热点速报

1、关于开展“清朗·整治网络直播打赏乱象”专项行动的通知

按照2025年“清朗”系列专项行动计划安排，为进一步加强网络直播打赏管理，中央网信办自即日起，在全国范围内开展为期2个月的“清朗·整治网络直播打赏乱象”专项行动。工作目标：聚焦娱乐性团播、私域直播等易滋生直播打赏乱象的重点领域，通过专项整治，从严打击低俗团播引诱打赏、虚假人设诱骗打赏、诱导未成年人打赏和刺激用户非理性打赏等4方面突出问题，督促平台完善直播打赏运行规则，健全直播打赏管理功能，加强直播打赏营利行为规范，营造良好直播生态，促进网络直播行业健康有序发展。

来源：https://mp.weixin.qq.com/s/pig5Hz0sfyZsV9P_23CRpQ

2、国家密码管理局发布《商用密码检测机构（商用密码应用安全性评估业务）目录》

依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》，现更新发布《商用密码检测机构（商用密码应用安全性评估业务）目录》，用以取代2024年11月11日国家密码管理局公告（第49号）发布的《商用密码检测机构（商用密码应用安全性评估业务）目录》。未取得商用密码检测机构（商用密码应用安全性评估业务）资质的机构不得面向社会开展商用密码应用安全性评估业务。

来源：国家密码管理局

3、网络安全法完成修改，2026年1月1日起施行

十四届全国人大常委会第十八次会议10月28日表决通过关于修改网络安全法的决定，自2026年1月1日起施行。2016年制定的网络安全法是网络安全领域的基础性法律。此次网络安全法的修改，适应网络安全新形势新要求，重点强化网络安全法律责任，加强与相关法律的衔接协调。回应人工智能治理和促进发展的需要，修改后的网络安全法明确，国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。

来源：新华社

4、中共中央关于制定国民经济和社会发展第十五个五年规划的建议

中国共产党第二十届中央委员会第四次全体会议深入分析国际国内形势，就制定国民经济和社会发展“十五五”规划提出以下建议。一、“十五五”时期是基本实现社会主义现代化的关键时期。二、“十五五”时期经济社会发展的指导方针和主要目标。三、建设现代化产业体系，巩固壮大实体经济根基。四、加快高水平科技自立自强，引领发展新质生产力。五、建设强大国内市场，加快构建新发展格局。六、加快构建高水平社会主义市场经济体制，增强高质量发展动力。七、扩大高水平对外开放，开创合作共赢新局面。

来源：https://www.news.cn/20251028/337438370029449296539148a206bdd1/c.html

5、72国签署《联合国打击网络犯罪公约》

当地时间10月25日，《联合国打击网络犯罪公约》（以下简称《公约》）签署仪式在越南河内举行，截至发文前已有72个国家签署文件。《公约》制定历时五年，历经多轮深入磋商，累计开展超过420小时的正式谈判及大量非正式对话。该进程汇聚150多个成员国的积极参与，并获得来自政府间组织、非政府机构、学术界以及私营部门等160余家利益相关方提供的专业支持，最终于2024年12月获联合国大会一致通过。《公约》成为全球第一份打击网络空间犯罪的法律文件，同时也是20多年来经谈判达成的首个国际刑事司法条约。

来源：https://mp.weixin.qq.com/s/ggxujwUKfRSbRrqdHcbSCg

6、工信部通报！这42款APP及SDK存在侵害用户权益行为

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，我部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期，经组织第三方检测机构进行抽查，共发现42款APP及SDK存在侵害用户权益行为（详见附件），现予以通报。上述APP及SDK应按有关规定进行整改，整改落实不到位的，我部将依法依规组织开展相关处置工作。

来源：工业和信息化部信息通信管理局

7、第八届中国可信计算产业发展论坛会议通知

在认真学习中共二十届四中全会精神，统筹制定“十五五”国民经济和社会发展规划，奋力开创中国式现代化建设新局面的宏观背景下，为贯彻落实中共中央办公厅、国务院办公厅发布的《关于完善市场准入制度的意见》，由中关村可信计算产业联盟（以下简称“可信联盟”）作为主办单位，“第八届中国可信计算产业发展论坛”（以下简称“可信发展论坛”）各项筹备工作正在紧锣密鼓的进行，现择期拟于2025年11月下旬隆重举行。

来源：https://mp.weixin.qq.com/s/c7qWRqgZpdkRgSpbsE6fEw

8、GEEKCON 2025上海站收官：人工智能与机器人安全引关注 

10月24日，“GEEKCON 2025”安全极客大赛在上海收官，作为全球安全领域的一大盛事，本次赛事吸引了来自世界各地的顶尖安全研究人员。大会以“种下一颗不让世界变坏的念头”为主题，聚焦人工智能和机器人技术的安全挑战，呈现了一场精彩的攻防对抗。

来源：https://mp.weixin.qq.com/s/P1XJdwWoHX6Kb94ZCMh8cA

9、Pwn2Own大赛：黑客利用73个0Day漏洞斩获102万美元奖金

近日，Pwn2Own爱尔兰站2025赛事圆满落幕。研究人员通过在不同设备中发现73个独特的0Day漏洞展现了他们的技术实力。本次由Zero Day Initiative（ZDI）主办的比赛共发放高达102.475万美元的奖金，突显了网络安全威胁与防御技术的日益复杂化。在为期三天的比赛中，56个漏洞在决赛前就已获得奖励，参赛者们不断突破智能家居设备、打印机和移动设备的安全极限。今年的赛事特别奖励技术创新，并促进厂商间协作。决赛日当天仍有17次攻击尝试，各团队从网络附加存储设备到监控摄像头全面出击，经常通过串联多个漏洞实现最大攻击效果。

来源：https://mp.weixin.qq.com/s/T8l8xxyvU-ESpszO7R9RVQ

政策法规

1、《国家中小企业公共服务示范平台（基地）创建管理办法》印发施行

为贯彻落实党中央、国务院决策部署，推动中小企业公共服务平台（基地）建设，促进中小企业健康发展、高质量发展，根据《中华人民共和国中小企业促进法》，工业和信息化部研究制定了《国家中小企业公共服务示范平台（基地）创建管理办法》。本办法自印发之日起施行。工业和信息化部印发的《国家小型微型企业创业创新示范基地建设管理办法》（工信部企业〔2016〕194号）和《国家中小企业公共服务示范平台认定管理办法》（工信部企业〔2017〕156号）同时废止。

来源：工业和信息化部中小企业局

2、关于批准发布《互联网交互式服务安全管理要求 第12部分：网络直播服务》等19项公共安全行业标准的公告

公安部批准《互联网交互式服务安全管理要求 第12部分：网络直播服务》等19项公共安全行业标准，并报国家市场监督管理总局备案，现予以公告。强制性标准：《互联网交互式服务安全管理要求 第12部分：网络直播服务》、《互联网交互式服务安全管理要求 第13部分：网络支付服务》等5项。推荐性标准：《信息安全技术 网络安全等级保护基本要求 第6部分：边缘计算安全扩展要求》、《信息安全技术 网络安全等级保护基本要求 第7部分：大数据系统安全扩展要求》、《信息安全技术 网络安全等级保护基本要求 第8部分：IPv6安全扩展要求》、《信息安全技术 网络安全等级保护基本要求 第9部分：区块链安全扩展要求》、《信息安全技术 网络安全等级保护云计算测评指引》、《信息安全技术 网络安全等级保护5G接入安全测评要求》等14项。

来源：https://www.mps.gov.cn/n6557558/c10268041/content.html

3、智能网联汽车网络安全保障能力测评要求

《智能网联汽车网络安全保障能力测评要求》旨在规范智能网联汽车在网络安全方面的测评要求，适用于具备有条件自动驾驶和高度自动驾驶功能的车辆。从网络安全管理体系、网络安全过程保障、数据安全过程保障三大模块出发，构建了全面的测评框架，并对企业网络安全保障能力进行评价与分级。

来源：https://mp.weixin.qq.com/s/26m8JbiPbkVhWkFn12Oksw

4、《国家中小企业公共服务示范平台（基地）创建管理办法》印发施行

为贯彻落实党中央、国务院决策部署，推动中小企业公共服务平台（基地）建设，促进中小企业健康发展、高质量发展，根据《中华人民共和国中小企业促进法》，工业和信息化部近日印发《国家中小企业公共服务示范平台（基地）创建管理办法》，自印发之日起施行。《管理办法》包括总则、申报条件和创建目标、创建程序、动态管理、附则等5章19项条款，坚持面向需求、择优培育、差异发展、动态管理的原则，按照公开透明、公平规范的程序开展，鼓励中小企业公共服务平台（基地）自愿参与创建。

来源：https://mp.weixin.qq.com/s/9NSH9dxbhq3MJ-V6nDutwg

5、等级保护标准体系再完善：六项新技术公安行标正式发布

近日，涵盖边缘计算、大数据、IPv6、区块链、云计算及5G接入安全领域的六项网络安全等级保护公安行业标准正式发布，并于2026年2月1日起正式实施。这些标准聚焦新技术领域安全痛点，从安全扩展要求、测评扩展要求等维度进一步完善我国网络安全等级保护标准体系，为新技术场景下的安全防护提供技术指引。

来源：公安部网络安全等级保护中心

安全漏洞

1、ChatGPT Atlas浏览器现新漏洞 可植入持久恶意指令

安全研究人员发现OpenAI旗下ChatGPT Atlas网页浏览器存在新漏洞，攻击者可借此向这款AI驱动助手的记忆中注入恶意指令，进而执行任意代码。LayerX安全公司联合创始人兼首席执行官奥尔·埃谢德在提交给《黑客新闻》的报告中表示，该漏洞可让攻击者植入恶意代码、获取访问权限或部署恶意软件。此次攻击的核心是利用一处跨站请求伪造（CSRF）漏洞，向ChatGPT的持久化记忆中注入恶意指令。这些被篡改的记忆会在不同设备和会话间留存，当已登录用户正常使用ChatGPT时，攻击者便可借此控制用户账户、浏览器或关联系统。该漏洞的严重风险在于，恶意指令会一直存在，除非用户手动进入设置删除被篡改的记忆。这一实用功能就此沦为攻击者执行恶意代码的工具。

资料来源：https://mp.weixin.qq.com/s/U_a5AL6uZgh8_dxPms3clA

2、Apache Tomcat曝三大安全漏洞，最严重可致远程代码执行

Apache软件基金会已发布多个安全补丁，修复影响Tomcat 9、10和11版本的三个新披露漏洞——CVE-2025-55752、CVE-2025-55754和CVE-2025-61795。其中最严重的CVE-2025-55752在特定条件下可能导致远程代码执行（RCE）。该漏洞可能允许攻击者绕过访问控制，在某些配置下通过HTTP PUT请求上传恶意文件，进而导致潜在的远程代码执行。但Apache强调标准配置下利用可能性较低，因为"PUT请求通常仅限于受信任用户，且不太可能同时启用PUT请求和URI操纵重写规则"。

资料链接：https://mp.weixin.qq.com/s/CmEfAGgg-LR80RrFo5KpmQ

3、70余万台BIND 9实例受缓存投毒漏洞影响，PoC已公开（CVE-2025-40778）

BIND 9解析器曝出高危漏洞（CVE-2025-40778），攻击者可利用该漏洞实施缓存投毒攻击，将互联网流量重定向至恶意网站。互联网扫描公司Censys发现，全球超过706,000个暴露在外的BIND实例受此影响。该漏洞CVSS评分为8.6分，源于BIND对DNS响应中未经请求的资源记录处理过于宽松，使得非路径攻击者无需直接访问网络即可注入伪造数据。BIND 9支撑着互联网域名解析的很大一部分，这使得该漏洞对依赖递归解析器的企业、ISP和政府机构尤为危险。

资料来源：https://mp.weixin.qq.com/s/AXDK_0Ggu7jPmbTtTngEXQ

安全事件

1、勒索软件团伙Safepay声称入侵监控服务商Xortec

近日，勒索软件团伙Safepay公开宣称已入侵德国专业视频监控提供商Xortec，并将该公司列入其数据泄露网站，设定的赎金支付截止日期为2025年10月27日。此次入侵引发广泛担忧，因其触及安全供应链关键环节：攻击者可能在安装商使用的软硬件中植入后门，导致客户数据、监控布局及货运记录泄露；被篡改的固件可能破坏数千台已部署系统的可信度；而Xortec物流业务的中断，还将影响经销商及终端用户，甚至波及交通、公用事业等关键行业，使此次数据泄露从单一企业风险升级为系统性、多层级隐患。

资料来源：https://mp.weixin.qq.com/s/ThzJLxK0_283wXW_U2pHng

2、瑞典国营电力公司确认遭遇勒索软件攻击

2025年10月28日监测发现，瑞典电力公司（Svenska kraftnät）于当地时间10月27日晚间确认遭遇勒索软件攻击，导致约280GB的内部数据可能被窃取。该公司首席信息安全官Cem Göcgören在声明中表示，此次事件影响了"有限的外部文件传输解决方案"，但电力供应未受影响，关键任务系统保持安全运行。勒索软件团伙Everest声称对此次攻击负责，此前该组织曾对都柏林机场、阿拉伯航空以及美国航空航天供应商柯林斯宇航实施攻击，导致9月份欧洲多个城市的航班运营中断。

资料来源：https://mp.weixin.qq.com/s/qfkUC-ez2Wl1Dk3L_nKZfQ

3、医疗数据泄露屡现天价赔偿！一大型医院泄露患者隐私赔偿1.28亿元

美国康涅狄格州最大的医疗机构耶鲁纽黑文健康系统（Yale New Haven Health System）已同意支付1800万美元（约合人民币1.28亿元），以和解一宗与今年3月黑客事件相关的拟议集体诉讼。该事件影响了近560万人。截至目前，这是2025年向美国联邦监管机构报告的最大医疗数据泄露事件。10月21日，联邦法院对这项和解协议给予了初步批准，最终批准听证会定于2026年3月3日举行。耶鲁纽黑文健康系统拥有超过1.2万名员工及4500名大学和社区医生，涵盖100个医疗专科，在康涅狄格州各地提供医疗服务。其旗舰医院耶鲁纽黑文医院，是耶鲁大学医学院的教学医院。

资料来源：https://mp.weixin.qq.com/s/Mjfe_Ka_nq_aeYVpOUwdpg

风险预警

1、Trellix最新报告：国家级间谍与AI驱动攻击融合，工业部门成为主要目标

Trellix最新发布的《CyberThreat Report: October 2025》报告汇总了2025年4月至9月全球网络威胁情报，重点分析APT演变、勒索软件新主导地位、人工智能驱动的攻击以及复杂攻击链和漏洞利用趋势。过去六个月，网络攻击数量和复杂度显著增加，攻击速度和范围加快，尤其针对制造业、航空、关键基础设施等行业。同时，地缘政治紧张局势，如俄罗斯网络活动增加、以色列-伊朗冲突及台湾相关摩擦，对威胁格局和情报技术产生深远影响。报告指出，民族国家行动与以经济利益为目的的网络犯罪日益融合，AI生成的恶意软件、泄露源代码的重复利用、语音克隆及深度伪造技术推动对手创新；DDoS攻击对数字生态系统韧性构成考验。防御者通过AI自动化、情报共享和主动威胁搜寻缩小检测与响应差距。企业可通过威胁情报、纵深防御、安全意识、漏洞管理及事件响应五大支柱增强韧性，实现从被动防御向主动准备的转变。

资料来源：网空闲话plus

2、微软Copilot被用于窃取OAuth令牌，AI Agent成为攻击者帮凶

一种名为CoPhish的复杂钓鱼技术正利用Microsoft Copilot Studio诱骗用户授予攻击者对其Microsoft Entra ID账户的未授权访问权限。Datadog安全实验室披露，该方法通过在合法的Microsoft域名上托管可定制的AI Agent，包装传统的OAuth同意攻击，使其看起来可信并绕过用户怀疑。尽管微软已努力收紧同意政策，但是基于云的AI工具仍然持续存在漏洞。攻击者利用Copilot Studio的灵活性创建看似无害的聊天机器人，诱导用户输入登录凭证，最终窃取OAuth令牌用于恶意操作（如读取邮件或访问日历）。随着AI服务的快速发展，本意为提高生产力的用户可配置功能可能无意中助长钓鱼攻击。

资料来源：https://mp.weixin.qq.com/s/3F6HDg886GoV1tK8oAbHTw

3、数百万路由器安全拉响警报！360披露大规模DNS劫持攻击

近期，360数字安全集团监测发现多起因路由器DNS设置被篡改而引发的流量劫持事件。受影响用户在访问正常网站时，页面会被异常重定向至色情或广告内容，需多次刷新才能恢复。360安全智能体在排查后发现，问题根源在于，攻击者利用路由器的安全漏洞或弱口令，批量篡改用户DNS设置，以实施流量劫持并牟取非法利益。根据大数据统计分析，本次DNS劫持攻击自3月启动后迅速攀升，4月即达到200万次，并于6月达到峰值。尽管后续月份有所回落，但攻击规模仍维持在近200万的高位，整体态势迅猛。

资料来源：https://mp.weixin.qq.com/s/gehOiX2rjNZmDPbq8--sBg

4、2026年七大网络安全风险点

美国《福布斯》杂志网站9月26日刊登题为《2026年七大网络安全趋势，每个人都必须为之做好准备》的文章，作者是伯纳德·马尔，内容编译如下。2025年，网络攻击的频率和规模持续扩大，2026年似乎也不会有所缓解。智能体和量子计算等新兴技术既为正义一方创造了新机遇，也为不法分子提供了可乘之机。但与通常一样，人类可能既是最薄弱的环节，也是最有希望的强大防线。一、智能体将成为网络犯罪战场的新前线。二、深度伪造的音频和视频为攻击者创造了新的可能性，使其能够模仿受信任人员的身份，并获取安全系统的访问权限。三、通过锁定企业关键数据、勒索钱财以换取数据归还的攻击事件持续增加，且将在2026年变得更为先进。

资料来源：参考消息网

5、攻击者组织Lazarus针对无人机行业发起窃密攻击

朝鲜国家背景的黑客组织Lazarus（APT38）近期发起代号"DreamJob"的网络间谍行动，专门针对欧洲无人机技术研发企业。自2025年3月下旬起，攻击者已成功入侵中欧和东南欧地区三家国防相关机构，通过部署高级恶意软件窃取专有无人机技术。该行动采用伪造职位描述的社交工程学手段：攻击者向目标企业发送带有木马化PDF阅读器的虚假招聘文件，触发多阶段感染流程。研究人员在受感染系统中发现名为DroneEXEHijackingLoader.dll的恶意投放器，其内部DLL名称直接证实该行动以无人机技术窃取为核心目标。Welivesecurity安全分析师确认主要载荷为ScoringMathTea远程访问木马（RAT）。

资料来源：https://mp.weixin.qq.com/s/g3055ySnGhL_lDxqYv1Rjg

6、高级安卓木马藏身Telegram Messenger，已感染超过58,000台设备，覆盖约3,000种机型

2025年10月23日，安全厂商Doctor Web披露一款名为Android.Backdoor.Baohuo.1.origin 的复杂安卓后门，其通过被篡改的 Telegram X客户端和伪造安装包大规模感染移动终端。该后门自2024年中期传播，已感染超过58,000台设备，覆盖约3,000种机型，包括手机、平板、电视盒，甚至车载 Android 系统。传播途径以应用内欺诈横幅广告引导至仿冒应用目录页面下载安装为主，且被发现存在于多个第三方应用商店（如 APKPure 等），当前主要以葡萄牙语与印尼语模板瞄准巴西与印尼用户。该木马能在不影响表面应用功能的情况下初始化并隐蔽运行，通过传统C2与一种首次见到的Redis 数据库通道接收命令，实现高度可编程的控制能力。攻击者可隐藏第三方登录痕迹、代用户加入/退出频道、修改频道成员、截获剪贴板内容、窃取聊天记录与认证令牌，并将受感染设备作为代理（NPS）纳入攻击者内部网络。此类功能使账户劫持、隐私泄露、金融窃取与舆论操纵均成为现实威胁。

资料来源：https://mp.weixin.qq.com/s/f5L1Yag3HPP-sUqzuZ7UKA

技术前沿

1、ISACA Journal | 超越合规：构建以安全为目标的动态防御体系

在信息安全领域，常听到一句话：“合规不等于安全。”这句话的潜台词是：即便企业遵循了某项网络安全框架或法规，仍可能遭到攻击。因此合规似乎变得毫无意义，但如果我们以“能否彻底杜绝网络攻击”作为衡量标准，那么别说合规了，就连“安全”本身也谈不上真正安全。关于网络安全合规，一种较为准确的定义是：“确保组织遵守与其信息保护和数据隐私相关的行业规范、标准和法律法规的过程。”另一种说法则更具体：“IT合规是指企业的技术系统和操作实践符合法律要求、行业标准和监管框架，以保障敏感数据的安全。”

资料来源：https://mp.weixin.qq.com/s/Gc90YoUYKUb0DIkWK_Caog

2、网络安全攻防视角下的资产安全运营策略

电力行业作为关键信息基础设施的核心领域，网络资产面临的攻击威胁日趋复杂，如勒索攻击、供应链攻击、定向渗透等。传统资产安全管理存在“重静态盘点、轻动态攻防”的局限性，缺少资产自动校核等有效手段，难以应对实战化攻击。从攻防视角构建资产安全运营策略，对保障电力系统稳定运行具有必要性，能够提升电力企业应对网络安全威胁的能力，维护国家能源安全和社会稳定。

资料来源：https://mp.weixin.qq.com/s/odyf2dzRJ2B49LMa9qONNg