文章总结： 本周网络安全动态聚焦数据泄露、AI安全与网络攻防。山东济宁警方破获利用信号拦截器侵犯公民信息案；3·15晚会曝光AI大模型投毒等网安黑灰产乱象；同时，Chrome浏览器高危漏洞被利用，多款iPhone入侵工具泄露，以及星巴克、Aura公司等均发生数据泄露事件。此外，国家安全部发布了龙虾安全养殖手册以应对相关风险。 综合评分： 85 文章分类： 数据安全,AI安全,网络安全,恶意软件,安全意识

在看 | 周报：山东济宁警方破获新型侵犯公民个人信息案；“3·15”曝光网安黑灰产；国家安全部发布“龙虾”安全养殖手册

原创

管窥蠡测 管窥蠡测

安在

2026年3月21日 19:13 上海

[导读]

本次周报聚焦数据安全及个人信息保护、AI 安全、网络安全三大核心维度。期间国内外多起数据泄露、信息窃取事件接连发生，各地监管部门重拳出击查处相关违规案件；3・15 晚会曝光 AI 大模型投毒等网安黑灰产，国安部、互金会也发布相关安全指引与提示；同时各类网络漏洞、设备入侵工具泄露等风险显现，多方已采取整改、修复等应对举措，网安防护刻不容缓。

数据安全及个人信息保护

1、山东济宁警方破获新型侵犯公民个人信息案

央视报道了山东济宁鱼台县公安局破获的一起新型侵犯公民个人信息案件。该案中，不法分子使用信号拦截器非法获取 2G 手机的手机号与验证码，经中介倒卖后，相关信息被用于注册各类账号，供电诈、洗钱等黑灰产活动使用。警方已抓获涉案人员 50 余名，缴获作案信号拦截器 18 套，首批 7 名涉案人员已被法院以相关罪名判处相应刑罚。

2、360 回应 “安全龙虾” 私钥泄露事件，涉事证书已吊销

2026 年 3 月，有网友发现 360 安全龙虾安装包中，被意外打包了公司内部 *.myclaw.360.cn域名的 SSL 私钥及通配符证书，引发私钥泄露问题。360 对此回应称，问题源于发布环节失误，已第一时间吊销涉事证书，从技术上阻断了私钥被利用的可能，该证书现已失效，此次事件不会对普通用户造成影响。

3、广州互联网法院审结个人信息跨境传输第一案

2026年3月14日公布的广州互联网法院相关判决书显示，原告因某国际酒店跨境传输其个人信息诉至法院，法院认定酒店向境外合作伙伴、营销部门共享信息的行为超出履约必需，且隐私章程未按我国个保法本地化调整，判决其承担侵权责任，需书面赔礼道歉、删除原告信息并赔偿2万元。

4、西安市网信办公布网络与数据安全典型案例，三家企业因违规受罚

西安市网信办依据《网络安全法》《数据安全法》通报一批涉网络、数据安全的典型案例，三家企业因未履行安全保护义务被查处。西安一电子科技公司因系统防护缺失遭境外攻击，被警告并罚款；陕西两家企业分别因域名未注销被盗用、服务器弱口令被攻击，网站被篡改为涉赌页面，相关负责人被约谈，企业受警告处罚，涉事网站部分被关闭。

5、Aura 公司证实数据泄露，90 万营销联系人信息遭曝光

美国数字安全公司 Aura 证实发生数据泄露事件，事件源于针对其员工的语音网络钓鱼攻击，近 90 万条包含姓名、邮箱、住址、电话的信息遭曝光，涉及 2 万名现有客户与 1.5 万名前客户。威胁组织 “闪亮猎人” 宣称实施此次攻击，因未与 Aura 达成协议泄露了 12GB 相关文件。

6、亲伊朗黑客组织宣称获取以色列情报及核设施坐标

印度尼西亚亲伊朗黑客组织 INDOHAxSEC 在社交平台宣称，其通过美国 TikTok 用户 Ethan Levins 泄露的数据，获取了以色列情报与核设施的位置坐标，并公布了 8 组具体经纬度。经核查，相关坐标均为可公开获取的以色列电力、能源等民用关键基础设施信息，并非核设施。

7、加拿大零售商 Loblaw 数据泄露影响客户信息

加拿大大型食品和药品零售商 Loblaw 披露数据泄露事件，第三方犯罪分子非法获取了其客户的姓名、电子邮箱地址、电话号码等基本信息。该公司表示，客户密码、健康信息、信用卡数据均未泄露，旗下 PC 金融也未受此次事件影响，目前受影响的客户数量尚未明确，也无勒索软件组织宣称对该攻击负责。

8、星巴克数据泄露事件波及员工

星巴克披露一起员工数据泄露事件，该事件于 2 月 6 日被察觉，旗下员工管理账户 “星巴克伙伴中心” 遭未经授权访问。经查，黑客通过仿冒该门户网站的虚假网站实施网络钓鱼，获取账户凭证后进行操作，未授权访问发生在 1 月 19 日至 2 月 11 日。近 900 名员工的姓名、社保号、金融账户等信息或泄露，星巴克已告知执法部门，并为受影响员工提供免费身份保护服务。

9、菲律宾政府机构300GB数据泄露

黑客宣称泄露菲律宾某政府机构文档，总量约300GB。 泄露主体为菲律宾专业监管委员会（Professional Regulation Commission, PRC）的官方档案。泄露内容包括专业执照ID、申请表、培训证书、成绩单、毕业证书等敏感文件，与DeepWebKonek 5天前报告的PRC数据泄露高度吻合。

AI安全

1、互金会发布OpenClaw在互联网金融行业应用安全提示

安全提示指出该开源AI智能体因默认高系统权限、弱安全配置，给处理敏感金融信息的互金行业带来四大风险，包括漏洞和恶意插件引发的资金损失、自动化操作导致的交易责任认定难、数据存储传输引发的合规问题，以及借其热度的新型金融诈骗。协会还分别对金融消费者和从业机构提出防范建议，前者需谨慎安装、警惕诈骗并关注相关费用，后者不得在业务终端安装该智能体，还需将其安全管理纳入单位信息安全体系并开展专项培训。

2、“3·15”曝光的网安黑灰产：AI大模型投毒的背后

2026 年 3 月 15 日，央视 3・15 晚会曝光四大网安黑灰产相关乱象。北京力思文化传媒通过运营的 GEO 优化系统，可对主流 AI 大模型进行数据投毒，植入虚假商业信息；大连盛维文化传媒等公司雇佣演员冒充专家，通过私域向老年人高价推销保健品；另有冒充正规金融机构的荐股分成骗局，以及 “英瑞可”“德脊瑞” 等机构借伪科学增高概念敛财。

3、国家安全部发布“龙虾”（OpenClaw）安全养殖手册

4、“ AI 刺客”漏洞披露：小字等方式伪装实现执行恶意代码

安全厂商 LayerX 披露了名为 “AI 刺客” 的新型字体渲染攻击手法。该漏洞利用自定义字体与 CSS 样式在网页中伪装恶意指令，可成功骗过 ChatGPT、Claude、Copilot 等多款主流 AI 工具，使 AI 对恶意代码给出安全判定，诱导用户执行高危指令。LayerX 已于 2025 年 12 月向相关厂商上报该漏洞，仅微软完成完整修复，多数厂商拒绝处理。

网络安全

1、三亚一公司未履行算法安全主体责任被网信部门约谈

三亚市互联网信息办公室在执法工作中，发现当地一家公司未履行算法安全主体责任，存在网络安全风险隐患。经查，该公司在提供具有舆论属性或社会动员能力的算法推荐服务前，未按国家规定开展安全评估工作、履行备案手续，还存在可能生成有害信息的违法违规问题。三亚市网信办依法对该公司负责人进行约谈，责令其立即整改、限期完成算法备案。

2、Chrome再曝两个高危漏洞已被在野利用

美国CISA将Chrome的CVE-2026-3909和CVE-2026-3910两个高危漏洞列入KEV目录，确认已被真实攻击利用。前者为Skia越界写入，后者是V8沙箱逃逸，均影响146.0.7680.75以下版本，波及多款Chromium内核浏览器及Windows、macOS、Linux全平台，攻击者可通过恶意页面获取系统控制权。安全圈建议个人立即更新Chrome并开启自动更新，企业需将漏洞纳入应急清单、批量推送更新并监控网络。

3、多款 iPhone 入侵工具泄露，数亿台设备面临静默入侵风险

谷歌联合多家网络安全公司披露，公网上已出现 DarkSword、Coruna 两款 iPhone 入侵工具，相关工具已被俄罗斯等多个威胁组织、间谍软件团伙利用，通过水坑站点窃取 iPhone 用户隐私数据。其中 DarkSword 包含 2 组漏洞利用链 6 个 CVE 漏洞，可入侵 iOS18.4-18.7 版本设备；Coruna 包含 23 个漏洞利用工具，可入侵 iOS13-17.2.1 版本设备，两款工具合计影响数亿台 iPhone。

4、亲俄黑客宣称已入侵乌克兰全地区监控摄像头

亲俄黑客 PalachPro 向俄新社表示，其已成功入侵乌克兰所有地区的街道、住宅及隐蔽监控摄像头，可实时访问超六千台行政、军事和市政相关设备，并称获取的数据可用于追踪乌克兰武器装备、乌军士兵及相关部门人员的动向。

5、美国防酒驾系统因网络攻击瘫痪多天

美国酒精检测服务商Intoxalock称遭到DDoS攻击，导致旗下防酒驾检测系统瘫痪多天，所有安装其检测装置的车辆均无法启动，民众出行受到影响；该事件影响了全美46个州，仅缅因州就有数千人受影响，全国可能达数万人。

RECOMMEND

推荐阅读

●在看 | 周报：浦发建行涉数据安全违规合计被罚8600万元； OpenClaw删光Meta安全总监邮箱

●在看 | 周报：重庆某企业未履行网络安全保护义务，企业负责人被约谈；广东中山查获一起无人机黑飞案；

#

#

●在看 | 周报：北京农商行因数据安全问题被罚100万；央行重庆分行开出大额支付罚单

扫码加入诸子云知识星球。

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 管窥蠡测 管窥蠡测《在看 | 周报：山东济宁警方破获新型侵犯公民个人信息案；“3·15”曝光网安黑灰产；国家安全部发布“龙虾”安全养殖手册》