▸国务院令第834号落地，软件供应链安全成企业合规义务

▸Sorry勒索软件深度分析：工程化程度高，五一假期或现攻击高峰

▸PolyShell高危漏洞影响所有Magento系统，可致未授权远程代码执行

▸OpenClaw生态安全事件：从RCE漏洞到Skill供应链投毒

▸RSAC 2026释放重大信号：AI驱动威胁倒逼安全行动

📋

监管动态

2条

国务院令第834号已落地：软件供应链安全，企业欠缺的不是工具，是这三件事 政策

国务院令第834号已正式落地，其中第九条要求建立“关键领域产业链供应链安全风险监测预警制度”，企业发现安全风险须向主管部门报告。这标志着软件供应链安全已从“安全团队关心的事”升级为“企业合规义务”，效力覆盖所有行业。文章指出，企业当前最欠缺的不是安全工具，而是风险监测预警机制、合规报告流程、以及跨部门协同治理能力。

📎 安全客 · 2026-06-18

国办关于加强监管防范风险促进私募投资基金高质量发展的指导意见 政策

国务院办公厅发布指导意见，要求加强私募投资基金监管、防范风险，促进高质量发展。意见强调落实中央金融工作会议部署，走好中国特色金融发展之路。虽然主要针对私募基金行业，但其中关于数据安全、投资者信息保护等要求，对从事金融科技、资产管理等领域的网络安全企业具有重要合规参考价值。

📎 中国政府网 · 2026-06-18

🚨

安全事件

3条

深度分析Sorry勒索软件的加密实现与行为特征 紧急

安全研究人员对Sorry勒索软件最新变种进行了深度技术分析，发现其具备完整的工程化实现，整体完成度较高。该变种在周末假期期间尤为活跃，建议安全厂商将其列为中高危等级勒索事件，启动分级响应流程。分析指出，需对五一假期期间可能出现的新一轮攻击高峰做好安全防护预案。

📎 安全客 · 2026-06-18

当分公司突遭漏洞通报……如何揪出安全管理“暗礁”？ 高

文章以企业分公司突遭漏洞通报为切入点，揭示了大型组织在安全管理中普遍存在的“暗礁”问题：总部安全策略在分支机构的落地执行存在严重偏差，导致安全盲区。通过真实案例复盘，展示了从漏洞发现、通报到根因分析的完整过程，指出分支机构的安全管理薄弱环节往往是整体安全体系的致命短板。

📎 安全客 · 2026-06-18

重大安全信号藏在这场国际会议的“行动指南”里 高

RSAC 2026大会在旧金山落幕，核心信号为“Action”。大会主题“社区的力量始于你”背后，涌动着AI驱动的威胁正以远超人类反应速度的方式演进的冷峻紧迫感。会议指出，安全行业必须从被动防御转向主动行动，利用AI技术实现自动化威胁响应和智能化安全运营，以应对日益复杂的网络攻击。

📎 安全客 · 2026-06-18

🔓

漏洞预警

4条

PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行 紧急

名为“PolyShell”的高危新型漏洞被公开披露，影响所有Magento开源版与Adobe Commerce 2系列稳定版本。该漏洞核心特征为攻击者可上传多格式兼容恶意文件，既能伪装成常规图片绕过安全检测，又能解析执行后台恶意脚本后门，实现未授权远程代码执行。使用Magento系统的电商企业面临严重安全风险，需立即采取修复措施。

📎 嘶吼 · 2026-06-18

OpenClaw近期生态安全事件解读：从RCE漏洞到Skill供应链投毒分析 高

文章对OpenClaw生态近期发生的四起安全事件进行技术剖析，包括RCE漏洞和Skill供应链投毒。分析指出，Moltbook等应用采用Supabase作为后端即服务平台，虽然前端包含公共匿名密钥是标准做法，但若后端未实施行级安全策略，将导致严重数据泄露风险。该事件揭示了AI应用生态中供应链安全的薄弱环节。

📎 嘶吼 · 2026-06-18

Solon框架模板漏洞深度剖析与修复实战 中

Solon轻量级Java开发框架被发现存在模板处理漏洞，原因在于其灵活的渲染器映射机制。该漏洞影响Beetl、FreeMarker、Velocity等多种模板引擎。攻击者可利用该漏洞实现模板注入攻击，进而执行恶意代码。文章提供了详细的漏洞复现步骤和修复方案，建议使用Solon框架的开发者立即升级或应用安全补丁。

📎 安全脉搏 · 2026-06-18

Mongoose搜索注入漏洞分析 中

Mongoose，作为Node.js的MongoDB对象建模工具，被发现存在搜索注入漏洞。漏洞根源在于$where运算符的使用不当，攻击者可利用该漏洞进行NoSQL注入攻击，绕过认证或窃取敏感数据。文章详细分析了漏洞原理，并提供了修复建议，建议开发者避免在用户输入中直接使用$where运算符，或实施严格的输入验证。

📎 安全脉搏 · 2026-06-18

⚠️

风险提示

1条

以 CaaS 2.0 重构数字信任，领航后量子时代——亚数TrustAsia 2026春季战略发布会 中

亚数TrustAsia在2026春季战略发布会上提出CaaS 2.0战略，聚焦后量子时代（PQC）威胁下的数字信任重构。发布会指出，企业正面临TLS/SSL证书、代码签名证书有效期持续缩短、以及机器身份规模化管理的挑战。随着量子计算威胁日益临近，企业需提前布局后量子密码学迁移，确保数字身份体系的安全性。

📎 嘶吼 · 2026-06-18

✅

安全建议

5条

1

紧急：针对PolyShell高危漏洞（影响所有Magento/Adobe Commerce系统），建议电商企业立即排查系统版本，部署官方安全补丁，并在Web应用防火墙中添加针对多格式恶意文件上传的检测规则，防止未授权远程代码执行。

2

紧急：鉴于Sorry勒索软件变种工程化程度高且周末活跃，建议企业立即启动勒索软件应急响应预案，加强终端检测与响应（EDR）监控，重点防范五一假期期间可能出现的攻击高峰，并确保离线备份的完整性。

3

重要：根据国务院令第834号要求，企业应尽快建立软件供应链安全风险监测预警制度，明确风险发现后的报告流程，并组织跨部门（安全、法务、采购）专项会议，将合规义务转化为具体的安全治理行动。

4

重要：针对OpenClaw生态供应链投毒事件，建议使用AI应用开发框架的企业立即审计第三方Skill/插件的来源和权限，实施最小权限原则，并对后端服务（如Supabase）启用行级安全策略，防止因前端密钥泄露导致的数据泄露。

5

建议：结合RSAC 2026释放的“Action”信号，建议安全团队评估现有安全运营流程，探索引入AI驱动的自动化威胁响应工具，以缩小AI威胁演进速度与人工响应能力之间的差距。