▸国家网信办就分布式数字身份互通互认规定征求意见

▸美国紧急警报平台疑遭入侵，多国公共安全系统受威胁

▸FreeBSD曝高危本地提权漏洞，可覆盖不可变文件

▸欧盟《网络安全法》修订引入地缘政治风险评估

▸国家安全部揭露弹窗广告成间谍活动新渠道

📋

监管动态

4条

国家网信办《促进分布式数字身份互通互认应用规定》公开征求意见 政策

为促进分布式数字身份（DID）创新发展和互通互认，国家网信办会同有关部门起草了《促进分布式数字身份互通互认应用规定（征求意见稿）》。该规定旨在建立健全分布式数字身份公共服务体系，支撑国家区块链网络基础共性服务能力建设。此举标志着我国在去中心化身份治理领域迈出关键一步，将对数字身份安全、数据主权及跨域互信产生深远影响。公众可在规定期限内通过指定途径反馈意见。

📎 安全内参 · 2026-06-23

欧盟《网络安全法》修订（CSA2）对中国企业的影响 高

欧盟《网络安全法》修订版（CSA2）引入重大变革，首次提出“非技术风险”概念，将第三国法律制度、政府影响力及地缘政治因素纳入网络安全监管与市场准入评估。这意味着欧盟监管已从技术安全审查转向涵盖技术、法律与地缘政治的综合评估体系。对于在欧盟运营或提供ICT服务的中国企业，需重新评估供应链合规策略，应对更严格的审查与准入壁垒。

📎 安全内参 · 2026-06-23

国办发布指导意见，加强监管防范风险促进私募基金高质量发展 政策

国务院办公厅发布《关于加强监管防范风险促进私募投资基金高质量发展的指导意见》，要求做好私募基金加强监管、防范风险工作，走好中国特色金融发展之路。该意见深入贯彻党的二十大及中央金融工作会议精神，旨在通过强化监管，防范金融风险，促进私募基金行业健康有序发展，对金融数据安全与合规管理提出更高要求。

📎 中国政府网 · 2026-06-23

国家金监总局发布银行业保险业人工智能安全开发应用指导意见 政策

国家金融监督管理总局发布《关于银行业保险业人工智能安全开发应用的指导意见》，要求金融机构统筹发展与安全，推动AI应用合规、透明、可信赖。意见强调加强分类分级管理，有效应对人工智能发展带来的风险挑战，更好服务实体经济。此举为金融行业AI应用划定了安全底线，涉及模型安全、数据隐私及算法治理。

📎 安全内参 · 2026-06-23

🚨

安全事件

3条

多地用户收到虚假警告信息！某国家应急警报平台疑遭入侵后下线 紧急

网络攻击扰乱公共安全，多个国家应急警报系统疑似遭入侵。在巴西，南部巴拉那州及圣保罗、里约热内卢等主要城市手机触发“极端”级别虚假警告；此前，俄罗斯首都广播也曾播放核攻击警报引发恐慌。美国紧急警报系统亦被迫中断服务。此类事件表明，攻击者正利用公共警报系统制造社会恐慌，对关键信息基础设施的安全构成严峻挑战。

📎 安全内参 · 2026-06-23

彼得·蒂尔的美国顶级权贵地下俱乐部被曝光，222人深度隐私泄漏 高

Palantir创始人彼得·蒂尔的秘密社团Dialog遭数据泄露，瑞士黑客maia arson crimew收到匿名线报，从官网源代码中发现完整数据库。泄露文件包含222名成员的深度隐私信息，甚至包括组织内部对每个人的评分。此事件暴露了顶级精英圈层的隐秘网络，数据泄露范围之广、敏感程度之高，引发对隐私保护与权力监督的广泛关注。

📎 安全内参 · 2026-06-23

国家安全部：弹窗广告“弹”出了间谍?! 高

国家安全部披露，境外间谍情报机关正利用网络弹窗广告开展情报搜集、目标筛选和思想渗透活动。这些广告以“观看广告领取福利”等为诱饵，对国家安全构成威胁。国家安全机关已依法责令有关网络平台立即停止为不明境外链接提供广告推送服务。此事件提醒公众和企业在日常上网中需警惕看似无害的弹窗广告可能隐藏的间谍风险。

📎 安全内参 · 2026-06-23

🔓

漏洞预警

2条

FreeBSD KTLS本地权限提升漏洞(CVE-2026-45257)安全风险通告 紧急

FreeBSD内核传输层安全（KTLS）模块被曝存在本地权限提升漏洞（CVE-2026-45257）。攻击者可利用该漏洞将任意数据写入其有读权限的任何文件，包括设置了不可变标志（schg）的文件，通过覆盖setuid二进制文件（如/usr/bin/su）实现本地提权，从而获取系统最高控制权。该漏洞影响范围广泛，建议用户立即评估并升级。

📎 安全内参 · 2026-06-23

Solon框架模板漏洞深度剖析与修复实战 中

Solon，一款轻量级Java应用开发框架，被曝存在模板处理漏洞。该框架支持Beetl、FreeMarker等多种模板引擎，其灵活的渲染器映射机制成为漏洞关键点。攻击者可利用该漏洞下载项目模板并执行恶意操作。开发团队已发布修复方案，建议使用Solon框架的开发者立即更新并检查模板渲染配置，防范远程代码执行风险。

📎 安全脉搏 · 2026-06-23

⚠️

风险提示

2条

工具型Agent的多轮安全风险：一句话会拒绝，分几步就执行 高

Northeastern University、UC Berkeley等机构联合发布论文《Unsafer in Many Turns》，揭示了工具型AI Agent在多轮对话中的安全风险。研究发现，模型可能在单次交互中拒绝恶意指令，但通过多步分解的诱导方式，最终成功执行有害操作。该基准测试定义了108个有效攻击单元，对AI应用的安全设计提出了新挑战。

📎 安全内参 · 2026-06-23

美商务部发布车联网供应链最新“白名单”与豁免规则 高

美国商务部出台车联网供应链新规，首次建立“合规白名单”供应商登记机制（Approved Supplier Registry）。规则明确，车载连接系统（VCS）硬件或受控软件及其供应商需被共同列入该登记册，方可获得特定授权。此举旨在对特定供应链节点实施逐案审查与动态控制，将显著影响全球车联网供应链格局。

📎 安全内参 · 2026-06-23

✅

安全建议

4条

1

紧急：针对FreeBSD KTLS本地提权漏洞（CVE-2026-45257），建议所有FreeBSD系统管理员立即评估受影响版本，并优先部署官方安全补丁。鉴于该漏洞可覆盖不可变文件，建议在补丁生效前，限制本地用户访问权限并监控异常提权行为。

2

紧急：鉴于多国应急警报系统遭入侵事件，建议国内关键信息基础设施运营单位立即排查公共警报、广播等系统的网络安全防护措施，加强访问控制与入侵检测，防范类似社会工程攻击。

3

重要：针对欧盟CSA2修订引入的“非技术风险”评估，建议在欧盟有业务的中国ICT企业立即启动供应链合规审查，评估地缘政治因素对市场准入的影响，并调整数据本地化与安全策略。

4

建议：针对国家安全部披露的弹窗广告间谍风险，建议企业加强员工安全意识培训，部署端点安全解决方案以拦截恶意广告，并对内部网络流量进行异常检测，防范通过广告渠道的数据窃取。