▸国办发文加强私募基金监管，防范金融风险

▸工信部发布VoidLink恶意软件风险提示，针对Linux云服务器

▸知名企业因数据泄露破产后仍需赔偿超3亿元

▸Magento系统曝PolyShell高危漏洞，可致未授权远程代码执行

▸AI智能体安全治理从输出风险转向行动风险

📋

监管动态

2条

国办发文：加强监管防范风险，促进私募投资基金高质量发展 政策

国务院办公厅发布指导意见，要求以习近平新时代中国特色社会主义思想为指导，深入贯彻党的二十大和中央金融工作会议部署，全面加强私募投资基金（私募基金）的监管与风险防范。意见强调走好中国特色金融发展之路，旨在通过强化监管促进私募基金行业高质量发展，防范系统性金融风险。

📎 中国政府网 · 2026-06-16

工信部公告载客车辆有害物质管理符合性清单（第十七批） 政策

工业和信息化部发布公告，公布《载客车辆（M1类）落实〈汽车有害物质和可回收利用率管理要求〉的符合性情况清单（第十七批）》。该清单旨在持续推动汽车行业绿色制造，确保车辆产品符合有害物质限制及可回收利用率标准，促进汽车产业可持续发展。

📎 工信部 · 2026-06-16

🚨

安全事件

4条

破产也逃不掉！知名企业因数据泄露赔偿超3亿元，中国用户有望获赔 紧急

一起重大数据泄露事件中，涉事知名企业虽已进入破产程序，但法庭文件显示，计划管理人决定采用较低和解金额以避免旷日持久的高风险诉讼。最终，该企业因数据泄露需赔偿超过3亿元。值得注意的是，中国用户也有望在此次赔偿中获得相应赔付。此案警示企业，数据安全责任不会因破产而终止。

📎 安全内参 · 2026-06-16

特朗普签署新政令，为美国最敏感系统筑牢网络安全防线 高

美国前总统特朗普签署一份新备忘录，要求设立国家安全系统政策协调委员会，由国家安全委员会工作人员担任主席。该委员会可要求国家安全局局长对全政府范围内的国家安全系统进行网络安全状况评估，评估内容包括绩效指标等。此举旨在强化美国最敏感系统的网络安全防御能力。

📎 安全内参 · 2026-06-16

工信部发布关于防范VoidLink恶意软件的风险提示 紧急

工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，VoidLink恶意软件持续活跃，主要针对云环境中的Linux服务器发起攻击。该恶意软件可造成供应链攻击、服务器被控和业务中断等严重风险。工信部建议相关单位加强监测，及时修复系统及云组件已知漏洞，防范开发工具链及容器镜像污染风险。

📎 安全内参 · 2026-06-16

AI智能体系统架构与安全治理：从输出风险到行动风险 中

安全内参发文指出，与传统的AI聊天系统不同，AI智能体能够接收事件、维持状态、调用工具并在外部环境中产生实际后果。其输入来源多样，包括定时任务、网络钩子、文件变化等。安全治理重心正从单纯的输出风险转向更复杂的行动风险，要求企业建立全新的安全控制体系以应对AI智能体带来的挑战。

📎 安全内参 · 2026-06-16

🔓

漏洞预警

4条

PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行 紧急

安全研究人员公开披露名为“PolyShell”的高危新型漏洞，该漏洞影响所有Magento开源版与Adobe Commerce 2系列稳定版。核心特征为攻击者可上传多格式兼容的恶意文件，该文件能伪装成常规图片绕过安全检测，同时解析执行后台恶意脚本，最终实现未授权远程代码执行。电商平台需立即修复。

📎 嘶吼 · 2026-06-16

Solon框架模板漏洞深度剖析与修复实战 高

Solon，一个轻量级Java应用开发框架，被曝存在模板处理漏洞。该框架支持Beetl、FreeMarker、Velocity等多种模板引擎，其灵活的渲染器映射机制成为漏洞产生的关键原因。攻击者可能利用此漏洞在服务器端执行恶意代码，影响使用相关模板引擎的Solon应用。安全脉搏提供了详细的漏洞分析与修复方案。

📎 安全脉搏 · 2026-06-16

Apache Calcite Avatica远程代码执行漏洞（CVE-2022-36364） 高

Apache Calcite Avatica JDBC驱动程序被发现存在远程代码执行漏洞（CVE-2022-36364）。该漏洞允许攻击者通过提供恶意的`httpclient_impl`连接属性来创建HTTP客户端类，从而实现远程代码执行。安全脉搏利用AI工具辅助分析，确认了漏洞版本范围及产生原因，提醒用户及时升级。

📎 安全脉搏 · 2026-06-16

pgAdmin后台命令执行漏洞（CVE-2023-5002）分析 高

pgAdmin数据库管理工具被曝存在后台命令执行漏洞（CVE-2023-5002）。分析显示，在`web/pgadmin/misc/__init__.py`的`validate_binary_path`函数中，虽然已添加`@login_required`进行权限校验，但攻击者若绕过认证，仍可能利用该漏洞在服务器上执行任意命令，对数据库安全构成严重威胁。

📎 安全脉搏 · 2026-06-16

⚠️

风险提示

1条

以CaaS 2.0重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会 中

亚数TrustAsia在2026春季战略发布会上提出以CaaS 2.0（证书即服务2.0）重构数字信任体系。面对后量子时代（PQC）的威胁、TLS/SSL证书及代码签名证书有效期持续缩短、以及机器身份规模化管理的挑战，企业CIO们需提前布局，应对数字身份爆炸式增长带来的安全风险与管理难题。

📎 嘶吼 · 2026-06-16

✅

安全建议

4条

1

紧急：立即排查并修复Magento/Adobe Commerce系统，防范PolyShell高危漏洞。该漏洞可导致未授权远程代码执行，攻击者已可利用恶意文件绕过检测，电商平台应优先升级至安全版本或部署虚拟补丁。

2

紧急：针对VoidLink恶意软件，立即对云环境中的Linux服务器进行安全自查。重点检查系统、云组件及开发工具是否存在已知漏洞，并排查容器镜像和开发工具链是否被污染，防止供应链攻击。

3

重要：关注Solon框架及Apache Calcite Avatica漏洞，开发团队应尽快评估受影响版本并应用官方补丁。同时，建议在代码开发中引入安全扫描工具，避免因模板渲染或JDBC驱动配置不当引入远程执行风险。

4

建议：鉴于AI智能体安全治理已从输出风险转向行动风险，企业应建立针对AI Agent的专项安全控制体系，包括输入验证、权限最小化及行为审计，防止智能体因调用外部工具或执行系统命令导致意外后果。