热点速报

1、“数安中国行”2026年数据安全和个人信息保护政策法规宣讲会在豫举办

为推动《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规落地见效，提升党政机关、重点行业领域企事业单位网络数据安全管理和个人信息保护能力水平，5月19日，“数安中国行”2026年数据安全和个人信息保护政策法规系列宣讲会（河南站）在郑州成功举办。本次宣讲会由国家网信办网络数据管理局指导，河南、湖北网信办主办，中国电子技术标准化研究院承办。

来源：https://mp.weixin.qq.com/s/Am6rt2ngYzoP3NYEDStmHg

2、2026世界电信和信息社会日大会在武汉召开

5月17日，2026世界电信和信息社会日大会在湖北省武汉市召开。工业和信息化部总工程师钟志红，湖北省副省长黎东辉，中国通信学会名誉理事长、原国际电信联盟秘书长赵厚麟出席大会并致辞。

资料来源：https://mp.weixin.qq.com/s/tdO7urriBfcRe6LiR9Kp0Q

3、网安协会成功协办2026年中国网络文明大会人工智能赋能网络文明建设论坛

5月19日下午，2026年中国网络文明大会人工智能赋能网络文明建设论坛在广西南宁举行。论坛以“智启未来AI赋能 网塑文明共创新风”为主题，聚焦人工智能赋能网络文明建设，探讨人工智能技术演进、创新发展和安全治理，推动人工智能创新成果更好地转化为网络文明建设成效。中央网信办副主任、国家网信办副主任牛一兵，中央广播电视总台编务会议成员彭健明，广西壮族自治区人民政府副主席、政协副主席许显辉出席论坛并致辞。

来源：中国网信网

4、历史性突破！OpenAI模型搞定人类科学家80年未破难题，能发顶刊了

智东西5月21日报道，今日，OpenAI宣布，其一款未对外发布的内部通用推理模型，独立完成了一份原创数学证明。该证明推翻了匈牙利数学家保罗·埃尔德什（Paul Erdős）1946年提出的“平面单位距离猜想”。这一难题悬置近80年，该模型还找到了一系列效果更优的全新构造方法。OpenAI称，这是AI首次独立攻克一个数学领域核心的著名公开难题。

来源：https://mp.weixin.qq.com/s/TOC0yDr0Y9QOHaV_vtzung

5、世界互联网大会召开“发展负责任的人工智能国际标准机遇与挑战”研讨会

5月15日，世界互联网大会人工智能专业委员会标准推进计划研讨会在北京举行，会议以“发展负责任的人工智能国际标准机遇与挑战”为主题。来自国际组织、标准化机构、科研院所和产业界的30余位专家代表以线上线下相结合的方式参会，围绕负责任的人工智能国际标准发展趋势、实践进展和合作方向，以及以开源生态建设为代表的普惠路径开展深入交流。

来源：https://mp.weixin.qq.com/s/lzcqeUO1yOk1lPp5Ofr5nA

6、“太空计算技术发展与应用”专题研讨会在京成功举办

5月11日，“太空计算技术发展与应用”专题研讨会在北京赛迪大厦顺利召开。会议邀请航天器研制、星载高性能芯片与计算硬件、能源供给与数据传输等领域的高校、研究机构及企业，共同探讨太空计算技术的发展路径，并正式成立“太空计算工作组”。

来源：https://mp.weixin.qq.com/s/1_OEDmFvfoNvdv69ne97mw

7、汽车数据安全与隐私保护治理论坛顺利举办

026年5月19日，由中汽智能科技主办的“汽车数据安全与隐私保护治理论坛”在南京成功召开。中汽智能科技党委委员、副总经理张亚楠出席论坛并致辞。来自主机厂、科技公司等的近100人参加会议，共研汽车数据安全与隐私保护治理路径。

资料来源：https://mp.weixin.qq.com/s/LIep7v88kHNaOohJbb8YhQ

政策法规

1、工信部修订印发《钢铁行业产能置换实施办法》

为贯彻落实《国务院关于钢铁行业化解过剩产能实现脱困发展的意见》有关要求，促进钢铁行业减量提质，工业和信息化部近日印发修订后的《钢铁行业产能置换实施办法》，自印发之日起施行，适用于中华人民共和国境内各类所有制企业新建、改建（含大修）、扩建的炼铁、炼钢冶炼设备项目。《置换办法》进一步加严了产能置换要求，更加突出差异化政策引导，强化了监督管理要求，从七个方面进行了修订：一是提高置换比例；二是逐步取消不同企业间产能置换；三是设置有效期，明确方案有效期为24个月；四是规范不锈钢企业设备建设；五是支持高端化、绿色化发展；六是增加产能置换方案闭环管理；七是强化政策联动。

来源：https://mp.weixin.qq.com/s/AuKn8A0Jl0TWmaDmNTZeVg

2、国务院令（第839号） 公布《中华人民共和国矿产资源法实施条例》

《中华人民共和国矿产资源法实施条例》已经2026年5月9日国务院第85次常务会议通过，现予公布，自2026年6月15日起施行。《条例》旨在保障修订后的矿产资源法有效实施，促进矿产资源合理开发利用，加强矿产资源和生态环境保护，推动矿业高质量发展，保障矿产资源安全。《条例》共8章79条，主要规定了以下内容。

来源：https://mp.weixin.qq.com/s/DFu9-1gC1K_xe6tjQnxkng

3、国家数据局印发2026年数字社会发展工作要点

为全面贯彻落实党的二十大和二十届历次全会精神，深入落实中央经济工作会议和全国两会精神，按照“十五五”规划纲要任务部署，促进实体经济和数字经济深度融合，国家数据局印发《2026年数字经济发展工作要点》（以下简称《工作要点》）。《工作要点》对2026年推进数字经济高质量发展重点工作作出部署，提出8个方面重点任务。

来源：https://www.nda.gov.cn/sjj/swdt/xwfb/0519/20260519194643007508935_pc.html

4、关于印发“法治护航民营经济”行动方案的通知

为持续推动《中华人民共和国民营经济促进法》实施见效，现将《“法治护航民营经济”行动方案》印发你们，请在前期工作基础上，因地制宜进一步组织深化民营经济促进法贯彻实施工作。相关情况请及时反馈我委（民营经济发展局）。

来源：https://www.ndrc.gov.cn/xxgk/zcfb/tz/202605/t20260519_1405304.html

5、2026年人工智能技术赋能网络安全应用测试公告

为推动人工智能技术在网络安全领域的赋能应用、挖掘高应用价值网络安全业务场景、遴选优秀的人工智能技术产品，提高重要行业领域网络安全防护水平、促进网络安全科技创新，深化人工智能赋能网络安全治理，组织开展2026年人工智能技术赋能网络安全应用测试活动。共设置8个测试场景，包括AI驱动攻击的网络安全智能防御、网络系统及源代码漏洞智能挖掘、网络流量安全威胁检测、网络安全告警日志降噪、大模型安全护栏能力检测、AIGC生成图片检测、AI智能体恶意操作行为检测、广播电视IPTV账号异常行为检测，测试场景说明见“附件1”。

来源：https://mp.weixin.qq.com/s/pq3cH4HBU2emt4QkCMJRmg

6、TC260-005 《人工智能应用伦理安全指引1.0》发布（附全文下载）

5月19日，在2026年中国网络文明大会人工智能赋能网络文明建设分论坛上，全国网络安全标准化技术委员会（以下简称“网安标委”）发布了《人工智能应用伦理安全指引1.0》（以下简称《指引》）。为进一步引导人工智能应用坚持以人为本、智能向善，推动人工智能应用相关方正确认识和妥善应对应用活动中的伦理安全影响，促进人工智能应用在规范有序、安全可控的轨道上健康发展，《指引》给出了人工智能应用伦理安全理念与原则，明确了人工智能应用开发、服务提供和应用使用等安全指引。

资料来源：https://www.tc260.org.cn/portal/article/2/6aee9380ac44434d994eb6990bd92997

7、筑牢大模型安全底座，护航 AI 产业自主可控——国内首个可信计算 AI 一体机团体标准发布

2026年4月14日，中关村可信计算产业联盟正式发布T/Z‑TCIA 009—2026《可信计算AI一体机产品技术规范》团体标准，将于2026年7月14日正式实施。该标准是国内首个面向可信计算与AI一体机深度融合的产品技术规范，填补了可信计算+AI一体机产品安全标准的空白，为大模型、智能体提供可信双体系架构主动免疫体系的的构建思路，标志着我国AI安全进入“主动免疫、本质安全”新阶段。

来源：https://mp.weixin.qq.com/s/D-aTDEuD4z7rlm5l5p7LVw

安全漏洞

1、人工智能重要安全漏洞的通报-OpenClaw多个安全漏洞

根据国家信息安全漏洞库（CNNVD）统计，自2026年4月29日-2026年5月17日，共采集OpenClaw漏洞69个，其中超危漏洞7个、高危漏洞33个，中危漏洞27个、低危漏洞2个，包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。OpenClaw多个版本受到漏洞影响。目前，OpenClaw官方已经发布了更新修复漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

资料来源：https://mp.weixin.qq.com/s/-7uDx2VafYdGH78FtcHRRg

2、Claude Code沙箱漏洞5个月未修复，攻击者可窃取凭证与源码

安全研究员Aonan Guan公开披露了Claude Code网络沙箱的第二个完整绕过方法，指出这是系统性的实现缺陷，而非孤立漏洞。该SOCKS5主机名空字节注入漏洞影响从v2.0.24（2025年10月20日沙箱正式发布）到v2.1.89的所有版本，涉及约130个发布版本，时间跨度约5.5个月。Anthropic在2026年4月1日发布的v2.1.90版本中静默修复了该问题，但未在版本说明中提及安全补丁。此前首个沙箱绕过漏洞（CVE-2025-66479）源于allowedDomains: []配置（本应阻止所有出站流量）被错误解析为“允许所有流量”。该漏洞已于2025年11月26日通过v2.0.55版本静默修复，但同一版本仍包含SOCKS5空字节注入漏洞。。

资料来源：https://mp.weixin.qq.com/s/OEYjD2IF-wg-0arD-WjaXw

3、QEMU曝虚拟机逃逸漏洞，可直接控制底层物理机

QEMU CXL Type-3设备仿真模块被曝出名为“QEMUtiny”的漏洞链。具备Guest系统Root权限的攻击者，可利用该漏洞实现虚拟机逃逸，获取宿主机进程甚至宿主机Root权限，风险较高（暂无 CVE 编号）。影响范围：仅影响启用了CXL支持（启动参数含cxl=on、cxl-type3等）且向Guest暴露了该设备的QEMU实例。普通QEMU虚拟机及物理CXL硬件不受影响。

资料来源：https://mp.weixin.qq.com/s/8fRMQKdKux7iyAziVvdEcg

安全事件

1、莲花Wiper：委内瑞拉能源领域遭遇的新型破坏性恶意软件，美国干预前的网络幽灵

今天我们将深入剖析一起发生在2025年底至2026年初的重大网络安全事件——Lotus Wiper（莲花Wiper）恶意软件针对委内瑞拉能源及公用事业部门的定向攻击。此次攻击的完整链条高度依赖“Living off the Land（LotL）”技术，即大量借助系统原生工具开展攻击，避免引入明显的恶意二进制文件，从而大幅提升攻击的隐蔽性，降低被检测和拦截的风险。最终造成的结果是：受感染系统无法正常启动，所有数据不可恢复，各类恢复机制全部失效。这种破坏方式比多数勒索软件的“加密锁定”更具毁灭性——勒索软件尚有解密密钥可恢复数据，而Lotus Wiper的攻击属于纯物理与逻辑层面的彻底抹除，不存在任何数据恢复的可能。

资料来源：https://mp.weixin.qq.com/s/0Hyu8NpqlQOCUb9n_bQI-g

2、西哥水务系统遭Claude与GPT-4.1攻击，城市关键基础设施安全警钟长鸣

过去数年间，我们亲历了人工智能从辅助工具向潜在“网络武器”的蜕变。今天这起发生在墨西哥蒙特雷市的真实案例，或将成为网络安全史上的重要转折点——黑客首次系统性借助主流大模型Claude与GPT-4.1，尝试渗透工业控制系统（ICS），目标直指城市水务这一核心基础设施。据Dragos与Gambit Security联合调查报告显示，2025年12月至2026年2月期间，一场针对墨西哥9个联邦、州及市级机构的持续性网络攻击中，攻击者成功窃取数亿条公民个人信息，入侵数千台政府服务器。而在针对蒙特雷市供水与排水服务公司（Servicios de Agua y Drenaje de Monterrey）的攻击中，AI的作用尤为凸显。

资料来源：https://mp.weixin.qq.com/s/MNXSRCkNlqNkxdsNZ-kk9w

3、全球最大的回旋镖！美国网络安全局被外包员工“公开偷家”

就在几天前，一个公开可访问的GitHub仓库泄露了美国政府AWS账户以及网络安全与基础设施安全局(CISA)内部系统的凭证。这一消息来自网络安全记者Brian Krebs，他在周末率先爆料，线索则来自GitGuardian的研究员Guillaume Valadon。Valadon在接受记者邮件采访时证实了这一信息。根据该仓库的提交历史以及账户创建者本人写在仓库中的故障排查笔记，Valadon认为该仓库由一名CISA承包商运营，且该承包商在自己的个人GitHub账户上创建了这个仓库。“这是一次严重的安全控制失效，因为敏感信息以明文形式存储并被提交到了Git仓库，而不是在运行时从密钥管理器中获取，”他写道，“而且本应保密的内部文档被推送到了个人开发者账户下的公开仓库中。”

资料来源：https://mp.weixin.qq.com/s/IglF65U0zckMfZSr4G52kw

4、拍案｜“黑飞”撞上“红线” 公安机关严打非法破解无人机

5月18日，公安部公布10起非法破解无人机飞行控制系统违法犯罪典型案例，释放严厉打击此类行为的鲜明信号。此次公布的10起典型案例中，浙江衢州、湖南张家界、甘肃陇南等地均有不法分子通过各种非法手段获利。他们往往以“无人机维修调试”“性能优化”之名，暗中提供“代破解”服务，有的还“另辟蹊径”，通过境外网站获取破解程序。法律界人士分析指出，无人机信息系统属于计算机信息系统，非法破解无人机涉嫌违法犯罪。如果向他人提供、出售、传播非法破解无人机软件或帮助他人非法破解无人机，涉嫌构成“提供侵入、非法控制计算机信息系统程序、工具罪”。

来源：新华社

5、Cloudflare成为“隐形隧道”：黑客对马来西亚政府攻击活动中云服务滥用

2026年5月15日，安全研究机构Oasis Security发布的报告披露了一起针对多个马来西亚政府组织的高级网络间谍行动。攻击者构建了一套高度结构化的攻击链，将定制化工具、微软Azure基础设施与Cloudflare云存储无缝整合，实现持续隐蔽的数据窃取。其中，对Cloudflare存储服务的滥用尤为典型，展现了将受信任云平台彻底武器化的成熟范式。

资料来源：https://mp.weixin.qq.com/s/iwld5UWgtgqO7jRAgDnrEg

风险预警

1、关于针对我国用户的“银狐”系列木马病毒攻击活动的预警报告

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（https://virus.cverc.org.cn）捕获多个文件名中包含“内部调查结果”“违纪名单”“违纪通报信息”“裁员补偿”等词汇的恶意程序，这些恶意程序表面上伪装成快捷方式、文件夹、文档文件或压缩包文件，实际为针对Windows平台用户的远程控制木马病毒。经分析，发现这些木马病毒均为针对我国用户的“银狐”(又名“游蛇”“谷堕大盗”“UTG－Q－1000”“Silver Fox”等）木马病毒攻击活动的最新变种。如果用户不慎运行相关恶意程序文件，将被攻击者实施远程控制、窃密等恶意操作，并可能被网络犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。

资料来源：https://mp.weixin.qq.com/s/NOw1VhHpFUmCu9qYZU6xvg

2、关于黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马的风险提示

近期，CNCERT监测发现银狐远控木马通过批量生成的高仿真钓鱼网站大规模传播，样本落地后将Shellcode注入系统关键进程执行远控，与境外C2服务器建立持久化连接，实现对主机的隐蔽控制。黑产团伙疑似利用AI工具大幅提升钓鱼页面制作效率，结合域名批量注册、仿冒网站访问流量精细化监测等手段，形成“网络钓鱼→木马下载→进程注入→远控控制”的完整攻击链。

资料来源：https://mp.weixin.qq.com/s/cKDK_cFaFA7qfsSMbNXn_Q

3、MiniPlasma 0day：正在Windows“遗传模板”中植入暗门

据BleepingComputer 2026年5月18日报道，一个名MiniPlasma的Windows本地提权零日漏洞正在将一处早已“修复”的暗伤重新撕开。该漏洞的核心，是利用微软未公开的内核接口CfAbortHydration，在 .DEFAULT用户注册表配置单元中任意创建注册表键，且全程绕过必要的访问检查。一旦被利用，攻击者便可从普通用户权限直抵SYSTEM最高权限，将一台Windows设备彻底变成囊中之物。

资料来源：https://mp.weixin.qq.com/s/ScsBI1VmRaw4lPr_9ok-VA

4、最可怕的网络攻击！篡改核武器模拟结果。。。不偷数据、不炸机器！

一个20年前出现的恶意软件Fast16，正被安全研究人员重新拆开。最新分析显示，它可能专门针对LS-DYNA、AUTODYN等仿真软件，在高爆和核武器相关模拟中悄悄篡改计算结果。资深安全记者Kim Zetter报道称，Symantec/Broadcom 研究人员最新确认，Fast16并不是普通的工程软件破坏工具，而是一段专门破坏核武器爆炸模拟结果的恶意代码。它的目标不是让电脑宕机，也不是偷走文件，而是在工程师看不到的地方替换模拟结果，让他们以为测试失败了。Fast16的另一个特点，是会在同一网络内传播。Fast16可怕的不是它让机器停止运行，而是它让人继续相信机器。

资料来源：https://mp.weixin.qq.com/s/kIIl2xszRu8TBDtvhAtKrQ

技术前沿

1、数字化转型背景下重构油气炼化行业工控安全防护体系

油气炼化行业作为我国工业体系的核心支柱，是关键信息基础设施的重要组成部分，直接关系国家安全、经济平稳运行及社会民生保障，在网络安全等级保护制度框架下，需实施重点化、优先化、强制化防护，切实筑牢工控安全基础。在信息化与工业化深度融合的行业趋势下，工业控制系统与信息网络、互联网的互联互通日益紧密，在大幅提升工业生产效率、实现智能管控与远程运维的同时，也让网络安全威胁持续向工业控制系统现场层蔓延，给油气炼化行业工控系统防护带来前所未有的挑战。传统封闭、物理隔离的工控环境被打破，边界模糊、协议开放，使得病毒、木马、勒索软件、定向攻击、非法操控等风险直接威胁生产装置的安全运行。

来源：https://mp.weixin.qq.com/s/y0F-bx-wO2GKqrcWyOqz4A

2、AI算力下半场，“内生安全”是一块芯片的入场券

当大模型参数规模迈向万亿级、AI算力集群规模不断刷新纪录时，算力已越来越像工业时代的“电力”与“石油”，成为新一轮产业竞争中的重要变量。但与此同时，一个过去并未被充分重视的问题也正在浮出水面：当算力成为核心生产力之后，生产力本身也开始成为攻击对象。过去那种“先上车后补票”的思路，已经越来越难适应AI时代的需求。对于很多AI基础设施而言，安全能力正在从附属配置变成前置条件，甚至会直接影响平台能否进入关键行业和核心场景。从产业趋势来看，内生安全正在成为AI基础设施发展的重要方向。尤其是在金融、政务、能源、科研等高敏感领域，客户对于“可信算力”的需求已经越来越明确。

资料来源：https://mp.weixin.qq.com/s/51Hg4y6o_YNx3ehInb6-pQ

3、多智能体协同考验EDA企业，将加速产业整合

芯片设计行业正在全面AI化。与此同时，EDA产业正在尝试推动智能体进入芯片设计工作流。芯片设计与EDA智能体的这场双向奔赴，除了芯片设计生产方式的变革，可能还将给EDA产业整合重组按下加速键。智能体搭建并不难，在EDA工具的基础上叠加以大模型为支撑的交互，就能包装出一个智能体。也正因如此，智能体的实现效果其实有赖于EDA工具本身的能力和智能体可调用工具的广度。在AI能够串联万物，只要可串联便可实现超指数级效率提升的当下，智能体进入EDA产业也将加重产业的马太效应。

资料来源：https://mp.weixin.qq.com/s/QHhi2LWcckY7SMyyXY4mdw

4、刘经南院士：北斗+确定性网络，筑牢未来产业数字底座

在数字技术深度赋能新质生产力、未来产业加速崛起的关键阶段，网络的确定性、稳定性与安全性已成为产业高质量发展的核心底座。国家卫星定位系统工程技术研究中心主任刘经南发表主旨演讲时指出，传统不确定性网络已无法满足未来产业需求，融合北斗精准时空能力的确定性网络，将成为增强数字世界复原力、支撑未来产业发展的关键基础设施，推动虚拟信息网络向时空统一、精准可控的信息物理网络跃迁。刘经南强调，基于多年研究与实践，其团队已完成多项确定性网络融合北斗技术的验证实验，取得了突破性成果。

资料来源：https://mp.weixin.qq.com/s/E6UF65iA5K9MeqhlV0KQwA

5、中国信通院联合发布《人工智能模数共振体系研究报告（2026年）》

当前，人工智能技术正加速从单点突破向系统化赋能演进，"模型能力"与"数据要素"的深度融合与共振协同已成为驱动产业智能化转型的核心动能。人工智能模数共振体系以数据与模型双向驱动、协同优化为核心，通过数据赋能模型迭代、模型反哺数据治理与增强，构建动态、持续、闭环、协同的技术体系，加速形成“高质量数据-高效能模型-高价值应用”的协同发展新格局。为明晰人工智能模数共振技术演进路径，为行业提供技术指引与可落地参考经验，近日，在第九届数字中国建设峰会上，中国信息通信研究院联合中车工业研究院正式发布《人工智能模数共振体系研究报告（2026年）》

资料来源：https://mp.weixin.qq.com/s/19XD0oG5ruhRQRb5MJCz8g

6、"十五五"期间因地制宜发展新质生产力的挑战与实施策略

"十五五"规划（2026-2030年）将发展新质生产力摆在突出战略位置，作为推动高质量发展的核心引擎和实现中国式现代化的关键支撑。规划明确将"加快高水平科技自立自强，引领发展新质生产力"置于前所未有的战略高度，通过一系列新表述、新变化系统指明了发展新质生产力的实践路径。新质生产力是以全要素生产率提升为核心，以科技创新为主导，融合数字、绿色、智能等新要素，推动生产模式、产业结构、发展动能系统性变革的新型生产力形态。本研究旨在系统分析"十五五"期间因地制宜发展新质生产力面临的挑战与实施策略，为政策制定和学术研究提供参考。研究采用文献分析法、案例分析法和比较研究法，基于"十五五"规划纲要、总书记关于新质生产力的重要论述以及2025年国家统计局最新经济数据，从理论内涵、发展现状、面临挑战和实施策略四个维度展开分析。

资料来源：https://mp.weixin.qq.com/s/a8UQ30iSVa0viASaIhadKw

7、案例分享丨高校图书馆OpenClaw部署实践

人工智能技术的快速发展，正推动高等教育领域从数字校园向智慧校园深度转型。高校图书馆作为校园知识资源中心和服务枢纽，其服务模式也面临着从传统文献服务向智能知识服务的迭代升级。开源AI智能体框架凭借其高可扩展性、低成本部署、功能自定义等特性，成为高校图书馆对接师生教学科研需求、打造个性化智能服务的重要工具。当前，国内高校基于自身安全红线与服务定位，针对OpenClaw等开源AI智能体的落地应用采取了两类典型的实施策略：一类侧重于风险防御与合规管理，通过发布安全预警或使用限制条款以保障校园网络与数据安全；另一类则积极探索技术赋能路径，依托本地算力平台构建本地化运行环境，并建立规范化的服务流程，以推动开源AI技术在校园场景下的安全应用与实践。

来源：https://mp.weixin.qq.com/s/mf_hvw2VYWrgMBBjwqmlog