▸国家数研院发布《数据流通安全合规框架和指标体系1.0》

▸npm遭供应链投毒攻击，影响广泛

▸OnlyFans数据泄露疑为骗局，但风险仍存

▸AI定向注入攻击瞄准加密货币开发者

▸Solon框架模板漏洞修复实战

📋

监管动态

4条

国家数研院等发布《数据流通安全合规框架和指标体系1.0》 政策

国家数研院等机构联合发布《数据流通安全合规框架和指标体系1.0》，该框架给出了人工智能应用伦理安全理念与原则，明确了人工智能应用开发、服务提供和应用使用等安全指引。旨在为企业数据流通合规提供标准化参考，促进AI安全与数据保护协同发展。

📎 安全内参 · 2026-05-26

AI智能体的数据安全风险与合规监管研究 政策

同济大学法学院与公安部第三研究所联合发布研究报告，聚焦AI智能体（AI Agent）的数据安全风险。报告指出，AI智能体具备“感知—决策—执行”能力，在数据收集、处理、存储等环节存在隐私泄露、权限滥用等风险，建议建立全生命周期合规监管体系。

📎 安全内参 · 2026-05-26

法务在开展数据合规工作中可以使用的工具：从“功能工具”到“能力体系” 政策

文章指出，企业在数据合规落地中常面临履责记录缺失、权限管控粗放等问题，如客服可查看完整身份证号、离职员工权限未及时回收等。建议企业从单一工具转向构建精细化、动态化的合规能力体系，以应对监管检查和内部审计。

📎 安全内参 · 2026-05-26

商用密码应用安全性监管平台 政策

安恒信息推出商用密码应用安全性监管平台，将资产档案、密评管理、态势感知等密码管理单位的日常业务流程化和工具化，实现可管理、可感知、可预警、可处置的一体化密码监管，促进密码监管单位联合执法部门精细化协作。

📎 安恒信息 · 2026-05-26

🚨

安全事件

4条

7.6万美金叫卖3.4亿条数据，OnlyFans的“泄露”竟是一场骗局？ 高

威胁行为者声称拥有OnlyFans 3.4亿条用户数据，并以7.6万美金叫卖，包含邮箱、手机号、支付卡信息等。经分析，数据可能为旧数据拼凑或虚假信息，但威胁者仍可构建用户画像实施钓鱼攻击、勒索敲诈等恶意行为。Google已标记该漏洞为不予修复。

📎 安全内参 · 2026-05-26

主流JavaScript软件包管理平台npm遭供应链投毒攻击 紧急

npm平台遭遇大规模供应链投毒攻击，恶意代码通过受感染的依赖包传播。建议立即隔离风险设备，检查package.json、package-lock.json等文件，核实是否存在恶意依赖。攻击者利用npm postinstall钩子等机制隐蔽触发，影响范围广泛。

📎 安全内参 · 2026-05-26

AI定向注入攻击：加密货币窃取供应链攻击新邪招 紧急

攻击活动针对Crypto/DeFi开发者，利用各生态系统特有的执行机制（npm postinstall钩子、Python导入时执行、Rust build.rs构建脚本）实现恶意代码隐蔽触发。具有低安装量、高目标价值特征，主要瞄准Solana/Sui/Move等生态开发者，窃取加密货币资产。

📎 安全内参 · 2026-05-26

把Agent当操作系统来保护：LLM不可信，运行时才是安全内核 中

文章指出，AI Agent已从单纯聊天模型演变为访问本地文件、调用外部工具、安装第三方Skill、连接企业系统的复杂实体。传统提示注入、越狱等防护思路已不足，需将Agent运行时视为安全内核进行保护，防范工具滥用、长期记忆泄露等新风险。

📎 安全内参 · 2026-05-26

🔓

漏洞预警

4条

Ally WordPress插件高危SQL注入漏洞 威胁40万个网站 紧急

Ally WordPress插件被发现存在高危SQL注入漏洞，影响约40万个网站。攻击者可利用该漏洞未授权访问数据库，窃取敏感信息或植入恶意代码。建议用户立即更新插件至最新版本。

📎 安全客 · 2026-05-26

HPE发布Aruba OS高危漏洞预警 可未授权重置密码 紧急

HPE发布安全预警，Aruba OS存在高危漏洞，攻击者可利用该漏洞未授权重置密码，进而控制网络设备。漏洞影响多个版本，建议企业立即应用补丁或采取临时缓解措施。

📎 安全客 · 2026-05-26

GitLab发布紧急安全更新 修复高危XSS与API拒绝服务漏洞 高

GitLab发布紧急安全更新，修复了高危跨站脚本（XSS）和API拒绝服务漏洞。XSS漏洞可导致攻击者在用户浏览器中执行恶意脚本，API DoS漏洞可导致服务不可用。建议用户尽快升级至最新版本。

📎 安全客 · 2026-05-26

Splunk修复文件预览功能中的高危RCE漏洞 紧急

Splunk发布安全更新，修复了文件预览功能中的一个高危远程代码执行（RCE）漏洞。攻击者可通过精心构造的文件触发漏洞，在服务器上执行任意代码，获取系统控制权。建议用户立即应用补丁。

📎 安全客 · 2026-05-26

⚠️

风险提示

1条

以CaaS 2.0重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会圆满举行 中

亚数TrustAsia发布CaaS 2.0战略，聚焦后量子时代（PQC）威胁、TLS/SSL证书有效期缩短、机器身份规模化等挑战。随着数字身份爆炸式增长，企业需提前布局后量子密码迁移，以应对量子计算对现有加密体系的冲击。

📎 嘶吼 · 2026-05-26

✅

安全建议

4条

1

紧急：立即排查npm依赖：针对npm供应链投毒攻击和AI定向注入攻击，检查package.json、package-lock.json等文件，确认是否存在恶意依赖。隔离受感染设备，并更新至安全版本。

2

紧急：修补高危漏洞：优先对Ally WordPress插件、HPE Aruba OS、Splunk文件预览功能等漏洞应用补丁，防止未授权访问和远程代码执行。

3

重要：加强数据泄露监测：针对OnlyFans数据泄露事件，即使可能为骗局，仍需监控用户数据是否被用于钓鱼或勒索，并强化身份验证和权限管控。

4

建议：关注后量子密码迁移：参考亚数TrustAsia战略，评估现有加密体系对量子攻击的脆弱性，提前规划PQC迁移路线图。