热点速报

1、工业和信息化部召开制造业中试创新发展座谈会

12月11日，工业和信息化部在辽宁省盘锦市召开制造业中试创新发展座谈会，深入学习贯彻总书记关于科技创新和产业创新深度融合的重要论述，全面落实党中央、国务院关于中试发展的决策部署，系统总结制造业中试工作成效，研究部署下一步重点工作。工业和信息化部党组成员、副部长柯吉欣出席会议并讲话。会议指出，中试是紧密连接创新链、技术链和产业链的关键环节，是畅通技术创新到市场应用的“中间站”。会议强调，要立足“十四五”规划收官与“十五五”谋篇布局这一关键节点，系统推进制造业中试创新发展。

来源：https://mp.weixin.qq.com/s/QRzXjdz9keFFO7Zdz2A87w

2、网警提示：双十二狂欢剁手，网络安全也要记心头

优先选择正规知名电商平台，拒绝域名怪异、仿冒知名平台的山寨网站，此类网站多藏钓鱼程序，易导致信息被盗、财产损失。警惕“限时预购”“预先降价”等虚假预售链接，所有交易均在官方平台完成，不通过私下转账，避免无保障交易风险。慎点来历不明的红包链接，官方红包仅在平台内发布，要求填写个人信息、跳转陌生页面的红包均为陷阱。收到“商品质量问题退款”“快递丢失理赔”“订单异常核实”等来电/短信，切勿轻信，需通过平台官方客服、快递官方电话核实，绝不透露银行卡号、验证码，不点击陌生理赔链接。刷单本身违法，遇陌生快递内“扫码领礼品”“福利卡券”一律不扫；警惕“陌生快递+误开通会员扣费”话术，诱导下载不明APP、开通免密支付的均是陷阱。核实代付与货到付款。

来源：https://mp.weixin.qq.com/s/fqyeH0eSGAlic7HERKqNgw

3、汽车行业网络乱象专项整治行动公开曝光第二批典型案例

抖音账号“车曝台”、懂车帝账号“阿贵艺车”、微信视频号“欧叔欧叔”等账号集纳炒作负面信息，抹黑诋毁汽车产品。微博账号“暗夜曰车”、微信视频号“伴生说”、今日头条账号“许侠客说车”、快手账号“深海妖怪”等账号持续发布贬损性信息，诋毁攻击汽车企业、企业家。抖音账号“智驾安全榜”、哔哩哔哩账号“原来是翔翔啊”、小红书账号“Navis”等账号发布不实测评信息，侵犯企业名誉。微博账号“侃见财经”、懂车帝账号“汽车点评叔”“DoNews”等账号歪曲解读涉企公开信息，恶意唱衰企业发展前景。今日头条账号“蜡人糖糖”“恰恰饭卡”、微博账号“天空之翼520-”等账号发布同质化信息，扰乱正常市场秩序。

来源：https://mp.weixin.qq.com/s/eDnomEeiZFdPlrFLItT0xA

4、抓住木马病毒窃密的“狐狸尾巴”

“本月考勤公示”“年度放假安排”“高温补贴发放声明”等办公类文件，是职场中常见的电子文档。但一些别有用心的人会将其伪装成含有窃密病毒的文件，易使有关单位人员放松警惕，一旦点击将对信息数据安全造成危害。此类木马病毒可能被精准投放于党政机关、企事业单位或个人的短信收件箱、电子邮箱和聊天群中，其往往会捏造“补贴发放”“政策通知”等以假乱真的标题，并附上格式、措辞等与官方通知高度一致的伪造红头文件等，利用用户获取信息的紧迫感、好奇心及因思维惯性放松警惕的心理，诱使用户下载和运行病毒软件。此类木马病毒一旦成功入侵目标主机系统，获取设备控制权限并实现长期驻留后，将可能通过扫描主机全盘文件，实时获取键盘输入内容、浏览器记录、个人账户密码等，进而远程窃取个人信息和单位敏感数据等内容。个别不断迭代升级的木马病毒甚至可能通过对摄像头、麦克风等外置设备的即时监控，开展持久化的攻击和窃密。

来源：https://mp.weixin.qq.com/s/rxv9kPit_d2otAMyPIUU-A

5、欧盟对X开出1.2亿欧元巨额罚款

据西班牙埃菲社6日报道，欧盟5日依据《数字服务法案》作出首份“不合规决定”，认定X在透明度方面违法，将对其处以1.2亿欧元罚款。该机构在一份声明中解释称，X的侵权行为包括其“蓝标认证”仅通过付费即可获得，在界面设计上对用户具有误导性；其广告资料库在透明度和可访问性方面均不合规；X未按规定向符合条件的研究人员开放平台公共数据访问权限。欧盟委员会对上述三项违规行为分别处以4500万欧元、3500万欧元和4000万欧元罚款。

来源：https://mp.weixin.qq.com/s/I6mZgRi3dQGmrDTHk7mnrg

6、网络谣言伪造公文、虚构政策、抹黑企业 网信公安工信部门坚决整治

11月网络谣言主要集中在公共政策和热点事件领域，伪造官方公文、虚构政策信息、歪曲蹭炒热点，误导公众认知，侵害群众权益。网信、公安等部门迅速核查处置，开展专项整治，持续净化网络生态。有不法分子伪造财政部公文，散布“粤港澳大湾区政策红利发放”的虚假信息，诱导网民下载非官方APP进行投资；“上海、广州等地试点‘老头乐’C7驾照”的传言引发关注，相关城市公安交管部门均明确否认。首届“苏超”联赛泰州队夺冠后，“冠军获五十万奖金、城市地图放大字号”等谣言流传，以夸张信息博眼球、引流量；江苏张家港凤凰山景区火灾后，“‘南朝四百八十寺之一’被烧”的谣言引发热议，通报显示失火建筑为2009年新建，与历史上的南朝寺庙无关联。针对不法分子利用AI技术冒用公众人物形象直播带货乱象，同步开展专项行动，严厉处置一批违法违规网络账号，清理相关违规信息8700余条，处置仿冒公众人物账号1.1万余个。

来源：https://mp.weixin.qq.com/s/d1kTGPq5-_KE10nbL-usFw

7、数智赋能 智御未来·第十五届网络安全漏洞分析与风险评估大会在天津盛大启幕

2025年12月10日，由中央网络安全和信息化委员会办公室、国家市场监督管理总局共同指导，中国信息安全测评中心主办的“第十五届网络安全漏洞分析与风险评估大会（VARA）”在天津梅江会展中心隆重召开。作为我国网络安全领域极具权威性和影响力的专业性学术盛会，本届大会以“数智赋能 智御未来”为主题，由1个主论坛、3个分论坛及1个网络空间智能化先进成果装备展共同构成。参会阵容涵盖27家国家部委和行业主管部门的省部级、司局级领导，52家央企和关键信息基础设施运营单位、100余家网络安全企业，以及国内30余所高等院校和科研机构的1000余名嘉宾。通过搭建高端的交流展示平台，汇聚政、产、学、研、用各方力量，全方位、深层次地展现网络安全领域新理念、新技术、新产品与新应用，为筑牢国家网络安全屏障、推动产业高质量发展、护航网络强国建设提供坚实的技术支撑与智力保障。

来源：中国信息安全

政策法规

1、国家网信办发布《网络数据安全风险评估办法（征求意见稿）》

为规范网络数据安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用，根据《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规，制定本办法。在中华人民共和国境内开展网络数据安全风险评估，应当遵守本办法。法律、行政法规、部门规章另有规定的，依照其规定。本办法所称网络数据安全风险评估（以下简称风险评估），是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。国家网信部门在国家数据安全工作协调机制指导下，统筹各地区、各部门开展风险评估，加强工作协调、信息共享。各有关主管部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，定期组织开展本行业、本领域风险评估，可以根据工作需要对本行业、本领域的重要数据处理者开展风险评估情况进行检查，并于每年1月底前向国家网信部门报送年度风险评估及检查计划。

来源：https://mp.weixin.qq.com/s/mVQNdtHfmSem4C-bLwlrew

2、工信部修订印发《产业技术基础公共服务平台管理办法》

为加快推进新型工业化，筑牢产业技术基础根基，工业和信息化部近日印发新修订的《产业技术基础公共服务平台管理办法》，包括总则、申报、审核发布、运行、动态管理、附则等6章22项条款，自2025年12月5日起施行。《管理办法》提出，服务平台申报单位应当明确申报的服务行业领域及服务范围。服务重点行业和领域包括装备、石化化工、钢铁、有色、建材、轻工、纺织、食品、医药、新一代信息技术、生物技术、新能源、新材料、新能源汽车、人工智能、元宇宙、脑机接口等；服务范围主要包括计量检测、标准验证与检测、质量可靠性试验检测、认证认可、产业信息、知识产权、技术成果转化等。

来源：https://mp.weixin.qq.com/s/HPJ4t6EtOOtnjXtkw7cyUA

3、国家能源局关于印发《能源行业数据安全管理办法（试行）》的通知

为规范能源行业数据处理活动，加强数据安全管理，防范数据安全风险，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国能源法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，制定本办法。本办法适用于在中华人民共和国境内开展能源行业数据处理活动及其安全监督管理。能源数据处理者开展涉及国家秘密或由其汇聚关联后属于国家秘密事项的能源行业数据处理活动时，应遵守《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

来源：国家能源局

4、11项网络安全国家标准获批发布

近日，国家市场监督管理总局、国家标准化管理委员会发布的2025年第32号、33号《中华人民共和国国家标准公告》，2项网络安全相关强制性国家标准和9项推荐性国家标准正式发布。2项强制性国家标准：1.GB 46864-2025《数据安全技术 电子产品信息清除技术要求》。2.GB 46859-2025《儿童手表技术安全要求》。以上2项强制性国家标准将于2027年1月1日起正式实施。9项推荐性国家标准：3.GB/T 46795-2025《网络安全技术 公钥密码应用技术体系框架》。4.GB/T 46798-2025《网络安全技术 标识密码认证系统密码及其相关安全技术要求》。5.GB/T 44886.2-2025《网络安全技术 网络安全产品互联互通第2部分：资产信息格式》。6.GB/T 44886.3-2025《网络安全技术 网络安全产品互联互通第3部分：告警信息格式》。7.GB/T 46796-2025《数据安全技术 数据接口安全风险监测方法》。8.GB/T 46820-2025《网络安全技术 网络安全试验平台体系架构》。9.GB/T 25068.6-2025《信息技术 安全技术 网络安全 第6部分：无线网络访问安全》。10.GB/T 25068.7-2025《信息技术 安全技术 网络安全 第7部分：网络虚拟化安全》。11.GB/T 37932-2025《数据安全技术 数据交易服务安全要求》。以上9项推荐性国家标准将于2026年7月1日起正式实施。

来源：https://mp.weixin.qq.com/s/iBEV6cDROWJG-AZao9QYog

5、发布 | 中国式现代化发展报告

中国式现代化是当代中国的最大实践，是中国共产党领导的社会主义现代化。推进中国式现代化是一项前无古人的开创性事业，是一项伟大而艰巨的事业。惟其艰巨，所以伟大；惟其艰巨，更显荣光。中国式现代化打破了“现代化=西方化”的迷思，拓展了全球南方国家走向现代化的路径选择，为世界提供了一种全新的现代化模式，为人类文明新形态的丰富和发展贡献了中国智慧。中国式现代化是中国共产党领导中国人民在长期探索和实践中历经千辛万苦、付出巨大代价取得的重大成果，深深植根于中华优秀传统文化，体现科学社会主义的先进本质。中国共产党和中国人民倍加珍惜、始终坚持、不断拓展。

来源：https://mp.weixin.qq.com/s/iC0iGru-jLsf5lDRe03erQ

6、智能制造标准化发展研究报告（2025）

2025年11月27日，2025世界智能制造大会在南京召开。工业和信息化部党组成员、副部长辛国斌出席大会开幕式并致辞。大会上正式发布了《智能制造标准化发展研究报告（2025）》。本报告通过系统梳理全球智能制造标准化发展态势，总结我国近十年标准化建设成果，剖析龙头企业实践路径，为新时期智能制造高质量发展提供了权威指引与行动蓝图。

来源：中国电子技术标准化研究院

安全漏洞

1、Windows PowerShell 0Day漏洞可导致攻击者执行恶意代码

微软已发布安全更新，修复一个危险的Windows PowerShell漏洞（CVE-2025-54100），该漏洞允许攻击者在受影响系统上执行恶意代码。该漏洞于2025年12月9日公开披露，对全球企业构成重大安全风险。该漏洞源于Windows PowerShell在命令注入攻击中未能正确处理特殊元素。攻击者可通过精心构造的命令在本地执行任意代码，但需要满足以下条件：具备本地访问权限；需要用户交互（如诱骗用户打开恶意文件或执行可疑命令）。微软评估认为当前实际攻击场景中的利用可能性较低，但由于漏洞细节已公开，仍存在潜在风险。

资料来源：https://mp.weixin.qq.com/s/HTzGuu0uK4wnv2icuiWEmQ

2、Gemini零点击漏洞可致攻击者窃取Gmail、日历及文档数据

Google Gemini Enterprise（前身为Vertex AI Search）中存在一个被命名为"GeminiJack"的高危零点击漏洞，攻击者可借此轻松窃取Gmail、日历和文档中的企业敏感数据。据Noma Labs分析，该问题属于架构设计缺陷而非普通漏洞。该缺陷利用AI系统处理共享内容的机制，绕过了数据防泄露（DLP）和终端防护等传统安全措施。攻击过程无需员工点击或触发任何警告。攻击者仅需共享含有隐藏提示注入的Google文档、日历邀请或电子邮件即可实施攻击。当员工执行常规Gemini搜索（如"显示第四季度预算"）时，AI系统会检索恶意内容，在Workspace数据源中执行指令，并通过响应中伪装的图片请求外传数据。

资料来源：https://mp.weixin.qq.com/s/0ShKUC8Qo_pLRBu6wyY0pw

3、高危lz4-java漏洞可能导致敏感数据泄露（CVE-2025-66566）

广泛使用的LZ4压缩算法Java库lz4-java近日被发现存在一个高危漏洞。该漏洞编号为CVE-2025-66566，其CVSS评分为8.2，表明其对数据机密性构成重大威胁。攻击者可以利用该漏洞诱骗解压缩程序读取并暴露未初始化的内存内容，从而可能泄漏先前操作留下的敏感数据。安全公告指出：在 lz4-java 1.10.0 及更早版本的基于Java的解压缩器实现中，输出缓冲区清除不充分，使得远程攻击者能够通过特制的压缩输入读取先前缓冲区的内容。LZ4算法以速度见长，其高速通常通过重复使用已解压数据来实现。然而，该算法的Java实现逻辑存在一个关键的盲区。在典型的攻击场景中，威胁行为者会提供一个经过操纵的输入帧。借助特制的输入，攻击者可以诱导Java实现从输出缓冲区中尚未包含解压数据的区域进行复制。

资料链接：https://mp.weixin.qq.com/s/Yq4CuqXSSwLwLR6f38q1vg

4、Cursor等AI编程工具曝30余项漏洞，可导致数据窃取与远程代码执行

近期，研究人员在各类人工智能（AI）集成开发环境（IDE）中发现了三十多个安全漏洞。这些漏洞能够将提示词注入攻击手法与IDE的合法功能相结合，从而实现数据窃取与远程代码执行。安全研究员Ari Marzouk将这些安全问题统称为“IDEsaster”。受影响的包括Cursor、Windsurf、Kiro.dev、GitHub Copilot、Zed.dev、Roo Code、Junie和Cline等主流AI IDE及其扩展插件，其中24个漏洞已分配CVE编号。研究人员向媒体表示，此项研究最令人惊讶的发现是，所有受测的AI IDE均受到多种通用攻击链的影响。他指出，所有AI IDE（以及与之集成的编程助手）在其威胁模型中实际上都忽略了IDE本身。AI IDE 认为这些已有多年历史的固有功能是安全的。然而，一旦引入能够自主行动的AI智能体，这些同样的功能就可能被武器化，成为数据外泄和远程代码执行的利用手段。

资料来源：https://mp.weixin.qq.com/s/imnMZFp-_s2hWD6ZUfs7wQ

安全事件

1、智能汽车遭远程锁死，俄罗斯数百辆保时捷出现大规模瘫痪

俄罗斯数百名车主和经销商报告称，由于原厂安装的卫星安全系统发生故障，导致当地大批保时捷车辆无法正常行驶。据经销商集团Rolf透露，多个俄罗斯城市的驾驶员报告称，在保时捷车辆失去卫星报警模块连接后，出现发动机突然熄火和燃油输送阻断现象，所有车型均面临自动锁死风险。经销商集团代表向俄罗斯媒体RBC证实，所有保时捷车型均受影响，车辆可能触发自动锁止。该代表暗示，此次中断可能存在人为因素，但尚未发现相关证据。据俄罗斯保时捷Macan俱乐部反映，部分车主通过禁用或重启VTS系统恢复车辆，另有车主在断开电池数小时后解决问题。俱乐部代表解释："启动问题确实存在，但已找到解决方案——需要手动禁用VTS系统。"

资料来源：https://mp.weixin.qq.com/s/DfHm1iJHB9bthsVQF2rHAw

2、Operation Tornado：针对国产信创平台的网络间谍活动

在Operation Typhoon报告中首次披露了海莲花组织针对国产化系统的攻击案例。鉴于当时信创终端普及率较低，且该类设备多存储政府敏感信息，我们仅就该攻击趋势发布了预警。随后几年间，我们进一步监测到包括 APT-Q-95、UTG-Q-008 及某未知组织在内的多个攻击团伙持续针对信创平台以及政务网展开攻击，其核心目的在于窃取政务数据、刺探国家政策及未来发展战略。与2022年类似，海莲花选择了Operation hurricane中的特马用于同时攻击win和信创平台，投递诸如lnk、desktop、jar、epub等类型的鱼叉邮件。除了内网终端供应链，当前针对信创平台的攻击手法与Linux桌面版并无二致，两者存在显著的技术同源性。根据我们掌握的情报，海莲花组织目前尚无法实现精准钓鱼，其策略主要依赖于邮件探针与文档探针进行排除筛选，最终通过广撒网式的群发钓鱼来提升攻击成功率。

资料来源：https://mp.weixin.qq.com/s/qcsO7RYvM1gTGnjeianfPw

3、疑英国情报机构2500余名特工身份与部门信息泄露

【2025年12月9日监测发现】一份名为《SECRETbritishAGENTS》的机密文件9日在暗网流传，披露了超过2500名隶属于英国情报机构的特工人员详细信息，引发国际社会对英国国家安全体系的严重关切。该文件由jrintel转自Zircon group和Sanitize Dark Star，并求证其真实性。文件包含结构化数据字段，如特工编号（agent_id）、化名（cover_name）、真实姓名（real_name）、所属部门（division）、最后已知位置（last_known_location）、行动区域（operation_zone）、任务状态（mission_status）、最后联络时间及备注等敏感内容。目前真假未辩，須进一步研判。根据文件样本显示，泄露人员覆盖多个高度敏感领域，包括“职业治疗师司”“医院药剂师司”“精神病护士司”“钻井工程师司”等伪装身份单位。更令人震惊的是，泄露名单中还包含大量涉及国家战略核心的部门，例如“首席技术官司”“首席财务官司”“武装部队后勤/支援/行政军官司”“情报分析师司”“外交事务行动官员司”“军事训练与教育军官司”以及“政府社会研究官员司”等。

资料来源：https://mp.weixin.qq.com/s/GvPsHaLfGGkJRqnOaE1GVQ

4、疑中XXX美国麻州公司工程服务器遭入侵----涉洛杉矶地铁与联合车站238GB核心资料外泄引发安全担忧

2025年12月7日暗网监测发现，美国铁路安全领域遭遇重大信息泄露事件。威胁行为者“zestix”在地下论坛Exploit.biz发布消息，声称已成功入侵中XXX美国麻州公司（CXXXMA）的工程服务器并获取全部内容，总量高达238GB。泄露数据涉及洛杉矶联合车站信号工程文件、洛杉矶地铁HR4000列车项目资料、波士顿地铁文件及列车全套设计与安全文档，还附带了30余张施工现场与设备图纸作为“实证”。攻击者强调，外泄内容包括联合车站信号控制逻辑、轨道电路边界、SCADA点位以及大量含有精确GPS坐标的安防基础设施信息。这些资料被美国交通安全法规界定为SSI级敏感安全信息（49 CFR 1520）。一旦被错误使用，可能对关键铁路枢纽造成直接安全威胁。

资料来源：https://mp.weixin.qq.com/s/SZ67mSij798Ft3KtXouCRQ

5、护网—2025 | 网站被“黑”只“擦脸”！网警以案释法严惩表面整改

网络安全保护若只做“表面功夫”，不仅危害自身网络系统安全，也会让自己受到法律惩处。特别是发生网络攻击侵入的事件后，更要重视公安机关的预警提示，严格落实整改要求，既亡羊补牢、修补“表面”，也举一反三、整改“全面”，千万不能把红线当虚线，不把提示当回事。近日，河南三门峡公安网安部门线上巡查发现，辖区内某公司的网站遭到网络攻击，首页内容被篡改为博彩页面。经查，该网站存在SQL注入漏洞，因未及时发现和修复，导致被黑客攻击利用。查明案情后，属地公安网安部门第一时间向该公司通报情况，责令其彻查、修复漏洞隐患。但是，该公司片面追求快速恢复网站访问，仅清除被篡改页面，未按照要求整改消除网站SQL注入漏洞等隐患，导致漏洞再次被黑客利用，网站首页再次被篡改为博彩页面。针对该公司不履行网络安全保护义务的违法行为，属地公安机关依据《中华人民共和国网络安全法》，依法追究该公司及直接负责主管人员的法律责任。

资料来源：https://mp.weixin.qq.com/s/Lyy1wWtDKfavenlmqbqV7Q

6、安卓电视YouTube客户端SmartTube遭入侵 恶意更新强制推送

安卓电视平台的开源YouTube客户端SmartTube已确认遭入侵——攻击者获取开发者的数字签名密钥后，向用户推送了包含恶意代码的更新包。此次安全事件由多名用户反馈发现：安卓内置杀毒模块Google Play Protect在部分设备上拦截了SmartTube，并向用户发出安全风险警示。SmartTube开发者证实，其数字签名密钥于上周末被盗，导致恶意软件被注入应用程序。目前已吊销旧签名，并表示将尽快发布采用独立应用ID的新版本，同时敦促用户升级至该安全版本。

资料来源：https://mp.weixin.qq.com/s/mrZlDAa2q5rldBAwzrAJkQ

风险预警

1、Predator间谍软件采用新型攻击载体实施零点击攻击

安全研究员最新发现，Predator间谍软件已启用一款名为Aladdin的零点击感染机制——目标对象无需任何主动操作，仅需浏览到一则恶意广告，其设备便会遭到入侵。这一功能强大且此前从未被披露的攻击载体，长期通过分布在多国的壳公司进行周密隐匿。Aladdin机制于2024年首次投入使用，目前被认为仍处于运行状态且在持续迭代开发。该机制借助商用移动广告系统实现恶意软件投放，其核心原理为：根据目标对象的公网IP地址及其他身份标识锁定人群，再通过需求方平台（DSP）向广告网络内的所有合作网站下发指令，强制向目标推送植入恶意程序的广告。这类恶意广告可出现在任何投放广告的平台，比如用户信任的新闻网站或移动应用，其外观与目标日常浏览的普通广告无异。而根据内部资料显示，目标仅需查看该广告即可触发设备感染，完全无需点击广告本身。

资料来源：https://mp.weixin.qq.com/s/0n-87XhoULroATLXmqsCYA

2、React2Shell漏洞遭大规模利用：攻击者投放加密货币挖矿程序与新型恶意软件

根据Huntress最新研究，React2Shell漏洞正持续遭到大规模利用，攻击者通过React Server Components（RSC）中的高危安全缺陷投放加密货币挖矿程序及多个此前未记录的恶意软件家族。这包括名为PeerBlight的Linux后门程序、CowTunnel反向代理隧道以及基于Go语言的漏洞利用后植入程序ZinFoq。网络安全公司指出，攻击者正通过RSC的关键安全漏洞（CVE-2025-55182）针对众多组织实施攻击，该漏洞允许未经认证的远程代码执行。截至2025年12月8日，攻击活动主要针对建筑和娱乐行业，但影响范围已波及多个领域。Huntress记录的首例Windows终端攻击尝试可追溯至2025年12月4日，当时未知攻击者利用Next.js漏洞实例投放shell脚本，随后执行命令部署加密货币挖矿程序和Linux后门。

资料来源：https://mp.weixin.qq.com/s/vjr9mx8i0GWaeiIT3pnIgQ

3、从财务崩溃到电网瘫痪：电池储能系统面临多层次网络威胁围猎

着全球电力需求的激增和能源结构向可再生能源的加速转型，电网级电池储能系统（Battery Energy Storage Systems, BESS）已成为确保电网可靠性和灵活性的关键基础设施。然而，其大规模、快速部署的背后，潜藏着日益严峻且独特的网络安全风险。由布拉特尔集团和德拉戈斯公司联合发布的权威白皮书《保护电池储能系统免受网络威胁：最佳实践和趋势》，结合行业专家的警示，为我们勾勒出一幅清晰的风险图景：BESS正从赋能电网的“新星”转变为网络攻击者的“高价值目标”。本文旨在深度解析这一风险态势，梳理报告核心发现与专家观点，并提出关键应对思路。

资料来源：https://mp.weixin.qq.com/s/V_IVKFpm2wlJ7P54nGwfRA

4、ChatGPT共享链接钓鱼攻击新套路：伪装实用指南诱导手动植马

近期出现多起利用ChatGPT共享链接聊天记录实施的网络钓鱼攻击，其攻击套路大致如下：攻击者首先在谷歌平台投放付费搜索广告吸引受害者。若用户搜索类似“chatgpt atlas”的关键词，搜索结果会出现下图的样子，其中首个赞助链接虽未显示完整网址，但能明确看出域名归属chatgpt.com；广告页面标题也极具诱导性，标注为“macOS版ChatGPT™ Atlas–下载Mac版ChatGPT Atlas”，对于有下载该浏览器需求的用户来说，很容易点击该链接。点击广告后，用户确实会跳转至chatgpt.com域名下的页面，页面将展示 “Atlas 浏览器” 的简短安装指南。细心的用户会立即察觉，这实则是匿名用户与ChatGPT的对话副本。攻击者通过ChatGPT的分享功能将其公开，相关链接以chatgpt.com/share/为前缀，且对话正上方明确标注“这是ChatGPT与匿名用户对话的副本”。但对于不够谨慎或对AI工具不熟悉的用户而言，这份格式规整、且依托ChatGPT可信域名呈现的内容，很可能让他们信以为真。

资料来源：https://mp.weixin.qq.com/s/lyAphtsxn2_u3Qh7zhFncw

5、勒索软件利用EDR工具隐秘执行恶意代码

代号为Storm-0249的初始访问中间人，正通过滥用终端检测与响应解决方案及受信任的微软Windows系统工具，实现恶意软件加载、通信链路建立与持久化驻留，为后续勒索软件攻击预先部署环境。Storm-0249已摒弃大规模钓鱼攻击手段，转而采用更隐蔽、更高级的攻击方法。这些方法不仅攻击效果显著，且即便相关攻击路径已有详细公开文档，防御方依旧难以有效应对。研究人员在分析一起攻击事件时发现，Storm-0249借助SentinelOne EDR组件的特性隐藏恶意活动。这一攻击手法同样适用于其他品牌的EDR产品。Storm-0249的攻击始于ClickFix社会工程学骗局，诱导用户在Windows运行对话框中粘贴并执行curl命令，以系统权限（SYSTEM）下载恶意MSI安装包。与此同时，攻击者还会从伪造的微软域名中获取恶意PowerShell脚本，该脚本会被直接载入系统内存，全程不写入磁盘，以此规避杀毒软件的检测。

资料来源：https://mp.weixin.qq.com/s/CrAQoI7XOveNNCGuv-Z-gg

技术前沿

1、突破最后的疆界：针对太空领域的网络作战

苏黎世联邦理工学院安全研究中心于2025年11月发布的网络防御报告《突破最后的疆界：针对太空领域的网络作战》，由资深研究员克莱芒斯·波里耶撰写。该报告立足于一个关键的范式转变：2022年俄乌战争初期的ViaSat卫星网络攻击，首次证实了破坏性网络行动可直接影响天基系统支援下的战场行动，从而永久性地改变了针对太空领域网络威胁的认知与评估框架。在此背景下，报告提出了核心研究议题：此类网络攻击是特定高强度国家间冲突的独有现象，抑或是未来武装冲突中可能普遍出现的演变趋势？为验证此假设，报告选取2023年10月爆发的加沙战争作为核心案例，通过系统性的开源情报分析，构建了包含237起网络行动的数据集，旨在实证考察现代冲突中针对太空设施的网络攻击之规模、手法、行为主体及实际效能，从而研判网络空间与太空疆域交织的新型作战模式是否正在成型与扩散。

来源：https://mp.weixin.qq.com/s/BpoDBJgQNofabbrJhsZwSg

2、人工智能安全工程：整车与零部件的融合与挑战

随着智能网联汽车加速向“软件定义”和“数据驱动”演进，其电子电气架构日益开放、功能高度互联，网络安全已从辅助性议题上升为核心产品属性。传统依赖边界防护、静态规则与周期性审计的安全方式，难以应对动态化、自动化且跨域协同的新型网络威胁。在此背景下，以智能体（AI Agent）为代表的先进技术正深度融入汽车安全工程的全生命周期，不仅提升了效率，更重构了安全体系的设计逻辑、协作模式与产业生态。智能体并非简单的自动化工具，而是一种具备环境感知、任务规划、自主执行与持续学习能力的系统。它推动汽车安全从“被动响应”走向“主动免疫”，并倒逼OEM主机厂与数百家零部件供应商在技术接口、开发流程与信任机制上实现前所未有的深度协同。智能体的本质，是将复杂的安全任务拆解为可执行、可验证、可迭代的智能操作单元，也是能够理解环境、分解目标、调用资源并自主完成复杂任务的智能系统。

资料来源：https://mp.weixin.qq.com/s/kJRemCa9jTLmDRnMZXnBAQ

3、五角大楼零信任战略2.0即将发布：从IT到OT的网络安全革命

DefenseScoop网站12月9日报道称，美国国防部正将其网络安全架构推向一个新的高度。根据五角大楼零信任项目组合管理办公室高级顾问兰迪·雷斯尼克（Randy Resnick）近日的披露，国防部正在撰写其零信任战略的更新版本，即“零信任战略2.0”，预计将于2026年3月左右公开发布。这将是自2022年首份战略发布以来的首次全面更新，标志着美军网络安全建设从以信息技术（IT）为中心，向涵盖运营技术（OT）、武器系统等更广泛关键领域的深刻转变。最初的战略主要聚焦于信息技术系统，要求所有国防部下属部门开始实施更新的网络安全控制措施。而2.0战略的核心突破在于，它将为零信任框架在信息技术之外的系统制定新的网络安全框架。具体而言，新战略将包含在未来将零信任网络安全框架实施于运营技术（OT）、物联网系统、国防关键基础设施和武器系统的计划。“我们将在2.0版本战略中涵盖如何保护这些新框架的要素，”雷斯尼克表示。

资料来源：https://mp.weixin.qq.com/s/KdnvlELhrnyYE_56JsTijg

4、隐私不再裸奔：「数据移除服务」清理各类网站个人信息原理解析

在当今数字化时代，个人隐私面临着前所未有的挑战。泄露数据论坛、数据经纪人(专门从事数据买卖的二道贩子)和人肉搜索网站在不断收集并出售我们的个人信息，如姓名、地址、电话号码和在线活动记录，这可能导致身份盗窃、垃圾邮件泛滥或更严重的隐私侵犯。为了应对这一问题，一类名为“个人数据移除服务”（Personal Data Removal Services）应运而生。这些服务通常基于订阅模式运作，帮助用户从数百甚至上千个数据经纪人网站中删除个人信息。它们的工作原理主要包括：首先扫描一个庞大的数据库，识别用户数据出现在哪些网站上；然后自动化或手动提交移除请求，利用如加州消费者隐私法（CCPA）和欧盟通用数据保护条例（GDPR）等法律强制网站移除数据；同时进行持续监控，防止数据重新出现，并提供报告或仪表板让用户跟踪进度。

资料来源：https://mp.weixin.qq.com/s/GGhoT4vRPlp6YGHNEJRl9w

5、专家解读｜实施网络数据安全风险评估办法 加强国家网络数据安全能力建设

近日，国家互联网信息办公室发布了《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），标志着我国在网络数据安全制度体系建设方面又迈出重要一步，对于加强国家网络数据安全能力建设具有重要意义。当前，数据依赖度提升带来的系统性风险加剧，国家数据安全底线面临更为复杂的考验。底线思维的核心要求是“防患于未然”。《办法》明确了安全评估的主管部门、数据处理者、第三方机构的各自责任，确保守牢国家数据安全底线。网络数据安全风险评估与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等，共同构成了网络数据安全合规的制度体系。《办法》制定中充分考虑了这些制度的内在逻辑关系。《办法》在全面总结以往网络数据安全制度建设经验的基础上，结合网络数据安全监管的行业特点，围绕新一轮科技革命和产业变革给数据安全带来的挑战，进行了大胆创新。

资料来源：https://mp.weixin.qq.com/s/lP_4YcSl3ZW-hrVMIuvb-w

6、专家解读｜规范网络数据安全风险评估 切实筑牢网络数据安全屏障

近日，国家互联网信息办公室公布《网络数据安全风险评估管理办法（征求意见稿）》（以下简称《办法》）。《办法》正式面向社会征求意见，标志着我国网络数据安全风险评估制度建设迈出关键一步，网络数据安全治理体系的进一步完善，对全面提升网络数据安全治理能力，促进数字经济健康发展意义重大。党中央、国务院高度重视数据安全工作，先后出台《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规。总书记多次强调“要切实保障国家数据安全”“强化关键数据资源保护能力”。《办法》贯彻党中央决策部署，全面贯彻落实法规要求，立足总体国家安全观，坚持问题导向，聚焦网络数据安全风险治理。《办法》压实各方主体责任，明确各方、各环节开展网络数据安全风险评估的基本要求，解决了网络数据安全风险评估工作“干什么、怎么干、谁来干”的问题。国家标准GB/T 45577、GB/T 45389支撑《办法》评估依据、评估机构认证等工作落实，为规范评估工作流程和内容，加强评估机构管理发挥了作用。

资料来源：https://mp.weixin.qq.com/s/FO1th-Qp1SAuOpCqQoidNw