日前，为切实做好网络安全国家标准编制工作，鼓励更多单位切实参加到标准编制过程中，提高标准编制工作的开放性、公正性、透明性，提升标准的适用性和质量，《信息安全技术 密码模块安全要求》和《信息安全技术 工业控制系统安全管理基本要求》两项网络安全国家标准制定的牵头单位，按照《全国网络安全标准化技术委员会标准参与单位管理办法（暂行）》要求，公开征集标准的联合参编单位。

具体征集要求可访问官方通告了解：

https://mp.weixin.qq.com/s/rrTH5Fd5O4bVBlR8OpgL9w

https://mp.weixin.qq.com/s/VQujHjbgVVK8hRFDxsIxBQ

AI深度伪造名人声音用于视频带货是否侵权？带货视频的委托推广商家是否需要承担责任？近日，北京互联网法院审结一起涉AI“深度伪造”名人声音带货的人格权侵权纠纷案件，最终判决商家侵权，需赔礼道歉并赔偿损失。

原告李某某在教育、育儿领域具有一定知名度和社会影响力。2024年，原告李某某发现，被告某文化传媒有限公司在其运营的某网络平台店铺中，通过使用原告李某某的公开演讲、授课视频，并配以与原告声音高度近似的AI合成声音，对其销售的多本家庭教育类图书进行宣传推介。

法院审理认为，涉案视频使用了原告的肖像以及AI合成声音，该声音与原告本人的声音在音色、语调、发音风格上具有高度一致性，易使观看涉案视频的公众将视频中的相关内容与原告之间建立联系，可以认定一定范围内的听众能够将涉案AI合成声音与原告本人建立一一对应的联系。涉案推介视频大幅使用原告肖像、合成模拟原告的声音，未取得原告授权，因此涉案视频的发布行为构成对原告肖像权和声音权益的侵犯。

参考链接：

https://mp.weixin.qq.com/s/Ekr9UNkBYOVffeQXxzweKQ?scene=1&click_id=23

8 月 21 日消息，埃隆・马斯克（Elon Musk）所创立的 xAI 公司旗下的 Grok AI 聊天平台被曝出隐私安全问题。据《福布斯》报道，Grok 网站上已有超过 37 万条 AI 聊天记录被发布并被搜索引擎索引，这意味着这些聊天内容已经对公众开放。除了聊天记录本身，Grok 还发布了用户上传的照片、电子表格和其他文档。这不是 AI 领域第一次出现“共享 = 公开”的隐私风波。此前，OpenAI 的 ChatGPT 也曾短暂尝试过“可索引共享”功能，允许用户将对话公开并被搜索引擎收录。但当时该功能带有明确提示，并很快因隐私风险被紧急下线。相比之下，Grok 的问题更严重，它在分享时没有任何明确告知，用户往往误以为只是把对话链接发给熟人，结果却是在毫不知情的情况下将聊天记录暴露在互联网上。

参考链接：

https://mp.weixin.qq.com/s/CdDLB1Uw6IJGMaJ6NTr_zg

日前，新加坡科技设计大学的安全研究人员发布了一款开源工具，可用于发现5G移动网络中的漏洞。他们声称该工具能够进行上下行流量嗅探，并实现一种新型连接降级攻击，此外还具备“其他严重攻击手法”，但这些尚未公开。

研究人员解释道：“该工具是一个能够实时嗅探5G通信中预认证消息的框架，并可在下行通信中注入针对性攻击载荷，目标直指用户设备（UE，即手机）。”

该工具的设计原理是利用设备接入5G网络后、仍处于握手与认证阶段的时间差。研究团队指出，这种情况可能出现在进入或离开电梯、下飞机后关闭飞行模式，甚至穿过隧道或停车场时。在建立安全上下文之前（即预认证状态），5G基站（gNB）与用户设备之间交换的消息未加密。攻击者无需掌握用户设备的凭证，就能嗅探上下行流量，甚至在整个连接过程中注入不具备完整性保护的消息。

参考链接：

https://mp.weixin.qq.com/s/E8qq1_USWiG9ZKP97FsyHA?scene=1&click_id=15

微软威胁情报团队近日披露，一种名为 PipeMagic 的复杂模块化后门正被攻击者利用，并伪装成合法的开源 ChatGPT 桌面应用程序，通过零日漏洞实施针对性攻击。

调查显示，PipeMagic 与 CVE-2025-29824（Windows 公共日志文件系统 CLFS 提权漏洞）相关联。虽然目前这种攻击的规模比较有限，但零日漏洞与强大后门工具的结合，使其风险性大大增强。

PipeMagic 在攻击链中主要承担持久化与远程控制的角色，并可进一步配合勒索软件的投递。其执行链条始于一个伪装成 ChatGPT 桌面应用的恶意内存投递器。该版本被注入了恶意代码，可解密并在内存中释放隐藏的有效负载。在加载后，有效负载会激活 PipeMagic 框架，建立持久化通道，并尝试通过 CLFS 漏洞实现提权。

参考链接：

https://securityonline.info/a-chatgpt-app-is-hiding-a-backdoor-microsoft-exposes-the-pipemagic-malware/

日前，安全研究员Marek Tóth在DEF CON 33黑客大会上披露了一个针对密码管理器系统的点击劫持攻击方法，多款主流的密码管理器系统均受影响。

据介绍，该攻击的主要利用机制是在恶意或受感染的网站上运行脚本，这些网站会使用不透明度设置、覆盖或指针事件技巧来隐藏基于浏览器的密码管理器的自动填充下拉菜单。然后，攻击者会覆盖虚假的攻击元素（例如cookie横幅、弹出窗口或 CAPTCHA），以便用户的点击落在隐藏的密码管理器控件上，诱使用户输入敏感信息。

研究人员对目前较热门的六大密码管理器1Password、Bitwarden、Enpass、iCloud Passwords、LastPass和LogMeOnce系统进行了测试，发现所有基于浏览器的密码管理器都会受到该漏洞的影响，会在某些情况下出现泄露包括用户账号密码等敏感信息情况，广泛影响了4000千多万用户的账号信息安全。

参考链接：

https://cybersecuritynews.com/0-day-clickjacking-vulnerabilities/

网络安全机构Koi Security日前披露，一款名为FreeVPN.One的热门Chrome浏览器扩展，却可能会在用户毫不知情的情况下，后台秘密截取屏幕并上传至远程服务器。该插件拥有Chrome官方认证标识，目前超过10万用户安装使用。但是研究发现，它可以秘密获取敏感权限，并部署后台监控代码，绕过用户确认机制，长时间驻留用户浏览器后台执行截图与上传行为。

值得警惕的是，虽然扩展声称“仅在用户手动点击AI扫描按钮时上传截图”，但实测显示即使用户未进行任何操作，插件仍会主动记录页面内容。由于该插件会将截图数据上传至未知服务器，而非VPN服务器，进一步削弱了对数据流向的可控性。

参考链接：

https://cybersecuritynews.com/legitimate-chrome-vpn/

8月20日，电科网安(002268)公布2025年半年报，公司营业收入为4.88亿元，同比下降23.8%；归母净利润自去年同期亏损2.15亿元变为亏损1.74亿元，亏损额有所减少；扣非归母净利润自去年同期亏损2.33亿元变为亏损1.86亿元，亏损额有所减少；经营现金流净额为-8064万元，同比增长87.3%。

报告显示，公司在报告期内经营业务主要集中在密码、网络安全和数据安全三大板块，进一步加大了在密码等核心领域的研发投入，并积极布局车联网、卫星互联网等新业务，尤其是在低空经济和人工智能领域的网络安全业务。

参考链接：

https://xueqiu.com/S/SZ002268/348065302

8月19日晚，格尔软件发布2025年半年报。报告显示，公司上半年营业收入为1.16亿元，同比下降40.16%；归母净利润为-7269.14万元，同比下降44.16%；扣非归母净利润为-7991.10万元，同比下降33.85%；基本每股收益-0.31元。报告期内，格尔软件基本每股收益为-0.31元，加权平均净资产收益率为-5.25%。

公司在稍早前的投资者关系活动中曾表示，受市场竞争加剧、客户预算收紧或采购延迟等因素影响，净利润上半年亏损规模将扩大，而抗量子密码是公司目前重点布局的未来技术制高点。

参考链接：

https://m.jrj.com.cn/rss/yidianzixun/2025/8/20/52550793.shtml

据路透社报道，谷歌公司日前已同意支付 3000 万美元（约合 2.16 亿元人民币），以和解一项指控其在 YouTube 上侵犯儿童隐私的集体诉讼。

该诉讼声称，谷歌在 2013 年 7 月 1 日至 2020 年 4 月 1 日期间，收集了观看 YouTube 视频的儿童的数据。尽管此类数据收集行为在行业内较为常见，但根据《儿童在线隐私保护法》（COPPA），收集 13 岁以下儿童的数据是违法的。尽管谷歌选择和解此案，但公司方面仍然否认以上违法指控。

参考链接：

https://www.ithome.com/0/876/667.htm