▸PostgreSQL pgcrypto堆溢出漏洞可致超级权限获取，威胁数据库安全

▸Next.js框架曝SSRF漏洞，可绕过边界防护探测内网

▸多地加油站监测系统遭入侵，工控安全再敲警钟

▸DeepSeek回应泄露质疑，特殊字符触发幻觉引隐私担忧

▸五部门联合印发纺织服装卓越品牌培育行动方案，涉及数据安全

📋

监管动态

3条

主要国家人工智能数据安全治理政策偏好与特点 政策

文章分析了全球主要国家在人工智能数据安全治理上的政策偏好。欧盟推行“监管沙盒”以平衡创新与风险，美国通过行政令协调机制促进数据流动，中国则坚持“包容审慎、分类分级”的监管理念。地缘政治竞争背景下，规则制定权成为战略焦点，各国均致力于消除人工智能研发中的数据障碍，同时强化安全保障。

📎 安全内参 · 2026-05-21

商用密码应用安全性监管平台发布 政策

安恒信息发布商用密码应用安全性监管平台，该平台将资产档案、密评管理、态势感知等密码管理单位的日常业务流程化和工具化，打造可管理、可感知、可预警、可处置的一体化密码监管平台。平台旨在促进密码监管单位联合执法部门精细化协作，已有监管态势感知实战案例全国第一的业绩。

📎 安恒信息 · 2026-05-21

五部门联合印发《纺织服装卓越品牌培育行动方案（2026—2028年）》 政策

工业和信息化部、人力资源社会保障部、市场监管总局、广电总局、国家知识产权局五部门联合印发《纺织服装卓越品牌培育行动方案（2026—2028年）》。方案旨在推动纺织服装行业品牌建设，其中涉及数据安全与知识产权保护等议题，为行业数字化转型提供政策指引。

📎 工信部 · 2026-05-21

🚨

安全事件

3条

DeepSeek泄露用户对话内容？回应：特殊字符引发幻觉 中

近期有用户反映，在DeepSeek上输入“think”字符后，模型会输出包含医学、文学等内容的“胡乱回复”，引发用户对话内容泄露的担忧。DeepSeek官方回应称，经技术团队排查，该现象系特殊字符触发模型幻觉所致，并非用户数据泄露。该事件再次引发公众对AI大模型隐私安全边界的讨论。

📎 安全内参 · 2026-05-21

多地加油站监测系统遭入侵后数据被篡改，美官员称无法溯源攻击者 高

美国多地加油站监测系统遭黑客入侵，攻击者利用自动油罐计量（ATG）系统未设置密码保护且暴露在互联网中的漏洞，篡改了油罐显示读数。尽管实际燃油储量未变，但虚假数据可能引发运营混乱。部分专家和美国官员表示，目前无法溯源攻击者，工控系统安全防护薄弱问题再次凸显。

📎 安全内参 · 2026-05-21

《人工智能应用伦理安全指引 1.0》发布 政策

网安标委秘书处发布《人工智能应用伦理安全指引 1.0》，旨在引导人工智能应用尊重人的主体地位、维护公平正义、保障合法权益、促进社会信任。该指引体现了积极稳妥、开放包容、协同共治的实践导向，为人工智能技术朝着有益、安全、公平方向发展提供了伦理框架。

📎 安全内参 · 2026-05-21

🔓

漏洞预警

4条

PostgreSQL pgcrypto堆缓冲区溢出漏洞(CVE-2026-2005)安全风险通告 紧急

PostgreSQL的pgcrypto扩展被发现存在堆缓冲区溢出漏洞（CVE-2026-2005）。攻击者可通过构造恶意PGP密文触发堆溢出，实现信息泄露、任意内存读写，进而提升至超级权限，在数据库进程内执行任意操作系统命令，窃取密钥、凭证并横向渗透内网。该漏洞影响广泛部署的PostgreSQL数据库，风险极高。

📎 安全内参 · 2026-05-21

Next.js服务器端请求伪造漏洞(CVE-2026-44578)安全风险通告 高

Next.js框架被曝存在服务器端请求伪造（SSRF）漏洞（CVE-2026-44578）。攻击者可通过构造特制的WebSocket升级请求，绕过网络边界防护，实现内网探测、敏感信息窃取以及云环境元数据服务访问。Next.js作为广泛使用的全栈Web框架，该漏洞影响大量应用。

📎 安全内参 · 2026-05-21

Linux Kernel PinTheft本地权限提升漏洞安全风险通告 高

Linux内核被发现存在PinTheft本地权限提升漏洞。本地低权限攻击者可结合io_uring固定缓冲区机制窃取页面引用计数，进而覆写SUID-root二进制程序的页缓存并植入恶意载荷，实现本地权限提升至root权限。该漏洞影响广泛使用的Linux内核，对服务器和终端设备构成严重威胁。

📎 安全内参 · 2026-05-21

PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行 紧急

名为“PolyShell”的高危漏洞被公开披露，影响所有Magento开源版与Adobe Commerce 2系列稳定版。攻击者可通过上传多格式兼容的恶意文件，该文件可伪装成常规图片绕过安全检测，同时解析执行后台恶意脚本，实现未授权远程代码执行。该漏洞对全球大量电商网站构成直接威胁。

📎 嘶吼 · 2026-05-21

⚠️

风险提示

2条

抗量子密码算法研讨会在北京召开 中

由中国密码学会密码算法专委会组织的抗量子密码算法研讨会在北京召开。会议聚焦后量子时代密码算法的研究与标准化进展，探讨如何应对量子计算对现有公钥密码体系的颠覆性威胁。同期，DEVCORE团队在相关竞赛中以50.5积分和50.5万美元赏金获得“破解之王”称号，凸显了安全攻防的激烈态势。

📎 安全内参 · 2026-05-21

以CaaS 2.0重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会 中

亚数TrustAsia在2026春季战略发布会上提出CaaS 2.0（证书即服务）理念，以应对后量子时代（PQC）威胁、TLS/SSL证书有效期缩短以及机器身份规模化管理的挑战。该战略旨在通过重构数字信任体系，帮助企业应对数字身份爆炸式增长带来的安全与管理难题。

📎 嘶吼 · 2026-05-21

✅

安全建议

4条

1

紧急：立即排查并修复PostgreSQL数据库的pgcrypto扩展（CVE-2026-2005）和Magento/Adobe Commerce系统的PolyShell漏洞。此两漏洞均可导致未授权远程代码执行或超级权限获取，建议优先升级至官方修复版本，并在修复前加强网络访问控制。

2

紧急：针对Next.js框架的SSRF漏洞（CVE-2026-44578）和Linux内核的PinTheft提权漏洞，建议安全团队立即评估受影响资产范围。对于Next.js应用，应严格校验WebSocket请求来源；对于Linux系统，请关注内核补丁发布并安排紧急更新。

3

重要：鉴于多地加油站监测系统因暴露在互联网且无密码保护而被入侵，建议所有关基工控系统运营方立即排查暴露在公网的工业控制设备，特别是自动油罐计量（ATG）等系统，实施网络隔离并强制启用身份认证。

4

建议：关注DeepSeek等AI大模型因特殊字符触发幻觉引发的隐私争议，建议企业在使用AI服务时，对模型输出内容实施审计与过滤机制，并制定用户数据泄露应急预案。同时，可参考《人工智能应用伦理安全指引1.0》完善内部AI使用规范。