index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
本期网络安全资讯聚焦多项重要进展。中国《网络安全法》迎来重大修订,将人工智能纳入监管,并新增境外威胁反制措施。抖音副总裁探讨AI谣言治理,强调技术与共治结合。OpenAI发布GPT开源安全模型以平衡创新与安全。Python基金会拒绝政府拨款以维护独立性。Agentic AI面临间接提示注入的新型威胁。Apache Tomcat被曝高危漏洞。新型Android木马Herodotus具备模仿用户输入习惯窃取网银信息的能力。npm发现伪装成开发工具的恶意软件包。国际学生遭遇签证状态诈骗增多。律师因使用AI生成虚假案例被法院批评。这些事件反映了当前网络安全领域法律法规的完善、新兴技术的风险以及针对个人和组织的多种威胁。
🏛️ 《网络安全法》重大修订:明确党的领导,强化AI监管,提升违法成本,新增境外反制措施,完善网络空间治理的法治基础。
🤖 AI谣言治理新思路:抖音强调利用AI技术识别和处置谣言,推出内容规范和辟谣功能,并倡导技术与社会共治相结合。
🛡️ OpenAI开源安全模型:旨在降低GPT模型滥用风险,通过分层防护体系,在保障技术开放性的同时,提升对恶意输出的拦截能力,或将成为行业标准。
🐍 Python基金会坚守独立性:拒绝政府拨款,强调多元化资金来源,以开发者需求为核心,维护开源治理的中立性,为其他开源社区提供借鉴。
🦠 新型Android木马Herodotus:利用辅助功能窃取2FA验证码,模拟人类输入习惯入侵网银,绕过风控检测,威胁用户财产安全。
2025-10-30 12:07 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览 《网络安全法》迎来最大修订:人工智能纳入监管,境外威胁可冻结财产抖音副总裁李亮谈AI谣言治理:技术工具与全民共治并行CNNVD关于Apache Tomcat安全漏洞的通报伪装成开发工具的“毒包”:npm恶意软件威胁三大操作系统OpenAI推GPT开源安全模型,平衡创新与风险Python基金会拒绝美国政府用于安全改进的专项拨款AI智能体可通过简单网页搜索泄露公司数据国际学生遭遇签证状态诈骗律师频频被AI挖坑,提交虚假司法案例留下职业污点新型 Android 木马 Herodotus 曝光:可模仿用户输入习惯,侵入网银等窃取钱财特别关注《网络安全法》迎来最大修订:人工智能纳入监管,境外威胁可冻结财产2025年10月28日,十四届全国人大常委会第十八次会议通过《网络安全法》修订决定。修订于2026年1月1日施行,核心变化有5点: 明确网络安全工作必须坚持中国共产党的领导,全面贯彻总体国家安全观;新增关于人工智能安全治理的专门条款,在支持技术研发应用的同时,强化安全监管要求;大幅提高违法行为的法律责任,将关键信息基础设施运营者的罚款上限提升至千万元,对个人的罚款上限提高至百万元,并新增包括责令关闭应用程序等在内的行政处罚措施;优化法律条文体系,对处罚条款进行整合,进一步增强与《个人信息保护法》的制度衔接,同时引入柔性执法机制,提升执法的科学性与适应性;增设针对境外危害我国网络安全行为的反制措施,包括对相关组织机构及个人依法采取冻结财产等制裁手段。此次法律修订在统筹发展与安全的基础上,清晰划定企业合规红线,进一步完善了我国网络空间治理的法治基础,为建设网络强国提供坚实的制度保障。原文链接:https://www.secrss.com/articles/84459热点观察抖音副总裁李亮谈AI谣言治理:技术工具与全民共治并行抖音集团副总裁李亮近日就AI生成虚假信息现象发表观点,指出人工智能技术虽在一定程度上降低了谣言的制造门槛,但平台正积极运用AI技术构建更高效的治理体系。为此,抖音发布《AI生成内容规范》,明确要求创作者对AI生成内容进行显著标识,以增强信息透明度。同时,平台创新性地推出"AI抖音求真"功能,用户可通过视频挂载的辟谣链接,快速获取权威事实核查信息。在技术层面,抖音基于大模型研发了智能谣言治理系统,该系统能够实时检索全网权威信源,主动识别并处置不实信息,显著提升辟谣的精准度和响应速度。李亮强调,技术工具并非万能,根治谣言需要媒体、政府机构与广大用户的协同参与,形成"技术+共治"的治理生态。原文链接:https://mp.weixin.qq.com/s/CRTBHso-HDqSeiHrC__GFQ?poc_token=HInPAmmjXOI7cXgvO3xb_-R1Z-dKHmJIONj5Vfo_OpenAI推GPT开源安全模型,平衡创新与风险OpenAI 近期推出了一套创新性的安全防护模型(safeguard models),旨在应对开源 GPT 模型可能引发的潜在风险,为开发者在开源创新与安全合规之间搭建平衡的桥梁。该方案的核心在于将一系列“安全模型”(涵盖内容过滤、行为监控等关键模块)深度嵌入开源生态系统。在充分保障技术开放性的同时,这些模型能够凭借先进的算法机制,主动且精准地识别并拦截高风险输出,诸如恶意代码、虚假信息等威胁。从技术细节来看,它们基于强化学习进行优化,具备高度的灵活性与适应性,能够根据金融、医疗等不同场景下的合规需求进行针对性调整,从而为敏感数据保护提供坚实保障。OpenAI 明确指出,此举措并非对开源的限制,而是通过构建“分层防护”体系来降低模型滥用的风险。其中,基础层设置了通用安全规则,为整个开源生态筑牢底线;高层则支持企业根据自身特定需求制定自定义策略,实现个性化安全管理。尽管目前具体的量化数据尚未公开,但业内普遍认为,此类前沿技术极有可能成为大模型开源领域的标准配置,引领行业迈向更安全、更规范的发展阶段。原文链接:https://www.helpnetsecurity.com/2025/10/29/openai-gpt-oss-safeguard-safety-models/Python基金会拒绝美国政府用于安全改进的专项拨款Python基金会近日做出一项引发业界广泛关注的决策——正式拒绝一笔政府资助,以捍卫其技术决策的独立性。该笔资金原计划用于支持Python语言的开发与生态体系建设,但基金会经过审慎评估认为,接受政府资金可能对其开源治理的中立性产生不利影响。这一决定的背后蕴含着深刻的开源治理逻辑:作为全球最广泛应用的编程语言之一,Python的技术路线与发展方向需要平衡开发者社区、企业用户和学术界等多方诉求。政府资助虽然能提供可观的资金支持,但往往可能附带隐性条件,甚至对技术发展路径产生定向影响(例如特定应用领域的优先级调整)。基金会明确表示,目前来自企业赞助和社区捐赠的多元化资金来源已能有效保障核心项目的持续运作,并承诺将继续以开发者需求为核心,秉持开源精神推进Python的演进。这一事件折射出开源组织在商业化发展与自治原则之间的微妙平衡。分析人士指出,Python基金会的这一决定可能为其他开源社区树立典范,促使它们在寻求政府合作时采取更为审慎的态度,在获取资源支持与保持技术中立之间寻找最佳平衡点。原文链接:https://www.helpnetsecurity.com/2025/10/29/python-foundation-rejects-government-grant/AI智能体可通过简单网页搜索泄露公司数据Agentic AI 正面临一种新型安全威胁——间接提示注入攻击(Indirect Prompt Injection)。这种攻击手法通过操控第三方内容载体(如网页、文档或用户生成内容),将恶意指令隐蔽地注入 Agentic AI 系统,从而绕过传统交互防护机制,诱导 AI 执行非预期的危险操作。从技术机理来看,攻击者利用 AI 对外部信息的处理机制,将恶意提示嵌入看似无害的上下文中,进而操纵 AI 行为,可能导致敏感数据泄露、系统逻辑异常甚至服务中断等安全事件。尽管目前尚未出现大规模攻击的公开案例,但该威胁的潜在破坏性已引起安全社区的密切关注。安全专家建议,防御此类攻击需构建多层次防护体系:一方面,强化 AI 系统的输入过滤与语义验证机制,提升对隐蔽指令的识别能力;另一方面,开发者在设计 Agentic AI 架构时,应提前评估此类攻击面,通过沙箱隔离、上下文净化等技术手段降低风险。同时,行业需加快制定针对间接提示注入的检测标准与缓解方案,以应对这一新兴威胁。原文链接:https://www.helpnetsecurity.com/2025/10/29/agentic-ai-security-indirect-prompt-injection/CNNVD关于Apache Tomcat安全漏洞的通报国家信息安全漏洞库(CNNVD)通报Apache Tomcat高危漏洞(CNNVD-202510-3510/CVE-2025-55752)。该漏洞源于URL重写处理缺陷,未授权攻击者可构造特殊请求绕过防护,访问敏感目录;若环境启用PUT请求,还可上传恶意文件实现远程代码执行。受影响版本包括Tomcat 11.0.0-M1至11.0.10、10.1.0-M1至10.1.44、9.0.0.M11至9.0.108及8.5.6至8.5.100。Apache官方已发布新版本修复漏洞,建议用户立即核查当前版本,通过官方渠道下载更新(如Tomcat 10.1.48/9.0.111/11.0.13等最新发布版本),及时修补避免被利用。本漏洞通报由多家网络安全技术支撑单位联合提供技术分析支持。原文链接:https://mp.weixin.qq.com/s/HTLoL9UOguWlFONIJPm5_Q新型 Android 木马 Herodotus 曝光:可模仿用户输入习惯,侵入网银等窃取钱财10 月 29 日消息,知名网络安全研究机构 ThreatFabric 近日披露了一款新型 Android 平台木马病毒——Herodotus。该恶意软件通过滥用 Android 辅助功能,不仅能够拦截包含双因素认证(2FA)验证码等关键安全信息的短信,还可高度仿真人类输入行为,悄然登录用户网上银行账户并实施资金盗取。据分析,该木马依托 Android 系统的辅助功能权限,可实时截获受害者接收到的 2FA 短信。此外,攻击者还能够远程向受感染设备推送伪造的网银登录界面,以隐蔽方式窃取用户银行账户凭证。更进一步,该木马支持远程操控银行应用程序,执行包括转账在内的各类欺诈操作。尤为值得关注的是,Herodotus 搭载了一套独特的“类人操作层”机制。在调用虚拟键盘进行输入时,该机制会刻意在每个字母或数字键入之间引入 0.3 至 3 秒不等的随机延迟,并模拟人类在输入密码过程中可能出现的误触、点击及滑动等细微交互行为。此类精心设计的行为模式,旨在绕过应用程序的风控检测机制,使系统误判相关操作源自真实用户,而非自动化脚本或机器人程序。原文链接:https://mp.weixin.qq.com/s/SjW3ZUer637RiE6Z5H86cA安全事件伪装成开发工具的“毒包”:npm恶意软件威胁三大操作系统近日,安全研究人员在 npm 官方软件包仓库中发现了一批恶意软件包,这些包针对 Windows、Linux 和 macOS 操作系统,专门用于窃取用户的敏感信息。该批恶意包伪装为合法的开发者工具,通过诱导开发者下载与安装,一旦被执行,便会从远程服务器下载并运行信息窃取程序。攻击者利用 npm 平台的开放特性,采用拼写错误(即 typosquatting)及功能仿冒等策略,将恶意软件包上传至公共仓库。经技术分析,这些恶意程序具备窃取浏览器存储的密码、加密货币钱包数据以及系统关键信息的能力,并能将这些数据秘密回传至攻击者所控制的远程服务器。目前,npm 官方团队已及时下架相关恶意软件包。然而,安全专家提醒广大开发者,在引入第三方依赖时应保持高度警惕,优先选用官方或具有良好信誉的代码库,并积极启用自动化安全扫描工具,以有效降低软件供应链攻击所带来的安全风险。原文链接:https://www.bleepingcomputer.com/news/security/malicious-npm-packages-fetch-infostealer-for-windows-linux-macos/国际学生遭遇签证状态诈骗近期,针对国际学生的签证状态诈骗案件呈现显著上升趋势。诈骗分子通过伪造来自移民管理机构的电子邮件、短信或拨打电话,谎称学生的签证存在异常情况(例如签证失效、需缴纳费用以完成更新等),进而诱导学生点击恶意链接或进行资金转账。技术分析表明,此类攻击普遍采用社会工程学手段,精准获取学生的个人身份信息(如姓名、就读院校等),并模仿官方机构的语言风格与沟通话术,以此增强信息的迷惑性与可信度。在部分案例中,受害者因恐慌心理而主动泄露银行账户信息,甚至支付所谓“保证金”,最终造成严重的财产损失。统计数据显示,此类诈骗活动在留学申请与入学高峰期尤为活跃。对此,安全专家建议,国际学生应通过各国移民局的官方网站等权威渠道核实个人签证状态,切勿轻信来源不明的通知信息。与此同时,教育机构与移民管理部门亦应加强反诈宣传与风险预警,助力国际学生提升对常见诈骗套路的辨识能力与防范意识。原文链接:https://www.helpnetsecurity.com/2025/10/29/international-students-scams-visa-status/律师频频被AI挖坑,提交虚假司法案例留下职业污点10 月 27 日,北京市通州区法院通报了一起典型案例:某律师在代理一起股权代持纠纷案件时,引用了两份由人工智能工具 ChatGPT 生成的虚假裁判文书。经承办法官审查发现,相关文书案号编排呈现明显规律化特征,涉案当事人信息模糊不清,经进一步核实后确认其内容并不属实。该律师事后承认,未对 AI 生成内容进行必要的真实性核验。本案属于国内首次出现的此类现象,鉴于所引用的参考案例并非案件定案的关键证据,现行法律法规尚难以对其进行直接追责。通州区法院综合考量案件具体情节后,决定不予惩戒,但在裁判文书中对该律师提出了严肃批评,明确强调诉讼参与人应切实履行审慎义务,确保所引用资料真实、准确。放眼国际,类似行为往往面临更为严厉的法律后果。例如,美国有律师因向法院提交虚假案例而被处以罚款;澳大利亚有律师因此被吊销执业资格;英国法官则公开警告,此类行为可能构成藐视法庭;新加坡法院亦专门发布了关于人工智能工具使用的相关指引。当前,我国诉讼实践中,当事人自行运用人工智能工具辅助准备材料的趋势日益显著,且短期内难以逆转。在此背景下,办案人员需进一步加强证据审查与事实核验工作。对此,通州区法院呼吁,司法机关应通过裁判文书明确立场、传递警示,以防人工智能生成内容的滥用扰乱正常司法秩序。原文链接:https://www.secrss.com/articles/84458合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
阅读原文
跳转微信打开
