▸金融监管总局发布小微企业融资对接通知，强调数据安全与信用平台协作

▸黑客组织TeamPCP大规模污染开源代码，影响数百个工具

▸AI重塑网络攻击：漏洞利用成最流行手段，利用门槛被大幅拉低

▸cPanel WHM爆任意文件读取漏洞(CVE-2026-29205)，可root权限读取敏感数据

▸PolyShell高危漏洞影响Magento系统，可致未授权远程代码执行

📋

监管动态

2条

金融监管总局发布通知 协作开展重点领域小微企业融资对接 政策

金融监管总局发布《关于做好2026年小微企业金融服务工作的通知》，要求深化支持小微企业融资协调工作机制。依托全国一体化融资信用服务平台网络，完善常态化线上对接渠道，因地制宜组织线下集中走访活动，提升金融服务直达性、可得性。加强与行业主管部门协作，开展重点领域小微企业融资对接。推动完善跨部门联合监管，强化数据安全与隐私保护，确保企业信息在信用平台流转中的合规性。

📎 中国政府网 · 2026-05-25

商用密码应用安全性监管平台发布 强化密码全流程监管 政策

安恒信息发布商用密码应用安全性监管平台，该平台将资产档案、密评管理、态势感知等密码管理单位的日常业务流程化和工具化，打造可管理、可感知、可预警、可处置的一体化密码监管平台。平台实现对密码应用的全方位监管，促进密码监管单位联合执法部门精细化协作，监管态势感知实战案例全国第一，为后量子时代密码体系过渡提供支撑。

📎 安恒信息 · 2026-05-25

🚨

安全事件

3条

警惕：黑客组织TeamPCP正在以前所未有的规模污染开源代码 紧急

软件供应链攻击正在升级：网络犯罪组织TeamPCP已篡改数百个开源工具，通过勒索受害者获利，并在全球软件开发所依赖的整个生态系统中播下恶意代码。该组织将此前偶发的供应链攻击变成了几乎每周上演的常态，任何使用被污染开源组件的应用都可能成为入侵受害者网络的跳板，威胁级别极高。

📎 安全内参 · 2026-05-25

AI重塑网络攻击：漏洞利用成最流行手段，利用门槛被大幅拉低 高

Verizon研究人员表示，威胁行为者正借助AI加速漏洞利用，防御窗口期已从数月缩短至数小时。首次发现AI生成零日漏洞利用工具并实施网络攻击的案例，Anthropic新模型让传统网络防御失效。AI一周开发出高级恶意软件，网络犯罪一人产业链开始出现，AI主导网络安全的时代正在降临。

📎 安全内参 · 2026-05-25

当Agent进入财务和合同系统：中小企业的AI安全盲区暴露了 高

Anthropic发布Claude for Small Business，将AI推进中小企业财务系统、合同系统、客户系统和日常运营流程。然而，Agent安全防护仍停留在提示注入、越狱等传统视角，实际Agent已开始访问本地文件、调用外部工具、连接邮箱和代码仓库，中小企业缺乏运行时安全防护，安全盲区显著扩大。

📎 安全内参 · 2026-05-25

🔓

漏洞预警

4条

cPanel WHM任意文件读取漏洞(CVE-2026-29205)安全风险通告 紧急

cPanel WHM爆出高危任意文件读取漏洞(CVE-2026-29205)，攻击者可利用该漏洞，通过构造特定的文件路径参数，在无需认证的情况下以root权限读取服务器上任意文件，包括系统配置文件、数据库凭证、SSL私钥等敏感数据。cPanel WHM是全球主流Linux Web托管控制面板，影响范围广泛。

📎 安全内参 · 2026-05-25

PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行 紧急

高危漏洞“PolyShell”影响所有Magento开源版与Adobe Commerce 2系列稳定版本。核心特征为攻击者上传多格式兼容恶意文件，该文件既可伪装成常规图片绕过安全检测，又能解析执行后台恶意脚本后门，导致未授权远程代码执行。电商系统面临数据泄露、服务器沦陷等严重风险。

📎 嘶吼 · 2026-05-25

Ally WordPress插件高危SQL注入漏洞 威胁40万个网站 高

Ally WordPress插件被曝高危SQL注入漏洞，影响约40万个网站。攻击者可利用该漏洞注入恶意SQL语句，窃取数据库中的用户信息、密码哈希、配置数据等敏感内容。由于WordPress生态广泛，该漏洞可能被大规模利用，建议网站管理员立即更新插件至最新版本。

📎 安全客 · 2026-05-25

Splunk修复文件预览功能中的高危RCE漏洞 高

Splunk修复了文件预览功能中的一个高危远程代码执行(RCE)漏洞。攻击者可通过精心构造的文件触发漏洞，在目标系统上执行任意代码。Splunk作为企业级日志分析平台，被广泛用于安全运营中心(SOC)，该漏洞若被利用，可能导致整个安全监控体系被攻破。

📎 安全客 · 2026-05-25

⚠️

风险提示

1条

以CaaS 2.0重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会 中

亚数TrustAsia在2026春季战略发布会上提出以CaaS 2.0（证书即服务）重构数字信任体系，应对后量子时代（PQC）威胁。重点应对TLS/SSL证书、代码签名证书有效期持续缩短，以及机器身份规模化管理的挑战。企业需提前规划密码体系升级，以兼容传统与量子密码体系。

📎 嘶吼 · 2026-05-25

✅

安全建议

6条

1

紧急：立即排查cPanel WHM服务器是否受CVE-2026-29205影响，在官方补丁发布前，限制对WHM接口的网络访问并启用Web应用防火墙规则阻止文件路径遍历攻击。

2

紧急：针对PolyShell漏洞，所有Magento/Adobe Commerce 2系统管理员应立即检查文件上传功能，部署文件内容校验机制，并关注官方安全更新，防止恶意文件绕过检测执行远程代码。

3

紧急：检查内部软件供应链，确认是否使用了TeamPCP组织污染的开源组件，建议启用软件物料清单(SBOM)管理，并对所有开源依赖进行恶意代码扫描。

4

重要：针对AI Agent进入企业系统的趋势，建议中小企业立即建立Agent运行时安全策略，限制其访问敏感系统（财务、合同）的权限，并部署行为监控机制。

5

重要：更新Ally WordPress插件至最新版本，并检查网站日志中是否存在SQL注入攻击痕迹，同时部署数据库防火墙和输入验证机制。

6

建议：关注后量子密码体系过渡，参考亚数TrustAsia的CaaS 2.0方案，提前规划TLS/SSL证书和代码签名证书的升级路线，确保密码体系兼容性。