要聞速覽

1、《人工智能生成合成內(nèi)容標(biāo)識(shí)方法 文件元數(shù)據(jù)隱式標(biāo)識(shí) 文本文件》等6項(xiàng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南發(fā)布

2、工信部：促進(jìn)衛(wèi)星通信產(chǎn)業(yè)發(fā)展，筑牢網(wǎng)絡(luò)和數(shù)據(jù)安全防線

3、谷歌宣布將組建網(wǎng)絡(luò)攻擊部門，或引發(fā)不可控的風(fēng)險(xiǎn)態(tài)勢升級(jí)

4、NVIDIA緊急修復(fù)NeMo AI Curator平臺(tái)中可致任意代碼執(zhí)行與權(quán)限提升漏洞

5、國家育兒補(bǔ)貼政策遭利用，黑產(chǎn)組織借機(jī)竊取敏感數(shù)據(jù)

6、瑞典全國約200個(gè)城市居民敏感數(shù)據(jù)泄露：因關(guān)鍵供應(yīng)商被黑

一周政策要聞

《人工智能生成合成內(nèi)容標(biāo)識(shí)方法 文件元數(shù)據(jù)隱式標(biāo)識(shí) 文本文件》等6項(xiàng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南發(fā)布

為貫徹落實(shí)《人工智能生成合成內(nèi)容標(biāo)識(shí)辦法》，指導(dǎo)生成合成服務(wù)提供者和內(nèi)容傳播服務(wù)提供者開展人工智能生成合成內(nèi)容標(biāo)識(shí)相關(guān)活動(dòng)，結(jié)合強(qiáng)制性國家標(biāo)準(zhǔn)GB 45438—2025《網(wǎng)絡(luò)安全技術(shù) 人工智能生成合成內(nèi)容標(biāo)識(shí)方法》相關(guān)要求，近日，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處組織編制了《人工智能生成合成內(nèi)容標(biāo)識(shí)方法 文件元數(shù)據(jù)隱式標(biāo)識(shí) 文本文件》等6項(xiàng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南。

6份文件明確了人工智能生成合成文本、圖片、音頻、視頻等內(nèi)容的文件元數(shù)據(jù)隱式標(biāo)識(shí)方法、元數(shù)據(jù)安全防護(hù)指南以及生成合成內(nèi)容檢測框架，可為生成合成服務(wù)提供者和內(nèi)容傳播服務(wù)提供者開展人工智能生成合成內(nèi)容文件元數(shù)據(jù)隱式標(biāo)識(shí)活動(dòng)以及生成合成內(nèi)容檢測活動(dòng)提供參考。

信息來源：全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì) https://www.tc260.org.cn/front/postDetail.html?id=20250623172217

工信部：促進(jìn)衛(wèi)星通信產(chǎn)業(yè)發(fā)展，筑牢網(wǎng)絡(luò)和數(shù)據(jù)安全防線

近日，工業(yè)和信息化部印發(fā)《關(guān)于優(yōu)化業(yè)務(wù)準(zhǔn)入促進(jìn)衛(wèi)星通信產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》（簡稱《意見》），提出到2030年，衛(wèi)星通信管理制度及政策法規(guī)進(jìn)一步完善，產(chǎn)業(yè)發(fā)展環(huán)境持續(xù)優(yōu)化，各類經(jīng)營主體創(chuàng)新活力充分迸發(fā)，基礎(chǔ)設(shè)施、產(chǎn)業(yè)供給、技術(shù)標(biāo)準(zhǔn)、國際合作等綜合發(fā)展水平顯著提升，推動(dòng)衛(wèi)星通信充分融入新發(fā)展格局，有力服務(wù)經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展。

《意見》還明確要求，指導(dǎo)督促相關(guān)企業(yè)依法履行國家安全主體責(zé)任，在相關(guān)系統(tǒng)的設(shè)計(jì)、建設(shè)、運(yùn)行中同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全技術(shù)措施，落實(shí)通信網(wǎng)絡(luò)安全防護(hù)、數(shù)據(jù)分類分級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)安全等級(jí)保護(hù)以及個(gè)人信息保護(hù)等要求，建設(shè)信息安全技術(shù)措施，保障網(wǎng)絡(luò)、數(shù)據(jù)和信息安全，加強(qiáng)用戶實(shí)名制管理，做好防范治理電信網(wǎng)絡(luò)詐騙相關(guān)技術(shù)保障措施。

消息來源：工業(yè)和信息化部 工信部印發(fā)《關(guān)于優(yōu)化業(yè)務(wù)準(zhǔn)入促進(jìn)衛(wèi)星通信產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》

業(yè)內(nèi)新聞速覽

谷歌宣布將組建網(wǎng)絡(luò)攻擊部門，或引發(fā)不可控的風(fēng)險(xiǎn)態(tài)勢升級(jí)

據(jù)CyberScoop網(wǎng)站8月27日?qǐng)?bào)道，谷歌公司宣布將組建一個(gè)攻擊性的網(wǎng)絡(luò)安全部門，旨在尋求“合法且合乎道德”的網(wǎng)絡(luò)安全防護(hù)選項(xiàng)，通過主動(dòng)識(shí)別并挫敗攻擊活動(dòng)，實(shí)現(xiàn)從被動(dòng)防御向主動(dòng)應(yīng)對(duì)的轉(zhuǎn)變。

谷歌公司這一舉措與特朗普政府一直主張的進(jìn)攻性網(wǎng)絡(luò)戰(zhàn)略遙相呼應(yīng)，包括討論通過“私掠許可證”授權(quán)私營企業(yè)開展目前法律禁止的進(jìn)攻行動(dòng)。然而，此舉面臨法律、倫理及實(shí)操層面的諸多障礙。有大量批評(píng)者警告稱：進(jìn)攻性網(wǎng)絡(luò)行動(dòng)成本高、技術(shù)復(fù)雜，且可能引發(fā)不可控的升級(jí)風(fēng)險(xiǎn)。同時(shí)，美國自身就是一個(gè)高度依賴數(shù)字基礎(chǔ)設(shè)施的國家，最有可能成為被他國報(bào)復(fù)性攻擊的目標(biāo)。

NVIDIA緊急修復(fù)NeMo AI Curator平臺(tái)中可致任意代碼執(zhí)行與權(quán)限提升漏洞

NVIDIA 日前發(fā)布重要安全更新，修復(fù)其 NeMo AI Curator 平臺(tái)中一個(gè)編號(hào)為 CVE-2025-23307的嚴(yán)重安全漏洞，攻擊者可利用該漏洞執(zhí)行惡意代碼并提升系統(tǒng)權(quán)限。該漏洞影響Windows、Linux、macOS 三大平臺(tái)上所有 25.07 版本之前的 NVIDIA NeMo AI Curator系統(tǒng)。漏洞源于該平臺(tái)文件處理機(jī)制中輸入驗(yàn)證不當(dāng)，攻擊者可借此構(gòu)造惡意文件觸發(fā)代碼注入攻擊，其攻擊雜度低，且無需用戶交互，一旦利用成功，將嚴(yán)重影響系統(tǒng)機(jī)密性、完整性與可用性，甚至可能導(dǎo)致整個(gè)系統(tǒng)被攻陷。

目前，NVIDIA 已發(fā)布 25.07 版本修復(fù)該漏洞，用戶可通過官方 GitHub 倉庫獲取更新。同時(shí)，NVIDIA 建議企業(yè)先在測試環(huán)境驗(yàn)證新版本兼容性，再部署至生產(chǎn)環(huán)境，并審查訪問控制策略，減少攻擊面。

消息來源：安全牛 谷歌宣布將組建網(wǎng)絡(luò)攻擊部門，或引發(fā)不可控的風(fēng)險(xiǎn)態(tài)勢升級(jí)；4項(xiàng)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)公開征求意見；PDF轉(zhuǎn)換工具淪為木馬溫床 | 牛覽

國家育兒補(bǔ)貼政策遭利用，黑產(chǎn)組織借機(jī)竊取敏感數(shù)據(jù)

近期，一個(gè)名為UTG-Q-1000的高度組織化網(wǎng)絡(luò)犯罪集團(tuán)利用中國國家育兒補(bǔ)貼政策（每名兒童每年3600元）為誘餌，實(shí)施大規(guī)模金融詐騙和數(shù)據(jù)竊取活動(dòng)。該組織結(jié)構(gòu)嚴(yán)密，下設(shè)財(cái)務(wù)組、新聞與色情組、設(shè)計(jì)與制造組及黑市交易組，采用會(huì)員制管理模式，為成員分配唯一標(biāo)識(shí)以追蹤攻擊成效。其主要攻擊目標(biāo)為企業(yè)財(cái)務(wù)人員和普通公眾，通過偽造稅務(wù)審計(jì)、電子收據(jù)和政府補(bǔ)貼通知等高仿真釣魚信息，誘導(dǎo)受害者訪問惡意網(wǎng)站或掃描二維碼。技術(shù)上，該組織使用復(fù)雜規(guī)避手段：釣魚頁面作為加載器，通過偽裝成圖片請(qǐng)求的fetch調(diào)用，從嵌入圖片中的加密數(shù)據(jù)（以Base64編碼和XOR加密，密鑰為"YourSecretKey123!@#"）提取真實(shí)惡意URL，并利用0x21FE簽名定位解密內(nèi)容，動(dòng)態(tài)加載至iframe中，有效繞過傳統(tǒng)安全檢測。同時(shí)，攻擊者部署心跳機(jī)制，每秒向C2服務(wù)器（https://bmppc.cn/heartbeat.php）上報(bào)受害者狀態(tài)，實(shí)現(xiàn)實(shí)時(shí)監(jiān)控與攻擊優(yōu)化。
該組織已在37臺(tái)Windows 10設(shè)備上持續(xù)活動(dòng)，部分成員如"ylxuqxmz"已成功實(shí)施百余次攻擊。

消息來源：FREEBUF https://www.freebuf.com/articles/database/446375.html

瑞典全國約200個(gè)城市居民敏感數(shù)據(jù)泄露：因關(guān)鍵供應(yīng)商被黑

安全內(nèi)參8月28日?qǐng)?bào)道，瑞典軟件供應(yīng)商Milj?data疑似遭遇勒索軟件攻擊，目前已影響全國約200個(gè)市鎮(zhèn)（瑞典共290個(gè)市鎮(zhèn)和21個(gè)地區(qū)），波及約60%的城市居民。
該公司首席執(zhí)行官Erik Hallén表示，攻擊者已侵入其數(shù)據(jù)環(huán)境，竊取敏感信息并索要1.5個(gè)比特幣（約合150萬瑞典克朗，人民幣112萬元）作為贖金。
Milj?data的系統(tǒng)在瑞典80%的市鎮(zhèn)中使用，主要用于處理勞動(dòng)法案件、康復(fù)事務(wù)、醫(yī)療證明以及工傷事故申報(bào)，因此大量員工、前雇員及學(xué)生的個(gè)人敏感信息可能已遭泄露。
目前，公司正與外部專家合作調(diào)查事件并恢復(fù)系統(tǒng)。瑞典民防部長Carl-Oskar Bohlin表示，事件影響尚在評(píng)估中，國家計(jì)算機(jī)安全事件應(yīng)急響應(yīng)小組（CERT-SE）已介入，為受影響方提供支持，警方也已展開調(diào)查。
CERT-SE負(fù)責(zé)人Abbe Yasmine稱正在聯(lián)系可能受影響的個(gè)人以評(píng)估泄露范圍。此次事件暴露了關(guān)鍵供應(yīng)商的網(wǎng)絡(luò)安全脆弱性，Bohlin強(qiáng)調(diào)政府將借此推動(dòng)新的網(wǎng)絡(luò)安全法案，擬對(duì)廣泛社會(huì)主體提出更高的安全合規(guī)要求，以增強(qiáng)整體網(wǎng)絡(luò)韌性。

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！