制定安全、隐私和网络安全供应链风险管理计划》;五是美战争部拟禁止从对手国家采购电路板,加强国防系统微电子供应链安全与可追溯性;六是美战争部宣布设立无人系统直属管理岗位,强化无人作战体系一体化管理;七是美OPM启动“战争力量”专项招聘计划,加快招募顶尖工程师服务军事AI建设;八是欧盟委员会发布网络安全和人工智能行动计划;九是英国拟打造AI驱动的“网络盾牌”以强化国家级网络防御;十是美日深化网络安全合作,推动人工智能与后量子密码协同发展;十一是日本经产省拟资助Noetra开发国产AI基础模型,面向物理AI和制造业应用;十二是葡萄牙推出首个开源AI模型Amalia,推动本国语言模型和公共应用建设。
数据前沿快讯,本期有三点建议关注:
一是国家数据局印发《数据产权登记工作指引(试行)》;二是2026年世界互联网大会数字丝路发展论坛新闻发布会在北京召开;三是国家文物局印发《国有文物资源数据管理办法》。
网安事件聚焦,本期有两方面内容建议关注:
一是工控系统与世界重大赛事仍是各类攻击的主要目标。
本期介绍:美国陆军网站遭篡改,出现“辱骂特朗普”等涉政内容;美工业巨头UPS遭Chaos勒索软件攻击;2026世界杯成钓鱼诱饵,定制邮件传播Voidrift病毒;美DHS信息共享平台HSIN的服务器遭攻击;欧洲防务巨头Indra遭Gentlemen勒索软件攻击。
二是源代码泄露,引发供应链安全危机。
本期介绍:IT服务巨头Accenture遭入侵,35 GB源代码及其他数据被窃取;美加利福尼亚州退休计划管理公司Alta Montclair云存储泄露21万份文件。
网安风险警示,本期有五点建议关注:
一是工信部发布关于防范AI编程工具Claude Code安全后门隐患的风险提示;二是美CISA发布警告:微软SharePoint高危漏洞遭在野利用;三是Adobe ColdFusion路径穿越漏洞安全风险通告;四是Citrix NetScaler内存越界读取漏洞安全风险通告;五是思科Unified CM高危漏洞遭在野利用。
01 网安动向热讯
01
中央网信办深入开展“清朗·整治AI应用乱象”专项行动第一阶段工作
7月6日消息,“清朗·整治AI应用乱象”专项行动自2026年4月启动以来,中央网信办聚焦未按规定履行大模型备案登记义务、AI平台安全和审核过滤能力不足、AI数据投毒、生成合成内容标识落实不到位等AI应用乱象,部署各地网信部门深入推进第一阶段重点整治任务,并开设“涉AI应用乱象举报专区”,专项受理公众举报。在各方共同努力下,第一阶段累计处置违规网站、应用程序、智能体等AI产品1.4万余款,清理违法违规信息600余万条,处置账号2.6万余个,下架违规AI商品1300余个、违规开源数据集9个,各项工作取得积极进展。下一步,中央网信办将聚焦利用AI技术制作发布虚假信息、散播暴力低俗等不良信息、假冒仿冒他人、侵害未成年人权益、从事网络水军活动等突出问题,开展“清朗·整治AI应用乱象”专项行动第二阶段工作,加大违规账号和机构查处力度,加强AI应用重点环节管理,督促平台提升AI防治能力,着力维护清朗网络生态,推动人工智能向善向好。(信息来源:网信中国)
02
中央网信办关于开展网络平台涉志愿服务违规信息专项整治的通知
7月6日消息,为进一步加强志愿服务监督管理,深入排查清理网上涉志愿服务违规信息,中央网信办、中央社会工作部决定自2026年6月下旬至8月下旬,集中开展为期2个月的网络平台涉志愿服务违规信息专项整治。专项整治期间,重点清理处置以下7类涉志愿服务违规信息及相关网络账号:以各种形式售卖志愿服务时长、志愿服务证书;违背志愿精神的相关宣传内容;容易误导学生和家长的相关宣传内容;为各类商事活动招募志愿者,或有偿招募安保员、后勤人员等所谓的“志愿者”;假冒、仿冒“地域+志愿”、“行业+志愿”等官方账号误导社会公众;商标、商业广告以及其他营利性活动中使用志愿服务标识;其他以“志愿者”、“志愿服务”、“志愿服务组织”等名义,在网上开展的违背社会公德、损害社会公共利益或他人合法权益,危害国家安全的活动或发表的不当言论等。(信息来源:网信中国)
03
国家网信办就《互联网信息服务管理办法(修订草案征求意见稿)》再次公开征求意见
7月3日消息,国家互联网信息办公室就《互联网信息服务管理办法(修订草案征求意见稿)》再次公开征求意见。意见反馈截止时间为2026年8月2日。征求意见稿主要修订内容包括:明确原则要求和管理机制;完善互联网信息服务提供者管理要求;强化互联网信息服务活动管理规定;压实网络平台主体责任;促进智能信息服务安全和发展;健全法律责任制度和监管措施“工具箱”等。其中,压实网络平台主体责任方面,征求意见稿增设“平台信息服务”专节,要求具有较大影响力的互联网用户公众账号生产运营者不得制作、复制、发布、传播含有法律、行政法规禁止内容的信息和不良信息,规定加强网络暴力识别监测,发现存在网络暴力风险等情况应当及时采取相关措施,并为用户提供快捷取证等功能;规范对互联网信息内容多渠道分发机构签约账号及其发布信息的管理等。促进智能信息服务安全和发展方面,征求意见稿增设“智能信息服务”专节,对应用人工智能技术提供互联网信息服务的情形进行专门规范。(信息来源:新华网)
04
《工业控制系统网络安全防护能力成熟度模型》等7项网络安全国家标准发布
7月7日消息,《工业控制系统网络安全防护能力成熟度模型》等7项网络安全国家标准发布。核心标准(GB/T 41400—2026)由全国网络安全标准化技术委员会归口,构建了从安全能力要素、能力成熟度等级、能力建设过程三个维度的评价体系。其中,成熟度等级划分为基础建设级、规范防护级、集成管控级、综合协同级和智能优化级五个层级,覆盖工业设备、主机、网络、平台及数据等核心对象,旨在为工业控制系统的设计、建设与运维提供标准化的能力核验依据。其余6项同期发布的标准涉及网络安全产品互联互通(第四部分:威胁信息格式和第五部分:行为信息格式)、电子邮件系统安全技术规范、互联网恶意软件定义与描述格式等。(信息来源:全国网安标委网站)
05
《网络安全标准实践指南——半导体存储介质块擦除技术指引》等3项网络安全标准实践指南公开征求意见
7月3日消息,为配套GB 46864-2025《数据安全技术 电子产品信息清除技术要求》强制性国家标准落地实施,指导相关单位规范开展信息清除活动,网安标委就3项网络安全标准实践指南公开征求意见,意见反馈截止日期为2026年7月17日前。其中,《半导体存储介质块擦除技术指引》提出了半导体存储介质的块擦除技术要求,并给出各类半导体存储介质块擦除指令对照表,适用于指导半导体存储介质生产企业在设计和制造环节适配块擦除指令,也适用于指导电子产品生产企业调用块擦除指令。《电子产品信息清除记录、标识与回收管理指引》规定了电子产品信息清除日志记录的格式、内容和回收过程、代理回收点管理要求,提出了信息清除标识的样式和使用方法,适用于指导回收经营者生成信息清除日志、使用信息清除标识、建立回收管理体系和规范代理回收点管理、为用户提供电子产品信息清除状态查询服务等,也适用于电子产品信息清除日志记录功能的设计、开发和使用。《移动智能终端信息清除技术指引》规定了移动智能终端信息清除技术要求,包括基本要求、清除范围、清除方法、清除操作过程等要求和验证方法,适用于移动智能终端产品的信息清除功能设计、开发、测试,也可为监管机构、第三方测评机构提供参考。(信息来源:全国网安标委网站)
06
美CISA宣布建立一个新的咨询机构框架
7月1日消息,美网络安全与基础设施安全局(CISA)宣布建立一个新的咨询机构框架:国土运营韧性国家理事会联盟—关键基础设施(ANCHOR-CI),旨在加强信息共享,扩大政府与产业界的合作伙伴关系,以保障国家的关键基础设施安全。作为咨询机构,ANCHOR-CI由各行业、跨行业、地区及产业理事会(“ANCHOR-CI理事会”)组成,通过CISA向国土安全部提供团体建议和意见,以确保全国范围内协调一致地推动关键基础设施的安全与韧性建设,交流技术援助方面的最佳实践,并合作维护与行业风险管理机构之间的协作机制。ANCHOR-CI理事会将设立论坛,使联邦、州、地方、部落及属地层面的网络安全、执法、情报、国家安全及其他政府代表,能够与私营部门实体以及关键基础设施所有者和运营方代表共同参与,评估当前威胁环境,讨论潜在漏洞,并就加强关键基础设施和网络空间的韧性提出建议。CISA负责运营和管理ANCHOR-CI框架,确保ANCHOR-CI成为美全国关键基础设施合作伙伴参与的有效召集机制。ANCHOR-CI最初为期两年,并可根据《国土安全法案》第871条,由国土安全部长进行延长。(信息来源:美CISA官网)
07
美NIST发布《为系统制定安全、隐私和网络安全供应链风险管理计划》
7月2日消息,美国家标准与技术研究院(NIST)发布《为系统制定安全、隐私和网络安全供应链风险管理计划》,将系统安全、隐私和供应链风险管理整合为统一“系统计划”,涵盖资产、人员、授权边界、互连系统、数据流、负责人、内外部环境及风险管理控制等信息,并与NIST风险管理框架步骤和任务相关联。该计划要求采用机器可读数据格式,支持与GRC、SOAR、SIEM等平台集成,通过自动化仪表板实现近乎实时的风险管理决策。NIST同步发布系统安全计划、隐私计划及C-SCRM计划大纲示例和角色职责指南,并废止传统系统分类术语。(信息来源:美NIST网站)
08
美战争部拟禁止从对手国家采购电路板,加强国防系统微电子供应链安全与可追溯性
7月2日消息,美战争部拟修订《国防联邦采购条例补充》,禁止从中国、俄罗斯、伊朗、朝鲜等“受关注国家”采购印刷电路板,以强化防务系统供应链安全。该规则基于2021和2022财年《国防授权法》相关条款,采用分层信托架构和地理制造点追踪,要求承包商提供ISO/IEC 20243、IPC-1782等国际标准认证及可追溯性数据方可申请豁免,但仅覆盖直接威胁军事任务或国家安全的系统集成PCB,非全面商业禁令,并设例外豁免机制。(信息来源:Meritalk网)
09
美战争部宣布设立无人系统直属管理岗位,强化无人作战体系一体化管理
7月1日消息,美战争部宣布设立“无人与自主系统项目直接报告项目组合经理”。该职位直接向国防部副部长汇报,负责统筹所有无人系统研发、采购与部署工作,以加快相关能力规模化建设,强化美国在无人作战领域的技术与战场优势。新机制将整合陆海空及联合机构相关无人系统项目,并统一管理资金与项目流程,以提升跨军种协同效率。(信息来源:美战争部官网)
10
美OPM启动“战争力量”专项招聘计划,加快招募顶尖工程师服务军事AI建设
7月1日消息,美人事管理局(OPM)联合美战争部正式启动“战争力量”专项招聘计划,作为“科技力量”计划的国防版本,面向全国招募顶尖软件工程师,重点服务国家安全和军事现代化建设。该计划将围绕前沿人工智能、机器学习、自动化、数据系统等关键领域,为国防部招募数百名高水平技术人才,并将工程师下沉至作战部队和任务一线,参与先进技术部署、软件开发和作战能力建设。(信息来源:美OPM官网)
11
欧盟委员会发布网络安全和人工智能行动计划
7月7日消息,欧盟委员会发布网络安全和人工智能行动计划,以应对网络安全领域先进人工智能模型带来的风险并利用其带来的机遇。该行动计划主要内容包括:评估人工智能模型的用途、滥用和攻击方式;与欧盟网络安全局合作加速先进人工智能模型获取;测试人工智能在网络安全中的应用;加强欧盟关键基础设施的网络安全并修复漏洞。该行动计划还通过推动实施现有的欧盟网络安全法规(包括《NIS2指令》和《网络韧性法案》),进一步加强欧盟的网络安全,鼓励各组织利用人工智能技术,包括在适当情况下使用开源模型,以更快地发现和应对漏洞,并提升防范和响应网络攻击的能力。(信息来源:欧盟委员会官网)
12
英国拟打造AI驱动的“网络盾牌”以强化国家级网络防御
7月7日消息,英国国家网络安全中心提出“网络盾牌”计划,旨在构建一个由代理式人工智能驱动、能够高速大规模运作的国家级协同网络防御体系。该计划明确了变革的必要性、计划愿景与运作模式,并系统阐述了实现这一蓝图所需的六项核心能力:一是面向网络安全领域的可靠且可解释人工智能,既可在大规模生产环境中放心使用,也能在所有者授权下以可预测方式安全执行重大实时变更,以支撑网络防御;二是联合代理,与底层信任基础设施结合,代表国家执行国家级任务,在各独立机构的管控与授权下运行,建立相互识别、信任与沟通的协作机制;三是漏洞发现与缓解,利用英国在代理式红蓝队领域的尖端研究成果,实现网络漏洞的自动化发现与全流程自动缓解,使防御者能够跟上攻击者演变速度并以远超人类处理能力的规模开展行动;四是协调的检测和响应,在红蓝队功能的基础上,建立跨组织边界实时共享见解的机制,并遏制敌对行为;五是国家级扫描,对英国关键IP地址段进行自动化扫描以发现暴露的漏洞;六是英国政府和主要服务提供商通过自动化工作流程,实现快速响应。(信息来源:奇安网情局)
13
英国大曼彻斯特前市长团队研究调整AI战略,减少对美国科技企业依赖
7月2日消息,英国下任首相热门人选大曼彻斯特前市长安迪·伯纳姆团队正在研究调整英国AI战略,试图将政策重点从吸引美国科技企业投资,转向支持英国本土企业、劳动者和技术主权。报道称,伯纳姆重要顾问、前科技部长乔希·西蒙斯等人已邀请AI领域人士参与制定新的技术与AI政策方案,讨论内容包括减少对美国科技巨头依赖、关注数据中心等关键基础设施所有权,以及重新评估AI增长区等现有政策安排。该讨论仍处于团队政策研究阶段,尚不能视为英国政府或工党正式政策调整,但反映出英国国内围绕AI战略自主性、本土产业利益和基础设施控制权的讨论正在升温。(信息来源:金融时报)
14
美日深化网络安全合作,推动人工智能与后量子密码协同发展
7月2日消息,美日举行第11届网络对话,共同发表《美日网络安全合作联合声明》。双方承诺利用人工智能等新兴技术,推进基于可信技术的安全、自主云基础设施建设,加强网络威胁情报共享和互操作能力。双方将加强国家网络战略协调,深化关键基础设施防护合作,共同打击印太地区网络犯罪,并协调向印太第三国提供网络韧性和防御技术援助。双方还将加快后量子密码在两国内部的部署应用,并持续推进网络政策、技术合作及私营部门协作。(信息来源:美国国务院)
15
日本经产省拟资助Noetra开发国产AI基础模型,面向物理AI和制造业应用
7月2日消息,日本经济产业省计划向软银牵头设立的Noetra等提供3873亿日元资金,用于开发国产AI基础模型。该项目重点面向机器人与AI结合的“物理AI”方向,以提升日本制造业竞争力。Noetra由软银、NEC、本田、索尼等企业参与设立,将开发具备日语理解、推理能力,以及识别图像、视频、音频和物理空间能力的多模态基础模型。该举措显示,日本正通过政府委托和企业联合方式推动本土AI基础模型建设。(信息来源:启元洞见)
16
葡萄牙推出首个开源AI模型Amalia,推动本国语言模型和公共应用建设
7月1日消息,葡萄牙发布该国首个开源人工智能模型Amalia。该模型由葡萄牙多所大学和研究机构组成的联盟开发,获得政府支持及550万欧元欧盟复苏基金资助,定位为公共机构、企业、高校和研究人员开发AI应用的基础技术,而非直接面向公众使用。模型、训练数据集和源代码均以开源许可发布,初始应用包括博物馆虚拟导览、海军决策支持工具、教学辅助工具和公共服务数字助手等。(信息来源:路透社)
02 数据前沿快讯
17
国家数据局印发《数据产权登记工作指引(试行)》
7月4日消息,国家数据局印发《数据产权登记工作指引(试行)》,旨在建立健全数据产权制度,构建全国统一的数据产权登记体系,降低数据流通交易成本,培育开放共享安全的全国一体化数据市场。本指引明确,在中华人民共和国境内开展的数据产权登记活动及其管理,除法律法规另有规定的,参照本指引进行。本指引适用于数据资源、数据产品和服务等各类形态数据的数据产权登记及其管理。本指引共六章四十二条,内容涵盖登记机构、登记程序、登记类型、法律责任等。(信息来源:国家数据局)
18
2026年世界互联网大会数字丝路发展论坛新闻发布会在北京召开
7月6日,世界互联网大会国际组织在北京举行新闻发布会,介绍2026年世界互联网大会数字丝路发展论坛的基本情况、总体筹备进度及特色亮点。2026年世界互联网大会数字丝路发展论坛将于7月21日至22日在中国西安举行。本次论坛以“智汇丝路 数启新程——携手构建网络空间命运共同体”为主题,将围绕“丝路电商”合作与发展、智能体协同创新发展、数智时代的文化遗产保护与传承、数智健康等议题举办专题论坛,推动共建“一带一路”国家凝聚共识、携手合作,共同把握数智化发展新机遇。本次论坛将继续举办部长级会议等高端对话活动。世界互联网大会数智研修院还将聚焦“人工智能驱动的数字贸易”主题,举办能力建设研修班和研学活动,并联合世界知识产权组织中国办事处举办“文化遗产数字化·版权赋能”主题沙龙,为共建“一带一路”国家数字贸易发展和文化遗产数字化保护提供更多可借鉴经验。(信息来源:网信中国)
19
国家文物局印发《国有文物资源数据管理办法》
7月6日消息,国家文物局印发《国有文物资源数据管理办法》(以下简称办法),本办法自2026年11月1日起施行。《办法》服务国家战略、立足行业实际、聚焦社会需求制定,界定了国有文物资源数据的概念、类型,明确了管理主体和管理职责,规定了国有文物资源数据全生命周期管理要求。《办法》共九章三十三条,明确了适用范围和管理责任;规定了数据采集、加工、存储、传输、登记、服务的概念界定、管理方式、管理流程、具体要求;明确了国有文物资源数据风险监管责任和违法违规处理方式等。(信息来源:国家文物局)
03 网安事件聚焦
20
美国陆军网站遭篡改,出现“辱骂特朗普”等涉政内容
7月8日消息,美陆军有两个网站(oil.army.mil和ai2c.army.mil)在一起404劫持攻击中遭网页篡改,错误页面向用户展示了贬低总统特朗普和和美驻土耳其大使汤姆·巴拉克的内容,呼吁“解放库尔德斯坦”,并显示留言:“Kurdish sr到此一游”。oil.army.mil隶属于美国陆军开放创新实验室,是一个软件和网络能力测试平台。另一个网站则属于人工智能集成中心,旨在将AI技术整合到陆军中,并培训相关人员掌握新兴技术。陆军发言人表示,遭篡改页面托管在一个遗留的第三方平台上,与美陆军企业网络没有连接,现已被移除。目前,此次网页篡改的幕后攻击者尚不明确。(信息来源:安全内参)
21
美工业巨头UPS遭Chaos勒索软件攻击
7月2日,美工业巨头UPS被列入暗网Chaos勒索软件组织的泄密网站,攻击者声称已窃取该公司大量敏感数据。遭泄露数据涵盖全面审计报告、税务申报文件、详细分包合同、保密协议、客户档案、专有采购数据、质量控制协议以及项目提案等涉及公司运营和商业机密的各类文档;工资单信息、现金管理报告等财务核心数据;员工出生日期、家庭住址、社会安全号码和保密健康记录等高敏感个人信息。UPS是北美旋转和往复式设备服务领域的领先企业,为全美约700家客户提供专业服务,年收入高达6.15亿美元。截至目前,UPS尚未就此事公开回应。(信息来源:Cybernews网)
22
2026世界杯成钓鱼诱饵,定制邮件传播Voidrift病毒
7月2日消息,网络安全公司Cofense Intelligence披露,一场围绕2026年FIFA世界杯展开的网络钓鱼活动正在全球范围内扩散,其目的是传播名为Voidrift的复杂恶意软件。研究人员分析,该攻击活动始于一封高度定制化电子邮件,攻击者通过伪造的与国际足联及受害者所在公司的合作关系,向员工提供独家世界杯纪念T恤,诱导受害者下载并安装恶意软件,借此获得对受害者企业网络的初始访问权限,进而窃取业务数据、监视公司活动或入侵敏感的企业账户。此次攻击具有高度的针对性和隐蔽性,每封钓鱼邮件均根据收件人的姓名及其所属公司量身定制。Cofense确认该攻击活动已成功绕过三种广泛部署的安全电子邮件网关,传统的自动化邮件安全控制措施对此类攻击完全失效。(信息来源:Cybernews网)
23
美DHS信息共享平台HSIN的服务器遭攻击
7月1日,美国土安全部(DHS)证实,其用于联邦、州、地方及私营部门合作伙伴间共享敏感信息的核心平台—国土安全信息网络(HSIN)遭入侵。此次攻击由一名身份不明的攻击者于今年5月下旬至6月初期间实施,攻击者主要针对HSIN服务器及其配套的SharePoint协作系统。DHS尚未将攻击归咎于任何特定行为者或外国政府,系统中是否有文件被盗亦不明确。DHS发言人在声明中强调,机密系统未受影响,并在发现攻击后立即隔离受影响系统、缓解漏洞并启动全面取证调查,目前尚无迹象表明机密网络受损,HSIN对合作伙伴仍保持可用。(信息来源:Nextgov网)
24
欧洲防务巨头Indra遭Gentlemen勒索软件攻击
7月1日,欧洲最大的国防承包商之一、西班牙跨国公司Indra集团成为勒索软件组织Gentlemen的攻击目标。该组织在暗网泄密网站发布公告,给予Indra集团9天时间进行沟通,否则将公开被盗数据。Indra集团已证实其一家子公司遭勒索软件攻击,并已启动安全事件响应,对可能被入侵的环境进行分析、验证和安全审查,评估结果显示攻击仅限于局部区域,且已排除集团旗下其他子公司受波及的风险。截至目前,尚不清楚此次疑似泄露涉及何种类型的数据,调查仍在进行中。(信息来源:Cybernews网)
25
IT服务巨头Accenture遭入侵,35 GB源代码及其他数据被窃取
7月8日消息,名为“888”的攻击者声称于7月从Accenture公司窃取35 GB数据,并在网络犯罪论坛上兜售。数据包括源代码、RSA密钥、SSH密钥、Azure PAT(个人访问令牌)、Azure存储访问密钥和配置文件等。攻击者还分享了一张截图,显示其正在克隆一个名为“121123_AtriasTalentAcademy”的Azure DevOps仓库,该仓库托管在经编辑处理的accenture.com主机名下。目前,Accenture确认此次入侵,但并未就攻击者关于可能被访问或窃取的数据量或类型发表评论,也未披露攻击者是获得访问权限的路径,以及客户数据是否受到影响。(信息来源:HackerNews网)
26
美加利福尼亚州退休计划管理公司Alta Montclair云存储泄露21万份文件
7月1日,美加利福尼亚州退休计划管理公司Alta Montclair因亚马逊网络服务(AWS)云存储桶配置错误,导致约21.9万份文件数据被公开在互联网,相关文件时间跨度从2014年公司成立至今,但存储桶公开访问的具体时长尚不明确。泄露数据涉及该公司管理的多个退休计划及金融服务提供商的相关文档,以及客户个人详细信息及财务数据。此次数据泄露事件波及龙金融服务、PDL金融服务、退休教育伙伴及SPARK研究所等多家机构。(信息来源:BleepingComputer网)
04 网安风险警示
27
工信部发布关于防范AI编程工具Claude Code安全后门隐患的风险提示
7月8日消息,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,AI编程工具Claude Code存在安全后门隐患,危害严重。Claude Code是美国Anthropic公司开发的AI编程工具,可根据文字需求自主完成代码编写、修复等工作。由于其内置了监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息,受影响的Claude Code为2.1.91至2.1.196版本。建议相关单位和用户立即开展全面排查,对于安装上述受影响版本的开发终端,立即卸载或升级至已清除相关后门代码的最新安全版本;加强核心业务网段内开发工具外联权限管控与流量监测,防止敏感数据违规外传。(信息来源:NVDB)
28
美CISA发布警告:微软SharePoint高危漏洞遭在野利用
7月2日,美CISA发布紧急警告,称攻击者已开始积极利用微软SharePoint平台中的一个高危远程代码执行漏洞(CVE-2026-45659)。该漏洞源于对不受信任数据的反序列化处理缺陷,允许拥有最低权限的经过身份验证的攻击者,在无需用户交互的情况下,以较低的攻击复杂度在未打补丁的SharePoint服务器上远程执行任意代码。微软在漏洞公告中明确指出,任何经过身份验证的攻击者均可触发此漏洞,无需管理员或更高权限,且攻击可经由网络远程发起,甚至通过互联网直接实施,危害范围广泛。互联网安全监控机构Shadowserver的追踪数据显示,目前全球有超过1万台SharePoint服务器暴露于公网,尚不清楚其中有多少已部署补丁。(信息来源:BleepingComputer网)
29
Adobe ColdFusion路径穿越漏洞安全风险通告
7月3日消息,奇安信CERT监测到官方修复Adobe ColdFusion路径穿越漏洞CVE-2026-48282(CVSS评分10.0),该漏洞源于远程开发服务功能在处理文件操作时,未能正确限制对受限目录的路径名访问。攻击者可以利用此漏洞,通过向/CFIDE/main/ide.cfm端点发送特制的RDS请求绕过目录限制,实现任意文件读取、写入,最终在服务器上以当前用户权限执行任意代码。目前该漏洞PoC和技术细节已公开,目前官方已发布安全更新,建议用户尽快升级至最新版本。(信息来源:奇安信CERT)
30
Citrix NetScaler内存越界读取漏洞安全风险通告
7月6日消息,奇安信CERT监测到Citrix NetScaler内存越界读取漏洞CVE-2026-8451(CVSS评分9.1)遭在野利用,该漏洞源于设备在处理SAML认证请求时,其内置的XML解析器对属性值的边界检查存在缺陷。当NetScaler被配置为SAML身份提供商(IdP)时,未经身份验证的远程攻击者可向/saml/login接口发送特制的SAML请求,导致解析器读取超出输入缓冲区边界的内存,攻击者可利用该漏洞,读取设备内存中的敏感数据,或导致nsppe进程崩溃,引发拒绝服务。目前该漏洞PoC和技术细节已公开,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
31
思科Unified CM高危漏洞遭在野利用
7月2日,思科证实攻击者正积极利用其统一通信管理器(Unified CM)产品中的一个高危漏洞CVE-2026-20230,未经授权的远程攻击者可通过构造特定的HTTP请求利用该漏洞,以较低复杂度发起服务器端请求伪造攻击,从而威胁系统安全。Unified CM作为思科IP电话系统的核心控制平台,承担着呼叫路由、设备管理与电话功能调度等关键任务。思科于6月3日发布安全补丁,但当时并未发现实际攻击案例。目前,思科已确认该漏洞遭在野积极利用,敦促用户立即采取防护措施。(信息来源:BleepingComputer网)
本文来源:国家信息技术安全研究中心官方网站
本文编辑:林青
国家信息技术安全研究中心
地址:北京市海淀区农大南路1号硅谷亮城2C座
业务联系:010-59613856
往期推荐
安全动态丨网络空间安全动态第340期
安全动态丨网络空间安全动态第339期
安全动态丨网络空间安全动态第338期
安全动态丨网络空间安全动态第337期
安全动态丨网络空间安全动态第336期
点赞在看转发是对我们最好的支持
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:极客安全 国信中心 国信中心《安全动态丨网络空间安全动态第341期》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论