2026年第05周安全周报 | 本周安全要闻速览
《数据安全技术 个人信息保护合规审计要求》等3项网络安全国家标准发布
国家市场监督管理总局、国家标准化管理委员会发布 2025 年第 38 号国家标准公告,由全国网络安全标准化技术委员会归口的 GB/T 46901—2025、GB/T 46902—2025、GB/T 46903—2025 三项国家标准正式发布,三项标准分别对基于个人请求的个人信息转移、网络空间安全图谱要素表示、个人信息保护合规审计作出相应规范并明确适用主体,且均将于 2026 年 7 月 1 日起正式实施。
来源:“全国网安标委”微信公众号
关于防范OpenClaw开源AI智能体安全风险的预警提示
工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)近期监测发现,可本地私有化部署、曾用名 Clawdbot、Moltbot 的开源 AI 智能体 OpenClaw,因部署时 “信任边界模糊” 且具备持续运行、自主决策等特性,在默认或不当配置,以及缺乏有效权限控制、审计机制和安全加固的情况下,存在较高安全风险,易因指令诱导等问题引发越权操作、信息泄露、系统受控等网络安全问题,相关单位和用户部署应用该智能体时,需核查公网暴露、权限配置等情况,关闭不必要公网访问,完善身份认证等安全机制,并持续关注官方安全公告与加固建议,防范潜在风险。
来源:网络安全威胁和漏洞信息共享平台
国家网信办等11部门联合印发《关于提升境外人员入境数字化服务便利性的实施意见》
国家网信办等 11 部门联合印发《关于提升境外人员入境数字化服务便利性的实施意见》,旨在打通境外人员入境数字化服务堵点卡点,构建互联互通、包容普惠、标准互认的数字化服务体系,打造国际化、便利化的数字化服务环境,以扩大高水平对外开放、加快构建新发展格局;该意见明确了 2027 年基本打通多领域数字化服务堵点、2030 年实现入境数字化服务国际领先的阶段目标,并制定了夯实数字化基础服务、完善数字化支付服务、优化数字化旅游服务、丰富数字化公共服务、加强网络和数据安全保障这 5 方面共 14 条具体工作举措。
来源:“网信中国”微信公众号
国家安全部:公民数据安全防护全攻略
科技革命推动人工智能、大数据等前沿科技深刻改变生活、生产与国家治理体系,但数据泄漏风险也随之凸显,其不仅会泄露个人隐私、泄露商业机密,更会危及国家安全,近年来缓存漏洞、数据库失护、钓鱼网站仿冒等数据安全事件频发,如境外 AI 软件、物联网公司相继发生数据泄露,仿冒 DeepSeek 的钓鱼网站数量超 2000 个,凸显数据安全防护的紧迫性;文中还给出包含网络设备安全、个人信息保护、网络行为规范三方面的公民数据安全自查清单,以及规范基础设置、警惕日常行为、慎重使用软件的数字安全防护三招,国家安全机关提醒,数据安全是身边的现实风险,唯有提升防范意识,才能守住数字时代的安全底线。
来源:“国家安全部”微信公众号
国家安全部:谨防NFC的潜在安全风险
国家安全部发出警示,NFC 近场通信技术广泛应用于移动支付、门禁等场景,带来便捷操作的同时也暗藏多重安全风险,既可能让敏感区域的涉密信息被近距离无感窃取,也可能因模块未加密遭中间人攻击,引发金融盗刷、能源交通等关键设施被渗透破坏的问题,还存在海量数据加密不足易被破解、部分境外 NFC 应用将敏感数据传至境外的治理挑战,这些风险均可能危及个人信息安全与国家安全。对此,需从强化安全意识、严控 NFC 权限并坚持非必要不开启、在产品设计阶段融入安全考量并从源头排查漏洞三方面做好防范,国家安全机关提示,做好 NFC 风险防范是科技安全发展的应有之义,公众发现利用该技术危害国家安全的可疑线索,可通过 12339 等官方渠道举报。
来源:“国家安全部”微信公众号
近万名警员信息遭泄露,官方赔偿超11亿元
安全内参 2 月 5 日消息,英国北爱尔兰警察局就 2023 年那起被视作英国警务领域最严重的重大数据泄露事件出台统一赔偿方案,涉事员工每人将获得 7500 英镑(约合人民币 7.08 万元)赔付,相关 1.19 亿英镑(约合人民币 11.23 亿元)赔偿资金已预留,预计 4 月起发放,北爱尔兰警察联合会主席 Liam Kelly 认为该方案是事件解决的重大进展,能让多数警员了结此事、继续职业生涯。这起 2023 年的泄露事件,是警方回应《信息自由法》请求时误将含警员姓名、部分家庭住址的电子表格发布上网,相关信息还被二次曝光在社交网络,让警员面临严重安全风险,加之北爱尔兰的历史民族冲突背景,受影响警员出现诸多健康问题,警局心理健康支持服务不堪重负,部分警员因家庭安全搬迁、寻求改名支持却未被应允。同时该赔偿方案并非一刀切,北爱尔兰警察联合会表示,虽方案能终结大多数相关案件,但受事件特别严重影响、认为自身遭遇不公的警员仍可继续推进法律程序,代表约 5000 名受影响警员的爱德华兹律师事务所也指出,方案能给多数警员带来宽慰,但受影响特别严重者的案件将持续推进,而此次涉事的受影响警员总计约 9483 名。
来源:安全内参
关于防范Microsoft Office安全功能绕过高危漏洞的风险提示
近日,工信部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,美国微软公司开发的办公软件 Microsoft Office,因在安全决策环节错误依赖不可信输入数据,存在可被用于网络攻击的安全功能绕过高危漏洞,攻击者可构造恶意文件诱使用户打开以绕过本地安全功能并执行恶意代码,受影响版本涵盖 32 位和 64 位的 Microsoft Office 2016/2019、Microsoft Office LTSC 2021/2024、Microsoft 365 Apps for Enterprise,微软已修复该漏洞并发布更新公告(URL 链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509),建议相关单位和用户及时升级至最新安全版本,或针对不同版本采取修改注册表、重启应用程序等临时措施,防范网络攻击风险。
来源:网络安全威胁和漏洞信息共享平台
泄露超3000万客户个人隐私数据,美国电信巨头Comcast赔偿超8.1亿元
安全内参 2 月 2 日消息,美国康卡斯特公司 2023 年 10 月因未及时修复思杰系统网络软件漏洞、延迟打补丁,导致超 3000 万名前后客户的用户名、密码、社会安全号码后 4 位等信息面临泄漏风险,该事件引发全美 24 起联邦诉讼并被合并审理,此后经多次调解,康卡斯特与相关方于 2024 年 11 月达成 1.175 亿美元(约合人民币 8.16 亿元)的和解协议,且该协议在 2025 年 1 月中旬获宾夕法尼亚州东区联邦法院法官初步批准,这笔赔偿款将用于客户赔偿、和解流程管理及律师费等,集体诉讼律师或获得最多 1/3 的赔偿额,受影响客户后续可获得 3 年金融监测等保护服务,还能选择最高 1 万美元费用报销或 50 美元现金补偿,美国地区法官已将协议最终批准听证会定于 2025 年 7 月,获批后康卡斯特和思杰系统将免于此次泄露相关的所有索赔,值得注意的是,康卡斯特虽未反对协议初步批准,但否认承担相关责任,且康卡斯特、思杰系统的相关代表及律师均未回应置评请求。
来源:安全内参
智能必须内置安全!美国白宫拟出台AI安全政策框架
安全内参 2 月 4 日消息,美国白宫国家网络总监办公室主管肖恩・凯恩克罗斯在相关政策峰会上透露,正与科技政策办公室密切协作制定 AI 安全政策框架,计划将安全措施嵌入美国主导的 AI 技术栈,从底层把安全内建于 AI 系统,避免重蹈互联网设计初期未纳入安全的覆辙,该框架旨在助力各类组织管理 AI 系统风险,应对数据投毒、AI 工具被黑客自动化利用等问题,且此举契合特朗普总统积极的 AI 创新态度,同时该办公室制定的聚焦进攻性网络安全行动等内容的《国家网络战略》发布时间原定上月却已推迟,凯恩克罗斯仅表示将在不久的将来推出,未透露该战略及 AI 安全政策框架的具体定稿、发布时间。
来源:安全内参
郑重声明
本文所载内容均源自各资讯条目下方标注之“来源”出处,版权均归属于原作者。文章内容仅体现原作者个人独立观点,并不代表可信华泰之官方立场,转载旨在传递更多资讯。如存在侵权情况,敬请联络 shichangbu@httc.com.cn予以删除。
