要聞速覽

1、2025年全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會“標(biāo)準(zhǔn)周”活動(dòng)在即

2、金磚國家元首簽署“人工智能全球治理宣言”

3、工信部：關(guān)于防范KatzStealer信息竊取惡意軟件的風(fēng)險(xiǎn)提示

4、一種利用隱形UI誘騙用戶的新型Android攻擊手法曝光

5、美國能源部警告：AI或?qū)⒁l(fā)長達(dá)800小時(shí)的大停電

6、麥當(dāng)勞AI招聘工具M(jìn)cHire漏洞導(dǎo)致6400萬求職者數(shù)據(jù)泄露

一周政策要聞

2025年全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會“標(biāo)準(zhǔn)周”活動(dòng)在即

為貫徹落實(shí)《國家標(biāo)準(zhǔn)化發(fā)展綱要》及其行動(dòng)計(jì)劃，完善信息技術(shù)標(biāo)準(zhǔn)體系，加強(qiáng)重點(diǎn)標(biāo)準(zhǔn)研制，高質(zhì)量推動(dòng)信息技術(shù)領(lǐng)域標(biāo)準(zhǔn)化工作，促進(jìn)產(chǎn)業(yè)創(chuàng)新與合作，近日，全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布通知，將于2025年7月15日至18日舉辦“標(biāo)準(zhǔn)周”活動(dòng)。

本次活動(dòng)聚焦國家信息技術(shù)工作重要部署，圍繞智能終端、軟件與數(shù)字化轉(zhuǎn)型、算力、擴(kuò)展顯示與虛擬數(shù)字人、無人系統(tǒng)、教育大模型等重點(diǎn)領(lǐng)域，交流新階段新理念新格局下的政策、技術(shù)、產(chǎn)業(yè)發(fā)展新思路，探討新技術(shù)新應(yīng)用新業(yè)態(tài)的標(biāo)準(zhǔn)需求。工業(yè)和信息化部、國家市場監(jiān)督管理總局相關(guān)負(fù)責(zé)同志，相關(guān)領(lǐng)域知名專家，全國信標(biāo)委顧問、委員、觀察員，相關(guān)下設(shè)機(jī)構(gòu)代表及成員單位代表、相關(guān)組織代表將參加活動(dòng)。

金磚國家元首簽署“人工智能全球治理宣言”

2025年7月6日，在第十七次金磚國家領(lǐng)導(dǎo)人會晤期間，通過了《金磚國家領(lǐng)導(dǎo)人關(guān)于人工智能全球治理的宣言》（BRICS Leaders’ Declaration on Global Governance of Artificial Intelligence  以下簡稱《宣言》）。

《宣言》提出了一系列指導(dǎo)方針，旨在推動(dòng)人工智能技術(shù)的負(fù)責(zé)任開發(fā)、部署與應(yīng)用，助力可持續(xù)發(fā)展和包容性增長，宣言主要內(nèi)容如下：

一是在治理原則方面。強(qiáng)調(diào)聯(lián)合國在全球治理中的核心作用，倡導(dǎo)包容、代表性和發(fā)展導(dǎo)向，縮小數(shù)字鴻溝，尊重各國主權(quán)與發(fā)展路徑。

二是在多方協(xié)作方面。政府應(yīng)發(fā)揮主導(dǎo)作用，協(xié)同私營部門、民間組織和國際機(jī)構(gòu)合作治理，保障各國特別是發(fā)展中國家在決策中的參與權(quán)。

三是在市場與技術(shù)方面。維護(hù)公平競爭環(huán)境，避免監(jiān)管碎片化，落實(shí)數(shù)據(jù)安全與隱私保護(hù)，確保所有國家平等獲取人工智能發(fā)展機(jī)遇。

四是在公平和可持續(xù)發(fā)展方面。推動(dòng)人工智能服務(wù)可持續(xù)發(fā)展目標(biāo)，助力醫(yī)療、教育等領(lǐng)域發(fā)展，重視環(huán)境保護(hù)與氣候變化應(yīng)對，兼顧就業(yè)影響與勞動(dòng)者權(quán)益。

五是在倫理、可信和負(fù)責(zé)任的人工智能方面。堅(jiān)持多元文化與語言多樣性，防范算法偏見，建立透明可審計(jì)機(jī)制，堅(jiān)持以人為本，保障人類對人工智能的最終控制權(quán)。

消息來源：中國國際科技交流中心 金磚國家元首簽署“人工智能全球治理宣言”

業(yè)內(nèi)新聞速覽

工信部：關(guān)于防范KatzStealer信息竊取惡意軟件的風(fēng)險(xiǎn)提示

近日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（CSTIS）監(jiān)測發(fā)現(xiàn)KatzStealer惡意軟件持續(xù)活躍，可導(dǎo)致敏感信息竊取。

KatzStealer是一款采用惡意軟件即服務(wù)（MaaS）模式的惡意軟件，主要通過釣魚郵件或被篡改的合法軟件包進(jìn)行傳播。攻擊者通過投遞包含混淆JavaScript代碼的惡意GZIP壓縮包以繞過安全檢測，利用系統(tǒng)工具cmstp.exe（系統(tǒng)配置管理器）繞過用戶賬戶控制（UAC）獲取管理員權(quán)限，創(chuàng)建計(jì)劃任務(wù)實(shí)現(xiàn)持久化駐留，并借助進(jìn)程鏤空技術(shù)注入MSBuild.exe（用于構(gòu)建應(yīng)用程序）進(jìn)程，偽裝成可信應(yīng)用程序運(yùn)行。植入成功后，可竊取瀏覽器密碼、會話令牌、CVV碼、VPN/郵件憑證、Discord/Telegram令牌及多種加密貨幣錢包數(shù)據(jù)，甚至篡改Discord文件實(shí)現(xiàn)自動(dòng)重感染，竊取的數(shù)據(jù)最終通過偽裝成Chrome代理流量的隱蔽通道傳輸。

建議相關(guān)單位及用戶立即組織排查，及時(shí)更新防病毒軟件；定期實(shí)施全盤查殺，檢測潛在感染；關(guān)閉非必要系統(tǒng)服務(wù)及端口，降低攻擊面；啟用進(jìn)程白名單防護(hù)，限制可疑程序執(zhí)行；隔離異常網(wǎng)絡(luò)流量，防范C2服務(wù)器通信；加強(qiáng)網(wǎng)絡(luò)安全意識培訓(xùn)，防范網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

一種利用隱形UI誘騙用戶的新型Android攻擊手法曝光

近期，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種新的Android攻擊手法，并將其命名為“TapTrap”。該攻擊利用了用戶界面(UI)的隱形特性，誘使用戶在不知情的情況下進(jìn)行操作，從而竊取敏感信息或執(zhí)行惡意行為。

TapTrap攻擊的核心在于其巧妙的界面設(shè)計(jì)。攻擊者通過創(chuàng)建一個(gè)看似正常的應(yīng)用程序界面，但實(shí)際上在用戶可見區(qū)域下方隱藏了惡意的UI元素。當(dāng)用戶嘗試與應(yīng)用程序交互時(shí)，實(shí)際上卻是在與隱藏的惡意元素進(jìn)行交互。這種方法使得用戶在不知情的情況下，可能會點(diǎn)擊到惡意鏈接或輸入敏感信息。

研究人員指出，TapTrap攻擊的成功依賴于用戶的信任和對界面的直觀理解。攻擊者可以利用這一點(diǎn)，通過偽裝成合法應(yīng)用程序，誘導(dǎo)用戶進(jìn)行不安全的操作。此外，該攻擊方式不需要復(fù)雜的技術(shù)手段，任何具備基本編程能力的攻擊者都可以實(shí)施。

為了防范TapTrap攻擊，用戶應(yīng)保持警惕，尤其是在下載和安裝應(yīng)用程序時(shí)。建議用戶只從官方應(yīng)用商店下載應(yīng)用，并定期檢查應(yīng)用權(quán)限，確保沒有不必要的權(quán)限被授予。同時(shí)，開發(fā)者也應(yīng)加強(qiáng)應(yīng)用的安全性，避免界面設(shè)計(jì)中的潛在漏洞。

總之，TapTrap攻擊展示了網(wǎng)絡(luò)安全領(lǐng)域中不斷演變的威脅，提醒用戶和開發(fā)者在日常操作中保持警惕，以保護(hù)個(gè)人信息和設(shè)備安全。

消息來源：安全牛 美國能源部警告：AI或?qū)⒁l(fā)長達(dá)800小時(shí)的大停電；一種利用隱形UI誘騙用戶的新型Android攻擊手法曝光 | 牛覽

美國能源部警告：AI或?qū)⒁l(fā)長達(dá)800小時(shí)的大停電

美國能源部在日前發(fā)布的一份研究報(bào)告中警告稱，由于人工智能的快速發(fā)展，美國未來可能面臨長達(dá)800小時(shí)的大停電風(fēng)險(xiǎn)。該警告主要源于AI技術(shù)廣泛應(yīng)用對美國電力基礎(chǔ)設(shè)施的潛在威脅，特別是在AI技術(shù)不斷進(jìn)步的背景下，新興網(wǎng)絡(luò)攻擊的復(fù)雜性和頻率也在指數(shù)級增長。
報(bào)告研究認(rèn)為，AI系統(tǒng)在電網(wǎng)管理和監(jiān)控中的應(yīng)用雖然提高了效率，但也極有可能被惡意攻擊者利用，導(dǎo)致電網(wǎng)系統(tǒng)崩潰或大規(guī)模的災(zāi)難性停電。報(bào)告指出，AI技術(shù)已被實(shí)際證明可用來發(fā)起自動(dòng)化網(wǎng)絡(luò)攻擊，識別系統(tǒng)漏洞，甚至模擬合法用戶的行為，從而繞過安全防護(hù)措施。
此外，美國能源部在報(bào)告中也強(qiáng)調(diào)了，隨著AI技術(shù)應(yīng)用帶來的電力需求增加和氣候變化引起的極端天氣事件，現(xiàn)有電網(wǎng)系統(tǒng)的脆弱性也在加劇。為了應(yīng)對這些挑戰(zhàn)，美國各州政府和電力企業(yè)需要加強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施，投資于更先進(jìn)的技術(shù)，以確保在面對由AI驅(qū)動(dòng)的嚴(yán)重攻擊時(shí)，能夠有效保護(hù)電力基礎(chǔ)設(shè)施。

麥當(dāng)勞AI招聘工具M(jìn)cHire漏洞導(dǎo)致6400萬求職者數(shù)據(jù)泄露

網(wǎng)絡(luò)安全研究人員伊恩?卡羅爾（Ian Carroll）和薩姆?庫里（Sam Curry）近期披露，麥當(dāng)勞旗下招聘聊天機(jī)器人平臺 McHire 存在嚴(yán)重安全漏洞 —— 其管理員后臺竟使用 "123456:123456" 的默認(rèn)弱密碼，同時(shí)內(nèi)部 API 存在不安全直接對象引用（IDOR）漏洞。這意味著攻擊者可輕易獲取 6400 萬份求職申請數(shù)據(jù)，包括申請人姓名、聯(lián)系方式、地址等敏感信息。
研究人員在對 McHire 進(jìn)行安全審查時(shí)發(fā)現(xiàn)，該平臺為餐廳老板設(shè)置的管理界面竟未修改初始登錄憑證。更嚴(yán)重的是，通過 API 接口的 ID 編號規(guī)則，攻擊者可遍歷獲取所有申請人的完整資料，甚至包含求職狀態(tài)變更記錄和用戶聊天授權(quán)令牌。這些信息足以讓惡意者冒充求職者登錄系統(tǒng)，進(jìn)一步竊取原始聊天記錄。
研究團(tuán)隊(duì)在發(fā)現(xiàn)漏洞后立即向 McHire 技術(shù)服務(wù)商 Paradox.ai 報(bào)告，該公司在 24 小時(shí)內(nèi)完成修復(fù)。目前 McHire 已更新管理員認(rèn)證機(jī)制，并對 API 接口增加權(quán)限校驗(yàn)。

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請?jiān)髡呗?lián)系我們，我們會盡快刪除處理，謝謝！