Token出海背景下的数据跨境合规挑战与企业应对建议
政策
Token出海模式成为中国AI企业向海外用户提供大模型推理、生成式AI等算力服务的新商业模式,核心逻辑是算力、电力在国内,服务在全球。海外用户通过OpenRouter等平台发起调用请求,数据经跨境网络传输至中国境内数据中心,涉及数据跨境传输、个人信息保护、密码合规等多重法律风险。企业需建立完善的数据分类分级制度,落实数据出境安全评估或个人信息保护认证等合规路径,并关注目标国家数据保护法规的域外效力。
📎 安全内参 · 2026-05-17
市场监管总局发布政务服务集成式自助终端管理服务规范
政策
市场监管总局批准发布《政务服务集成式自助终端管理服务规范》(GB/T 47483—2026)国家标准。该标准为各地政务服务集成式自助终端建设提供统一标尺,推动政务服务迈向标准化、规范化、便利化。标准规定了政务服务集成式自助终端总体要求、事项管理、功能管理、服务接口、安全管理等全流程要求,明确终端在身份认证、数据加密、日志审计等方面的安全基线,有助于防范终端被篡改、信息泄露等风险。
📎 中国政府网 · 2026-05-17
衍生品交易监管升级,审慎开发结构过度复杂合约
政策
中国证监会发布《衍生品交易监督管理办法(试行)》,将于2026年11月16日起施行。该办法是衍生品行业首部部门规章,明确要求审慎开发结构过度复杂的合约,强化交易报告库建设,并对交易对手方信用风险、操作风险、系统安全提出更高要求。办法的出台将有效遏制衍生品市场中的监管套利和风险外溢,对金融机构的IT系统和数据治理能力提出新挑战。
📎 财新 · 2026-05-15
苹果硬件安全防线被破解!Mythos+人类专家5天攻破最强硬件
紧急
苹果耗资数十亿美元、从芯片底层重构的内存完整性强制执行(MIE)技术被攻破。安全团队Mythos联合人类专家在5天内成功绕过该机制,实现硬件级提权。MIE技术旨在防御内存损坏漏洞,是iOS和macOS安全体系的核心防线。此次攻破意味着攻击者可能利用该路径获取内核权限、窃取加密密钥和生物识别数据。苹果尚未发布官方回应,但业界预计将紧急推送安全更新。
📎 安全内参 · 2026-05-17
Linux Kernel ptrace本地权限提升漏洞安全风险通告
高
Linux内核ptrace组件存在本地权限提升漏洞,编号待确认。本地低权限攻击者可利用pidfd_getfd系统调用窃取高权限文件描述符,进而读取/etc/shadow、SSH主机私钥等敏感文件,实现权限提升。该漏洞影响所有主流Linux发行版,包括Ubuntu、CentOS、Debian等。建议用户立即更新内核至包含补丁的版本,并限制非授权用户的本地访问权限。
📎 安全内参 · 2026-05-17
Akamai 2.05亿美元收购AI与浏览器安全厂商LayerX
中
Akamai以2.05亿美元收购AI与浏览器安全初创公司LayerX。LayerX专注于检测和阻止员工将客户数据、源代码和合同粘贴到ChatGPT、Claude等生成式AI工具中的行为,其解决方案包括影子AI发现、生成式AI数据防泄露和浏览器安全。此次收购反映出企业对AI数据泄露风险的焦虑,以及安全厂商加速整合AI安全能力的趋势。
📎 安全内参 · 2026-05-17
国家安全部:如何安全地‘海淘’?
中
国家安全部发文提醒公众注意海淘过程中的安全风险,指出不法分子可能利用蓝牙技术漏洞非法获取个人信息甚至实施窃密行为,威胁公民隐私与国家秘密安全。文章建议消费者在购买和使用跨境智能设备时,注意固件更新、关闭非必要蓝牙功能、避免连接不明设备,并选择信誉良好的电商平台。
📎 安全内参 · 2026-05-17
Notion高危漏洞4年未修:零权限扒出用户邮箱,1亿用户隐私裸奔
紧急
独立安全研究员impulsive发现Notion存在一个高危API漏洞,攻击者无需登录、无需凭证,仅通过一个POST请求即可获取页面编辑者的姓名、邮箱和头像。该漏洞已存在4年未修复,影响Notion约1亿用户。由于Notion在企业协作中广泛使用,攻击者可利用该漏洞批量收集企业员工邮箱,用于钓鱼攻击或社工攻击。Notion官方尚未发布补丁,建议用户暂停在Notion中共享敏感信息。
📎 安全内参 · 2026-05-17
Ally WordPress插件高危SQL注入漏洞 威胁40万个网站
高
WordPress插件Ally被发现存在高危SQL注入漏洞,影响约40万个网站。攻击者可利用该漏洞在未授权的情况下执行任意SQL语句,从而窃取数据库中的用户凭证、订单信息、配置数据等敏感内容。该插件主要用于网站内容管理,漏洞CVSS评分暂未公布,但预计超过9.0。建议网站管理员立即检查并更新Ally插件至最新版本,或暂时停用该插件。
📎 安全客 · 2026-05-17
HPE发布Aruba OS高危漏洞预警 可未授权重置密码
高
HPE发布安全公告,披露Aruba OS存在高危漏洞,攻击者可在未授权的情况下远程重置设备管理员密码,进而完全控制受影响的无线控制器和接入点。该漏洞影响多个Aruba OS版本,涉及企业级无线网络基础设施。HPE已发布安全补丁,建议用户立即升级。同时,建议在补丁部署前,通过访问控制列表(ACL)限制对设备管理接口的访问。
📎 安全客 · 2026-05-17
GitLab发布紧急安全更新 修复高危XSS与API拒绝服务漏洞
高
GitLab发布紧急安全更新,修复了多个高危漏洞,包括跨站脚本(XSS)漏洞和API拒绝服务(DoS)漏洞。XSS漏洞允许攻击者在受害者浏览器中执行恶意脚本,窃取会话令牌或执行未授权操作;API DoS漏洞则可能导致GitLab服务不可用。GitLab建议所有自托管实例立即升级至最新版本,并启用Web应用防火墙(WAF)作为临时缓解措施。
📎 安全客 · 2026-05-17
提示注入之外:多Agent系统正在暴露‘授权传播’风险
高
最新研究揭示,多Agent系统面临一种超越传统提示注入的新型安全风险——授权传播。攻击者可利用Agent间的信任关系和权限委派机制,通过一个被攻陷的Agent向其他Agent传播恶意指令,实现横向移动和权限滥用。与提示注入不同,授权传播不依赖于语义伪装,而是利用系统架构中的权限继承和信任链缺陷。该风险在智能规划器、Web Agent、邮件助手等场景中尤为突出。建议企业在部署多Agent系统时,实施最小权限原则和细粒度授权审计。
📎 安全内参 · 2026-05-17
抗量子密码驱动的金融数据安全防护探索与实践
政策
晋商银行在系统分析量子计算技术给金融信息安全带来的潜在威胁的基础上,引入混合算法电子签名技术构建量子安全电子签名体系,实现了征信授权书等关键业务文档的抗量子签名。该实践为金融行业应对量子计算威胁提供了可复用的技术路径。随着NIST后量子密码标准逐步落地,金融机构需提前规划密码算法迁移,避免在量子计算成熟时出现大规模数据泄露。
📎 安全内参 · 2026-05-17
1
紧急:针对苹果MIE安全机制被攻破事件,建议所有iOS/macOS设备用户立即关注苹果官方安全更新,在补丁发布后第一时间升级;企业应暂停在受影响的苹果设备上处理高度敏感数据,并启用更强的端点检测与响应(EDR)方案。
2
紧急:针对Notion高危漏洞,建议企业立即通知员工暂停在Notion中共享包含个人身份信息(PII)或敏感商业数据的页面,并启用多因素认证(MFA)作为临时缓解措施;安全团队应监控是否有异常的数据访问行为。
3
重要:针对Linux Kernel ptrace漏洞,建议系统管理员立即检查所有Linux服务器和容器环境的内核版本,并部署官方补丁;在无法立即更新的情况下,通过限制非root用户的ptrace系统调用权限进行缓解。
4
重要:针对多Agent系统授权传播风险,建议开发团队在Agent间通信中实施严格的权限验证和审计机制,避免使用隐式信任模型;对Agent的API调用进行细粒度授权,并定期审查权限配置。
5
建议:建议金融、政务等关键行业关注抗量子密码(PQC)技术进展,参考晋商银行的实践,提前规划密码算法迁移路线图,避免在量子计算成熟时出现大规模数据泄露。