▸国办发文加强私募基金监管，强调防范金融风险

▸NIST发布受控非密信息增强安全要求，影响全球供应链

▸Google Chrome V8高危漏洞(CVE-2026-11645)遭利用，可绕过沙箱

▸AI代理MCP生态暗藏攻击面，开发者服务器成新风险点

▸PolyShell漏洞影响所有Magento系统，可致未授权远程代码执行

📋

监管动态

3条

国办发布私募投资基金高质量发展指导意见，强化监管与风险防范 政策

国务院办公厅发布指导意见，要求做好私募投资基金加强监管、防范风险工作。文件强调走好中国特色金融发展之路，落实中央金融工作会议部署，旨在促进私募基金行业高质量发展。此举将影响金融科技及数据安全领域，相关企业需关注合规要求。

📎 中国政府网 · 2026-06-10

NIST发布SP 800-172r3《受控非密信息增强型安全要求》 政策

美国国家标准与技术研究院（NIST）正式发布SP 800-172r3，针对受控非密信息（CUI）提出增强型安全要求。该标准为保护非机密但敏感的信息提供了更严格的框架，对涉及跨境数据流动及供应链安全的中国企业具有重要参考和合规影响。

📎 安全内参 · 2026-06-10

特朗普国家安全备忘录：以四大支柱护航AI军事与情报应用 政策

美国国家安全备忘录提出加快AI在国家安全领域应用的四大支柱：采用、适应、治理与伙伴关系。要求国家安全机构消除部署障碍，与业界合作确保前沿模型及时可用。此举将加剧全球AI军备竞赛，并带来新的网络对抗风险。

📎 安全内参 · 2026-06-10

🚨

安全事件

4条

AI代理MCP生态暗藏攻击面：开发者服务器成新帮凶 高

研究人员揭示Model Context Protocol (MCP) 生态中的攻击向量。每天有大量开发者上传MCP服务器，这些服务器可能被攻击者植入恶意代码。AI代理在调用这些服务时，可能无意中执行攻击者指令，导致数据泄露或系统控制权旁落。该风险随着AI代理的普及而急剧放大。

📎 安全内参 · 2026-06-10

Google Chrome V8越界读写漏洞(CVE-2026-11645)遭利用 紧急

Google Chrome V8引擎存在高危越界读写漏洞（CVE-2026-11645）。攻击者可通过恶意网页触发漏洞，绕过沙箱防护实现远程代码执行，完全控制用户设备。该漏洞影响全球数十亿用户，建议立即更新Chrome浏览器至最新版本。

📎 安全内参 · 2026-06-10

美国NSA高官：AI已深度融入网络攻击初始阶段 高

美国国家安全局（NSA）网络高官指出，攻击者已在攻击初始阶段广泛使用AI，包括与社会工程学结合进行鱼叉式网络钓鱼、视频钓鱼、语音伪造及漏洞发现。AI使初始入侵更加自然高效，给网络防御带来全新挑战。

📎 安全内参 · 2026-06-10

AI刺激网络安全需求，多家网安巨头业绩超预期 中

CrowdStrike等网络安全巨头业绩超预期，CEO表示对AI的需求形成市场拐点。AI带来的新型攻击手段与防御需求，正推动网络安全成为AI生态中至关重要的组成部分。市场对AI驱动的安全解决方案需求激增。

📎 安全内参 · 2026-06-10

🔓

漏洞预警

4条

PolyShell高危漏洞：影响所有Magento系统，可致未授权远程代码执行 紧急

名为“PolyShell”的高危漏洞被公开披露，影响所有Magento开源版与Adobe Commerce 2系列。攻击者可通过上传多格式兼容的恶意文件，伪装成常规图片绕过安全检测，并解析执行后台恶意脚本，导致未授权远程代码执行。

📎 嘶吼 · 2026-06-10

GitLab紧急修复高危XSS与API拒绝服务漏洞 高

GitLab发布紧急安全更新，修复了包括高危跨站脚本（XSS）和API拒绝服务（DoS）在内的多个漏洞。攻击者可能利用这些漏洞窃取用户会话或导致服务不可用。建议所有GitLab实例管理员立即应用安全补丁。

📎 安全客 · 2026-06-10

Splunk修复文件预览功能中的高危RCE漏洞 高

Splunk官方修复了其文件预览功能中存在的一个高危远程代码执行（RCE）漏洞。具有高权限的攻击者可通过构造恶意文件，在预览时触发漏洞，从而在目标系统上执行任意代码。企业安全运维团队需尽快升级。

📎 安全客 · 2026-06-10

Ally WordPress插件高危SQL注入漏洞，威胁40万个网站 紧急

Ally WordPress插件被发现存在高危SQL注入漏洞，影响超过40万个活跃网站。攻击者可利用该漏洞未授权访问数据库，窃取用户数据或植入后门。网站管理员应立即检查并更新该插件。

📎 安全客 · 2026-06-10

⚠️

风险提示

2条

国家数据局发布《数字中国发展报告（2025年）》：AI信任呈分层特征 中

报告显示，受访者对AI大模型的信任呈明显分层特征。在低风险、非关键决策场景中充分信赖AI，但在涉及金融、法律等领域则高度审慎，愿意信任AI的受访者占比均不足两成。这提示企业在部署AI时需注意场景风险与用户信任管理。

📎 安全内参 · 2026-06-10

亚数TrustAsia发布后量子时代数字信任战略，聚焦PQC与机器身份 中

亚数TrustAsia在战略发布会上指出，后量子时代（PQC）威胁、TLS/SSL证书有效期缩短及机器身份规模化管理的挑战已迫在眉睫。企业需提前布局抗量子密码技术，以重构数字信任体系，应对未来量子计算对现有加密体系的冲击。

📎 嘶吼 · 2026-06-10

✅

安全建议

5条

1

紧急：立即升级Chrome浏览器及修复已知漏洞：针对CVE-2026-11645 Chrome V8漏洞及PolyShell Magento漏洞，建议IT部门立即启动应急响应，对所有终端Chrome浏览器进行强制升级，并对Magento系统部署官方安全补丁，防止远程代码执行攻击。

2

紧急：排查并更新GitLab、Splunk及WordPress插件：针对GitLab XSS/DoS漏洞、Splunk RCE漏洞及Ally WordPress SQL注入漏洞，要求相关系统管理员立即检查版本并应用最新安全更新，同时检查WordPress网站是否安装受影响插件，防止数据泄露与服务中断。

3

重要：评估AI代理（MCP）生态安全风险：鉴于MCP生态中开发者服务器可能成为攻击跳板，建议使用AI代理的企业对集成的第三方MCP服务进行安全审计，建立白名单机制，并监控AI代理的异常行为。

4

重要：关注NIST新标准及后量子密码迁移：NIST SP 800-172r3的发布及后量子时代威胁，要求涉及受控非密信息的企业评估现有安全控制差距，并启动密码敏捷性计划，为向抗量子密码算法迁移做好准备。

5

建议：加强员工AI社会工程学攻击防范培训：鉴于NSA指出AI已深度融入钓鱼攻击初始阶段，建议开展针对AI生成视频、语音伪造及深度伪造邮件的专项安全意识培训，提升员工对新型社会工程学攻击的辨识能力。