▸俄罗斯升级数据本地化监管，游戏公司批量被起诉

▸国家药监局发布《处方药网络零售合规指南》

▸越南两个部委系统发生严重数据泄露，数百万用户受影响

▸欧盟GDPR对Meta再罚4.3亿欧元，凸显“一案多查”趋势

▸NGINX与LiteLLM曝高危漏洞，需紧急修复

📋

监管动态

3条

俄罗斯升级数据本地化监管，游戏公司批量被起诉 政策

俄罗斯通信监管机构Roskomnadzor近期对七家境外大型游戏公司提起七起诉讼，依据《俄罗斯联邦行政违法法典》指控其违反数据本地化要求。此举标志着俄方对跨境数据流动的监管进一步收紧，所有在俄运营的境外企业均面临数据存储与处理的合规风险。该事件为中国出海企业敲响警钟，需立即评估在俄业务的数据本地化合规状态。

📎 安全内参 · 2026-05-28

国家药监局发布《处方药网络零售合规指南》 政策

国家药监局综合司25日发布《处方药网络零售合规指南》，要求平台建立健全药品网络销售质量管理体系，规范处方流转与审核流程，并真实、准确、合法展示药品信息。该指南旨在保障网络零售药品质量安全，明确平台主体责任，对医药电商及第三方平台的数据安全与合规管理提出更高要求。

📎 中国政府网 · 2026-05-25

市监总局认定立讯收购闻泰资产案不具垄断特征，从轻处罚90万元 政策

市场监管总局5月27日公告，因立讯精密收购闻泰科技部分业务违反《反垄断法》实施经营者集中，作出行政处罚决定。考虑到立讯精密主动报告违法事实并完善反垄断合规管理制度，从轻处罚90万元。此案凸显企业在并购交易中履行反垄断申报义务的重要性，合规管理能力可显著影响处罚力度。

📎 财新 · 2026-05-27

🚨

安全事件

3条

越南两个部委系统发生严重数据泄露，数百万用户受影响 紧急

据越南国家网络安全中心（VNCERT）通报，黑客已渗透进入存有数百万用户记录的部委系统。调查显示，恶意活动可能通过伪装成普通用户行为混入。VNCERT指出，该事件暴露出越南各组织面临合格网络安全人才严重短缺的问题，预计近期将公布调查结论。

📎 安全内参 · 2026-05-28

欧盟GDPR对数据违规“一案多查”，Meta又被罚4.3亿欧元 高

欧盟监管机构依据GDPR对Meta开出4.3亿欧元罚单，此次处罚体现了“一案多查”的执法趋势：当用户投诉A事项时，数据保护机构（DPA）可同步查出企业遵守GDPR的其他问题并一并处罚。该案例警示跨国企业，GDPR合规审计需覆盖全链条，单一违规可能引发系统性追责。

📎 安全内参 · 2026-05-28

Evelyn Stealer恶意软件持续活跃，主要攻击开发者群体 高

工信部CSTIS监测发现，Evelyn Stealer恶意软件持续活跃，主要攻击目标为开发者群体。该恶意程序借助Visual Studio Code等开发工具传播，可导致敏感信息泄露、系统受控等风险。建议开发者立即检查开发环境，避免使用来源不明的扩展和插件。

📎 安全内参 · 2026-05-28

🔓

漏洞预警

3条

NGINX ngx_http_rewrite_module堆缓冲区溢出漏洞(CVE-2026-9256) 紧急

NGINX ngx_http_rewrite_module存在堆缓冲区溢出漏洞（CVE-2026-9256）。未经身份认证的攻击者可通过发送构造的HTTP请求触发漏洞，造成Worker进程崩溃，在ASLR被禁用或被绕过的情况下，可能实现任意代码执行。建议所有使用NGINX的机构立即评估并更新至安全版本。

📎 安全内参 · 2026-05-28

LiteLLM权限提升漏洞(CVE-2026-47101) 紧急

LiteLLM（开源大语言模型统一接入网关）被曝存在权限提升漏洞（CVE-2026-47101）。攻击者可通过构造包含管理员专属路由的API密钥，将普通内部用户权限提升至管理员，完全接管代理服务器管理权限。使用LiteLLM的企业应立即升级补丁，并审查API密钥权限配置。

📎 安全内参 · 2026-05-28

AI助手类应用通杀漏洞：间接提示注入可窃取企业敏感数据 高

研究人员发现Microsoft 365 Copilot Cowork功能存在严重安全威胁，攻击者可通过间接提示注入（indirect prompt injection）实现文件窃取。漏洞根源在于系统设计缺陷，攻击者能利用AI助手处理外部数据时的信任边界，绕过权限控制窃取企业敏感信息。建议企业限制AI助手的文件访问范围。

📎 安全内参 · 2026-05-28

⚠️

风险提示

1条

以CaaS 2.0重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会 中

亚数TrustAsia在2026春季战略发布会上提出，随着后量子时代（PQC）威胁临近、TLS/SSL证书及代码签名证书有效期持续缩短、机器身份规模化管理的挑战加剧，企业需以CaaS 2.0（证书即服务）重构数字信任体系。该趋势提示企业应提前规划后量子密码迁移与自动化证书生命周期管理策略。

📎 嘶吼 · 2026-05-28

✅

安全建议

5条

1

紧急：立即修复NGINX（CVE-2026-9256）和LiteLLM（CVE-2026-47101）高危漏洞，特别是面向公网的NGINX服务器和AI网关服务，防止被远程代码执行或权限提升攻击。

2

紧急：针对Evelyn Stealer恶意软件持续攻击开发者群体，立即排查开发环境中的Visual Studio Code扩展和插件，禁用来源不明的组件，并检查是否存在异常进程或数据外传行为。

3

重要：评估俄罗斯数据本地化监管升级对出海业务的影响，特别是游戏、社交等涉及用户数据的行业，需确保在俄数据存储和处理符合Roskomnadzor要求，避免法律诉讼风险。

4

重要：参考Meta被罚4.3亿欧元案例，全面审查GDPR合规体系，建立跨数据使用场景的内部审计机制，防范“一案多查”带来的系统性处罚风险。

5

建议：关注后量子密码迁移趋势，参考亚数TrustAsia的CaaS 2.0框架，提前规划证书生命周期自动化管理，以应对证书有效期缩短和PQC算法升级的挑战。