热点速报

1、“石化化工行业数字化转型成熟度评估”标准宣贯会在宁夏回族自治区顺利召开

11月18日，石化化工行业数字化转型成熟度评估标准宣贯会在宁夏回族自治区顺利召开。宣贯会由自治区工业和信息化厅组织，邀请石化化工行业数字化转型推进中心（简称推进中心）秘书处对《石化和化工行业数字化转型成熟度模型与评估》（HG/T 6346-2025，以下简称标准）进行解读。宣贯围绕政策背景、指标体系、实施流程、评估指南及典型案例展开，重点解读生产、安全、供应链等领域评价维度，并针对评估材料准备、数据规范等实操问题答疑，助力企业掌握评估要点。宣贯会以线上方式举办，五市工信局、宁东能源化工基地经发局业务负责人，全区数字化转型专家及150余家石化化工企业参与。

来源：https://mp.weixin.qq.com/s/3w-gz0B4hpJtt_y_OJdAsg

2、上海合作组织成员国政府首脑（总理）理事会第二十四次会议联合公报

2025年11月17日至18日，上海合作组织（以下简称“上合组织”或“组织”）成员国政府首脑（总理）理事会第二十四次会议在莫斯科举行。各代表团团长高度评价中华人民共和国担任2024年至2025年上合组织轮值主席国期间所做工作，认为中方任期进一步提高了上合组织凝聚力和上合组织框架内全方位合作水平，提升了组织国际影响力。各代表团团长表示将支持吉尔吉斯共和国作为2025年至2026年上合组织轮值主席国的工作。团长们重申，成员国将恪守《联合国宪章》和《上合组织宪章》所载明的公认的国际法准则。

来源：新华社

3、筑牢法治之基，汇聚法治力量

11月17日至18日，中央全面依法治国工作会议在北京召开。总书记作出重要指示，充分肯定党的十八大以来法治中国建设取得的重大成就，对新征程上推进全面依法治国作出重要部署，强调“坚持党的领导、人民当家作主、依法治国有机统一”，要求“聚焦建设更加完善的中国特色社会主义法治体系、建设更高水平的社会主义法治国家”“全面推进科学立法、严格执法、公正司法、全民守法，全面推进国家各方面工作法治化”。

来源：人民日报

4、新法能否使网安行业告别“野蛮生长”，重回技术驱动时代？

从2013年6月5日引爆全球的美国国家安全局监听整个互联网的斯诺登“棱镜门事件”，到2014年2月27日习大大在《中央网络安全和信息化领导小组第一次会议》中提出“没有网络安全就没有国家安全”的著名论断，再到2017年6月1日正式施行的《网络安全法》，中国网络安全行业进入了围绕着“新合规”逻辑展开的网络安全行业的“第二个春天”。它制造了“资本驱动”的产业泡沫化发展氛围，于是整体行业开进入到了一个“一流营销、二流产品、三流技术、四流交付”的“高速但不高质”的发展阶段。法规迭代的目的，是为了内容上更加严谨和框架上更符合时代需求，并不承担促进产业兴衰的责任和义务，更没有促进产业兴盛的职能。网络安全行业要想真的有发展，最终还是要回归到“以客户为中心，以技术为驱动”的“纯天然”时代。而不是现在的售前阶段天天想着低价抢标，售后阶段天天烧香拜佛的“科技与狠活”时代。

来源：https://mp.weixin.qq.com/s/dT_HVooobEUk5jdOooM9-w

5、国家网络与信息安全信息通报中心通报40款违法违规收集使用个人信息的移动应用

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，40款移动应用存在违法违规收集使用个人信息情况，具体通报如下：未逐一列出收集、使用个人信息的目的、方式、范围。涉及16款移动应用如下：《壹达外卖》（版本6.0.202509021，应用宝）、《眼护士》（版本3.8.34，OPPO软件商店）、《医护到家-快天使医护到家用户版》（版本2.152，应用宝）、《护士之约》（版本2.2.64，vivo应用商店）、《体检宝》（版本9.5.2，vivo应用商店）、《AQ》（版本1.0.36.8000，应用宝）、《药安食美》（版本1.1.5.3，应用宝）、《云到》（版本5.5.6，OPPO软件商店）、《快滴顺风车》（版本3.2.0，OPPO软件商店）、《妙看极速版》（版本7.8.5，OPPO软件商店）、《优e司机极速版》（版本6.30.5.0018，应用宝）、《药约約》（版本2.7.58，百度手机助手）、《体检报告助手》（版本9.6.4，应用宝）、《爱康约体检查报告》（版本8.2.7，豌豆荚）、《淘粉吧》（版本12.69.0，豌豆荚）、《高佣联盟》（版本6.4.42，豌豆荚）。

来源：

6、微软推送 Win10 首个扩展安全更新：修复 63 个漏洞、解决误报 BUG

科技媒体bleepingcomputer昨日（11月11日）发布博文，报道称在11月补丁星期二活动日中，微软发布KB5068781更新，这也是Windows 10终止服务支持后，接收到的首个扩展安全更新（ESU）。IT之家注：微软已经于2025年10月14日终止支持Windows 10系统，为了满足仍在使用该系统的用户需求，推出了扩展安全更新计划，个人用户最长可"续命"一年时间，企业用户最长可续命3年。

来源：https://mp.weixin.qq.com/s/xZgt5VsMARZxfmMV5FNB0Q

7、以色列法律禁止将具有军事或安全价值的发明在海外申请专利 

根据《以色列专利法》第98条，任何具有军事或国家安全价值的发明，不得在以色列境外申请专利，除非满足以下条件之一：1.已在以色列提交首份专利申请并满六个月，且期间未被下达保密令；2.在境外提交前已获得国防部长批准。违反该禁令属于刑事犯罪，可处以罚金，严重者最高可判处两年监禁。许多网络安全领域的管理者误以为，这一限制仅适用于具有明显“进攻性”的技术，例如攻击工具或入侵手段。事实上，法律涵盖的范围远不止如此——任何被视为具备安全价值的发明都在其限制之列。因此，即便是防御类技术，如入侵检测系统、云安全监测工具、关键基础设施防护方案等，也可能被认定涉及国家安全，从而触发第98条的限制。

来源：https://mp.weixin.qq.com/s/us9U54LKgeMgSULwSWsBUg

政策法规

1、自然资源部发布《卫星导航定位基准站管理办法》

2025年11月4日自然资源部令第19号公布 经2025年9月4日自然资源部第3次部务会议审议通过 自2026年1月1日起施行。为了规范卫星导航定位基准站的建设和运行维护，促进卫星导航定位产业有序发展，维护国家地理信息安全，根据《中华人民共和国测绘法》《中华人民共和国数据安全法》《中华人民共和国保守国家秘密法》等法律法规，制定本办法。在中华人民共和国领域和中华人民共和国管辖的其他海域开展卫星导航定位基准站的建设和运行维护等活动，应当遵守本办法。

来源：https://gk.mnr.gov.cn/zc/gz/202511/t20251118_2906032.html

2、汽车数据出境安全评估方法

范围：本文件规定了汽车数据处理者开展汽车数据出境活动的评估方式、评估程序及评估内容。本文件适用于为汽车数据处理者自行开展汽车数据出境安全评估工作，也可为主管部门、第三方测评机构等组织开展汽车数据出境安全检查、评估、监督等工作提供参考。规范性引用文件：下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件:不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T 25069-2022信息安全技术术语；GB/T 35273-2020信息安全技术个人信息安全规范；GB/T41871-2022信息安全技术汽车数据处理安全要求；GB/T43697-2024数据安全技术数据分类分级规则；GB/T 44464-2024汽车数据通用要求；GB44495-2024汽车整车信息安全技术要求；数据出境安全评估申报指南(第三版)。

来源：中国出入境检验检疫协会

3、长江三角洲区域地方标准：公共数据分类分级指南25102601

适用范围：本文件给出了公共数据分类分级原则、方法和流程、分级管控措施以及成效评价的方法。本文件适用镣于公共管理和服务机构开展公共数据分类分级和成效评价工作。本文件不适用于涉及国家秘密的公共数据管理。规范性引用文件：下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件仅该日期对应的版本适用干本文件:不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T4754 国民经济行业分类；GB/T21063.4政务信息资源目录体系 第4部分:政务数据资源分类；GB/T38667信息技术大数据数据分类指南；GB/T43697 数据安全技术数据分类分级规则。

来源：https://mp.weixin.qq.com/s/-kfV2tK12La3ksRxMBEnsg

4、1994-2025等级保护31年法律法规及政策发展历程概览

在前几年，我整理过一版《1994-2017等级保护政策及法律发展历程》，根据公开资料做了一版以年份为主轴的等级保护法律法规及政策的思维导图，我们知道等级保护是我国信息安全保障工作的基本制度、基本策略和基本方针。三个“基本”奠定了等级保护制度的地位，在《网络安全法》颁布实施前，我们称之为等保1.0阶段，而之后则成为等保2.0阶段。加之，后面《数据安全法》《关保条例》《商用密码管理条例》等发布与实行，等级保护工作的法律法规及政策性文件进一步完善充实，结合原来整理的版本，本次结合公开资料进行了一点扩展，供大家一起交流。

来源：https://mp.weixin.qq.com/s/NJKa3ehBkOtli4VBQymSXg

5、工业和信息化部办公厅关于印发《高标准数字园区建设指南》的通知

建设高标准数字园区是促进园区高质量发展的关键举措，是推动制造业数字化转型的重要抓手。为贯彻落实《制造业数字化转型行动方案》(国办发〔2024]25号)任务部署，加快打造一批高标准数字园区，引领带动各类园区加快数字化转型步伐，制定本指南。

来源：工业和信息化部规划司

6、特朗普政府即将推出包含六大支柱的新网络安全战略

美国国家网络总监肖恩·凯恩克罗斯11月18日透露，特朗普政府即将推出的新国家网络安全战略将包括六大支柱，其中包括塑造对手行为、加强公私合作、培养网络人才等；新战略旨在以前所未有的方式成为网络安全领域单一、协调一致的战略；相比于拜登政府2023年发布的国家网络安全战略，新战略将更为简短，主要阐述意向和政策，但也将附带行动计划。

来源：https://mp.weixin.qq.com/s/fshQwGZeIU_pi__6KsvqHw

安全漏洞

1、Fortinet警告FortiWeb新漏洞（CVE-2025-58034）已被野外利用

Fortinet近日警告称，其FortiWeb产品中存在一个已被野外利用的新安全漏洞。该漏洞被标记为CVE-2025-58034，属于中等严重级别，CVSS评分为 6.7（满分 10.0）。Fortinet在周二发布的公告中表示："FortiWeb 中存在操作系统命令中特殊元素不当过滤漏洞（CWE-78），经过身份验证的攻击者可能通过精心构造的HTTP请求或CLI命令在底层系统上执行未授权代码。"简而言之，攻击者需要先通过其他方式完成身份验证，然后结合该漏洞（CVE-2025-58034）才能执行任意操作系统命令。

资料来源：https://mp.weixin.qq.com/s/JYJVp4WYcDGhCO3gQ7CYcA

2、高危runC漏洞曝光 黑客可突破Docker容器逃逸

Docker和Kubernetes中使用的runC容器运行时被披露存在三个新漏洞，攻击者可利用这些漏洞绕过隔离限制，获取主机系统访问权限。这三个安全问题的漏洞编号分别为CVE-2025-31133、CVE-2025-52565和CVE-2025-52881（均为高危级别），由SUSE软件工程师于本周披露。runC是一款通用容器运行时，同时也是开放容器倡议（OCI）的容器运行参考实现。它负责执行创建容器进程、配置命名空间、挂载点和控制组等底层操作，供Docker、Kubernetes等上层工具调用。攻击者利用这些漏洞可获取容器底层主机的写入权限，并获得root权限。

资料来源：https://mp.weixin.qq.com/s/MyXQqJV5PyGwwuCWrbZ8ZQ

3、AI推理引擎中多个高危漏洞暴露，影响Meta、Nvidia和Microsoft框架

随着人工智能基础设施的快速扩张，关键的安全漏洞威胁着企业人工智能部署的支柱。Oligo Security的安全研究人员发现了一系列危险的远程代码执行(RCE)漏洞，这些漏洞会影响Meta、NVIDIA、Microsoft和PyTorch项目的主要AI框架，包括vLLM和SGLang。这些漏洞统称为“ShadowMQ”，源于ZeroMQ (ZMQ)通信的不安全实现以及Python的pickle反序列化。这种威胁尤其令人担忧的地方在于，它通过代码重用和复制粘贴的开发方式在人工智能生态系统中传播开来。

资料来源：https://mp.weixin.qq.com/s/w8wLgFZxyjA7yj5bCY74KA

4、FortiWeb的重大漏洞恐引发一轮攻击热潮

近日，网络安全厂商Fortinet因其Web应用防火墙（WAF）产品FortiWeb中存在的一个严重路径遍历漏洞（CVE-2025-64446）被推上风口浪尖。该漏洞允许未经身份验证的攻击者远程执行管理命令，CVSS评分高达9.1分，已被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞（KEV）目录。然而，比漏洞本身更具破坏性的，是Fortinet在漏洞披露和修复过程中极不透明的“静默修复”策略，这背后暴露的“人祸”因素，恐将为企业安全防线带来一场本可避免的风暴。要命的是，暗网论坛已有人兜售Fortinet的3000多个VPN权限，可能与此漏洞利用有关。

资料来源：https://mp.weixin.qq.com/s/g-sIxhZZswOSWdzoihmx0Q

5、EchoGram漏洞可绕过主流大语言模型的护栏机制

AI安全公司HiddenLayer的最新研究揭露了当前主流大语言模型（LLMs）安全系统存在的漏洞，包括GPT-5.1、Claude和Gemini等模型。这项在2025年初发现的漏洞被命名为EchoGram，攻击者只需使用精心挑选的特定词语或代码序列，就能完全绕过旨在保护AI安全的自动化防御机制（即防护栏）。大语言模型通常通过两种防护栏机制进行保护：一种是采用独立AI模型评估请求（LLM-as-a-judge），另一种是使用简单的文本检查系统（分类模型）。这些防护栏主要用于识别和拦截有害请求，例如要求AI泄露机密信息（对齐绕过）或迫使其忽略自身规则（任务重定向，又称提示注入）。EchoGram攻击利用了这两类防护栏模型的训练机制。

资料链接：https://mp.weixin.qq.com/s/Udur4JBhHnJUgEJEaLX5QQ

6、pgAdmin4中的严重漏洞允许攻击者在服务器上远程执行代码

在流行的开源PostgreSQL数据库管理工具pgAdmin4中，发现了一项严重的远程代码执行（RCE）漏洞。该漏洞编号为CVE-2025-12762，影响9.9及更早版本，攻击者可借此在托管服务器上执行任意命令，从而可能危及整套数据库基础设施的安全。该漏洞属于CWE-94（从不受信任输入生成代码），只需要网络访问权限，无需用户交互，因而极易被利用。美国国家漏洞数据库（NVD）将该漏洞评级为严重级别，CVSS v3.1得分为9.3/10。关键评分指标包括：基于网络的攻击向量、低攻击复杂度、作用域改变，并导致高度的机密性影响，以及中度的完整性和可用性风险。

资源来源：https://mp.weixin.qq.com/s/EcbJLzzqUCg1StE3qtN-cA

7、谷歌紧急修复Chrome浏览器正被利用的0Day漏洞（CVE-2025-13223）

2025年11月17日，谷歌针对Chrome稳定版频道发布了一项紧急安全更新，修复了V8 JavaScript引擎中两个独立的类型混淆漏洞。其中最严重的CVE-2025-13223已被确认是正被野外利用的0Day漏洞。该高危漏洞由谷歌威胁分析小组（TAG）报告，该小组通常追踪复杂的针对性攻击。漏洞编号为CVE-2025-13223，属于V8引擎中的类型混淆问题。类型混淆漏洞发生在程序错误假设对象数据类型时，会导致逻辑错误和内存误读。在Chrome网页处理核心的V8引擎中，利用此漏洞可使攻击者实现堆损坏，这通常是获取任意代码执行（RCE）能力的前置条件。这意味着攻击者只需诱使用户访问特制网站即可入侵其系统，构成严重的"路过式"攻击风险。

资料来源：https://mp.weixin.qq.com/s/S9HjH2-INJdg-zl2l9lEAw

安全事件

1、意大利工业气体巨头SIAD遭勒索攻击，159GB数据岌岌可危

近日，意大利工业气体领域传来一则令人震惊的消息：臭名昭著的与俄罗斯相关的Everest勒索软件团伙宣称，成功窃取了意大利最大工业天然气生产商之一——SIAD集团的159GB数据，并已在暗网泄露网站开启八天倒计时，扬言若不支付赎金便将数据公之于众。SIAD集团随后确认了此次安全漏洞事件。公司作为应急响应、安全监管以及供应安全监管的关键主体，在能源安全体系中占据核心地位。其不仅是传输的管理者，更是保障系统安全稳定运行的基石。

资料来源：https://mp.weixin.qq.com/s/dtIqwi3PodqEYjW0gN_r8Q

2、美国国税局（IRS）疑似遭遇大规模数据泄露，1800万公民个人信息被兜售

2025年11月18日上午，网络安全监测机构发现暗网论坛DarkForums上出现一则高风险数据泄露宣称，用户“yeestge33”声称已获取并正在出售源自美国国税局（IRS）的敏感公民个人信息。该帖文明确将数据来源标注为“www.irs.gov”，并将事件定性为针对联邦政府核心税务机构的严重安全breach。据攻击者描述，此次泄露涉及约1800万条个人记录，每条包含姓名、年龄、所在州与城市、完整家庭住址、邮政编码、电话号码及电子邮箱地址等高度识别性信息。尽管帖文中提及部分数据主体为65岁以上人群并关联401(k)退休福利背景，但本次事件的核心焦点在于其宣称的数据直接来自美国国税局系统本身，而非第三方或历史泄露的再利用。

资料来源：https://mp.weixin.qq.com/s/asL6mVK_o5PFAoVYe8mMkw

3、Cloudflare全球宕机：多国网络瘫痪、主流在线服务大面积受影响

2025年11月18日11:28 UTC（北京时间19:28），全球互联网基础设施巨头Cloudflare遭遇自2019年以来最严重的一次全球级宕机事件。事故持续约6小时，欧洲、亚洲、美洲等多国主流网站与服务陷入瘫痪。作为承载全球约20%网站流量的核心服务商，Cloudflare的故障瞬间引发连锁反应：OpenAI、Twitter（X）、Spotify、Steam、AWS等平台服务中断，用户遭遇大面积5xx错误、登录失败及API调用失效。这不仅是技术故障，更是对高度集中化互联网生态的一次压力测试。

资料来源：https://mp.weixin.qq.com/s/Ib7S2gzkuQsiozBqhx04vA

4、印度北方邦电力公司UPPCL大规模用户数据泄露

【2025年11月18日威胁情报监测】暗网论坛DarkForums上一名自称“888”的黑客发布帖文，宣称已成功入侵印度北方邦电力公司（Uttar Pradesh Power Corporation Limited, UPPCL）内部数据库，并公开提供约77MB的完整数据集下载。经验证，相关链接可实际下载，压缩包内为一csv结构化数据文件，内容高度敏感且真实可信。泄露数据总量覆盖约130万电力用户，字段极为详尽，包括：用户全名（NAME_NP）、父亲姓名（FATHER_NAME_NP）、账户ID（ACCT_ID）、手机号码（MOBILE_NO）、服务状态（CON_STATUS）、用电类型（POSTPAID）、负荷容量（LOAD）、计量单位（LOAD_UNIT）、配电区域（DISTRICT）、城镇（TOWN）、精确地理坐标（LAT/LON）、完整地址（ADDRESS）、所属变电站（SUBSTATION）及馈线编号（FEEDER_ID）等。部分记录甚至包含内部系统版本号（version）和AMISPCD编码，表明攻击者可能已深入其计费或客户关系管理系统（CRM）。

资料来源：https://mp.weixin.qq.com/s/gVDczP3sl_sjl04BbKSHWA

5、俄罗斯保险巨头VSK深陷勒索软件风暴，系统已瘫痪七日

2025年11月，俄罗斯保险市场遭遇了一场前所未有的网络安全危机。本月12日，该国最大的综合保险公司之一VSK遭受大规模网络攻击，导致其数字服务全面瘫痪。截至18日发稿时，这家服务3300万个人客户和50万企业用户的保险巨头仍在艰难恢复系统，创下了俄罗斯金融业因网络攻击导致服务中断的最长纪录。此次事件不仅使数百万客户的医疗保险、车险业务陷入停滞，更引发了关于关键基础设施安全性的深刻反思。在地缘政治紧张与国内经济压力双重背景下，这场持续七天的瘫痪事件已然成为检验俄罗斯金融系统韧性的试金石。

资料来源：https://mp.weixin.qq.com/s/6P6BhQSoFGWvg3dDZz1Shg

6、罗技确认遭遇数据泄露，源于Clop勒索组织的敲诈攻击

硬件外设巨头罗技（Logitech）已确认在一次网络攻击中遭遇数据泄露，该攻击由Clop勒索团伙声称负责，此团伙曾在7月发动针对Oracle E-Business Suite的数据窃取攻击。罗技称，被泄露的数据可能包括有关员工和消费者的有限信息，以及与客户和供应商相关的数据。但公司认为黑客并未获得国家身份证号或信用卡信息等敏感数据，因为这些信息并未存储在受影响的系统中。声明发布之前，Clop 勒索团伙已于上周将罗技列入其数据泄露勒索网站，并公开泄露了约 1.8 TB 的据称从罗技窃取的数据。除罗技外，其他受2025年Oracle E-Business Suite数据窃取攻击影响的机构还包括哈佛大学、Envoy Air航空公司及《华盛顿邮报》。

资料来源：https://mp.weixin.qq.com/s/25IqYpwfnYYd9jXCUeyudA

7、DoorDash 再曝数据泄露

DoorDash再次陷入数据泄露事件之中，这一次的起因是一名员工遭遇社交工程攻击，导致攻击者未授权获取了用户、配送员以及商家的部分联系信息。根据公司方面的披露，内部安全团队于2025年10月25日首次发现相关异常，随后的调查确认，事件源于一名员工在社交工程骗局中受骗，使攻击者得以在响应措施生效前进入系统。值得注意的是，尽管安全事件在10月25日即被发现，用户却在11月13日才陆续收到通知邮件，这一时间差引起了一部分受影响者的质疑。

资料来源：https://mp.weixin.qq.com/s/GKsVmxPtu8G6aLfKnuyaUw

8、意大利国家铁路集团2.3TB数据泄露警示：你的供应商可能是你最大的安全漏洞！

【综合BleepingComputer网站、cybersecitalia网站2025年11月20日消息】一场大规模数据泄露事件震动了意大利的核心基础设施。国家铁路运营商FS Italiane集团的敏感数据被公开在暗网之上，数据量高达惊人的2.3TB。然而，攻击的源头并非直接指向FS集团本身，而是指向了其庞大的IT服务提供商——Almaviva。这起事件不仅暴露了关键行业巨头的脆弱性，更尖锐地揭示了现代企业生态中，由第三方供应商引入的供应链安全风险。

资料来源：https://mp.weixin.qq.com/s/ybahaJGPiLgMhnqj_trBOg

风险预警

1、AI主导全球首例大规模网络攻击？Anthropic报告遭质疑

近日，人工智能安全公司Anthropic发布的一份报告称，其旗下的Claude Code模型遭黑客劫持，并被用于实施了“全球首例AI高度自主执行的大规模网络攻击”。报告详细描述了一场针对全球30个目标的网络间谍行动，其中高达80%至90%的攻击流程据称由AI自主完成，涵盖了从漏洞发现、利用到数据提取的完整攻击链。这一说法若属实，将意味着网络攻击范式迎来重大转折：AI不再仅是辅助工具，而开始独立执行复杂渗透任务。但随之而来的，是网络安全圈几乎“一边倒”的质疑。

资料来源：https://mp.weixin.qq.com/s/JVO3JfUCWfNvSWLNqtf1FA

2、你的防火墙“看”不见它！揭秘利用Blob URI的内存钓鱼攻击

当您收到一封声称来自“税务机构”的邮件，点击其中链接后，浏览器地址栏清晰显示着官方域名，页面呈现的是我们熟知的微软登录界面——一切看似滴水不漏、天衣无缝。然而，您或许难以想象，此时此刻，一个“隐形刺客”已悄然潜伏于浏览器内存深处。您键入的每一个字符，都将被实时传送至攻击者的服务器；而您的URL过滤器、反病毒软件，乃至高级终端防护系统，可能对此浑然不觉。这并非科幻电影中的桥段，而是一种正悄然兴起的新型攻击手法——Blob URI内存钓鱼。它宛如潜伏在浏览器内存中的“幽灵”，利用我们最为信任的浏览器原生功能，发动最为致命的背刺攻击。

资料来源：https://mp.weixin.qq.com/s/I9NgnqCIjTikRphequ7h-A

3、约40年前的Windows古董命令被滥用，黑客远程投毒可掌控你的PC

科技媒体bleepingcomputer昨日（11月15日）发布博文，报道称近期有黑客滥用诞生约年的"Finger"协议，成为新型ClickFix恶意软件攻击的关键环节。Finger协议最初用于在Unix/Linux系统上查询用户信息，后来也被集成到Windows中。攻击者利用该协议，在新型的ClickFix恶意软件攻击中，向受感染的Windows设备远程下发并执行恶意命令。攻击的核心在于社会工程学欺骗。攻击者会通过各种方式（如网页弹窗）显示一个伪造的"人机验证"提示，诱导用户按下Win+R快捷键并输入一行看似无害的命令。

资料来源：https://mp.weixin.qq.com/s/mps4ANhBlosCm14fG7QSig

4、Kraken勒索软件攻击细节曝光 可根据设备性能动态调整加密模式

Kraken勒索软件主要针对Windows、Linux/VMware ESXi系统发起攻击，其独特行为是会先对目标设备进行测试，以此确定在不造成系统过载的前提下，数据加密的最快速度。据思科Talos团队的研究人员介绍，Kraken的核心特征是通过创建临时文件，在全量数据加密和部分数据加密两种模式间自主选择。该勒索软件于2025年初出现，是HelloKitty勒索软件运营活动的延续，主要以大型企业为攻击目标，通过数据窃取实施“双重勒索”。在该团伙的泄密网站上，已列出来自美国、英国、加拿大、巴拿马、科威特和丹麦等国家的受害者信息。Kraken网站上的多处表述，以及赎金通知中的相似内容，均表明其与已停运的HelloKitty勒索软件存在关联。HelloKitty曾在2021年声名鹊起，后因源代码泄露尝试品牌重塑。

资料来源：https://mp.weixin.qq.com/s/4Jx0qPuPSjKBfIyaGX0WZw

5、ClickFix木马借人机验证系统实施新型网络攻击，窃取用户信息

据科技媒体Tech Spot今天报道，随着假期旅行季临近，各大酒店预订平台的订单量激增，目前已有一种名为ClickFix的木马现身互联网，它可以无声无息地在"我不是机器人"人机验证系统页面植入一段终端代码，窃取密码、身份令牌等。据介绍，这种木马在前期诱骗手段本质上是使用了社会工程学攻击，黑客通常会将人机验证页面嵌入钓鱼网站中，其外观看起来与常见的Cloudflare、reCAPTCHA验证页面别无二致，但这些伪造的页面都会指使受害者将一段短字符串粘贴到电脑的终端（IT之家注：Terminal）里。

资料来源：https://mp.weixin.qq.com/s/tio06XgnZo2Vu6_mDGG9Hw

6、35亿WhatsApp用户电话号码被“扫”光：一个简单功能酿成史上最大号码泄露事件

只需不断向WhatsApp的“联系人发现”功能输入电话号码，就能批量扒出全球用户的手机号、头像甚至个人简介？听起来像黑客电影桥段，但奥地利维也纳大学的研究团队真的做到了——他们通过自动化脚本，在未绕过任何防护的情况下，成功枚举出35亿个WhatsApp注册号码，覆盖全球绝大多数活跃用户。这一发现被研究人员称为“有史以来记录在案的最广泛的电话号码和相关用户数据泄露事件”。这项研究的核心并不依赖高深漏洞或零日攻击，而是利用了WhatsApp一项看似无害的基础功能：当你在通讯录中添加一个电话号码时，只要对方使用WhatsApp，应用就会自动显示其账户状态，通常还包括个人资料照片、昵称以及“关于我”的文本简介。这一设计极大提升了用户体验——找朋友变得无比简单。但问题在于，如果将这个逻辑规模化、自动化，后果就变得极其危险。

资料来源：https://mp.weixin.qq.com/s/xR3T-FspYHCnYVEjPgJ2ug

7、关于防范Morte僵尸网络的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现Morte僵尸网络持续活跃，其主要攻击目标为SOHO路由器、物联网（IoT）设备及Oracle WebLogic、WordPress、vBulletin等企业应用，可能导致数据泄露、系统受控、业务中断等风险。Morte僵尸网络是一种依赖“加载器即服务（LaaS）”模式运作的网络安全威胁，已活跃至少6个月。该僵尸网络主要通过三种方式入侵目标：一是Web界面命令注入；二是暴力破解或凭证喷洒设备默认凭证（如admin:admin）；三是利用已知漏洞等。入侵目标系统后，攻击者首先释放小型shell脚本作为dropper（投放器），随后安装跨架构原生二进制文件（如morte.x86、morte.x86_64），借助BusyBox工具实现多平台的兼容性，同时利用计划任务、进程注入等技术实现对目标系统的长久控制，最终部署加密货币挖矿模块（如基于JSON-RPC协议的eth_getWork），劫持设备CPU/GPU资源进行加密货币挖矿。

资料来源：https://mp.weixin.qq.com/s/qog8EJn94v6ZKj8RNCjXVg

8、关于防范Redis数据库内存释放后重用超危漏洞的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，Redis数据库存在内存释放后重用超危漏洞。Redis是一款开源的内存数据库，广泛应用于缓存、消息队列、实时计算等方面。经过身份验证的低权限攻击者可构造恶意Lua脚本操控垃圾回收器，触发内存释放后重用漏洞，可能导致远程代码执行，获取服务器控制权限，受影响版本包括Redis Software＜7.22.2-20、＜7.8.6-207、＜7.4.6-272、＜7.2.4-138、＜6.4.2-131，以及带有Lua脚本功能的Redis OSS/CE＜8.2.2、＜8.0.4、＜7.4.6、＜7.2.11和Redis Stack＜7.4.0-v7、＜7.2.0-v19。

资料来源：https://mp.weixin.qq.com/s/OTmchHXK9stznRN-ud1Bog

技术前沿

1、院士姚期智：建立可以证明安全的AI系统至关重要

近日，在“2025人工智能+”大会主论坛上，图灵奖得主、清华大学交叉信息研究院及人工智能学院院长、中国科学院院士姚期智发表主旨演讲。姚期智提到，中国在过去五年中在AI领域开展了令人惊讶和钦佩的工作，特别是在大模型技术演化和具身智能方面。“过去5年，中国从曾与国际先进水平存在较大差距，到成功跻身国际第一方阵，部分领域更实现全球领先。”在他看来，中国未来不缺应用人才和场景，最重要的是多培养尖端创新人才。对于AGI（通用人工智能），姚期智表示，其定义是能够让机器在复杂场景具有类似于人的认知推理能力。“如今的人工智能可以实现部分功能，但离AGI的理想还有一些距离。”在科学智能（AI for Science）层面，姚期智预言，AI不仅能赋能普通产业，更将在人类所认为的最高智能的领域，即科学研究层面，带来翻天覆地的变化。姚期智指出，过去被视为具有科学家特性、适合做科学家的人，在未来五年、十年以后不见得能够成为最好的科学家。在主旨演讲中，姚期智也指出了AI的安全性问题。

来源：每日经济新闻网

2、邬江兴院士：AI时代内生安全自主知识体系建设的思考

11月16日，由中国工程院信息与电子工程学部主办、同济大学承办的“中国工程院工程科技学术研讨会——人工智能赋能教育创新发展”在同济大学四平路校区举行。在主旨报告环节，邬江兴院士发表了题为《AI时代内生安全自主知识体系建设思考》的报告。报告指出，新一代人工智能正从根本上改变知识的生产者、生产方式、传播方式及知识种类，其重构高等教育的核心逻辑已从“复制”转向“创造”。这一变革让传统“知识传授”模式面临严峻挑战，高等教育亟需突破路径依赖，转型成为“知识创新策源地”，而加快构建人工智能时代内生安全治理的自主知识体系，正是应对这一变革的关键举措。邬江兴院士在报告中强调，面对这一全球性挑战，中国必须加快建立人工智能时代内生安全自主知识体系，这不仅是信息技术发展的内在需求，更是“人工智能+”国家战略的必然选择；既是中国应对AI赋能千行百业、实现规模化应用中诸多挑战的必由之路，也是中国为全球AI治理贡献智慧的重要契机。

资料来源：复旦大数据研究院

3、构建智能网联汽车的“四维”安全防线与治理体系

随着人工智能技术成为智能网联汽车的核心驱动力，其带来的安全挑战也日益复杂与系统化。自动驾驶、智能座舱等关键系统的高度自主性，使得传统的安全范式已不足以应对AI特有的不确定性、数据依赖性与伦理复杂性。构建一套贯穿AI全生命周期的、多维融合的安全保障体系，已成为产业健康发展的基石。本系列文章基于行业《车用人工智能标准体系研究报告》，结合作者多年产业深度实践经验，旨在构建一个以风险为核心、覆盖“功能安全、预期功能安全（含伦理安全）、信息安全、数据安全”四大维度的整体技术框架，并系统阐述其在开发、测试、生产、运营各环节的落地路径，最后提出面向未来的AI治理体系与标准化展望，旨在为行业从业者、决策者与关注者提供一份兼具理论深度与实践指引的全面参考。

资料来源：https://mp.weixin.qq.com/s/BXGOLosbytb-Oc8L_MBvzA

4、工业网络安全，究竟应该由IT人员负责还是OT人员负责？

本文探讨了忽视工业资产如何造成安全风险，以及制造企业可以采取哪些措施来保护其运营的正常进行。虽然许多制造企业在保护传统物联网（IoT）设备方面投入了大量资金，但他们往往忽视了可能对其运营构成重大风险的关键工业资产。制造设施中广泛采用的运营技术（OT）入侵检测系统使企业能够建立资产清单，并通过机器学习和人工智能识别潜在漏洞。然而，在如何实施这些技术方面仍存在令人担忧的差距。这种差距通常是由谁是OT设备的实际所有者和负责人演变而来的。OT设备几乎从不由IT直接控制和负责。

资料来源：https://mp.weixin.qq.com/s/44oOOZKCRn5irK86wCTqcg

5、能源企业数据安全风险评估方法

能源企业数据安全风险评估方法是一种系统性的过程，旨在识别、分析和评价与数据资产相关的潜在威胁和脆弱性，从而制定有效的风险缓解策略。在能源行业中，数据安全至关重要，因为这类企业通常管理着关键基础设施，如电力网格、石油和天然气管道，以及可再生能源系统，任何数据泄露或安全事件都可能导致运营中断、财务损失、环境危害甚至国家安全威胁。因此，风险评估需要结合行业特定要求，包括监管合规性（例如NERC CIP标准用于北美电力部门）、运营技术（OT）系统的集成，以及日益增长的网络攻击风险，如勒索软件或国家资助的黑客活动。

资料来源：https://mp.weixin.qq.com/s/R8FbwxhccmFsIxTEoedZJA

6、AI"投毒"已成产业：从特斯拉到华尔街，揭秘入侵物理世界的AI攻击真相

AI吞噬世界，谁在"投毒"AI？当AI大模型以前所未有的速度渗透至自动驾驶、金融风控、医疗诊断等核心领域时，一个隐秘而致命的战场早已硝烟弥漫——对抗性机器学习（Adversarial Machine Learning, AML）。这不再是实验室中的理论博弈，而是已然能够导致特斯拉紧急召回、令银行凭空蒸发17亿美金、甚至操纵CT影像误导癌症诊断的"幽灵武器"。对于每一位网络安全从业者而言，这不仅是崭新的知识领域，更是决定未来职场价值的关键变量。

资料来源：https://mp.weixin.qq.com/s/eN-XczBKME6wXddQS9vLXQ

7、超级计算机实现量子微芯片高精度模拟

美国劳伦斯伯克利国家实验室与加州大学伯克利分校联合团队，依托国家能源研究科学计算中心的“珀尔马特”超级计算机，动用了7000多块英伟达图形处理器，以前所未有的细节实现了对量子微芯片的模拟。这一突破为优化下一代量子技术奠定了坚实基础。该成果将在美国举行的国际高性能计算、网络、存储与分析会议上正式发布。团队表示，通过精确建模量子芯片，可在制造前预判其性能表现，及时发现问题，确保最终产品符合设计预期。本次模拟采用全波物理级精度，完整考虑了材料特性（包括铌等金属导线）、芯片布局、谐振器构造等实体要素，同时还原了量子比特与电路元件间的动态交互过程。这种将物理设计与实时模拟相结合的技术路径，构成了本次研究的独特价值。

资料来源：科技日报