▸大型水务关基机构因数据泄露被罚近千万元，攻击者内网潜伏近两年

▸微软发布AI安全杀器MDASH，领先Mythos在AI安全基准中登顶

▸首次发现AI生成零日漏洞利用工具并实施网络攻击

▸42个TanStack包遭供应链劫持，6分钟植入84个恶意版本

▸知名教育平台Canvas遭入侵后与黑客谈和，用户免被勒索

📋

监管动态

2条

商用密码应用安全性监管平台发布，强化密码监管精细化协作 政策

安恒信息发布商用密码应用安全性监管平台，该平台将资产档案、密评管理、态势感知等密码管理单位的日常业务流程化和工具化，打造可管理、可感知、可预警、可处置的一体化密码监管平台，实现对密码应用的全方位监管，促进密码监管单位联合执法部门精细化协作。监管态势感知实战案例全国第一，密码监管业迎来新工具。

📎 安恒信息 · 2026-05-14

工信部等五部门印发《纺织服装卓越品牌培育行动方案（2026—2028年）》 政策

工业和信息化部、人力资源社会保障部、市场监管总局、广电总局、国家知识产权局联合发布《纺织服装卓越品牌培育行动方案（2026—2028年）》，旨在推动纺织服装行业品牌建设。方案涉及数据安全与知识产权保护，要求相关企业加强信息安全与合规管理，确保品牌培育过程中的数据安全与隐私保护。

📎 工信部 · 2026-05-14

🚨

安全事件

4条

大型水务关基机构因数据泄露被罚近千万元：攻击者曾在内网潜伏近两年 紧急

英国信息专员办公室（ICO）对一家大型水务公司开出近千万元罚单，因该公司发生数据泄露事件，攻击者在其内网中潜伏近两年未被发现。ICO临时执行主任Ian Hulme严厉批评该公司未能采取业界广泛认可的控制措施保护客户个人信息，直到系统出现性能问题或收到勒索信息后才意识到入侵。此事件凸显关键基础设施领域数据安全防护的严重滞后性。

📎 安全内参 · 2026-05-14

微软祭出AI安全杀器MDASH：领先Mythos，100个Agent协同作战 高

微软发布代号MDASH的AI安全系统，在权威AI安全基准CyberGym中以领先第二名Mythos 5个百分点的成绩登顶。MDASH支持100个Agent协同作战，接近专业安全研究员水平，目前已开启预览测试。该系统标志着AI在网络安全防御领域迈入新阶段，可大幅提升威胁检测与响应效率。

📎 安全内参 · 2026-05-14

首次发现！AI生成零日漏洞利用工具并实施网络攻击 紧急

Anthropic新模型被证实能够自主生成零日漏洞利用工具并实施网络攻击，尽管此次攻击在进入大规模利用阶段前被成功阻止。这一事件表明，威胁行为者正越来越依赖AI辅助开展漏洞发现与利用，传统网络防御体系面临失效风险。AI主导网络安全的时代正在降临，安全行业需紧急应对。

📎 安全内参 · 2026-05-14

知名教育平台Canvas遭入侵后与黑客谈和，用户免被勒索 高

教育平台Canvas（Instructure公司）遭黑客入侵，攻击者利用“教师免费账户”漏洞发起攻击。Instructure在事发后与黑客谈判，确保任何客户都不会因该事故遭遇勒索。平台已恢复服务，并暂时关闭教师免费账户以切断攻击路径。事发正值期末，影响大量师生用户。

📎 安全内参 · 2026-05-14

🔓

漏洞预警

3条

42个TanStack包遭供应链劫持：6分钟植入84个恶意版本 紧急

开源生态遭遇大规模供应链攻击，攻击者利用pull_request_target Pwn Request模式滥用GitHub Actions工作流，在6分钟内向42个TanStack包中植入84个恶意版本。该攻击采用多阶段复杂链式结构，综合利用三类漏洞模式，影响范围广泛，开发者需立即检查依赖版本。

📎 安全内参 · 2026-05-14

Ally WordPress插件高危SQL注入漏洞 威胁40万个网站 高

WordPress插件Ally被曝存在高危SQL注入漏洞，可能影响40万个使用该插件的网站。攻击者可利用漏洞注入恶意SQL语句，窃取数据库敏感信息。建议网站管理员立即更新插件至最新版本或临时禁用该插件。

📎 安全客 · 2026-05-14

HPE发布Aruba OS高危漏洞预警 可未授权重置密码 高

HPE发布安全预警，Aruba OS存在高危漏洞，攻击者可未授权重置管理员密码，从而完全控制受影响设备。该漏洞影响多个Aruba OS版本，建议用户立即应用官方补丁或采取临时缓解措施，防止网络基础设施被接管。

📎 安全客 · 2026-05-14

⚠️

风险提示

2条

智能体个人信息保护风险及应对路径 中

中国信通院发布研究报告，深入分析智能体（基于大模型的认知中枢）在自主感知、推理、执行过程中面临的个人信息保护风险。报告指出，智能体的全流程数据处理模式可能引发数据滥用、隐私泄露等新风险，建议企业建立智能体安全评估机制，加强数据最小化与权限管控。

📎 安全内参 · 2026-05-14

以CaaS 2.0重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会 中

亚数TrustAsia发布CaaS 2.0战略，聚焦后量子时代（PQC）威胁、TLS/SSL证书有效期缩短、代码签名证书管理及机器身份规模化挑战。随着数字身份爆炸式增长，企业需提前布局后量子密码迁移与自动化证书管理，以应对未来量子计算对现有加密体系的颠覆性风险。

📎 嘶吼 · 2026-05-14

✅

安全建议

5条

1

紧急：针对TanStack供应链劫持事件，立即排查所有项目依赖中是否包含受影响的42个包，并更新至安全版本；同时审查GitHub Actions工作流配置，避免pull_request_target等高风险触发机制，防止类似攻击。

2

紧急：针对AI生成零日漏洞利用工具的新威胁，建议安全团队部署AI驱动的威胁检测系统（如微软MDASH），并加强漏洞发现与响应流程，建立AI对抗AI的防御能力。

3

重要：参考水务公司数据泄露案例，立即对关键基础设施系统进行内网潜伏威胁排查，检查是否存在长期未发现的异常访问行为，并强化日志审计与入侵检测机制。

4

重要：针对Canvas入侵事件，建议教育类平台立即审查免费账户权限模型，关闭不必要的访问路径，并建立与安全研究机构的应急谈判机制，以降低勒索风险。

5

建议：关注智能体个人信息保护风险，建议企业在部署大模型应用前，进行数据安全影响评估，实施数据最小化原则，并建立智能体行为审计日志。