《网络安全运维实施指南》等7项网络安全国家标准发布




工信部通报23款存在侵害用户权益行为的APP（SDK）




Gartner预测：2026年全球信息安全支出将超1.7万亿元




AWS未预警删除用户账号，开发者十年数据遭“技术性清零”




英伟达新规再惹争议，未满18岁不可设置显卡




一流行AI编程工具曝高危安全漏洞，仅一条提示就可被攻击者远控




揭秘Python生态风险，大量已知漏洞正在14.5万个包中隐秘蔓延




SonicWall VPN设备疑遭未公开零日漏洞利用攻击，打全补丁也被攻陷




微信安全中心揭秘新骗局：网购被发错商品要千万警惕

近日，国家市场监督管理总局、国家标准化管理委员会发布的2025年第19号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的7项国家标准正式发布，2026年2月1日起正式实施。标准具体内容如下：

1.GB/T 19714-2025《网络安全技术 公钥基础设施 证书管理协议》

该标准适用于公钥基础设施相关产品的研制，以及用于指导公钥基础设施相关产品的设计、开发和管理。

2.GB/T 19771-2025《网络安全技术 公钥基础设施 PKI组件最小互操作规范》

该标准适用于电子签名、电子签章、身份管理等活动中PKI的设计、开发、测试及其应用。

3.GB/T 20520-2025《网络安全技术 公钥基础设施 时间戳规范》

该标准适用于时间戳系统及其应用的设计、开发与测试。

4.GB/T 31722-2025《网络安全技术 信息安全风险管理指导》

该标准适用于所有组织，无论其类型、规模或领域。

5.GB/T 34942-2025《网络安全技术 云计算服务安全能力评估方法》

该标准适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估，也为云服务商在进行自评估时提供参考。

6.GB/T 45940-2025《网络安全技术 网络安全运维实施指南》

该标准适用于网络安全运维提供方和需求方，用于网络安全运维的实施提供指导，并为网络安全运维需求方、第三方机构对网络安全运维实施效果和网络安全运维能力进行评估提供参考。

7.GB/T 45958-2025《网络安全技术 人工智能计算平台安全框架》

该标准适用于人工智能计算平台的设计、建设、应用和运维。

原文链接：

https://mp.weixin.qq.com/s/7yTa-5zHCCF_UlbIqlKvzg

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工业和信息化部近期对APP、SDK违法违规收集使用个人信息等问题开展治理，并组织第三方检测机构进行抽查，共发现23款APP及SDK存在侵害用户权益行为：

原文链接：

https://mp.weixin.qq.com/s/PTRthMAO-mNtL5aoYgmf0A

研究机构Gartner的最新报告数据显示，预计2025年全球信息安全最终用户支出将增至2130亿美元（约合人民币1.53万亿元），高于2024年的1930亿美元（约合人民币1.385万亿元）。到2026年，这一支出预计将增长12.5%，达到2400亿美元（约合人民币1.72万亿元）。

Gartner分析师认为，安全软件将是增长最快的细分领域，这主要得益于越来越多的企业从本地部署向基于云的系统转型，但同时也引入了新的安全风险。其中，云安全态势管理和云访问安全代理成为该领域增长的主要驱动力。

参考链接：

https://mp.weixin.qq.com/s/7OHP3FuOp9bBa9yifO_mBQ

近日，一位Ruby开源社区的资深开发者Seuros遭遇了令人震惊的事件：他使用了十年的AWS账户突然被封禁，账户内的所有数据，包括跨区域备份均被亚马逊云服务完全删除。

作为一个长期遵循AWS最佳实践的用户，Seuros在AWS欧洲区域部署了多副本备份，采用了密钥与数据隔离的安全策略，并设置了灾难恢复机制。然而这些谨慎的措施，都没能抵挡AWS封号时执行的"彻底清除"操作。

事件的导火索是一个代付账单的第三方公司因FTX暴雷而失联，AWS在未给予充分申诉期的情况下，无视用户已绑定的本人支付卡，强制关闭了整个账户。目前该事件已在开发者社区引发强烈反响，有统计显示相关讨论出现后，AWS代码库迁移率出现明显上升。业内人士建议，关键业务数据应建立包括本地存储在内的三级备份体系，同时要定期验证跨云平台的灾备方案有效性。

参考链接：

https://mp.weixin.qq.com/s/DeeqmuJKaizgjdS-el8_Gw

英伟达公司日前出台了一项新公司规定，对未成年人访问显卡设置的权限进行了限制。依据新规，18岁以下的用户将无法再通过英伟达应用（Nvidia app）更改驱动程序，这意味着他们无法对显卡设置进行调整。有网友表示，此举或是为了遵循英国近期施行的《在线安全法案》。

然而，许多网友质疑该政策的真实意图，认为其并非出于保护未成年人的考虑，而是变相限制用户自由，甚至可能被用于削弱网络匿名性。部分用户指出，该限制可能不仅影响NVIDIA控制面板，还可能波及GeForce Now云游戏服务，导致未成年玩家无法自定义游戏画质或优化性能。 

参考链接：

https://mp.weixin.qq.com/s/J-43erU10M8Tyz86SrLRsA

近日，流行 AI 编程工具 Cursor 发布了 1.3 版本，修复了一个高危安全漏洞（CVE-2025-54135），CVSS 评分高达8.6。研究人员指出，攻击者只需借助一条精心构造的提示（Prompt Injection），便可远程执行任意系统命令，控制用户本地环境，甚至操控 AI 模型。

Cursor 是一款以 AI 助手为核心的开发环境，集成了本地运行的 AI 代理。为提升功能灵活性，Cursor 引入了MCP，允许代理通过自然语言接口访问外部服务，这带来了新的攻击面，一旦攻击者通过 MCP 提供恶意内容，即可控制代理逻辑，从而触发本地高权限命令。

研究人员表示，Cursor 在默认配置下拥有开发者级权限，当其连接 MCP 服务器并拉取外部数据时，若未做验证，该数据可直接劫持代理的控制流。

参考链接：

https://securityonline.info/prompt-injection-to-code-execution-cursor-code-editor-hit-by-critical-mcp-vulnerabilities-cve-2025-54135-cve-2025-54136/

Python因丰富的开源库生态系统而广受欢迎，但开发者在导入功能时往往未意识到其中的安全隐患。日前，新泽西理工学院的一项研究表明，在Python软件包生态系统中潜藏了大量的安全隐患。该研究深入分析了近38万个数据包的相互依赖关系后发现，有4,655个软件包明确要求安装已知存在漏洞的版本，另有141,044个软件包允许安装可能包含漏洞的版本。

本次研究凸显了Python生态系统的极端复杂性，包括存在超过20层传递依赖的软件包，以及100多万个循环依赖。这种深度嵌套的关系往往掩盖了漏洞组件的存在，使其在广泛传播的同时保持隐蔽。研究团队已向Python的管理者报告了研究发现，希望其尽快解决Python开源生态系统中的系统性风险。

参考链接：

https://securityonline.info/pypitfall-pythons-hidden-vulnerabilities-propagate-through-145k-packages/

Arctic Wolf Labs日前公开披露称，Akira勒索软件团伙正在利用一个尚未公开的零日漏洞攻击SonicWall SSL VPN设备，即便已打全补丁的系统也未能幸免。2025年7月下旬，研究人员监测到多起通过VPN通道实施的入侵事件，关键证据表明在部分型号的SonicWall VPN存在未公开的零日漏洞，导致了即便已启用动态口令多因素认证（TOTP MFA）且定期更换凭证的设备仍被攻陷。

研究人员指出，现有证据强烈指向零日漏洞利用的存在。因为在某些案例中，即便完成所有补丁更新的SonicWall设备在凭证轮换后仍然失守，甚至配置了完善多因素认证的账户也未能避免入侵。研究人员还观察到，从攻击者获得访问权限到启动加密的间隔极短，受影响的企业需要在内部实施防御措施。建议企业采取以下应急方案：

1、在官方补丁发布前考虑禁用SonicWall SSL VPN服务；

2、启用僵尸网络防护等安全功能

3、对所有远程访问强制实施MFA认证

4、清理闲置防火墙账户

5、阻断托管服务ASN发起的VPN认证请求（需评估业务影响）

参考链接：

https://www.helpnetsecurity.com/2025/08/04/sonicwall-firewalls-ssl-vpn-ransomware-akira/

日前，微信安全中心官方公众号发文揭秘了一种新型骗局，诈骗分子专门发错商品，让人扫二维码添加客服处理，引流诈骗。诈骗手法解析：

1、诈骗分子会事先通过网购平台开设网店，一旦有买家下单，诈骗分子便会故意发错商品或发劣质商品，诱导买家售后。

2、让买家通过扫描快递中的二维码联系“客服”进行售后，诱导受害人脱离网购平台私下沟通。

3、当买家添加“客服”后，对方便会以领取补偿为名，引导买家通过浏览器下载App，最后通过“刷单返利”“投资盈利”等利诱手段，以及“账号冻结”“法律追责”等恐吓方式，诱骗转账。

微信安全中心提醒，网购过程中如有售后需求，应全程通过网购平台联系官方客服处理，避免脱离平台。请勿轻信任何高额理赔，更不要垫资参与刷单、投资等活动，避免上当受骗。

原文链接：

https://mp.weixin.qq.com/s/PQH2cTuxB75WNzvTYwIykA