▸特朗普签署AI监管行政令，拒绝过度监管，聚焦联邦网络安全与关键基础设施防御

▸HTTP/2 Bomb远程拒绝服务漏洞(CVE-2026-49975)被公开，无需认证即可致服务器瘫痪

▸Redis Lua脚本远程代码执行漏洞(CVE-2026-23631)风险通告，影响广泛部署的NoSQL数据库

▸美国专家组报告提议成立规模约3万人的独立网络部队，应对网络战新威胁

▸OpenAI发布前沿AI治理框架，将风险分为四类三级，并设四层防护

📋

监管动态

4条

特朗普政府正式发布关于人工智能监管的行政命令 政策

当地时间6月2日，美国总统特朗普正式签署名为《促进高级人工智能创新与安全》的行政令。核心目标是拒绝用过度繁琐的监管扼杀创新，同时通过政府与私营部门合作，实现信息系统现代化。命令重点加强联邦网络和关键基础设施系统的网络安全，指示国家安全系统委员会优先考虑网络防御，国防部保护自身信息系统，CISA发布指令加强联邦民用网络并加速采用AI支持的防御技术。

📎 安全内参 · 2026-06-05

OpenAI《美国联邦监管框架蓝图》概述 政策

在特朗普政府AI行政令发布后，OpenAI随即发布《联邦监管框架蓝图》，为美国政府设计了一套“三步走”路线图。OpenAI指出，美国当前最大监管问题并非缺乏规则，而是规则过于碎片化——加州、纽约州等地方政府各自立法，企业面临不同标准和合规要求。因此，OpenAI建议采取务实做法，避免从零开始，以解决碎片化问题为首要目标。

📎 安全内参 · 2026-06-05

中国对外投资迈入“全周期监管与服务”时代 政策

2026年7月1日，《国务院关于对外投资的规定》将正式施行。这是中国首次以行政法规层级，为巨量境外存量资本立规矩、搭体系、保安全。《投资新规》将过去分散在发改委、商务部、国资委等部门的规章、规范性文件加以系统整合，首次将服务、保护与反制措施等内容纳入统一框架，从而实现“合规者便利”，标志着中国对外投资进入全周期监管与服务新时代。

📎 财新 · 2026-06-05

瑞典欧洲政策研究所报告：欧盟技术主权战略面临治理现实挑战 政策

报告指出，欧盟技术主权战略面临的治理现实挑战在于：分散化的政治体系导致工业政策受制于成员国之间的政治博弈，难以基于专业判断进行高效资源分配和优先级排序。尽管IPCEI等机制正在形成更专业的治理能力，但最终决策仍需欧盟和各国政客达成共识。报告强调，欧盟推进技术自主需权衡两大核心问题，包括数据主权与市场开放之间的平衡。

📎 安全内参 · 2026-06-05

🚨

安全事件

3条

HTTP/2 Bomb远程拒绝服务漏洞(CVE-2026-49975)安全风险通告 紧急

HTTP/2 Bomb远程拒绝服务漏洞(CVE-2026-49975)被公开。攻击者可利用该漏洞，无需身份验证，通过网络直接发起攻击，造成目标服务器瘫痪、业务不可用，影响正常Web访问与服务交付。HTTP/2协议通过多路复用、头部压缩（HPACK）等技术提升性能，但该漏洞可被利用实施拒绝服务攻击，影响范围广泛。

📎 安全内参 · 2026-06-05

Redis Lua脚本远程代码执行漏洞(CVE-2026-23631)安全风险通告 紧急

Redis是一款开源高性能键值对内存数据库，广泛应用于缓存、消息队列、实时分析、会话存储等场景，是当今最流行的NoSQL数据库之一。其内置的Lua脚本引擎允许用户在服务器端执行原子性操作。漏洞CVE-2026-23631可导致远程代码执行，攻击者利用该漏洞可完全控制目标Redis服务器，影响大量部署实例。

📎 安全内参 · 2026-06-05

外国间谍软件入侵俄罗斯高官手机，俄安全局立案调查 高

一名FSB官员在声明中表示：“西方情报部门显然认为，黑进手机比在拥有国家机密的人中招募高价值线人更简单、更便宜。”该官员声称，在西方情报人员收集“有问题材料”以施压后，被渗透的俄罗斯官员被“系统性”地列入美国和欧盟的制裁名单。FSB未透露任何涉嫌被渗透的俄罗斯官员具体信息，但已立案调查。

📎 安全内参 · 2026-06-05

🔓

漏洞预警

4条

HPE发布Aruba OS高危漏洞预警 可未授权重置密码 高

HPE发布关于Aruba OS的高危漏洞预警，该漏洞可导致攻击者未授权重置密码，进而获得网络设备的控制权。Aruba OS广泛应用于企业无线网络和边缘网络设备中，该漏洞的存在可能导致整个网络基础设施面临被接管的风险。建议用户立即关注HPE官方安全公告并部署相应补丁。

📎 安全客 · 2026-06-05

Ally WordPress插件高危SQL注入漏洞 威胁40万个网站 高

Ally WordPress插件被发现存在高危SQL注入漏洞，该插件拥有超过40万个活跃安装。攻击者利用该漏洞可执行恶意SQL语句，窃取数据库中的敏感信息，包括用户凭证、个人数据等。WordPress网站管理员应立即更新插件至最新版本，以消除安全风险。

📎 安全客 · 2026-06-05

GitLab发布紧急安全更新 修复高危XSS与API拒绝服务漏洞 高

GitLab发布紧急安全更新，修复了多个高危漏洞，包括跨站脚本（XSS）和API拒绝服务漏洞。XSS漏洞可导致攻击者在用户浏览器中执行恶意脚本，窃取会话信息；API拒绝服务漏洞则可能导致GitLab服务不可用。建议所有GitLab实例管理员立即升级至最新版本，以防范潜在攻击。

📎 安全客 · 2026-06-05

Splunk修复文件预览功能中的高危RCE漏洞 高

Splunk修复了其文件预览功能中的一个高危远程代码执行（RCE）漏洞。该漏洞允许具有高权限的攻击者通过精心构造的文件，在Splunk服务器上执行任意代码。Splunk作为企业级日志管理和分析平台，其安全性至关重要。用户应尽快应用官方提供的安全补丁，以防止系统被完全控制。

📎 安全客 · 2026-06-05

⚠️

风险提示

3条

美国专家组报告提议成立规模约3万人的独立网络部队 高

由于美国国会的一项提案和美国智库一份报告，建立一支专门负责网络战的美军新军种的想法再次浮出水面。报告提议成立一支规模约3万人的独立网络部队。参议员克尔斯滕·吉利布兰德表示，战场上不断涌现的新型网络威胁日益升级，敦促美国必须改变当前做法；仅维持现状和渐进式的改进无法应对未来挑战。此举将深刻影响全球网络空间军事格局。

📎 安全内参 · 2026-06-05

苹果corecrypto密码库中的后量子密码算法实现与形式化验证蓝图 中

本期简报整合苹果公司官方发布资料，从项目落地背景、算法选型逻辑、形式化验证技术架构、实际落地成效与开源行业价值等维度梳理信息。苹果在corecrypto密码库中集成了后量子密码算法，并采用形式化验证技术确保实现正确性。这为业界提供了后量子密码落地的重要参考，标志着大型科技公司已开始为量子计算时代的密码安全做准备。

📎 安全内参 · 2026-06-05

以CaaS 2.0重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会 中

亚数TrustAsia在2026春季战略发布会上提出以CaaS 2.0（证书即服务）重构数字信任，领航后量子时代。发布会指出，后量子时代（PQC）威胁、TLS/SSL证书和代码签名证书有效期的持续缩短、以及机器身份规模化管理的挑战已如潮水般涌至企业CIO们的案头。该战略旨在帮助企业应对量子计算威胁下的证书生命周期管理难题。

📎 嘶吼 · 2026-06-05

✅

安全建议

5条

1

紧急：立即排查并修复HTTP/2 Bomb(CVE-2026-49975)和Redis Lua脚本(CVE-2026-23631)漏洞。这两个漏洞无需认证即可远程利用，影响范围极广，可能导致服务器瘫痪或完全失陷。请相关运维团队优先部署官方补丁或临时缓解措施。

2

紧急：针对HPE Aruba OS、Ally WordPress插件、GitLab及Splunk的高危漏洞，建议相关用户立即关注官方安全公告并部署更新。这些漏洞分别涉及网络设备控制权、40万网站数据安全、代码托管平台及日志分析系统的远程代码执行，风险极高。

3

重要：关注特朗普AI行政令及OpenAI监管蓝图带来的合规影响。企业应评估自身AI系统是否满足联邦网络安全新要求，并关注联邦与州层面碎片化规则带来的合规成本，提前调整安全策略。

4

重要：鉴于美国提议组建3万人独立网络部队及俄罗斯高官手机被间谍软件入侵事件，建议涉及跨境业务或关键信息基础设施的单位，加强内部人员移动设备管理与高级持续性威胁（APT）监测能力。

5

建议：参考苹果corecrypto库的后量子密码实现经验，建议有条件的组织启动密码系统迁移规划，评估现有密码体系对量子攻击的脆弱性，并关注CaaS 2.0等新型数字信任服务模式。