▸国办发文加强私募基金监管，强调数据安全与风险防范

▸Splunk Enterprise曝未授权文件操作漏洞(CVE-2026-20253)，可致远程代码执行

▸AI网关LiteLLM遭漏洞链攻击，默认账户可致全面接管

▸新韩银行因数据安全问题再被罚，时隔9个月收200多万罚单

▸公安部公布5起'银狐'木马病毒典型案例，打击网络犯罪

📋

监管动态

2条

国办发文：加强监管防范风险，促进私募投资基金高质量发展 政策

国务院办公厅发布指导意见，要求加强私募投资基金监管，防范风险，促进高质量发展。意见强调要落实中央金融工作会议部署，走好中国特色金融发展之路。其中涉及对私募基金数据安全、信息系统安全及投资者信息保护的监管要求，为金融科技与数据安全领域提供顶层政策指引。

📎 中国政府网 · 2026-06-17

特朗普签署新政令，为美国最敏感系统筑牢网络安全防线 政策

美国总统特朗普签署新政令，要求设立国家安全系统政策协调委员会，由国家安全委员会工作人员担任主席。该委员会可要求国家安全局局长对全政府范围内的国家安全系统进行网络安全状况评估，评估内容包括绩效指标。此举旨在强化美国最敏感信息系统的网络安全防护能力。

📎 安全内参 · 2026-06-17

🚨

安全事件

4条

Splunk Enterprise未授权文件操作漏洞(CVE-2026-20253)安全风险通告 紧急

Splunk Enterprise 被曝存在未授权文件操作漏洞（CVE-2026-20253）。攻击者可利用该漏洞，通过构造包含路径遍历序列的 backupFile 参数实现任意文件创建与截断，进一步可构造恶意载荷实现远程代码执行，完全控制目标服务器。该软件广泛应用于企业级大数据日志收集与检索，影响范围极大。

📎 安全内参 · 2026-06-17

AI网关LiteLLM遭漏洞链攻击，默认账户致全面接管风险 紧急

AI网关LiteLLM被发现存在严重漏洞链攻击风险。其请求路由网关将 allowed_routes 字段用于权限收缩，同时作为隐式授权依据。持有 [ /* ] 密钥的 internal_user 可访问所有管理端点和测试端点，导致全面接管风险。这是典型的字段语义被滥用问题，影响所有使用该网关的AI应用。

📎 安全内参 · 2026-06-17

时隔9个月再次因数据安全等问题被罚，新韩银行收200多万罚单 高

新韩银行（中国）因数据安全等问题再次受到监管处罚，距离上次被罚仅隔9个月，此次罚单金额超过200万元。此前该行曾因涉及针对四家银行的有限网络攻击事件导致服务中断。频繁的处罚表明金融机构在数据安全合规方面仍面临严峻挑战。

📎 安全内参 · 2026-06-17

破产也逃不掉！知名企业因数据泄露赔偿超3亿元，中国用户有望获赔 高

一家知名企业因数据泄露事件面临超过3亿元的赔偿，即使已进入破产程序也未能豁免。法庭文件显示，计划管理人选择较低和解金额以避免旷日持久的诉讼，但赔偿金额依然巨大。该案例为所有企业敲响警钟：数据泄露的法律责任不会因企业破产而消失，中国用户也有望获得赔偿。

📎 安全内参 · 2026-06-17

🔓

漏洞预警

2条

公安部网安局公布5起打击“银狐”木马病毒典型案例 高

公安机关网安部门主动出击，成功侦破系列“银狐”木马网络犯罪案件，并公布5起典型案例，包括吉林陈某制作“银狐”木马病毒案、浙江杭州纪某飞制作贩卖“银狐”木马病毒案、山东杨某非法控制计算机信息系统案等。该木马病毒主要针对企业财务人员，通过社交工程传播，实施精准诈骗。

📎 安全内参 · 2026-06-17

PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行 紧急

名为“PolyShell”的高危新型漏洞被公开披露，影响所有Magento开源版与Adobe Commerce 2系列稳定版本。该漏洞核心特征为攻击者上传多格式兼容恶意文件，可伪装成常规图片绕过安全检测，同时解析执行后台恶意脚本后门，实现未授权远程代码执行。全球数百万电商网站面临被完全控制的风险。

📎 嘶吼 · 2026-06-17

⚠️

风险提示

1条

以CaaS 2.0重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会 中

亚数TrustAsia在2026春季战略发布会上提出以CaaS 2.0重构数字信任体系，应对后量子时代（PQC）威胁。随着TLS/SSL证书、代码签名证书有效期的持续缩短，以及机器身份规模化管理的挑战日益严峻，企业CIO们需要提前布局后量子密码迁移策略，构建面向未来的数字信任基础设施。

📎 嘶吼 · 2026-06-17

✅

安全建议

5条

1

紧急：立即排查Splunk Enterprise实例，确认是否受CVE-2026-20253漏洞影响，在官方补丁发布前，建议对backupFile参数进行严格的输入验证和路径限制，并加强网络访问控制。

2

紧急：针对LiteLLM AI网关漏洞，立即审查所有internal_user账户的密钥权限，移除不必要的[ /* ]通配符权限，并对allowed_routes字段进行严格的语义检查和权限隔离。

3

重要：电商企业应立即检查Magento/Adobe Commerce系统是否受PolyShell漏洞影响，在官方补丁发布前，建议部署Web应用防火墙（WAF）并加强对上传文件的深度内容检测。

4

重要：金融机构应吸取新韩银行再次被罚的教训，全面自查数据安全合规体系，特别是针对第三方服务中断和网络攻击的应急响应机制，避免因同类问题反复受罚。

5

建议：企业应关注后量子密码（PQC）迁移趋势，参考亚数TrustAsia的CaaS 2.0框架，提前规划证书生命周期管理和机器身份治理策略，以应对未来量子计算带来的密码学威胁。