文章总结： 本周网络安全事件呈现多维演化态势：地缘政治背景下的国家级关键基础设施攻击加剧，如委内瑞拉国家石油公司遭攻击导致系统全线离线；企业数据泄露事件持续高发，音乐流媒体平台SoundCloud近三千万用户数据泄露；AI隐私窃取催生新型威胁，知名VPN扩展被曝大规模收集用户AI聊天记录；同时行业监管从柔性倡导向刚性执法转型，国家能源局发布《能源行业数据安全管理办法》，吉林某医药公司因数据安全保护不力被依法处罚。这些事件凸显了网络安全威胁的复杂性和监管趋严的趋势。 综合评分： 86 文章分类： 数据安全,威胁情报,政策法规,安全大事件,漏洞预警

一周回顾：关基设施深陷地缘对抗泥潭，AI隐私窃密揭露新型威胁

奇安信集团

2025年12月20日 18:02 北京

本周网络安全事件集中体现了网络威胁的多维演化态势：地缘政治背景下的国家级关键基础设施攻击风险加剧，企业数据泄露事件持续高发；同时“AI隐私窃取”催生新型威胁，行业监管从柔性倡导向刚性执法全面转型。

委内瑞拉国家石油公司遭黑客重创：系统全线离线、石油出口停摆

安全内参12月18日消息，委内瑞拉国家石油公司在12月13日（星期六）遭受网络攻击。该公司在15日发布声明称，事件仅局限于部分管理系统，未对运营技术（OT）系统造成任何影响。彭博、路透等多家外媒援引消息人士称，该公司所有系统均已离线，主要原油码头的系统无法使用，导致出口业务受到干扰。此次网络攻击发生之际，委内瑞拉与美国之间的紧张关系正在升级。该公司在声明中指责美国及国内阴谋者策划了此次攻击，称其目的是“破坏国家稳定”。

音乐流媒体巨头SoundCloud遭网络攻击，近三千万用户数据泄露

安全内参12月18日消息，德国音频流媒体巨头SoundCloud披露，内部某个辅助服务遭到未授权访问，导致部分用户数据泄露。约20%的用户的电子邮箱和个人资料公开信息被窃取，据估计可能涉及2800万个账号。

该公司表示，其确信所有针对SoundCloud系统的未授权访问均已被阻断，平台不存在持续性风险。该公司还表示，在与第三方网络安全专家合作期间，采取了额外措施以加强安全性，包括改进监控与威胁检测、审查身份与访问控制，以及对相关系统进行评估。

知名VPN扩展涉嫌大规模窃取用户AI聊天隐私

12月15日，网络安全机构Koi Security发布调查报告，指出拥有谷歌Chrome与微软Edge商店“精选”认证标识的浏览器扩展“Urban VPN代理”，在用户不知情的情况下，持续收集用户与AI聊天机器人的完整对话记录。该扩展累计用户量已近千万。

报告披露，开发方Urban Cyber Security Inc.在今年7月9日发布的5.5.0版本更新中，通过硬编码默认开启了针对AI聊天内容的数据收集功能。所有对话记录被传输至其母公司——广告情报与品牌监测公司BIScience。Urban方面已承认，BIScience会直接使用未经匿名化处理的原始数据生成商业分析，并与第三方商业伙伴共享。值得关注的是，该扩展在商店页面曾大力宣传其“AI保护”功能，声称可检测用户输入中的个人信息及回复中的风险链接。此次事件引发对浏览器扩展商店审核机制有效性的质疑。

国家能源局发布《数安管理办法》：数据安全进入“强监管、硬约束”时代

12月12日，国家能源局正式印发《能源行业数据安全管理办法（试行）》，旨在全面规范数据处理活动，强化安全管理，防范数据安全风险，推动数据合规利用，维护国家安全与发展利益。该办法是能源行业落实《中华人民共和国数据安全法》的首个专门性规范文件，将于2026年7月1日起施行，有效期五年。

《办法》强化责任落实与纵向穿透，着力解决能源数据管理中长期存在的“底数不清、权责不明、保护不力、响应不足”等问题。核心制度包括数据分类分级保护、重要数据目录管理、数据安全风险评估、监测预警与应急处置机制等。

《办法》的出台，标志着能源行业数据安全从“柔性倡导”全面转向“刚性合规”。企业短期内必须完成数据资产盘点、制度修订、技术加固等强制性合规动作，并建立年度风险评估等常态化机制。长期来看，企业需构建覆盖第三方合作、数据跨境、应急响应等全场景的合规管理体系，推动行业形成“合规驱动”的新格局。

吉林某医药公司存在严重数据泄露风险被依法处罚

12月15日公安部网安局消息，吉林长春公安网安部门近日在开展网络安全监督检查时发现，吉林某医药公司在经营过程中存储大量公民个人信息，但在数据安全上‘四大皆空’，没有履行数据安全保护义务，存在严重数据泄露风险，包括未建立全流程数据安全管理制度、未组织员工开展数据安全教育培训、未采取技术措施和其他必要措施、存储隐私数据服务器直接暴露在互联网。针对该医药公司未履行数据安全保护义务行为，吉林长春公安机关根据《中华人民共和国数据安全法》第二十七条、第四十五条规定，依法追究该公司的法律责任并责令其限期改正。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信集团 《一周回顾：关基设施深陷地缘对抗泥潭，AI隐私窃密揭露新型威胁》