文章总结： 本文为工业安全周报第12期，涵盖四方面内容：政策法规方面，欧盟大幅延期高风险AI监管规则至2027-2028年，美国白宫发布联邦统一AI立法框架以松绑产业；漏洞预警方面，披露思杰NetScaler、思科防火墙、群晖DSM、GDCM开源库、施耐德DCS、英伟达多产品线及威联通QVRPro等多个严重漏洞，CVSS评分普遍达9.8-9.9分，可致远程代码执行和数据泄露；安全事件方面，报道Pellenc遭勒索攻击、罗杰斯通信和埃塞俄比亚国家石油等多起重大数据泄露，能源和医疗等关键基础设施受波及；安全技术方面，Aveva分享OT数字取证与应急响应经验，Appgate推出面向OT的零信任访问方案。建议相关企业尽快排查漏洞资产并及时修补，加强OT环境安全事件响应能力建设。 综合评分： 72 文章分类： 漏洞预警,IoT安全,数据泄露,政策法规,应急响应

工业安全周报第12期

OT工控安全领导者 OT工控安全领导者

安帝Andisec

2026年3月28日 12:04 北京

本文预计阅读时间22分钟

BREAKING NEWS

本 期 摘 要

政策法规方面，欧盟调整AI法案实施安排高风险AI监管规则大幅延期；美国白宫发布AI立法框架：统一联邦标准、松绑产业、对抗州级监管碎片化。

漏洞预警方面，美国思杰公司披露旗下NetScalerADC和网关产品存在高危安全漏洞；美国思科公司旗下安全防火墙产品存在可被攻击者远程执行代码的高危漏洞；中国台湾群晖科技发生旗下DiskStationManager操作系统存在可让远程攻击者执行任意命令的高危漏洞；美国网络安全和基础设施安全局通报GrassrootsDICOM（GDCM）开源库存在多个高危安全漏洞；法国施耐德电气公司发生EcoStruxure Fox boro分布式控制系统被曝存在多个高危安全漏洞事件；美国英伟达公司曝出严重安全漏洞可导致远程代码执行和拒绝服务攻击；中国台湾威联通公司被曝存在严重QVRPro安全漏洞可允许远程攻击者访问系统。

安全事件方面，法国农业科技企业Pellenc公司发生勒索软件攻击及数据泄露事件；加拿大罗杰斯通信公司发生数据泄露事件；埃塞俄比亚国家石油埃塞俄比亚公司发生重大数据泄露；斯洛文尼亚能源公司EnergetikaLjubljana公司发生数据泄露事件；英国阿斯利康公司发生疑似数据泄露事件。

安全技术方面，英国工业软件企业Aveva分享工业场景数字取证与事件响应实践经验；美国Appgate网络安全公司推出面向运营技术（OT）系统的基于身份的零信任网络访问解决方案。

政策法规

1.欧盟调整AI法案实施安排高风险AI监管规则大幅延期

2026年3月19日，欧洲议会通过《人工智能立法的数字综合法案》，对欧盟《人工智能法案》作出重大修订，该提案此前已获欧盟委员会会议通过。欧盟AI法案于2024年8月1日正式生效并采用分阶段适用模式，原定于2026年8月2日全面适用。为推进监管落地，欧盟已搭建单一信息平台，发布多项禁止行为、通用AI模型等配套指南，并启动人工智能契约与人工智能大陆行动计划。受配套标准滞后、监管机构组建延迟等因素影响，高风险AI系统相关指南未能按期发布，相关监管规则生效时间大幅延后，独立高风险AI系统监管延至2027年12月，产品内嵌高风险AI系统监管延至 2028年8月。此次修订同时扩大中小企业合规豁免范围，调整欧盟AI办公室监管权限，明确部分领域仍由行业机构主导监管。该法案的调整过程体现了监管落地与产业发展之间的平衡，对出海欧盟的AI企业合规布局及我国人工智能监管体系建设均具有重要参考意义。

资料来源：

https://www.secrss.com/articles/88809

2. 美国白宫发布AI立法框架：统一联邦标准、松绑产业、对抗州级监管碎片化

2026年3月20日，美国白宫公布《人工智能国家政策框架立法建议》，作为特朗普政府AI战略的立法路线图，由白宫科技办公室与AI沙皇主导制定，核心围绕国家竞争（对华领先）与产业松绑两大主线。该四页文件提出七大原则，核心是确立联邦优先，以全国统一轻监管标准取代美国40余州碎片化AI立法，仅保留州在儿童保护、消费者权益等传统领域的监管权。框架偏向产业，提议设监管沙盒、限制开发者因第三方滥用模型被追责、不新设联邦AI监管机构、开放联邦数据、强化AI劳动力教育。同期参议员布莱克本提出《特朗普美国人工智能法案》，试图固化行政命令，但因内容庞杂、逻辑割裂、版权与责任界定争议大，遭国会与政府内部反对。该框架体现特朗普政府 “对外竞争、对内松绑” 的AI治理思路，为国会立法划定方向，也反映美国在AI监管上平衡安全与创新的核心诉求。

资料来源：

https://www.secrss.com/articles/88670

漏洞预警

3. 美国思杰公司披露旗下NetScalerADC和网关产品存在高危安全漏洞

2026年3月23日，据网络安全相关内容报道，美国思杰公司旗下的NetScaler ADC与NetScaler Gateway产品被发现存在多起严重安全漏洞，其中漏洞最高严重级别达到临界级，未授权的远程攻击者无需身份验证即可利用相关漏洞对受影响系统发起攻击，可实现远程执行任意代码、触发拒绝服务、窃取系统敏感信息等恶意操作。受该系列漏洞影响的产品包含多个市面上广泛使用的版本，目前大量企业、公共服务机构、政务部门均有部署上述两类产品，相关漏洞若未得到及时修复，将导致受影响主体面临核心数据泄露、业务系统瘫痪、设备被不法分子完全控制等重大安全风险。相关方已发布对应漏洞修复补丁与升级方案，呼吁所有使用受影响版本产品的用户尽快完成补丁安装与系统版本更新，同时做好额外安全防护配置，避免漏洞被恶意利用造成实际损失。

资料来源：

Critical NetScaler ADC and Gateway Vulnerabilities Enable Remote Attacks on Affected Systems

4. 美国思科公司旗下安全防火墙产品存在可被攻击者远程执行代码的高危漏洞

2026年3月26日，据网络安全相关报道，美国思科公司旗下的安全防火墙产品被曝出存在高危安全漏洞。该漏洞存在于思科安全防火墙的SSL VPN功能模块中，属于身份验证绕过类漏洞，通用漏洞评分系统评分达9.9分，为严重级别。攻击者无需完成身份验证流程，仅需向目标设备发送构造特殊的恶意HTTP请求，即可利用该漏洞绕过身份验证机制，获取目标设备的访问权限，甚至在受影响设备上执行任意远程代码。受该漏洞影响的产品覆盖思科多款安全防火墙硬件设备，以及部署在云环境中的虚拟防火墙实例。该漏洞若被攻击者成功利用，将直接突破受影响机构的网络边界防护，攻击者可进一步窃取机构内部敏感数据、植入恶意程序，甚至完全控制受影响机构的内部网络系统，对机构的信息安全构成极大威胁。目前相关产品厂商已推出漏洞修复补丁，相关用户需尽快完成版本升级，防范攻击风险。

资料来源：

https://gbhackers.com/cisco-secure-firewall-vulnerability-3/

5. 中国台湾群晖科技发生旗下DiskStationManager操作系统存在可让远程攻击者执行任意命令的高危漏洞

2026年3月26日，据网络安全领域相关报道，群晖科技旗下的DiskStation Manager（DSM）操作系统被发现存在高危命令注入漏洞。该漏洞存在于系统的核心功能模块中，无需获得高操作权限的攻击者即可对该漏洞进行利用，只要目标设备对外开放了对应的服务端口，攻击者就能通过构造、发送特制的恶意请求，将任意可执行命令注入到目标设备的系统当中。该漏洞覆盖了多个被用户广泛使用的DiskStation Manager版本，目前群晖官方已经发布了对应的安全更新补丁，完成了该漏洞的修复工作。使用受影响版本的用户如果未及时升级系统安装对应补丁，其存储在设备中的个人隐私数据、企业核心资料将面临被窃取、篡改、删除的风险，攻击者还可远程控制受害设备执行更多恶意操作，甚至将设备纳入僵尸网络发起其他网络攻击，将对用户的数据安全、设备的正常使用造成极为严重的损害。

资料来源：

Synology DiskStation Manager Vulnerability Allow Remote Attackers to Execute Arbitrary Commands

6. 美国网络安全和基础设施安全局通报GrassrootsDICOM（GDCM）开源库存在多个高危安全漏洞

2026年3月24日，据安全相关方报道，美国网络安全和基础设施安全局通报开源医学影像处理库Grassroots DICOM（简称GDCM）存在多个高危安全漏洞。这些漏洞包含内存破坏、越界读写、输入验证错误等多种类型，其中严重程度最高的漏洞通用漏洞评分系统评分达9.8分，属于严重级别。攻击者可通过构造恶意的DICOM格式文件，诱导用户使用搭载存在漏洞版本GDCM库的软件打开该文件，即可在目标设备上执行任意代码、获取敏感数据，甚至取得设备的完全控制权。目前已有多个主流医学影像处理软件、医疗机构使用的信息系统、医用扫描设备等产品集成了存在漏洞版本的GDCM库，漏洞被成功利用将可能导致医疗数据泄露、医疗设备异常运行、患者诊疗信息被篡改等严重后果，对医疗行业信息安全和正常诊疗秩序构成重大安全威胁。

资料来源：

Grassroots DICOM (GDCM)

7. 法国施耐德电气公司发生EcoStruxureFoxboro分布式控制系统被曝存在多个高危安全漏洞事件

2026年3月24日，据网络安全研究人员报道，法国施耐德电气公司推出的EcoStruxure Foxboro分布式控制系统被发现存在多个高危安全漏洞。这些漏洞涵盖身份认证绕过、路径遍历、命令注入等多个类型，攻击者无需获得合法身份认证凭据，仅需向目标系统发送精心构造的恶意请求即可触发漏洞，实现对系统的未授权访问。相关漏洞影响多款不同版本的EcoStruxure Foxboro DCS产品，目前官方已确认漏洞的真实性。该类分布式控制系统广泛应用于能源、化工、制造业等关键基础设施领域，漏洞一旦被恶意利用，攻击者可窃取系统核心数据、篡改系统运行参数，甚至远程接管系统控制权，严重危害相关企业的生产运营安全，可能造成巨额经济损失。目前施耐德电气已发布对应的安全修复补丁，同时建议用户限制相关系统对公网开放，强化访问控制规则，及时完成补丁更新，防范漏洞被恶意利用的风险。

资料来源：

Schneider Electric EcoStruxure Foxboro DCS

8. 美国英伟达公司曝出严重安全漏洞可导致远程代码执行和拒绝服务攻击

2026年3月26日，据相关报道，美国英伟达公司的多款产品被发现存在多处安全漏洞，其中部分漏洞被评定为严重风险等级。这些漏洞覆盖GPU显示驱动、虚拟化软件、SHIELD系列设备等多个产品线，部分高危漏洞的CVSS评分接近满分，风险程度极高。攻击者可通过构造恶意代码或利用未授权访问渠道触发漏洞，既可以在目标设备上执行任意恶意代码，获得设备的最高控制权限，窃取存储在设备中的敏感数据，也可以触发拒绝服务机制，导致目标设备运行崩溃、相关业务完全中断。涉及个人用户、企业级客户、云服务提供商在内的所有使用英伟达相关产品的主体均受漏洞影响，若未及时修复漏洞，可能会面临数据泄露、财产损失、业务停摆等多重安全风险。目前英伟达官方已推送了对应漏洞的修复补丁，用户需尽快完成更新以消除安全隐患。

资料来源：

Critical NVIDIA Vulnerabilities Risk Remote Code Execution and Denial-of-Service Attacks

9.  中国台湾威联通公司被曝存在严重QVRPro安全漏洞可允许远程攻击者访问系统

2026年3月23日，据相关安全报道，中国台湾威联通公司旗下QVR Pro视频监控管理软件存在严重安全漏洞，该漏洞为路径遍历缺陷，CVSSv3严重程度评分为9.8分，属于最高危的严重级漏洞。未经过身份验证的远程攻击者无需获得任何权限凭证，即可通过构造特殊的恶意请求绕过现有安全校验机制，直接读取目标系统内的任意敏感文件，还可进一步在目标设备上执行任意恶意代码，获取设备的完全控制权，对关联存储设备内的用户隐私数据、监控视频内容等信息构成极大安全威胁。所有版本号低于5.1.3.0的QVR Pro产品均受该漏洞影响，威联通已推出对应的安全更新补丁，提醒相关用户尽快将软件升级至最新版本，及时修复漏洞防范潜在的恶意攻击，避免自身数据及设备安全遭受损害。

资料来源：

Critical QNAP QVR Pro Flaw Could Let Remote Attackers Access Systems

安全事件

10. 法国农业科技企业Pellenc公司发生勒索软件攻击及数据泄露事件

2026年3月23日，据报道，法国农业科技企业Pellenc遭遇ALP-001勒索软件组织的攻击，该组织宣称已成功入侵公司系统并获取大量内部数据。涉及的数据包括公司核心业务资料、客户个人信息、供应商合作文档以及内部员工相关数据等。此次攻击导致公司多个业务系统被迫中断，日常运营陷入停滞，给公司的生产和服务交付带来严重阻碍。同时，数据泄露事件可能导致客户隐私被泄露，使其面临诈骗、信息滥用等风险，也会对公司的市场声誉和客户信任度造成长期负面影响。该勒索组织可能会以公开泄露数据为要挟，向Pellenc索要高额赎金。目前公司已启动应急响应机制，对受影响系统进行排查修复，同时评估数据泄露的具体范围和影响，以采取针对性措施降低损失，尽可能减少事件对业务和客户造成的进一步伤害。

资料来源：

Pellenc Ransomware Attack: Alp-001 Group Claims Data Breach

11.加拿大罗杰斯通信公司发生数据泄露事件

2026年3月23日，据媒体报道，加拿大电信巨头罗杰斯通信公司及其子公司Fido遭遇了严重的数据泄露事件。这次安全事件导致大量客户记录被暴露，包括客户的个人身份信息、联系方式以及账户相关数据。泄露的信息可能涉及用户的姓名、地址、电话号码、电子邮件地址等敏感个人信息，对用户的隐私和安全构成了严重威胁。此次数据泄露事件不仅影响了罗杰斯通信公司的主品牌客户，还波及了其子公司Fido的用户群体。安全专家指出，这种大规模的数据泄露可能导致客户面临身份盗窃、网络钓鱼攻击、金融欺诈等多种安全风险。泄露的数据可能被不法分子用于恶意目的，包括冒充客户进行欺诈活动或出售给地下市场。事件发生后，罗杰斯通信公司面临着巨大的监管压力和公众信任危机。加拿大隐私监管机构可能对此事展开调查，公司可能面临巨额罚款和法律责任。客户对公司的数据安全保护能力产生了严重质疑，这可能会影响公司的市场声誉和客户忠诚度。数据泄露事件也引发了业界对电信行业数据安全标准的重新审视，促使其他电信运营商加强自身的安全防护措施。

资料来源：

Rogers Communications & Fido Data Breach Exposes Records

12. 埃塞俄比亚国家石油埃塞俄比亚公司发生重大数据泄露

2026年3月25日，据报道，埃塞俄比亚国家石油埃塞俄比亚公司发生重大数据泄露事件。此次泄露涉及该公司多类敏感数据，涵盖员工的个人身份信息、薪资详情、社保记录等个人隐私数据，以及公司的内部运营文档、石油储备数据、供应链合作协议、财务报表等核心商业信息。大量数据的泄露给公司和相关人员带来诸多负面影响：员工方面，个人信息可能被用于诈骗、身份盗用等非法活动，面临财产损失和隐私被侵犯的风险；公司层面，商业机密的泄露可能削弱其市场竞争力，影响与合作伙伴的合作关系，还可能引发监管机构的调查，面临合规处罚，同时会损害公司在公众和行业内的信任度，对其长期运营和发展造成不利冲击。

资料来源：

https://dailydarkweb.net/national-oil-ethiopia-plc-suffers-major-data-breach/

13. 斯洛文尼亚能源公司EnergetikaLjubljana公司发生数据泄露事件

2026年3月23日，据相关报道，斯洛文尼亚卢布尔雅那的能源公司Energetika Ljubljana遭遇了严重的数据泄露事件。该事件导致公司大量敏感文件被暴露，其中包括能源基础设施的关键技术文档、运营数据、内部通信记录以及系统配置信息。泄露的数据涉及电力网络架构、变电站布局、控制系统设计图纸等核心能源基础设施的详细信息。此次数据泄露对公司的运营安全构成了严重威胁，可能被恶意行为者利用来识别能源系统的脆弱点，策划针对关键基础设施的攻击。泄露的信息还可能被用于社会工程学攻击，针对公司员工或合作伙伴进行定向钓鱼。事件暴露了公司在网络安全防护方面的不足，需要加强数据保护措施和访问控制机制。数据泄露事件对Energetika Ljubljana的声誉造成了负面影响，可能影响客户信任和业务合作关系。公司需要立即采取措施调查泄露源头，修复安全漏洞，并向相关监管机构报告事件。同时，公司还需评估泄露数据可能带来的长期风险，制定应急响应计划，防止类似事件再次发生。这一事件也提醒其他能源基础设施运营商加强网络安全防护，确保关键系统的安全稳定运行。

资料来源：

Energetika Ljubljana Data Breach Exposes Energy Infrastructure Files

14. 英国阿斯利康公司发生疑似数据泄露事件

2026年3月23日，据报道，英国阿斯利康公司疑似遭遇LAPSUS$组织的数据泄露。该组织声称成功获取了阿斯利康的内部敏感数据，并对外发布了疑似来自该公司的多份文件截图，以此佐证其数据泄露的说法。此次疑似泄露涉及的内容较为广泛，包括公司员工的个人信息，如姓名、职位、联系方式等，同时涵盖了内部运营系统的相关数据，以及部分与公司核心业务流程相关的资料。如果此次数据泄露情况属实，将给阿斯利康带来多方面的影响：一方面会对公司的内部正常运营造成干扰，员工的个人信息安全也将直接面临泄露后的风险，可能遭遇诈骗、骚扰等问题；另一方面会对公司的声誉产生负面影响，引发公众及合作伙伴对其数据保护能力的质疑，甚至可能触发相关合规监管层面的调查，给公司带来潜在的经济损失和品牌形象损害。

资料来源：

https://dailydarkweb.net/astrazeneca-alleged-data-breach-by-lapsus-group/

安全技术

15. 英国工业软件企业Aveva分享工业场景数字取证与事件响应实践经验

2026年3月23日，数字安全领域专业人士公开分享的内容显示，工业软件企业Aveva的数字取证与事件响应分析师在行业专业会议上，围绕工业场景下的数字取证及事件响应工作开展主题分享。本次分享内容涉及普通IT环境与工业OT环境在事件处置过程中的核心差异，重点梳理了工业生产场景下开展数字取证需要注意的特殊事项，包括OT资产的运行特性、生产业务的连续性要求等核心要点，同时给出了适配工业场景的事件响应标准化流程，以及多起工业领域网络安全事件的处置经验总结。相关内容可帮助网络安全从业人员更清晰地掌握工业场景下的安全事件处置方法，有效提升工业领域网络安全事件的处置效率，降低事件发生后对工业生产业务造成的损失，为工业企业构建完善的网络安全事件响应体系提供了可参考的实践方向。

资料来源：

https://www.itsecurityguru.org/2026/03/23/miwic26-meera-tamboli-digital-forensics-and-incident-response-analyst-aveva/

16. 美国Appgate网络安全公司推出面向运营技术（OT）系统的基于身份的零信任网络访问解决方案

2026年3月23日，据相关报道，美国网络安全公司Appgate推出面向运营技术（OT）系统的基于身份的零信任网络访问（ZTNA）解决方案。该方案遵循零信任架构的最小权限访问原则，以身份为核心进行访问权限管控，仅为通过身份验证的合法用户授予其工作必需的最小范围访问权限，无需将整体OT网络暴露在公共网络环境中。方案可适配各类传统老旧OT设备，无需对企业现有OT系统架构进行大规模改造，支持对远程运维人员、第三方合作供应商、内部现场操作人员等多类访问主体实现统一权限管理。该方案可有效防范OT系统面临的未授权访问、恶意入侵、内部违规操作等安全风险，降低OT系统遭遇网络攻击后引发的生产停滞、核心数据泄露、工业设施损坏等损失，同时可帮助工业企业满足对应网络安全合规要求，完善全场景的OT系统安全访问防护体系。

资料来源：

AppGate delivers identity-based ZTNA for secure access across OT systems

工业网络安全情报解码  2026-11期

工业网络安全情报解码  2026-10期

工业网络安全情报解码  2026-09期

工业网络安全情报解码  2026-08期

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。公司主要产品已应用于数千家“关基”企业。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec OT工控安全领导者 OT工控安全领导者《工业安全周报第12期》