🏛️
数据安全早知道
2026年07月09日 · 周四
📑 Vol.283
🔒 数据安全
🛡️ 信息安全
3
监管动态
3
安全事件
3
漏洞预警
2
风险提示
📋 本期要闻速览
▸
工信部发布AI编程工具Claude Code安全后门风险提示
▸
希腊电网运营商遭电表数据大规模篡改,损失逾7000万元
▸
XWiki Platform曝路径遍历漏洞,可致服务器敏感信息泄露
▸
欧盟发布跨境数据传输合规新指引,聚焦‘自证’充分保护
▸
八部门联合发文推动工业互联网高质量发展
📋
监管动态
3条
八部门印发《关于推动工业互联网高质量发展的实施意见》
政策
工业和信息化部等八部门联合印发《关于推动工业互联网高质量发展的实施意见》。文件由工信部、发改委、人社部、应急管理部、央行、国资委、市监总局、证监会共同发布,旨在推动工业互联网在更广范围、更深层次、更高水平上实现高质量发展。该意见为工业互联网的安全、稳定运行提供了顶层政策指引,对相关行业的数据安全与网络安全防护能力建设提出了新要求。
📎 工信部 · 2026-07-09
欧盟跨境数据传输‘自证’合规新指引
政策
基于欧盟法院Schrems II判决要旨及欧洲数据保护委员会官方指引,欧盟发布了关于跨境数据传输如何‘自证’合规的最新解读。明确指出采取适当保障措施并不等同于实现了充分保护。该指引对涉及欧盟公民数据跨境流动的企业提出了更严格的合规要求,企业需准备详尽的传输影响评估(TIA)及补充措施文档,以应对监管审查。
📎 安全内参 · 2026-07-09
《工业控制系统网络安全防护能力成熟度模型》等7项国标发布
政策
国家标准化管理委员会发布了包括《工业控制系统网络安全防护能力成熟度模型》在内的7项网络安全国家标准。标准内容涵盖半导体存储介质块擦除技术、电子产品信息清除管理、移动智能终端信息清除、智能体部署使用安全指引以及政务移动互联网应用程序安全保密要求等,为企业构建系统性网络安全防护体系提供了标准化参考。
📎 安全内参 · 2026-07-09
· · ·
🚨
安全事件
3条
希腊电网运营商电表数据遭大规模非法篡改,损失逾7000万元
紧急
希腊北部打击有组织犯罪分局宣布捣毁一个长期、系统性的电表数据篡改犯罪团伙。该团伙通过技术手段大规模非法篡改希腊电网运营商的电表数据,导致运营商在电费计量和结算上遭受严重损失,初步估计经济损失超过
7000万元
人民币。此事件暴露了关键信息基础设施在计量终端数据安全防护上的薄弱环节。
📎 安全内参 · 2026-07-09
中学生利用ChatGPT恶意攻击会员系统,致知名动漫网站关停超6周
高
日本警视厅网络犯罪对策部门逮捕了一名居住在埼玉县的中学生,指控其涉嫌妨害业务罪。该少年承认利用ChatGPT优化攻击程序,对某知名动漫流媒体网站的会员系统发起恶意攻击,导致该网站被迫关停服务超过
6周
。该少年表示对服务运营商并无怨恨。此案凸显了生成式AI工具降低网络攻击门槛的现实威胁。
📎 安全内参 · 2026-07-09
工信部:关于防范AI编程工具Claude Code安全后门隐患的风险提示
紧急
工信部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,AI编程工具Claude Code存在安全后门隐患,危害严重。攻击者可利用该漏洞构造特殊URL访问Jetty实例有权限读取的任意资源,包括系统配置文件、Hibernate配置等,甚至可读取设备内存中的敏感数据,导致nsppe进程崩溃。该风险提示要求相关单位立即排查并修复。
📎 安全内参 · 2026-07-09
· · ·
🔓
漏洞预警
3条
XWiki Platform路径遍历漏洞(CVE-2026-34151)安全风险通告
高
开源Wiki平台XWiki被曝存在严重路径遍历漏洞(CVE-2026-34151)。攻击者可利用该漏洞,通过构造特殊URL访问Jetty实例有权限读取的任意资源,包括系统配置文件、Hibernate配置、XWiki配置文件乃至
/etc/passwd
等服务器敏感文件,导致敏感信息泄露。受影响用户需立即升级至安全版本。
📎 安全内参 · 2026-07-09
Linux FUSE page cache本地权限提升漏洞(CVE-2026-31694)
高
Linux内核FUSE(用户空间文件系统)组件被发现存在本地权限提升漏洞(CVE-2026-31694)。攻击者在获得本地低权限后,可利用该漏洞触发内核FUSE page cache越界写,篡改内核缓存中的敏感文件内容,从而提升至
root权限
。成功利用后可能导致系统权限被完全接管、敏感数据泄露及系统配置被篡改。
📎 安全内参 · 2026-07-09
PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行
紧急
名为‘PolyShell’的高危新型漏洞被公开披露,影响所有Magento开源版与Adobe Commerce 2系列稳定版。该漏洞核心特征为攻击者可上传多格式兼容的恶意文件,该文件既能伪装成常规图片绕过安全检测,又能解析执行后台恶意脚本后门,实现
未授权远程代码执行
。电商平台需紧急排查并应用官方补丁。
📎 嘶吼 · 2026-07-09
· · ·
⚠️
风险提示
2条
关键信息基础设施后量子密码迁移安全风险与责任重构研究
中
山东科技大学数字法治研究院研究员指出,量子计算技术的突破性发展正在动摇经典密码体系的安全根基,严重威胁承载国家安全和公共利益的关键信息基础设施(CII)安全。向后量子密码(PQC)迁移是实现CII对量子攻击主动免疫的关键,但迁移过程中存在兼容性、性能损耗及新算法自身安全风险等挑战,需重构安全责任体系。
📎 安全内参 · 2026-07-09
以科学节奏重塑网络安全意识体系,打破‘合规即可’误区
中
安全专家指出,多数企业将安全意识培训等同于合规任务,每年仅组织一次集中授课或线上答题,完全忽略人的认知规律。这种‘合规即可’的模式无法有效抵御社会工程学攻击。建议企业采用持续化、场景化的培训方式,结合钓鱼演练等实战手段,以科学节奏重塑网络安全意识体系,真正提升全员安全素养。
📎 安全内参 · 2026-07-09
· · ·
✅
安全建议
5条
1
紧急:
立即排查并隔离AI编程工具Claude Code的使用环境,按照工信部风险提示进行漏洞修复或版本升级,防止攻击者利用其后门窃取敏感数据。
2
紧急:
针对XWiki Platform路径遍历漏洞(CVE-2026-34151)和Magento PolyShell漏洞,建议相关运维团队立即更新至官方最新安全版本,并检查服务器日志是否存在异常URL访问或文件上传行为。
3
重要:
借鉴希腊电网数据篡改事件教训,建议能源、电力等关键信息基础设施运营单位加强对计量终端、数据采集系统的完整性校验和异常行为监控,防止数据被非法篡改。
4
重要:
针对中学生利用ChatGPT进行攻击的事件,建议企业重新评估AI工具在开发流程中的使用风险,并加强员工及第三方开发者的安全意识培训,防范AI辅助攻击。
5
建议:
关注欧盟跨境数据传输新指引,涉及欧盟公民数据的企业应启动传输影响评估(TIA)工作,确保合规措施不仅限于‘适当保障措施’,而是能‘自证’达到充分保护水平。
📰 数据安全早知道
数据来源:安全内参 · 工信部 · 嘶吼 · 安全脉搏
— 仅供内部参考,不构成投资或合规建议 —
数安早知道
🔗 数据安全与信息安全知识库 datasafe.website
— 点击上方链接访问知识库,获取更多安全资讯 —