🏛️
数据安全早知道
2026年07月12日 · 周日
📑 Vol.286 🔒 数据安全 🛡️ 信息安全
5
监管动态
3
安全事件
2
漏洞预警
1
风险提示
📋 本期要闻速览
金融业网络安全管理办法征求意见,统一监管底线
上海通管局启动人工智能安全赋能专项行动
AI智能体助黑客3天攻破跨国企业云环境
埃森哲35GB机密数据疑泄露,含源代码与密钥
Magento曝PolyShell高危漏洞可致远程代码执行
📋
监管动态
3条
统一底线与协同监管:《金融业网络安全管理办法(征求意见稿)》核心要点解析 政策
国务院金融管理部门拟在金融业层面对网络安全管理作出统一制度安排。此前,银行保险、证券期货、支付等领域的相关要求主要分布于不同监管条线和业务规则之中。本次《办法》的重要作用,在于拉齐金融业网络安全保护的基本要求,并通过监督管理协同,构建统一的监管框架。
📎 安全内参 · 2026-07-12
上海通管局印发《关于开展“铸盾模都” 2026年人工智能安全赋能专项行动的通知》 政策
专项行动重点对象为在上海市电信和互联网行业中提供人工智能服务的企业,包括自研和开发人工智能技术的企业(含大模型、智能体、具身智能等)、使用人工智能技术对外提供产品或解决方案的企业,以及上海市基础电信企业等。市通管局将组建专业支撑力量,依托“人工智能赋能安全监管”试点,指引企业落实安全主体责任。
📎 安全内参 · 2026-07-12
三类情形将被金融监管部门纳入严重失信名单 有何影响? 政策
自2026年10月起,受到行政处罚且违法违规性质特别恶劣、情节特别严重的公民、法人或者其他组织,将被纳入金融监管部门的严重失信主体名单并公示,未来三年的部分金融活动将受影响。7月10日晚间,国家金融监管总局发布《关于严重失信主体名单管理的规定(试行)》,明确了三类被纳入严重失信的具体情形。
📎 财新 · 2026-07-12
· · ·
🚨
安全事件
3条
AI重塑网络攻击!孤狼黑客3天攻破跨国企业复杂云环境 紧急
安全与事件响应公司Sygnia发布研究,介绍了一名以牟利为动机的攻击者,如何利用智能体AI工作流,加速对受害者的侦察、攻击工具开发、命令构建,并在3天内成功攻破跨国企业的复杂云环境。Anthropic年度报告也指出,AI已重塑网络攻击,漏洞利用成为最流行手段,攻击门槛被大幅拉低。
📎 安全内参 · 2026-07-12
IT咨询巨头埃森哲35GB机密数据疑泄露:涉源代码、密钥、访问凭证等 紧急
据威胁行为者声称,泄露数据包括源代码、RSA密钥、SSH密钥、Azure PAT(个人访问令牌)、AWS访问密钥等,总计约35GB。埃森哲回应称已注意到这一孤立事件并消除源头,未对运营和服务交付造成影响。该事件凸显大型IT服务商面临的供应链数据安全风险。
📎 安全内参 · 2026-07-12
美国家安全局重启精英黑客部门“特定入侵行动办公室”
美国国家安全局近日将其“计算机网络行动办公室”(CNO)正式恢复为“特定入侵行动办公室”(TAO)旧称。此举由美国国家安全局副局长蒂姆·科西巴主导,是该局新领导层调整内部架构、优化网络攻防能力的重要举措。美国国防部长已听取相关重组方案汇报,并批准该调整。
📎 安全内参 · 2026-07-12
· · ·
🔓
漏洞预警
2条
PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行 紧急
本次高危漏洞命名“PolyShell”,核心特征为攻击者上传多格式兼容恶意文件,该文件既可伪装成常规图片绕过安全检测,又能解析执行后台恶意脚本后门。该漏洞影响所有Magento开源版与Adobe Commerce 2系列稳定版本,可导致未授权远程代码执行,电商平台需立即修复。
📎 嘶吼 · 2026-07-12
用友U8cloud XChangeServlet SQL注入漏洞安全风险通告
用友U8cloud XChangeServlet存在SQL注入漏洞,危害描述为该漏洞可造成任意命令执行,攻击者可进一步获取服务器控制权限。用友U8cloud是用友网络面向成长型、集团型企业推出的云ERP产品,主要用于企业财务、供应链、生产制造等业务管理场景,该系统通常部署于企业核心网络。
📎 安全内参 · 2026-07-12
· · ·
⚠️
风险提示
1条
人工智能时代软件供应链安全风险分析与治理对策
张格(国家工业信息安全发展研究中心总工程师)指出,软件供应链是供需主体围绕软件采购、开发、交付、获取、运维和废止等全生命周期活动所形成的网链结构。在人工智能时代,从上游的研发源头到中游的集成构建,再到下游的交付运维,各个环节高度耦合、风险传导性强,AI组件的引入进一步扩大了攻击面,需建立全链条治理体系。
📎 安全内参 · 2026-07-12
· · ·
安全建议
5条
1
紧急:针对Magento电商平台,立即排查并修复PolyShell高危漏洞(影响所有Magento开源版与Adobe Commerce 2系列),防止攻击者通过上传多格式兼容恶意文件实现未授权远程代码执行。
2
紧急:检查用友U8cloud系统是否存在XChangeServlet SQL注入漏洞,该漏洞可导致任意命令执行,攻击者可能获取服务器控制权限,建议立即安装官方补丁或实施临时访问控制措施。
3
重要:关注金融业网络安全管理办法征求意见稿,相关机构应提前对标统一监管要求,特别是银行保险、证券期货、支付等条线的企业需拉齐网络安全保护基线。
4
重要:针对AI智能体攻击事件(孤狼黑客3天攻破跨国企业云环境),建议企业加强云环境访问控制与异常行为监测,部署AI驱动的安全检测工具以应对自动化攻击。
5
建议:评估埃森哲35GB数据泄露事件对供应链的影响,检查与第三方IT服务商的数据共享和访问权限管理,确保源代码、密钥、访问凭证等敏感信息不暴露于不必要的外部接口。
📰 数据安全早知道
数据来源:安全内参 · 财新 · 嘶吼 · 工信部
— 仅供内部参考,不构成投资或合规建议 —
数安早知道
🔗 数据安全与信息安全知识库 datasafe.website
— 点击上方链接访问知识库,获取更多安全资讯 —