▸OpenAI遭供应链攻击，敏感密钥与证书泄露

▸Next.js、PostgreSQL、Windows内核等多款核心软件曝高危漏洞

▸Cloudflare实测AI漏洞审计工具Mythos，安全研究自动化趋势加速

▸Linus Torvalds公开批评AI生成漏洞报告泛滥，Linux安全列表不堪重负

▸抗量子密码算法研讨会召开，后量子时代安全迁移成焦点

📋

监管动态

2条

市场监管总局明确34项重点工作，加力护航民营经济发展壮大 政策

国家市场监督管理总局近日印发《市场监管部门促进民营经济发展壮大2026年工作要点》，提出34项重点工作任务，坚持监管规范与促进发展并重，持续营造公平竞争环境、创新监管治理方式、提升发展服务能力。此举旨在以更优环境、更实举措、更强支撑，推动民营经济高质量发展，对信息安全行业而言，意味着面向民营企业的合规与安全服务需求将随之增长。

📎 中国政府网 · 2026-05-17

《人工智能应用伦理安全指引 1.0》发布 政策

网安标委秘书处发布《人工智能应用伦理安全指引 1.0》，旨在引导人工智能应用尊重人的主体地位、维护公平正义、保障合法权益、促进社会信任。该指引体现了人工智能治理坚持积极稳妥、开放包容、协同共治的实践导向，为AI安全治理提供了权威的伦理框架，对AI应用的安全开发与部署具有重要指导意义。

📎 安全内参 · 2026-05-20

🚨

安全事件

3条

OpenAI再遭供应链攻击，敏感密钥和证书泄露 紧急

OpenAI近日披露一起供应链安全事件，攻击者从其内部代码仓库中窃取了有限的凭证材料，包括敏感密钥和证书。该公司表示，没有其他信息或代码受到影响。此前，ChatGPT Operator已遭提示注入攻击，可导致用户敏感信息泄露。此次事件再次敲响AI供应链安全的警钟，凸显了代码仓库与凭证管理的严峻挑战。

📎 安全内参 · 2026-05-20

多地加油站监测系统遭入侵后数据被篡改，美官员称无法溯源攻击者 高

据消息人士透露，黑客利用自动油罐计量（ATG）系统未设置密码保护且暴露在互联网中的漏洞，入侵了多地加油站的监测系统，并篡改油罐显示读数。尽管实际燃油储量未变，但数据篡改行为已对运营安全构成威胁。部分专家和美国官员表示，目前尚无法溯源攻击者，这暴露了关键基础设施工控系统在基础安全防护上的严重缺失。

📎 安全内参 · 2026-05-20

Linus Torvalds点名AI漏洞报告：Linux安全列表已被挤爆 中

Linux内核创始人Linus Torvalds在邮件列表中公开抱怨，持续涌入的AI生成的漏洞报告已经让Linux的安全列表几乎不可管理。他指出，一群人使用相同工具发现相同问题，并将大量重复报告塞入同一安全通道，导致安全团队需要一遍遍回复，严重干扰了正常的安全工作流程。这一事件凸显了AI工具在安全研究中的双刃剑效应。

📎 安全内参 · 2026-05-20

🔓

漏洞预警

4条

Next.js服务器端请求伪造漏洞(CVE-2026-44578)安全风险通告 紧急

Next.js被曝存在服务器端请求伪造（SSRF）漏洞（CVE-2026-44578）。攻击者可通过构造特制的WebSocket升级请求绕过网络边界防护，实现内网探测、敏感信息窃取以及云环境元数据服务访问等恶意行为。Next.js作为基于React的全栈Web应用开发框架，用户量巨大，建议所有使用该框架的团队立即评估并修复。

📎 安全内参 · 2026-05-20

PostgreSQL pgcrypto堆缓冲区溢出漏洞(CVE-2026-2005)安全风险通告 紧急

PostgreSQL的pgcrypto扩展被发现存在堆缓冲区溢出漏洞（CVE-2026-2005）。攻击者通过构造恶意PGP密文，可触发堆溢出，实现信息泄露、任意内存读写，进而提升至超级权限，在数据库进程内执行任意操作系统命令，窃取密钥、凭证并横向渗透内网。该漏洞影响广泛，风险极高，需立即升级。

📎 安全内参 · 2026-05-20

Windows内核权限提升漏洞(CVE-2026-40369)安全风险通告 紧急

Windows操作系统被曝存在内核权限提升漏洞（CVE-2026-40369）。低权限本地攻击者可利用此漏洞，构造恶意参数调用NtQuerySystemInformation，绕过ProbeForWrite校验，实现任意内核地址增量写入，成功利用后可直接获取系统最高权限，或触发内核空指针解引用导致系统蓝屏崩溃。

📎 安全内参 · 2026-05-20

PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行 高

名为“PolyShell”的高危新型漏洞被公开披露，该漏洞影响所有Magento开源版与Adobe Commerce 2系列稳定版本。核心特征为攻击者可上传多格式兼容的恶意文件，该文件既可伪装成常规图片绕过安全检测，又能解析执行后台恶意脚本后门，实现未授权远程代码执行。使用Magento的电商平台面临严重威胁。

📎 嘶吼 · 2026-05-20

⚠️

风险提示

2条

抗量子密码算法研讨会在北京召开 政策

由中国密码学会密码算法专委会组织的抗量子密码算法研讨会在北京召开。会议聚焦后量子时代密码算法的研究与迁移路径，旨在应对量子计算对现有公钥密码体系的颠覆性威胁。当前，业界正加速推进PQC标准化与部署，本次会议为国内相关领域的技术交流与战略规划提供了重要平台。

📎 安全内参 · 2026-05-20

以CaaS 2.0重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会 中

亚数TrustAsia在2026春季战略发布会上提出以CaaS 2.0（证书即服务）重构数字信任，重点应对后量子时代（PQC）威胁、TLS/SSL证书与代码签名证书有效期持续缩短、以及机器身份规模化管理的挑战。此举反映了行业为应对量子计算威胁和日益严格的合规要求，正在加速证书生命周期管理的自动化与智能化转型。

📎 嘶吼 · 2026-05-20

✅

安全建议

3条

1

紧急：立即排查并修复Next.js SSRF漏洞(CVE-2026-44578)、PostgreSQL pgcrypto堆溢出漏洞(CVE-2026-2005)及Windows内核提权漏洞(CVE-2026-40369)。同时，针对OpenAI供应链泄露事件，全面审查内部代码仓库与凭证管理策略，启用多因素认证并轮换所有敏感密钥。

2

重要：针对加油站监测系统被入侵事件，立即排查所有暴露在公网的工控系统（如ATG系统），确保已设置强密码并关闭非必要端口。同时，为使用Magento/Adobe Commerce的电商平台部署针对“PolyShell”漏洞的虚拟补丁或升级包。

3

建议：关注Linus Torvalds对AI漏洞报告泛滥的批评，建议内部安全团队建立AI报告审核机制，避免重复劳动。同时，参考《人工智能应用伦理安全指引 1.0》及抗量子密码研讨会精神，启动AI应用安全评估与后量子密码迁移规划。