2025年第26周安全周报 | 本周安全要闻速览
● 《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件》等6项网络安全标准实践指南公开征求意见
根据《人工智能生成合成内容标识办法》和强制性国家标准GB 45438-2025《网络安全技术 人工智能生成合成内容标识方法》的要求,为指导人工智能生成合成内容服务提供者和网络信息内容传播服务提供者开展人工智能生成合成文本、图片、音频、视频等内容的文件元数据隐式标识活动,指导文件元数据隐式标识的添加方实现标识安全防护,为人工智能生成合成内容检测技术的实现与应用提供技术指引,全国网络安全标准化技术委员会组织编制了《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件(征求意见稿)》等6项网络安全标准实践指南。根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求,全国网络安全标准化技术委员会秘书处现组织对《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件(征求意见稿)》等6项网络安全标准实践指南面向社会公开征求意见。截止时间为2025年7月6日前反馈。
来源:全国网络安全标准化技术委员会
● 2025年“净网”“护网”专项工作部署会召开
2025年“净网”“护网”专项工作部署会6月20日在京召开。会议强调,要坚决贯彻落实党中央决策部署,按照公安部党委要求,坚持以打开路、生态治理、主动防范、合成作战,始终保持严打高压态势,依法严厉打击整治各类网络违法犯罪,有效推动“净网”“护网”专项工作扎实开展,有力捍卫网上政治安全、维护网上公共安全、保护网络空间安全,不断增强人民群众在网络空间的获得感、幸福感、安全感。会议要求,要坚持以打开路,进一步构筑“净网”工作新格局。要加大打击力度,紧盯人民群众反映强烈的各类网络乱象,持续依法严打侵犯公民个人信息、网络谣言、黑客犯罪、网络水军、网络黑灰产、网络暴力等突出网络违法犯罪,对重大典型案件要挂牌督办,确保打击质效。要提升打的能力,健全完善“专业+机制+大数据”新型警务运行模式,为高效开展网络线索核查、案件侦办等工作提供有力支撑。要形成打的合力,充分发挥国家网络与信息安全信息通报机制作用,强力推进网络空间安全综合治理,压实互联网企业主体责任,筑牢网络安全防线。会议要求,要坚持打管衔接,进一步健全“护网”综合治理新体系。要全力保护网络安全,加强关键信息基础设施保护、重要系统安全检测。要全力保护数据安全,加强数据安全问题集中整治、重点行业监督检查,及时整改问题、堵塞漏洞。要全力保护信息安全,加强互联网平台安全监管、人工智能平台安全监管和网络信息内容的全链条监管。
来源:公安部网安局
● 上海市网信办对一批拒不整改的生成式人工智能服务网站予以立案处罚
上海市网信办联合上海市市场监督管理局及相关行业主管部门继续开展“亮剑浦江·2025”个人信息权益保护专项执法行动,专项行动聚焦三大领域八项重点任务,“抵制AI滥用”是本年度治理重点之一。上海市网信办在专项行动中发现,部分对外提供生成式人工智能服务功能的网站,未按法律要求开展安全评估工作、未采取必要的安全措施防范违规信息生成、未采取限制措施防止生成式人工智能功能被滥用,导致相关生成功能侵犯个人信息权益、产出“开盒”“洗钱”等违法违规内容、生成色情低俗图片等信息内容,存在较大安全风险。上海市网信办督促企业自行下线相关功能,在通过安全评估后方可重新上线。近期“回头看”巡查发现,在未通过安全评估、未采取必要安全防护措施等情况下,被要求下线的3家企业自行重新上线存在安全风险的生成式人工智能功能。上海市网信办依法约谈企业,进行严肃批评,要求全面整改,并依法对涉事企业进行立案查处。
来源:网信上海
● 新西兰国家网络安全中心(NCSC)发布最低网络安全基准,公共部门机构须于十月前达标
新西兰国家网络安全中心(NCSC)于2025年6月推出了一套面向公共部门机构的最低网络安全标准,旨在提升政府机构的整体网络安全水平,并于2025年10月30日正式生效。该标准涵盖包括安全意识、风险管理、资产识别与优先级排序、软件配置、补丁管理、多因素身份验证、异常行为检测、最小特权原则以及数据恢复和响应计划等关键领域,旨在帮助各机构识别和应对特定运营环境中的安全风险。标准内置了能力成熟度模型,支持机构自我评估和持续改进,并通过与保护安全要求(PSR)团队及政府通信安全局(GCSB)协调,推动网络安全态势的可视化和系统洞察。为保证实施效果,标准强调网络安全文化建设,要求组织持续开展针对全员的安全培训和意识提升,制定明确的安全政策并定期审查合规性,同时建立畅通的信息沟通渠道以鼓励风险报告。NCSC认识到人员既是网络安全的关键资产,也可能成为薄弱环节,因此推动将安全意识融入组织文化,确保员工理解安全行为的重要性。此次举措回应了新西兰面对的日益复杂的网络威胁形势,GCSB数据显示,截至2024年6月底,全年共发生7122起网络安全事件,突显了国家数字基础设施保护面临的挑战与压力。未来,所有授权机构需在2026年4月通过PSR流程报告其合规情况,保障标准的有效执行和持续改进。
来源:Industrialcyber
● OWASP发布AI测试指南,规范人工智能系统漏洞评估实践
开放 Web 应用程序安全项目(OWASP)正式发布其《AI 测试指南》,旨在为全球组织提供评估人工智能系统安全、隐私、鲁棒性与公平性的新标准。该指南是继 WSTG 与 MSTG 后,OWASP 推出的又一安全测试框架,专为应对 AI 模型非确定性、数据依赖性及易受攻击性等特征设计。指南重点涵盖四大测试方向:偏见与公平性评估(检测训练数据隐藏偏差)、对抗性鲁棒性测试(模拟误导模型的攻击)、安全与隐私审查(识别提取、泄露及中毒风险)和持续监控(追踪模型漂移和新漏洞)。与传统软件测试不同,AI 测试要求对模型生命周期各阶段进行细致验证,确保其行为稳定、透明且符合法规要求。OWASP 表示,该指南将支持开发者、架构师、数据分析师与风控人员以一致的方法识别并缓解 AI 风险。初稿由行业专家撰写,后续将通过社区反馈与结构化更新不断完善,推动 AI 安全测试在各行业的标准化应用,增强公众对 AI 系统的信任。
来源:The Hacker News
● 俄罗斯拟推神经网络反诈系统实时监控Telegram等通讯应用
俄罗斯国家金融市场委员会(NCFM)向国家杜马提交修正案,拟强制即时通讯工具、电子邮件及社交网络使用基于神经网络的反欺诈系统,自动分析用户通信内容,若怀疑欺诈行为则自动终止通话和通信。此外,修正案要求默认屏蔽来自未知用户的来电,强化电信运营商与通讯应用间同步屏蔽,涉嫌欺诈账户将被封禁至少60天。电信运营商还需提供欺诈信息、部署自动中断系统和监测恶意软件感染,保障资金安全。虽然强调须获得用户同意,避免通信保密性被侵犯,但此举引发隐私担忧。专家指出,点对点架构限制外部干预,且Telegram、WhatsApp等外国服务未必配合监管。该方案还禁止政府和银行员工通过即时通讯工具与客户联系,并计划加大对利用人工智能实施诈骗的打击力度。俄罗斯主流社交服务尚未回应,公众对此措施意见分歧,反诈与隐私保护间的平衡仍待考量。
来源:SecurityLab
● CISA与NSA联合发布指南,助力减少现代软件开发中的内存安全漏洞
CISA与NSA联合发布了《内存安全语言:减少现代软件开发中的漏洞》指南,聚焦解决长期困扰软件行业的内存安全问题。该文档强调,内存安全漏洞引发的安全事件频发且影响深远,如Heartbleed漏洞导致数百万患者数据泄露,BadAlloc漏洞波及嵌入式设备及近两亿汽车,凸显了从源头消除漏洞的紧迫性。指南指出,内存安全漏洞在主流操作系统如iOS和macOS的CVE中占据高比例,现实利用的零日漏洞中约75%归因于内存安全缺陷。相比传统依赖开发者自律和后期工具的被动防御,内存安全语言(MSL)如Rust、Go、Java和Swift将安全机制直接集成于语言架构,实现主动漏洞预防。技术实现层面,MSL通过自动边界检查、防止缓冲区溢出,结合垃圾回收和严格所有权模型,杜绝内存释放后访问及数据竞争等漏洞。多线程环境下的数据争用预防机制进一步强化内存安全。微软数据显示,尽管内存安全相关漏洞仍占较大比例,但采用MSL已显著降低此类漏洞的发生。该指南以Android向MSL转型的案例为证,显示2019年至2024年间内存安全漏洞占比从76%降至24%,验证了语言层安全设计的成效。CISA倡导将MSL作为软件开发的新范式,减轻开发负担,提升整体网络安全水平。
来源:Industrialcyber
● 美国即将到期的网络信息共享法可能获得短期延长
美国2015年《网络安全信息共享法案》(CISA)将于今年9月底到期,国会正在考虑以短期延长方式避免其自动失效。该法案为企业与政府共享网络威胁情报提供法律保护,被视为促进私营部门合作的关键机制。两位参议员已提出将其延长10年的议案,但众议院仍在酝酿可能包含不同修改的替代方案,最终统一法案并交总统签署可能需时较长。为应对时间紧迫,议员们或将CISA条款附加至持续拨款法案中,以实现短期续期。信息技术产业委员会的高级副总裁约翰·米勒表示,该法已成为行业安全保障的重要组成部分。互联网安全联盟主席拉里·克林顿则警告,若短期续期成为长期推延的借口,可能削弱法律稳定性。CISA因其提供的法律豁免,被业界誉为“最成功的网络立法”,尤其对资源有限的中小企业更具价值。尽管该法初期因隐私担忧备受争议,但业内人士普遍认为其在安全与隐私之间实现了良好平衡,续期已成当务之急。
来源:CyberScoop
● 越南通过《个人数据保护法》,禁止个人数据交易
据越南《人民报》报道,越南国会于26日通过了一部个人数据保护法,禁止买卖个人数据等活动。具体来说,违反该法律的个人或组织可能面临最高达其通过个人数据交易获得收入10倍的罚款,而违反跨境数据传输规定的行为则可能面临最高达上一年度收入5%的处罚。此外,该法还禁止通过滥用个人数据来破坏国家安全或公共秩序、阻碍数据保护工作、将数据保护用于非法目的、非法收集或分享数据、允许他人滥用其数据,或故意泄露、丢失或篡取个人数据等行为。这部名为《个人数据保护法》的法律将于2026年1月1日正式生效。
来源:新华社
● 美国两党推出《禁用对抗性人工智能法案》
美国两党议员提出一项新法案——《禁用对抗性人工智能法案》(No Adversarial AI Act)。法案由众议院资深议员拉贾・克里希纳莫蒂与约翰・穆勒纳尔共同发起,旨在阻止联邦机构采购和使用中国等“外国对手”研发的人工智能技术。法案核心内容在于建立并管理“联邦敌对人工智能清单”,强化美国联邦机构系统安全,关键条款包括:一是建立、管理“联邦敌对人工智能清单”。二是禁止联邦机构使用已列入清单的AI系统。三是对关键术语进行明确定义。一旦《禁用对抗性人工智能法案》成功获批颁布,全球人工智能领域的阵营化竞争或许会进一步加剧,将对开放科研环境构成严峻挑战。此外,尽管目前该法案仅适用于联邦机构,但不能排除未来其适用范围扩大至商业领域的可能性。
来源:赛博研究院
