文章总结： 本文汇总近期安全资讯：五部门发布AI拟人化互动服务新规；教育巨头因云配置错误致千万用户泄露，汽车勒索攻击翻倍，IoT僵尸网络发起2Tbps级DDoS攻击；行业上OpenAI推安全版大模型，OpenSSL4.0发布。建议企业强化云配置审计与供应链管控，关注后量子密码与AI合规自动化趋势。 综合评分： 70 文章分类： 政策法规,AI安全,数据泄露,漏洞预警,解决方案

安全资讯汇总：2026.4.13-2026.4.17

江南信安

2026年4月17日 16:15 北京

在小说阅读器读本章

去阅读

点击蓝字 关注江南信安

安全专栏

2026/4/613-2026/4/17

江南信安网络安全汇总专栏，每周为您提供网络安全领域「标准规范、安全热点、行业发展、深度好文、融资信息」等最新资讯的追踪与共享。

标准规范

1、五部门联合发布 AI 拟人化互动服务新规，7 月 15 日起施行

2026 年 4 月 10 日，国家网信办、国家发展改革委、工业和信息化部、公安部、市场监管总局联合发布《人工智能拟人化互动服务管理暂行办法》，自 2026 年 7 月 15 日起施行。

《办法》适用于境内提供模拟自然人人格、思维、沟通风格的持续性情感互动服务，智能客服、知识问答等非情感互动类服务不适用。监管坚持发展与安全并重、创新与治理结合，实行包容审慎、分类分级监管。

《办法》明确服务提供者需落实安全主体责任，强化全生命周期安全管理与数据安全保护，严禁生成危害国家安全、损害用户身心健康、诱导情感依赖等内容。针对用户权益，《办法》要求对极端情绪、自残自杀等情境及时干预；用户连续使用超 2 小时需提醒；不得向未成年人提供虚拟亲属、虚拟伴侣服务，未满 14 周岁使用需监护人同意，并建立未成年人模式。

《办法》规定上线运营、用户规模达标等情形需开展安全评估，重点评估安全保障、数据处理、应急干预等内容，并按《互联网信息服务算法推荐管理规定》完成算法备案与年度核验。

同时，《办法》鼓励技术创新，支持适幼照护、适老陪伴等场景应用，推动沙箱安全服务平台建设，引导 AI 拟人化互动服务健康有序发展。

原文链接：

《人工智能拟人化互动服务管理暂行办法》答记者问

安全热点

1、教育科技巨头数据泄露事件曝光，超亿级用户信息面临风险

教育科技公司McGraw Hill近日确认发生数据泄露事件，影响约1350万个用户账户。此次事件发生于2026年4月，攻击组织ShinyHunters通过利用其Salesforce环境中的配置错误获取数据，并在勒索未果后公开泄露超过100GB信息。

泄露数据主要包含个人身份信息（PII），包括电子邮件地址、姓名、电话号码及物理地址等，其中已确认至少涉及1350万个唯一邮箱账号。 这些信息具备较高滥用价值，可能被用于钓鱼攻击（phishing）和社会工程攻击。

McGraw Hill表示，此次事件仅涉及托管在Salesforce平台某网页上的“有限数据集”，未影响其核心系统，包括客户数据库、课程内容（courseware）及内部基础设施。 不过，攻击者声称曾获取多达4500万条记录，显示实际影响范围仍存在争议。

从技术角度看，此次事件的根因是典型的云环境配置错误（misconfiguration）。即系统在部署或管理过程中存在权限或访问控制缺陷，导致数据被未授权访问。这类问题并非软件漏洞，而是运维与安全配置失误，但同样属于高风险攻击面。值得注意的是，该事件被认为可能与Salesforce生态中的更广泛配置问题相关，影响多个依赖该平台的组织。

整体来看，此次泄露再次凸显第三方云平台安全与配置管理的重要性。对于依赖SaaS和CRM系统的企业而言，需加强配置审计、访问控制及持续监控，以防止类似供应链式数据泄露事件的发生。

原文链接：

https://www.bleepingcomputer.com/news/security/data-breach-at-edtech-giant-mcgraw-hill-affects-135-million-accounts/

2、汽车行业勒索软件攻击一年翻倍，占车企攻击总量 44%

Halcyon 报告显示，2025 年全球汽车行业勒索软件攻击数量同比翻倍，占车企网络攻击总量的 44%，成为该领域增速最快、破坏性最强的网络威胁。

网络犯罪团伙转向汽车行业，主因是车联网、OTA 空中升级、云服务扩大攻击面，大量安全能力薄弱的中小供应商拥有 OEM 核心系统权限，且车企对停机容忍度极低，更易支付赎金。典型案例为 Jaguar Land Rover 遭勒索攻击后停产五周，每周损失约 1.08 亿英镑，对英国经济造成 19 亿英镑连锁冲击。

攻击已覆盖整车厂、核心供应商、车联网系统全产业链。针对高风险现状，Halcyon 提出防御建议：修补 VPN、RDP、ERP 等边界与边缘设备；部署抗钓鱼多因素认证 MFA，审计第三方权限并轮换遗留凭证；加固 EDR 终端检测与响应工具防止篡改；建立不可变离线备份并定期演练恢复；为供应链伙伴设定安全基线并持续监控；部署可识别行为特征的反勒索软件方案。

报告强调，全产业链企业必须优先评估暴露面、强化防御并完善应急响应，以应对持续升级的勒索威胁。

原文链接：

https://www.infosecurity-magazine.com/news/automotive-ransomware-attacks/

3、IoT僵尸网络发动2Tbps级DDoS攻击，金融科技行业成重点目标

近日，安全研究人员披露，一种由受感染物联网（IoT）设备组成的僵尸网络正在发动峰值超过2Tbps的分布式拒绝服务（DDoS）攻击，主要针对金融科技（FinTech）行业基础设施。该事件再次凸显大规模IoT僵尸网络对关键业务系统的威胁。

从攻击规模来看，此类攻击已进入“超大流量”阶段。相比传统Gbps级攻击，Tbps级流量可在极短时间内耗尽目标带宽资源，导致在线支付、交易接口及API服务出现严重中断。类似攻击模式近年来持续升级，部分僵尸网络甚至可调动数十万至数百万台受控设备参与攻击，形成极强的流量压制能力。

技术层面上，该僵尸网络主要利用存在弱口令或未修复漏洞的IoT设备（如路由器、摄像头等）进行传播和控制。这类设备长期在线且安全防护薄弱，一旦被植入恶意代码，即可被远程指挥发起大规模流量洪泛攻击。此外，攻击通常采用UDP flood、TCP SYN flood等方式，通过高并发数据包持续冲击目标服务端口，从而造成资源耗尽。

值得关注的是，金融科技行业成为重点攻击对象并非偶然。FinTech系统对实时性和可用性要求极高，一旦遭受DDoS攻击，不仅会影响用户交易体验，还可能引发业务中断、资金损失甚至合规风险。因此，攻击者往往将其视为高价值目标。

安全专家指出，当前DDoS攻击正呈现自动化、规模化和“即服务”（DDoS-as-a-Service）的趋势，攻击门槛持续降低。同时，IoT设备数量的快速增长进一步扩大了潜在攻击面。在防御方面，建议企业加强流量清洗能力，部署高防CDN与弹性带宽，同时强化IoT设备安全管理，如关闭默认凭证、及时更新固件等。此外，通过实时监测异常流量行为并结合威胁情报，可有效提升对超大规模DDoS攻击的响应能力。

整体来看，此次2Tbps级攻击不仅是一次技术层面的升级，也再次提醒行业：在万物互联背景下，基础设施安全已成为业务连续性的关键保障。

原文链接：

13.5M Device Botnet Drives 2 Tbps DDoS Attacks on FinTech, Qrator Finds

行业动态

1、OpenAI也搞“Mythos”？网络安全版GPT-5.4-Cyber对外亮相****

OpenAI 刚刚发布了全新的、强调网络安全版本的「GPT-5.4-Cyber」。对此，OpenAI 表示，「我们正在扩展网络安全受信访问体系，为经认证的安全防御人员提供更多分级权限。最高级别的客户可以申请使用 GPT-5.4-Cyber，一个针对网络安全场景专门微调的 GPT-5.4 版本，支持更高级的防御工作流程。」

网络安全受信访问（Trusted Access for Cyber，TAC）是 OpenAI 两个多月前推出的一套基于信任的框架，可以在加强滥用行为防护措施的同时，扩大前沿网络功能的应用范围。

目前，OpenAI 正在扩大该项目的覆盖范围，将其开放给数千名经过验证的个人安全防御者和数百个负责保护关键软件的团队。

原文链接：

OpenAI也搞“Mythos”？网络安全版GPT-5.4-Cyber对外亮相

2、OpenSSL 4.0.0版本发布：移除弃用协议，新增后量子支持

2026年4月，开源加密库OpenSSL正式发布4.0.0版本，这是继3.x系列后的重大版本升级，标志着其在架构设计与长期支持（LTS）策略上的重要转型。该版本由OpenSSL项目团队发布，旨在提升安全性、模块化能力及未来可维护性。

在技术层面，OpenSSL 4.0.0延续并强化了自3.0引入的Provider架构，通过将加密算法与核心库解耦，实现更灵活的算法加载与替换机制。这一设计使得FIPS、legacy及第三方加密实现可以以模块形式独立运行，降低核心库复杂度，同时便于合规与定制化部署。

API方面，4.0进一步推进对旧接口的弃用（deprecation），强化基于EVP（Envelope）接口的统一调用方式，以减少直接操作底层加密算法带来的安全风险。部分历史API已被移除或默认禁用，开发者需迁移至新接口以保证兼容性与安全性。

此外，新版本在内存管理、错误处理及性能优化方面进行了改进，提高了在高并发和复杂加密场景下的稳定性。对TLS支持也进行了增强，以更好适配现代协议需求和安全标准。在支持策略上，OpenSSL 4.0.0被定位为新一代主线版本，而3.x系列将逐步进入维护阶段。官方建议新项目优先采用4.0，以获得长期安全更新和功能支持。

总体来看，OpenSSL 4.0.0不仅是版本升级，更是一次面向未来的架构演进。对于网络安全从业者和企业开发团队而言，需要重点关注API兼容性变化及Provider机制带来的部署调整，同时评估升级对现有系统的影响，以确保加密能力与合规要求持续满足。

原文链接：

OpenSSL 4.0.0 release cuts deprecated protocols and gains post-quantum support

3、美国太空部队 CISO：AI正重塑合规模式，网络安全审计迈向自动化

美国Space Force网络安全负责人近期表示，人工智能（AI）正在显著改变网络安全合规（cyber compliance）的执行方式，尤其是在面对复杂监管要求和大规模系统环境时，其自动化能力成为关键突破点。

在公开发言中，该CISO指出，传统合规流程高度依赖人工审核与文档整理，效率低且难以应对快速变化的威胁环境。而AI能够通过自动化数据分析、日志审计和控制验证，大幅提升合规检查的速度与准确性，使安全团队从“被动应对审计”转向“持续合规（continuous compliance）”。

具体来看，AI技术可对系统配置、访问控制及安全事件进行实时监测，并自动识别不符合政策或标准（如Zero Trust或联邦安全框架）的行为，从而减少人工介入。同时，AI还能整合多源安全数据，实现跨系统的统一风险评估，缓解工具碎片化问题。类似能力在联邦机构中已被用于优化安全工具栈、消除冗余系统并提升整体防御效率。

不过，Space Force也强调对AI应用保持审慎态度，特别是在数据安全和模型使用风险方面。此前该机构曾对生成式AI工具采取限制措施，原因正是担心敏感数据泄露及模型不可控风险。

从战略层面看，AI已被视为提升空间作战与网络防御能力的核心技术之一，其在数据处理、异常检测和决策支持方面的能力，将直接影响未来网络安全与合规体系的效率与可靠性。

总体而言，Space Force的实践表明，AI正在将网络安全合规从静态检查转变为动态、自动化和持续化过程，但同时也带来新的治理与安全挑战，对CISO而言，如何在效率与风险之间取得平衡成为关键议题。

原文链接：

Space Force official touts AI’s impact on cyber compliance

深度好文

1、一文讲透，量子计算破解 RSA/SM2 需要多少比特！

随着谷歌 Willow 量子芯片实现 “低于临界值” 的量子纠错突破，量子计算的实用化进程再次加速。很多人关心：到底多少量子比特，就能破解我们日常用的 RSA、ECC，甚至国密 SM2 算法？今天我们用最新行业研究数据，把这个问题彻底讲透，帮你看清量子时代的密码安全风险。

原文链接：

量子破解｜ 一文讲透，量子计算破解 RSA/SM2 需要多少比特！

2、国家安全部党委书记、部长陈一新：提升护航高质量发展的国家安全能力

统筹发展和安全，增强忧患意识，做到居安思危，是我们党治国理政的一个重大原则。党的二十届四中全会把“坚持统筹发展和安全”作为“十五五”时期经济社会发展必须遵循的原则之一，对“推进国家安全体系和能力现代化，建设更高水平平安中国”作出重大部署。“十五五”时期是基本实现社会主义现代化夯实基础、全面发力的关键时期，各种不确定难预料的风险因素明显增多，统筹发展和安全任务更加艰巨。我们要坚持以习近平新时代中国特色社会主义思想为指导，深入贯彻总体国家安全观，解答好统筹发展和安全这一重大历史课题，以高水平安全护航高质量发展，为开创中国式现代化建设新局面夯实国家安全保障。

原文链接：

国家安全部党委书记、部长陈一新：提升护航高质量发展的国家安全能力

END

点点赞

点分享

点喜欢

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：江南信安 《安全资讯汇总：2026.4.13-2026.4.17》