国家网信办《促进分布式数字身份互通互认应用规定》公开征求意见
政策
为促进分布式数字身份创新发展和互通互认应用,建立健全分布式数字身份公共服务体系,支撑国家区块链网络基础共性服务能力建设,国家网信办会同有关部门起草了《促进分布式数字身份互通互认应用规定(征求意见稿)》,现向社会公开征求意见。该规定旨在规范分布式数字身份的应用,推动其与现有身份体系的融合,为区块链网络提供基础服务支撑。
📎 安全内参 · 2026-06-19
国家网信办等三部门联合公布《网络数据安全风险评估办法》
政策
国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》。办法鼓励评估机构通过认证,要求评估机构公正客观地作出风险判断,并对出具的报告真实性、有效性、完整性负责。同时明确评估机构不得转委托,需在限定时间内完成评估。该办法旨在规范网络数据安全风险评估活动,提升数据安全保护水平。
📎 安全内参 · 2026-06-20
国家金监总局发布《关于银行业保险业人工智能安全开发应用的指导意见》
政策
国家金融监督管理总局发布指导意见,要求银行业保险业金融机构统筹发展和安全,推动人工智能应用合规、透明、可信赖。意见强调加强分类分级管理,有效应对人工智能发展带来的风险挑战,更好服务实体经济。这是金融行业首个针对AI安全开发的专项监管文件,对金融科技安全具有里程碑意义。
📎 安全内参 · 2026-06-19
供应商泄露上千万用户数据,甲方赔偿超2.3亿元
紧急
一起因供应商泄露上千万用户数据引发的重大安全事件中,甲方(数据控制者)被法院判决赔偿超过2.3亿元。该事件凸显了供应链数据安全管理的严峻性,即使数据泄露由第三方供应商造成,甲方作为数据控制者仍需承担巨额赔偿责任。此案为各行业敲响警钟,加强供应商安全审查和合同约束已刻不容缓。
📎 安全内参 · 2026-06-20
恶意Skill基准MalSkillBench发布:3维攻击向量,15类恶意行为
高
南洋理工大学、四川大学、南开大学等机构联合发布论文《MalSkillBench: A Runtime-Verified Benchmark》,提出一个针对AI Agent恶意Skill的基准测试集。该基准包含3维攻击向量、15类恶意行为和108个有效攻击单元,可用于评估AI系统对恶意指令的防御能力。随着AI Agent的普及,此类基准对提升AI安全至关重要。
📎 安全内参 · 2026-06-19
Solon框架模板漏洞深度剖析与修复实战
高
安全研究人员披露了Solon框架的模板注入漏洞。Solon是一个轻量级Java开发框架,支持Beetl、FreeMarker、Velocity等多种模板引擎。漏洞源于其灵活的渲染器映射机制,攻击者可利用该漏洞实现远程代码执行。建议使用Solon框架的开发者立即检查版本并应用官方补丁,同时限制对模板引擎的未授权访问。
📎 安全脉搏 · 2026-06-20
Mongoose搜索注入漏洞分析
高
Mongoose(Node.js MongoDB对象建模工具)被发现存在搜索注入漏洞。漏洞源于对$where运算符的不当处理,攻击者可通过构造恶意查询条件实现注入攻击,可能导致数据泄露或未授权操作。建议开发者避免在用户输入中直接使用$where运算符,或升级至已修复版本。
📎 安全脉搏 · 2026-06-19
Apache Calcite Avatica远程代码执行漏洞(CVE-2022-36364)
紧急
Apache Calcite Avatica JDBC驱动程序存在远程代码执行漏洞(CVE-2022-36364)。攻击者可通过httpclient_impl连接属性提供恶意类名,触发远程代码执行。该漏洞影响范围广泛,建议使用Apache Calcite Avatica的组织立即升级至安全版本,并严格限制JDBC连接参数。
📎 安全脉搏 · 2026-06-18
1
紧急:针对Apache Calcite Avatica远程代码执行漏洞(CVE-2022-36364),建议所有使用该组件的组织立即进行版本排查,升级至修复版本,并临时限制JDBC连接参数中的httpclient_impl属性,防止被利用。
2
紧急:针对供应商泄露千万用户数据赔偿超2.3亿元事件,建议各企业立即启动供应链数据安全专项审查,重新评估与供应商的数据处理协议,明确数据泄露的赔偿责任条款,并加强第三方安全审计。
3
重要:针对Solon框架模板漏洞和Mongoose搜索注入漏洞,建议相关开发团队立即检查应用版本,实施输入验证和输出编码,避免在用户输入中直接使用危险运算符或模板引擎。
4
建议:针对国家金监总局AI安全开发应用指导意见,建议金融机构和科技企业对照文件要求,完善内部AI开发安全规范,建立AI应用分类分级管理机制,并开展合规性自查。