热点速报

1、国家人工智能安全漏洞库启动运行

2026年4月23日，国家信息安全漏洞库（CNNVD）在北京举办“国家人工智能安全漏洞库启动运行”发布会。中国工程院吴世忠院士出席并致辞，来自关键基础设施单位、科研院校、人工智能企业、网络安全企业、知名白帽子等200余名嘉宾参加会议，共同见证“国家人工智能安全漏洞库”的启动运行。国家人工智能安全漏洞库启动运行，是贯彻落实《全球人工智能治理倡议》中提出的“坚持以人为本、智能向善”的务实有力行动。

来源：https://mp.weixin.qq.com/s/7rgi1Poke9Oc076fZ71PhA

2、《全国数据资源调查报告（2025年）》正式发布

4月29日，《全国数据资源调查报告（2025年）》在第九届数字中国建设峰会上正式发布。调查结果显示，我国数据要素市场化价值化进程显著提速，数据资源供给体系、数据流通体系和数据开发利用体系协同演进，正由数据资源规模扩张向数据要素价值释放跃升，呈现以下显著特征。

来源：https://www.nda.gov.cn/sjj/zhuanti/ztszzh/0429/20260429164803571173880_pc.html

政策法规

1、央行等八部门联合发布《金融产品网络营销管理办法》（附全文）

为规范金融产品网络营销活动，保障金融消费者和投资者合法权益，促进互联网金融业务健康有序发展，中国人民银行、工业和信息化部、市场监管总局、金融监管总局、中国证监会、国家知识产权局、国家网信办、国家外汇局制定了《金融产品网络营销管理办法》，现予以公布，自2026年9月30日起实施。

来源：https://www.cac.gov.cn/2026-04/24/c_1778769008779432.htm

2、工信部印发《工业场景数据要素应用参考指引》

为深入贯彻落实《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》和全国新型工业化推进大会部署，加快释放工业数据要素价值，促进数据要素赋能新型工业化，特制定本指引。本指引围绕研发设计、生产制造、经营管理、客户服务、产业协同等5个环节，凝练出23个典型场景中的数据“采、集、用”及预期效果，为工业企业、数字化转型服务商、行业组织等推进工业数据开发利用提供参考。

来源：https://mp.weixin.qq.com/s/jchERvzV27FjDA4hj_xzAQ

安全漏洞

1、人工智能重要安全漏洞的通报-openclaw多个安全漏洞

根据国家信息安全漏洞库（CNNVD）统计，自2026年4月14日-2026年4月28日，共采集OpenClaw漏洞111个，其中超危漏洞2个、高危漏洞38个，中危漏洞65个、低危漏洞6个，包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。OpenClaw多个版本受到漏洞影响。目前，OpenClaw官方已经发布了更新修复漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

资料来源：https://mp.weixin.qq.com/s/Z1ixOzAzu_Lqtec95zdyUw

2、关于Linux内核存在本地权限提升漏洞的安全公告

2026年4月30日，国家信息安全漏洞共享平台（CNVD）收录了Linux Kernel本地权限提升漏洞（CNVD-2026-19044，对应CVE-2026-31431）。本地攻击者利用该漏洞，可提权获得root权限。目前，漏洞利用代码已公开，官方已发布补丁完成修复。该漏洞对云服务器、容器宿主机、多租户环境影响较高，安天公司报告已发现漏洞在野利用情况，CNVD建议受影响用户立即升级至最新版本。

资料来源：https://mp.weixin.qq.com/s/RK-orUtf_OkVQPxqf6PRjg

安全事件

1、医疗科技大厂美敦力IT系统遭遇黑客入侵，未影响服务交付

医疗科技大厂Medtronic（美敦力）当地时间24日发布公告，确认有未经授权的第三方访问了其某些企业IT系统中的数据。美敦力称："目前尚未发现此次事件对我们的产品、患者安全、与客户的联系、制造和分销运营、财务报告系统或我们满足患者需求的能力造成任何影响。"

资料来源：https://mp.weixin.qq.com/s/ez8tByW_23TppI7DUoq5BA

2、AI模型部署工具Xinference遭供应链投毒攻击

监测发现，近期AI模型部署工具Xinference遭供应链投毒攻击。攻击者向Python官方软件包仓库PyPI（Python Package Index）上传了包含恶意代码的Xinference软件包，用户安装受影响的软件包或者在代码文件中引入Xinference时，恶意代码将自动执行。攻击者可窃取云平台凭据、API密钥、数据库密码、加密货币钱包和环境变量等敏感信息，并发送至远程命令与控制服务器。

资料来源：https://mp.weixin.qq.com/s/22H504LqL6yIxkQpRUAkMg

风险预警

1、间接提示注入攻击正悄然蔓延至真实网络环境

开放网络正在被一种针对大语言模型（LLM）驱动的AI Agent所设计的“陷阱”悄悄渗透。这种被称为间接提示注入（Indirect Prompt Injection，IPI）的技术，通过在普通网页中隐藏（或明或暗的）恶意指令，静静等待AI Agent读取并执行攻击者的命令。

资料来源：https://mp.weixin.qq.com/s/3X_tjGFTfk40X2NL6wEiNg

技术前沿

1、前沿 | 大模型治理人工智能谣言的风险挑战研究

近年来，AI技术的发展成果被不当利用，导致网络谣言形态由单模态拼接迅速转变为多模态融合，其生产由“人工拼凑”转变为“一键生成”，且在传播过程中呈现出跨平台、破圈层以及个性化推荐的显著态势，这极大地增加了AI谣言识别与治理的难度。依靠传统的人工辟谣和权威消息发布进行辟谣，已呈现出明显的滞后性，辟谣效果大打折扣。在科技迅猛发展的当下，技术带来的负面影响理应借助技术手段予以消除，引入大模型治理AI谣言成为具有积极意义的新尝试。

来源：https://mp.weixin.qq.com/s/9bxZlTipeE9FGYtFf7N6Mw

2、美欧数智安全治理特征及我国应对策略研究

当前，全球加速进入数字与智能化时代，各国积极推动数智安全技术革新，加快布局数智安全治理。首先，明晰数智安全概念范畴。其次，对美国、欧盟、中国等国家或地区数智安全发展的侧重点和治理模式进行横纵向对比，总结其在数智安全领域的发展情况，明晰数智安全治理特征差异。最后结合国内外安全形势，从打基础、寻突破、保优势、补不足等方面有针对性地提出促进我国数智安全产业发展及安全治理的有效建议。

资料来源：https://mp.weixin.qq.com/s/oSG3XYw2ykz2zsAPJ4m4OQ