▸头部车企因违规出售用户数据被罚近9000万，创下数据安全罚单纪录

▸国家安全部警示蓝牙安全风险，谨防静默监听与位置跟踪

▸Hugging Face惊现供应链投毒，仿冒OpenAI仓库窃取开发者敏感数据

▸CNCERT发布智能体技能包高危风险公告，可在主流系统中执行恶意命令

▸0day激增致Pwn2Own停止接收漏洞，部分落选者公开漏洞引发行业震动

📋

监管动态

2条

工信部等五部门印发《纺织服装卓越品牌培育行动方案（2026—2028年）》 政策

工业和信息化部、人力资源社会保障部、市场监管总局、广电总局、国家知识产权局五部门联合发布通知，部署《纺织服装卓越品牌培育行动方案（2026—2028年）》。该方案旨在推动纺织服装行业高质量发展，其中涉及数字化转型与数据安全合规要求，为相关企业提供政策指引。

📎 工信部 · 2026-05-12

商用密码应用安全性监管平台发布，实现密码应用全方位监管 政策

安恒信息发布商用密码应用安全性监管平台，该平台将资产档案、密评管理、态势感知等密码管理单位的日常业务流程化和工具化，打造可管理、可感知、可预警、可处置的一体化密码监管平台。平台已实现密码监管态势感知实战案例全国第一，助力密码监管单位联合执法部门精细化协作。

📎 安恒信息 · 2026-05-12

🚨

安全事件

4条

最大罚单！头部车企因违规出售用户数据被罚近9000万 紧急

据安全内参报道，某头部车企因违规出售用户数据被处以近9000万元罚款，创下数据安全领域最大罚单纪录。该车企在未经用户充分授权的情况下，将车辆互联功能产生的用户个人信息用于商业出售。经江苏省常州市钟楼区检察院提起公诉，快递公司员工庄某、朱某因侵犯公民个人信息罪被法院分别判处有期徒刑。此案警示企业必须严格履行数据合规义务。

📎 安全内参 · 2026-05-12

国家安全部：谨防蓝牙成“獠牙”，静默监听与位置跟踪风险凸显 高

国家安全部发布安全警示，指出蓝牙技术存在严重安全隐患。攻击者可利用设备未修复的固件漏洞实施静默强制配对，在数秒内实现近距离接管音频播放、利用麦克风进行环境窃听。同时，蓝牙信号可能被监听分析，通过设备地址关联用户活动轨迹，侵犯个人隐私。建议用户养成安全使用蓝牙的习惯，关闭非必要连接。

📎 安全内参 · 2026-05-12

Hugging Face惊现供应链投毒：仿冒OpenAI仓库窃取开发者敏感数据 紧急

2026年5月7日，安全研究机构HiddenLayer披露一起针对AI开发社区的供应链投毒攻击事件。攻击者在Hugging Face平台创建恶意仓库Open-OSS/privacy-filter，通过typosquatting技术冒充OpenAI官方Privacy Filter仓库，诱导开发者下载安装，从而窃取开发者的API密钥、访问令牌等敏感数据。该事件暴露了AI模型供应链的安全脆弱性。

📎 安全内参 · 2026-05-12

Claude Security血洗网络安全行业，AI安全产品引发百亿市值蒸发 高

据安全内参报道，AI安全产品Claude Security在实测中展现出颠覆性能力，导致多家传统安全公司百亿市值蒸发。与传统SAST扫描器依赖CVE数据库逐条比对的模式不同，Claude Security能够发现大量未知漏洞，其检测能力远超传统工具。这一事件标志着AI正在重塑网络安全行业格局，传统安全厂商面临严峻挑战。

📎 安全内参 · 2026-05-12

🔓

漏洞预警

4条

CNCERT：部分智能体技能包（Skills）存在隐蔽执行恶意命令的安全公告 紧急

国家信息安全漏洞共享平台（CNVD）综合研判发现，多个智能体技能包（Skills）存在严重安全风险，可在“龙虾”（OpenClaw）等主流智能体系统中被恶意利用以执行未经授权的操作。攻击者可借此窃取用户敏感信息、非法控制智能体运行逻辑，甚至造成用户资产损失。建议相关用户立即核查并更新技能包。

📎 安全内参 · 2026-05-12

0day激增，Pwn2Own停止接收漏洞，部分落选者公开漏洞引发行业震荡 高

全球顶级黑客大赛Pwn2Own出现史无前例的报名热潮，因0day漏洞数量激增，主办方ZDI宣布停止接收新的漏洞提交。由于赛事名额有限，部分落选者选择公开漏洞，导致多个高危0day漏洞流入公开领域。ZDI表示已优化赛事流程但仍无法解决当前问题，此举可能引发新一轮漏洞利用浪潮。

📎 安全内参 · 2026-05-12

HPE发布Aruba OS高危漏洞预警，可未授权重置密码 高

HPE发布安全预警，指出Aruba OS存在高危漏洞，攻击者可在未授权的情况下远程重置设备密码，从而完全控制受影响设备。该漏洞影响多个版本的Aruba OS，建议用户立即应用官方补丁。鉴于Aruba设备在企业网络中的广泛部署，此漏洞可能被大规模利用。

📎 安全客 · 2026-05-12

Splunk修复文件预览功能中的高危RCE漏洞 高

Splunk发布安全更新，修复了文件预览功能中的一个高危远程代码执行（RCE）漏洞。攻击者可通过精心构造的文件触发漏洞，在目标系统上执行任意代码。该漏洞影响Splunk Enterprise多个版本，建议用户立即升级至最新版本。Splunk作为企业级日志分析平台，其安全漏洞可能造成严重的数据泄露风险。

📎 安全客 · 2026-05-12

⚠️

风险提示

1条

以CaaS 2.0重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会 中

亚数TrustAsia在2026春季战略发布会上提出CaaS 2.0战略，聚焦后量子时代（PQC）威胁、TLS/SSL证书与代码签名证书有效期持续缩短、以及机器身份规模化管理的挑战。随着量子计算技术发展，现有加密体系面临被破解的风险，企业需提前布局后量子密码迁移。亚数TrustAsia呼吁行业共同构建面向未来的数字信任体系。

📎 嘶吼 · 2026-05-12

✅

安全建议

5条

1

紧急：针对Hugging Face供应链投毒事件，建议所有AI开发团队立即审查使用的第三方模型仓库来源，禁止使用非官方或仿冒仓库，并启用代码签名验证机制。

2

紧急：针对CNCERT发布的智能体技能包高危风险，建议使用OpenClaw等智能体系统的组织立即禁用所有非官方技能包，并联系厂商获取安全更新。

3

重要：针对蓝牙安全风险，建议企业制定移动设备安全策略，强制关闭非必要蓝牙连接，并对员工进行蓝牙安全使用培训，防范静默监听与位置跟踪。

4

重要：针对Pwn2Own漏洞公开事件，建议安全团队加强0day漏洞监控，及时更新入侵检测规则，并关注ZDI等组织发布的漏洞信息。

5

建议：针对车企数据罚单事件，建议所有涉及用户数据处理的企业立即开展数据合规审计，确保用户数据收集与使用符合《个人信息保护法》要求。