文章总结： 本周网安周报涵盖国内外重大安全动态，国内聚焦产业链供应链安全法规出台、个人信息保护专项行动部署及多项国家标准征求意见，同时披露OpenClaw漏洞、词元安全风险、AI工具泄密等事件；国外涉及抗量子加密无人机、欧盟数据泄露、供应链攻击等。报告强调需加强技术防护、及时更新系统、规范AI工具使用，并关注政策合规要求。 综合评分： 84 文章分类： 政策法规,漏洞分析,威胁情报,安全事件,技术标准

---

网安周报｜一周全球网安重大事件速览（4.6—4.12）

原创

Cismag Cismag

信息安全与通信保密杂志社

2026年4月13日 17:37 四川

在小说阅读器读本章

去阅读

国内

01

李强签署国务院令 公布《国务院关于产业链供应链安全的规定》

02

中央网信办等三部门部署开展2026年个人信息保护系列专项行动

03

关于征求《数据 基础术语（征求意见稿）》等22项国家标准意见的通知

04

网安标委就《网络安全技术 物理不可克隆功能安全技术规范（征求意见稿）》等3项国家标准征求意见

05

国家信息安全漏洞库采集OpenClaw相关漏洞155个

06

国家安全部发布词元（Token）安全风险警示

07

工信部NVDB平台发布苹果终端漏洞攻击风险提示

08

国家安全机关通报AI工具使用导致涉密信息泄露事件

09

近期多起供应链投毒事件安全风险分析

10

太原4家公司因未履行网络安全保护义务被处罚

11

山西省公安厅公布5起打击整治网络违法犯罪典型案例

12

广东省通信管理局公开通报5款未按要求完成整改APP

13

湖南娄底公安打掉“短信引流”黑灰产窝点

14

中国人工智能产业发展联盟第十七次全会在武汉召开

15

世界互联网大会2026年亚太峰会即将在香港召开

国外

01

美国联邦贸易委员会公布新的战略计划量子加密无人

02

英国与捷克公司合作推出全球首款抗量子加密无人机

03

欧盟委员会发生大规模数据泄露

04

英国NCSC称俄黑客组织APT28利用路由器实施网络间谍活动

05

伊朗系黑客针对以、美发动大规模网络攻势

06

伊朗“迷人小猫”黑客利用冷战时期的手段窃取技术机密

07

量子计算进展加速后量子加密迁移

08

美国能源部拨款1.6亿美元强化能源网络安全

09

美国财政部启动加密货币企业网络威胁情报共享计划

10

伊朗黑客组织利用罗克韦尔PLC攻击美国关键基础设施

01

国内新闻

政策法规与标准发布

1. 李强签署国务院令 公布《国务院关于产业链供应链安全的规定》

4月7日，国务院总理李强签署第834号国务院令，公布《国务院关于产业链供应链安全的规定》，自公布之日起施行。这是我国首次以行政法规形式系统性规范产业链供应链安全。《规定》共18条，核心内容包括：一是贯彻总体国家安全观，统筹发展和安全，推进高水平对外开放；二是建立健全产业链供应链安全工作机制，明确国务院有关部门和地方政府的职责分工；三是建立安全风险监测预警制度和应急管理制度；四是制定关键领域清单并实行动态调整，维护关键领域原材料、技术、设备、产品等的生产与流通稳定；五是针对外国损害我国产业链供应链安全的行为，建立安全调查制度和反制措施。《规定》的出台标志着我国将产业链供应链安全提升至国家法律层面，系统性构建了安全制度“防火墙”。

2. 中央网信办等三部门部署开展2026年个人信息保护系列专项行动

4月7日，中央网信办、工业和信息化部、公安部联合发布公告，2026年将会同相关部门进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题。专项行动涵盖七大领域：App、SDK违法违规收集使用个人信息专项治理，互联网广告领域专项治理，教育、交通、卫生健康、金融领域专项治理，以及个人信息相关违法犯罪案件专项打击治理。教育领域将重点治理过度收集位置、学籍、家长信息等问题，金融领域聚焦用户授权管理漏洞。有关部门将对情节严重、拒不整改的依法从严处理，并动态调整治理重点，确保专项行动取得实效。

3. 关于征求《数据 基础术语（征求意见稿）》等22项国家标准意见的通知

4月7日，全国数标委发布22项国家标准意见的通知，反馈截止5月31日前。包括《数据 基础术语》《公共数据资源授权运营 监测评估指南》 《城市全域数字化转型 技术参考模型》《数据服务能力评估 第3部分：实施指南》《数据利用管理技术要求》《数据匿名化流通实施及评估指南》《数据基础设施 用户身份管理和接入要求》等内容。其中：《数据匿名化流通实施及评估指南》提出了面向数据流通的匿名化处理实施框架和规范性评估方法，规定了数据匿名化流通的原则、目标和流程，给出了典型场景数据匿名化流通实施示例，数据匿名化流通相关技术、环境和管理措施建议，以及匿名化处理过程规范性评估的概述、流程、评估过程具体步骤。适用于指导组织在数据供给、流通和利用过程中对个人信息进行匿名化流通，以及匿名化处理规范性的自评估与第三方评估，也可为主管监管部门进行数据流通监督管理提供参考。不适用于非数据流通场景下的匿名化实施与匿名化处理规范性评价。

4. 网安标委就《网络安全技术 物理不可克隆功能安全技术规范（征求意见稿）》等3项国家标准征求意见

4月9日，全国网络安全标准化技术委员会归口的《网络安全技术 物理不可克隆功能安全技术规范》等3项国家标准现已形成标准征求意见稿。《网络安全技术 物理不可克隆功能安全技术规范》规定了物理不可克隆功能（PUF）的安全技术要求，包括PUF在稳定性、随机性、唯一性、抗攻击性、不可模拟性和不可克隆性等方面的要求，描述了相应的测试与评估方法。适用于物理不可克隆功能的设计、制造、交付、运行、安全管理与监控和生命终止等活动，也可为产品选型及验收提供参考。《网络安全技术 网络安全威胁信息评价方法》描述了网络安全威胁信息规范性、完整性、重要性、准确性、时效性、活跃性、来源置信度、应用时效性的评价方法。适用于威胁信息汇聚方、威胁信息提供方、威胁信息使用方等各类组织在网络安全威胁信息汇聚、提供、使用等过程中的评价活动。《网络安全技术 区块链系统安全实施指南》确立了区块链系统安全实施框架，提供了技术措施、管理措施和措施有效性验证等方面的实施指南。适用于区块链系统的设计研发、运营管理、运维服务、以及测试验证。

重大安全事件与风险预警

1. 国家信息安全漏洞库采集OpenClaw相关漏洞155个

4月7日，据媒体报道，国家信息安全漏洞库（CNNVD）发布通报显示，自2026年3月10日至4月2日，共采集OpenClaw相关漏洞155个，其中超危漏洞11个、高危漏洞53个。OpenClaw的安全问题已造成实际经济损失，有制造业企业因仓促上马该工具导致产线停产72小时，损失超2000万元；还有一家法律服务企业因未做好风险防范和数据安全，导致大量客户隐私数据泄露。这表明AI智能体已成为网络攻击的新目标和新载体，网络攻防已迈入“智能体对抗智能体”的新阶段。

2. 国家安全部发布词元（Token）安全风险警示

4月8日，国家安全部发布风险提示，指出随着词元（Token）经济的爆火，一些不法分子伺机布设陷阱窃取、截获未加密的词元数据。据统计，截至2026年3月，我国日均词元调用量已超过140万亿，较2024年初增长1000多倍。词元作为AI时代的重要数字资产，一旦泄露可能被境外间谍情报机关利用，实施精准渗透和数据窃取。国安部提醒广大网民提高警惕，不轻易授权不明平台，不在公共网络环境下传输敏感词元，保护个人词元安全。

3. 工信部NVDB平台发布苹果终端漏洞攻击风险提示

4月7日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，攻击者利用针对苹果公司终端产品的漏洞利用工具实施网络攻击活动，可导致用户敏感信息被窃取、终端系统受控等严重危害。受影响范围包括运行iOS 13.0至17.2.1的iPhone、iPad等苹果终端产品。攻击者通过短信、邮件或网页投毒等方式，诱导用户使用Safari浏览器访问包含恶意代码的网页，综合利用终端设备中存在的安全漏洞，向受害终端植入远程控制木马，窃取用户敏感信息并获取最高权限。工信部提醒苹果用户尽快升级至最新版本，避免点击不明链接。

4. 国家安全机关通报AI工具使用导致涉密信息泄露事件

4月8日，国家安全机关通报了多起因违规使用AI工具导致的失泄密案例。其中，某科研机构研究人员使用AI应用软件擅自上传核心数据及实验成果，导致该研究领域涉密信息泄露。另一案例中，某机关工作人员违规使用互联网扫描软件扫描涉密会议纪要，文件被自动备份至网盘，其后网盘账号密码遭暴力破解，攻击者获取了其在3年间扫描的127份涉密文件，经境外社交媒体传播造成严重后果。通报指出，AI工具通常会自动收集用户输入信息用于自主学习，各环节均面临泄露风险，必须牢记“涉密不上网、上网不涉密”的基本原则。

5. 近期多起供应链投毒事件安全风险分析

4月10日，国家通报中心监测发现，近期集中爆发多起供应链投毒攻击，目标包括API工具Apifox、Python库LiteLLM及HTTP库Axios。其中Axios投毒因OpenClaw等大量AI应用依赖该库，风险沿依赖链蔓延。三起事件呈隐蔽性强、范围广、危害高、传播快等特点，可致凭据窃取、远程代码执行和数据泄露。风险分析： 攻击聚焦高权限开发人员；路径隐蔽（账号劫持、上游污染等），无需交互即可扩散；单次投毒可引发横向移动与二次投毒；恶意代码采用混淆、反调试等手段，检测阻断难度大。防护建议： 仅从官方渠道下载安装，核对校验信息；为不同项目搭建独立环境，避免暴露开发运维环境，不随意执行未知命令；关注安全预警，及时打补丁或回退稳定版本，并清理本地缓存。

网络安全与执法行动

1. 太原4家公司因未履行网络安全保护义务被处罚

4月7日，太原市公安局尖草坪分局集中查处了4起网络安全违法案件。4家涉案公司因未履行网络安全保护义务，未落实网络安全技术防护措施，导致网站被不法分子恶意篡改，存在明显的网络安全管理漏洞。警方依法对4家公司处以警告行政处罚并责令限期整改。这些案件暴露出部分企业网络安全主体责任意识淡薄、技术防护措施缺失等突出问题。警方提醒广大网络运营者要切实履行网络安全保护义务，及时修补系统漏洞、更新杀毒软件，防止网站被非法篡改。

2. 山西省公安厅公布5起打击整治网络违法犯罪典型案例

4月9日，山西省公安厅公布5起打击整治网络违法犯罪典型案例。其中，大同公安机关侦破韩某某等人侵犯公民个人信息案，犯罪嫌疑人开办跨境票务代理公司，从上线非法购买各类邮箱账号注册跨境航空公司平台账号，利用航空公司促销规则以“薅羊毛”手法赚取差价非法获利。该案共抓获犯罪嫌疑人7名，查获非法获取的公民个人信息数十万条。警方表示将持续深入推进“净网”专项工作，聚焦人民群众反映强烈的网络违法犯罪，坚持重拳出击。

3. 广东省通信管理局公开通报5款未按要求完成整改APP

4月7日，广东省通信管理局公开通报5款未按要求完成整改的APP。被通报的APP主办者应在2026年4月14日前完成整改及反馈工作，逾期不整改的，广东省通信管理局将依法依规采取下一步处置措施。广东省通信管理局表示将持续加大APP监管力度，切实维护APP用户合法权益和网络安全秩序。此前，广东省通信管理局还通报了下架16款违规APP的决定，要求相关应用商店立即组织下架处理，严格落实分发平台主体责任。

4. 湖南娄底公安打掉“短信引流”黑灰产窝点

湖南省娄底市新化县公安局所队联动，成功打掉一“短信引流”黑灰产窝点，刑事拘留3名犯罪嫌疑人。该窝点通过发送大量涉诈短信为境外诈骗团伙提供引流服务，涉案金额较大。警方正告相关黑灰产从业人员切勿心存侥幸，尽早投案自首。网络空间不是法外之地，任何利用信息网络实施违法犯罪的行为，必将受到法律严惩。

技术创新与行业应用

1. 中国人工智能产业发展联盟第十七次全会在武汉召开

4月8日至10日，中国人工智能产业发展联盟（AIIA）第十七次全会在武汉市东西湖区国家网络安全人才与创新基地举行。本次会议举办1场全体会议和10余场分会，汇聚了政产学研各界代表，华为、科大讯飞、中兴通讯等头部企业，北京大学、清华大学等顶尖高校，以及中国信通院等科研机构齐聚“中国网谷”。会上，武汉市人工智能安全协同治理中心正式签约落户国家网安基地，由长安通信科技、湖北公众信息产业公司、华中科技大学等四方联手打造。会议围绕人工智能技术创新、产业生态建设、安全治理等议题进行了深入研讨，进一步推动了AI产业与网络安全产业的融合发展。

2. 世界互联网大会2026年亚太峰会即将在香港召开

4月10日，世界互联网大会宣布，2026年亚太峰会将于4月13日至14日在香港会议展览中心召开，主题为“数智赋能 创新发展——携手构建网络空间命运共同体”。本次峰会将举办开幕式、主论坛及多场分论坛，围绕“智能体创新与应用”“数字金融”“人工智能安全治理”“智惠民生”“数智健康”“典籍数智化与传播”等议题进行深入探讨。峰会的召开标志着国际网络空间治理合作进入新阶段，我国在网络空间国际治理中的话语权和影响力将持续提升。

02

国外新闻

01

美国联邦贸易委员会公布新的战略计划

美国联邦贸易委员会（FTC）发布了23页、覆盖未来五年的战略计划，明确以信息技术现代化为核心，同步强化消费者保护与公平竞争执法。该计划将IT现代化作为高效运营关键，提出以人工智能、机器学习与预测分析重构业务流程，淘汰老旧系统并最大化应用云技术，提升海量信息处理与关键数据利用能力。FTC已于2025年获1460万美元技术现代化基金，用于搭建AI云平台，实现快速数据分析与欺诈检测。网络安全方面，机构将推行安全认证、零信任架构，持续监控系统与用户行为，防范网络攻击与数据泄露。此外，计划明确两大优先事项：一是强化消费者保护，持续查处不公平与欺诈性商业行为，提供资源降低欺诈、身份盗窃与非法推销侵害；二是严守竞争执法，执行反垄断法、规制反竞争并购，开展研究与政策倡导，并联动国内外伙伴提升执法效能，维护开放市场秩序。

02

英国与捷克公司合作推出全球首款抗量子加密无人机

近日，英国网络安全公司Post-Quantum与捷克STV集团合作完成了“全球首批抗量子安全无人机”试验。该型无人机将STV集团经过实战检验的无人机平台与Post-Quantum公司的专利加密及无线电技术相结合，并采用了已有数十年历史的Classic McEliece加密算法。在过去五十余年间，Classic McEliece算法从未被攻破，但由于其密钥尺寸过大，过去认为会压垮无人机弱信号链路，因此此前无人将该算法部署到无人机上。对此，Post-Quantum和STV公司合作开发了一种新架构，使Classic McEliece算法能在低带宽条件下正常运行，从而为飞行过程中的视频馈送、图像及任务数据提供安全保护。这两家公司表示，未来将把该型无人机的抗量子安全标准配置扩展至其它地面及海上军用系统。

03

欧盟委员会发生大规模数据泄露

近日，欧盟计算机应急响应小组（CERT-EU）确认，欧盟委员会用于托管Europa.eu公共网站平台的亚马逊网络服务（AWS）云账户后端环境于3月24日遭黑客入侵，超过300 GB的数据被窃取。黑客组织TeamPCP于3月19日对Aqua Security公司的Trivy漏洞扫描器实施供应链攻击，在正常软件更新渠道中植入恶意版本，导致欧盟委员会下载了受感染版本的Trivy软件，从而泄露了AWS应用程序编程接口（API）密钥。TeamPCP组织利用该密钥创建并附加新访问密钥，由此获取了其他关联AWS账户的控制权，并使用TruffleHog工具扫描更多保密信息并验证AWS凭证，以实现横向移动。被盗数据涉及Europa托管服务下71家客户，包括42个欧盟委员会内部机构及至少29个其他欧盟实体，内容包含姓名、电子邮件地址、用户名等个人信息，以及包含用户原始提交内容的自动退信通知等。被盗数据已于3月28日被公布，欧盟委员会随后立即撤销了受损账户权限、停用并轮换相关凭证，通知相关数据保护机构，并强调此次事件未影响其内部系统。

04

英国NCSC称俄黑客组织APT28利用路由器实施网络间谍活动

近日，英国情报机构“政府通信总部”（GCHQ）下属的国家网络安全中心（NCSC）警告称，据信隶属于俄罗斯总参谋部情报总局（GRU）下属第26165部队的黑客组织APT28（亦称Fancy Bear或BlueDelta），利用采用默认密码或弱密码的“简单网络管理协议”（SNMP）设备，获取了大量家用路由器和小型办公路由器的访问权限，从而劫持网络流量和监控攻击目标。控制路由器后，Fancy Bear组织会收集所连接设备的信息，并测绘网络拓扑，从而搜索目标并篡改其域名系统（DNS）的设置，进而实施“中间人攻击”，截获目标的登录凭据、身份验证令牌等敏感数据，或将目标重定向至欺诈网站。NCSC建议各机构加固管理接口、禁用不必要的SNMP、升级协议版本并及时安装安全更新补丁。

05

伊朗系黑客针对以、美发动大规模网络攻势

中东冲突背景下，伊朗关联威胁行为者正持续针对以色列、阿联酋发动Microsoft 365密码喷洒攻击。Check Point报告显示，攻击分三波进行，已致以色列300多个、阿联酋超25个组织云环境受损，目标涵盖政府、能源、科技等领域。攻击通过Tor节点实施，手法与伊朗Gray Sandstorm组织高度吻合。同期，伊朗勒索软件团伙Pay2Key于2026年2月底重启行动，攻击美国医疗机构。该团伙升级攻击技术，利用远程工具入侵、禁用防御、部署勒索软件并清除痕迹。此外，亲伊朗的BQTlock也持续针对美、以为目标。网络安全机构指出，伊朗正将勒索软件用于网络报复，模糊网络犯罪与国家支持破坏的界限。建议相关机构启用MFA、强化日志审计与地理访问限制以防御。

06

伊朗“迷人小猫”黑客利用冷战时期的手段窃取技术机密

隶属于伊朗安全机构的黑客组织迷人小猫（Charming Kitten）正放弃高级漏洞利用，转向采用冷战式传统间谍手段实施技术窃密，隐蔽性与成功率大幅提升。该组织长期锁定各国官员、科研人员与科技企业员工。其核心手法并非代码攻击，而是高强度社会工程：通过伪造可信身份长期建立信任、精心设计话术诱导泄露凭证，全程不依赖系统漏洞，可穿透苹果、微软主流生态，威胁Windows与Mac用户。为规避安全系统检测，该组织大量使用超低技术手段，包括直接拍摄屏幕窃取机密、策反企业内部人员获取权限，可绕过顶级防御。其运作已形成多层情报体系，融合网络攻击、人际招募、秘密采购渠道，兼具对外技术窃密与对内监控异见人士双重目标。安全专家指出，此类“非数字”攻击更难溯源，内部威胁危害突出。建议机构强化身份核验、启用强密码与多因素认证，部署终端防护与防火墙，并加强员工反钓鱼培训，以应对这种回归传统的高级威胁。

07

量子计算进展加速后量子加密迁移

谷歌近期提前启动内部抗量子加密迁移计划，引发网络安全界广泛关注。加州理工学院与谷歌最新研究显示，破解经典加密所需的量子比特数可能仅需1万个，而非此前预测的数百万个，且此类量子计算机或于2030年前投入运行。谷歌自身研究也显示，破解经典加密所需物理量子比特减少20倍。推动时间表缩短的因素包括：中性原子阵列技术进步、“环源1号”量子计算机商业化加速等。专家警告威胁迫在眉睫，尤其对区块链加密货币构成直接风险。不过，约翰霍普金斯大学教授马修·格林对此持保留态度，质疑量子计算机能否在2029甚至2035年前具备实际威胁能力。

08

美国能源部拨款1.6亿美元强化能源网络安全

美国能源部在2027财年联邦预算中拨款1.6亿美元给网络安全、能源安全和应急响应办公室（CESER），以加强能源基础设施及供应链安全。能源部将网络安全视为国家能源安全的核心支柱，标志着能源从辅助功能向基础设施的转变。预算重点支持两大项目：威胁分析与事件响应（TAIR），基础设施加固与技术开发，并将通过AI驱动提升关键基础设施网络安全。同时，能源部还与能源基础设施的所有者和运营商开展合作，旨在识别、缓解并制定切实可行的指导方针和工具，以增强能源行业的安全性和韧性。

09

美国财政部启动加密货币企业网络威胁情报共享计划

近日，美国财政部宣布，将开始向加密货币企业共享网络威胁情报，标志着该部门正将加密行业纳入国家核心金融基础设施保护体系。符合条件的美国加密货币企业及行业组织可免费获取财政部向传统金融机构提供的网络威胁情报，以更好识别、预防和应对网络攻击。财政部网络安全副助理部长科里·威尔逊表示，针对数字资产平台的网络威胁日益频繁且复杂，该计划有助于企业加强防御、降低风险并提升事件响应能力。

10

伊朗黑客组织利用罗克韦尔PLC攻击美国关键基础设施

网络安全公司Censys发布警告称，全球5219台暴露于互联网的罗克韦尔自动化可编程逻辑控制器（PLC）正被伊朗关联威胁组织积极利用，成为针对关键基础设施OT网络的攻击入口。美国PLC设备数量占全部设备的74.6%，其中近半数通过Verizon等运营商蜂窝网络连接。攻击者采用“就地取材”战术，利用合法工程软件Studio 5000 Logix Designer直接操控项目文件及HMI/SCADA显示数据，无需通过零日漏洞发起攻击。攻击目标涵盖CompactLogix和Micro850等主流设备系列，已造成运营中断和财务损失。Censys公司呼吁企业立即采取行动：将PLC与互联网断开连接，通过安全网关路由远程访问，禁用非必要蜂窝连接，并将物理模式开关设为RUN状态以阻止远程访问。

★

★ ★ ★

★

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全与通信保密杂志社 Cismag Cismag《网安周报｜一周全球网安重大事件速览（4.6—4.12）》