文章总结： 本周网络安全周报聚焦数据安全、AI安全与网络安全三大领域。数据安全方面，河北三家金融机构因违规被罚，多起境外窃密案成功处置，海外平台频发数据泄露；AI安全领域，全国网安标委发布伦理安全指引，多款AI工具曝漏洞并被黑客利用；网络安全层面，抢号脚本案宣判，主流安全软件内核驱动存高危漏洞，加密货币盗窃事件频发。报告强调企业需加强基础安全防护、及时修补漏洞、完善AI伦理治理体系。 综合评分： 72 文章分类： 数据安全,漏洞分析,政策法规,AI安全,网络安全

在看 | 周报：河北三家金融机构因数据安全等多项违规被罚；全国网安标委发布《人工智能应用伦理安全指引》1.0版（征求意见稿）

原创

管窥蠡测 管窥蠡测

安在

2026年4月18日 17:20 北京

在小说阅读器读本章

去阅读

[导读]

本周网络安全领域热点密集。数据安全方面，河北三家金融机构因违规被罚，境内多起境外窃密案成功处置，海外多家平台频发数据泄露；AI安全领域，全国网安标委发布AI应用伦理安全指引，多款AI工具曝高危漏洞、被黑客用于网络攻击；网络安全层面，抢号脚本案宣判、多款软件与系统现漏洞，加密货币盗窃等事件频发，全方位敲响安全警钟。

数据安全及个人信息保护

1、河北三家金融机构因数据安全等多项违规被罚

河北晋州农村商业银行、邯郸银行、定兴县农村信用联社三家金融机构，均因违反数据安全管理规定被央行相关分行处罚，同时还涉及账户管理、金融统计、信用信息管理、反洗钱、人民币管理等多项违规行为。三家机构均被处以警告并罚款，罚款金额分别为225.34万元、190.37万元、30.88万元。

2、杭州某科技公司数据遭境外窃取被浙江网信部门处罚

浙江网信部门查实，杭州某科技有限公司服务器端口存在弱口令漏洞，被黑客攻击利用，导致数据库相关数据遭境外窃取。该公司未依法履行网络安全与数据安全保护义务，未采取技术及其他必要措施保障数据安全，违反《网络安全法》《数据安全法》相关规定，被浙江省网信办责令改正，并处以警告、罚款五万元的处罚。

3、网约车司机智斗境外间谍获特别重大贡献奖励

网约车司机陈师傅搭载外籍乘客时，发现二人在部队营区附近异常拍照，察觉其身份可疑。他随即拨打举报电话，并在再次接到该订单后，驾车驶向部队营区，果断控制对方、抢下手机留存证据，协助部队哨兵控制两名外籍人员。经查，二人受境外间谍情报机关指使，非法搜集我国军事目标相关信息。陈师傅因此被国家安全机关授予公民举报特别重大贡献奖励。

4、科研船近海捞起境外水下窃密装置

我国科研船在执行常规海洋环境勘测任务时，探测到异常信号并打捞起一具筒形装置。该装置为耐腐蚀合金材质、覆有仿生涂层且带有外文标识，与国家安全机关通报的境外窃密设备特征高度相似。科研人员随即拨打举报电话上报，经调查，该装置系境外势力布设，可采集我国特定海域水文敏感信息并向境外回传，对国家安全造成威胁，已被国家安全机关及时处置。

5、军工涉密人员赵某某被境外间谍策反卖密遭严惩

军工单位涉密人员赵某某留学期间结识境外间谍肖恩，被对方以高额报酬、全家移民为诱饵策反。归国进入军工单位后，赵某某按境外间谍指令大肆搜集出卖我国军事军工情报。境外间谍始终以境外账户存管为由，用空头支票搪塞报酬承诺。赵某某愈发疯狂卖密换钱，最终被国家安全机关及时抓获，其所谓境外账户实为骗局，赵某某已受到法律的严惩。

6、驻外人员孟某某为蝇头小利出卖国家秘密沦为间谍

我国驻外人员孟某某在国外酒会上结识外籍人员玛丽，对方以请教人文、学习中文为由频繁接触，用小礼物、“讲课费” 等小恩小惠拉拢。孟某某放松警惕，向其泄露敏感内部信息，后续玛丽与同事汉克亮明境外间谍身份，孟某某心存侥幸签订情报合作协议。回国后他仍秘密接头、大肆出卖情报换取报酬，最终被国家安全机关抓获，受到法律的严厉惩处。

7、欧洲铁路公司Eurail数据泄露30万人受影响

欧洲铁路旅行公司Eurail遭网络入侵发生数据泄露，黑客入侵其网络窃取约1.3TB数据，涵盖源代码、支持工单、数据库备份及客户姓名、护照号码等个人信息，还在暗网出售被盗数据。该公司未存储银行、信用卡信息与护照视觉副本，此次泄露共影响308,777人，公司已向相关监管机构提交泄露通知，并向受影响人员发送书面告知。

8、全球零工平台Fiverr因云存储配置不当发生数据泄露

全球最大零工平台Fiverr因所使用的Cloudinary云存储配置不当，未启用URL签名、设置访问有效期与鉴权机制，导致超3万个用户文件暴露在公网，文件包含纳税表单、身份证明等敏感隐私信息。安全研究员提交漏洞报告后40天未得到平台回复，最终将问题公开。此次泄露属于系统性配置错误，也为各类使用云存储的企业敲响了安全防范警钟。

9、旅游平台Booking.com遭入侵，旅客个人信息外泄

全球在线旅游平台Booking.com发生数据泄露，部分用户的姓名、电子邮箱、住址、电话号码等个人信息遭外泄，目前无证据显示用户金融支付信息被获取。平台已更新涉事订单PIN码降低风险，有用户反馈泄露后接到诈骗来电与钓鱼信息，相关数据疑似被转卖给黑灰产团体。这并非该平台首次安全事件，2023年底其曾出现旅客信息被窃密泄露的情况。

AI安全

1、全国网安标委发布《人工智能应用伦理安全指引》1.0版（征求意见稿）

指引确立造福人类促进发展、识别风险分级防护等六大核心原则，覆盖 AI 应用全生命周期安全管理，明确数据安全、算法安全、模型安全等关键环节要求，适用于各行业 AI 应用安全风险管理，为监管部门和第三方测试评估机构提供参考，助力 AI 技术安全可控发展。

2、哩布哩布AI因生成涉黄内容致歉并整改

哩布哩布AI就平台生成涉黄违规内容公开致歉，经自查，该平台在个别复杂提示词组合与规避表达的边界场景下，存在生成不符合规范内容的情况。平台已完成技术修复，全面封堵风险路径，同步升级审核机制、加强攻防演练，并启动内部责任复盘，将以更高标准完善内容安全体系，严守内容安全底线。

3、开源AI中转站New-API现高危漏洞可伪造任意金额充值

开源AI API中转站项目New-API存在高危漏洞，启用Stripe充值且Webhook路由可外部访问时，签名密钥为空仍会执行验签，导致安全边界失效，攻击者能伪造Stripe支付事件，实现任意金额充值。该漏洞已在New-APIv0.12.10版本修复，未配置签名密钥发起支付将直接返回403。使用该项目搭建API中转站的人员需立即升级，同时检查Webhook暴露情况与支付订单异常。

4、黑客利用Claude和ChatGPT入侵墨西哥多家政府机构

黑客借助Anthropic的Claude Code与OpenAI的GPT-4.1发起复杂网络攻击，成功入侵九家墨西哥政府机构，窃取数亿公民记录。攻击中AI被深度用于远程命令执行、侦察、数据处理与漏洞利用程序开发，大幅压缩攻击周期。此次攻击能得逞，源于目标机构存在基础安全缺口，相关研究机构建议通过修补漏洞、凭证轮换、网络分段等基础安全手段进行防范。

4、Grafana曝GrafanaGhost漏洞，可诱导AI助手泄露企业数据

开源监控与数据可视化平台Grafana的AI助手存在“GrafanaGhost”安全漏洞，黑客可通过间接提示注入方式，在外部网页嵌入恶意指令，诱导AI助手绕过安全机制，将企业敏感数据发送至黑客控制的服务器，且过程无明显报错，用户难以及时察觉。Grafana官方已快速修复该漏洞，并称漏洞需先获取用户权限、多次触发才可实施恶意操作。

5、Codex利用驱动接口漏洞获取三星电视Root权限

OpenAI的Codex AI模型从三星电视浏览器低权限环境出发，自主枚举攻击面、分析驱动源码，借助设备全局可写内核驱动接口漏洞，成功将设备权限提升至Root。该电视基于Tizen平台Linux内核运行，漏洞源于ntksys驱动权限配置缺陷与物理范围校验缺失，Codex借此绕过未授权执行防护完成提权。

6、Mythos风暴将至，250位CISO闭门交出可落地方案

4月12日，云安全联盟CSA联合SANS、[un]prompted等正式发布《AI Vulnerability Storm: Building a “Mythos-ready” Security Program》报告。报告表示，以Mythos为代表的AI大模型正在引发结构性的“AI漏洞风暴”，传统漏洞防治体系将全面失效，企业必须立刻转向AI驱动、韧性优先、自动化闭环的MythosReady安全模式，否则将在机器速度的攻击面前失去防御能力。

网络安全

1、男子自学编程伙同妻子代抢医院号源获刑

广东深圳男子罗某因就医挂号难，自学编写抢号脚本并开发自动化抢号系统，与妻子分工合作，有偿为他人代抢医院号源，收费 50 元至数百元。二人非法侵入医疗预约平台，绕过正常预约流程抢占公共号源，破坏就医公平，涉案金额超 57 万元。检察机关以非法控制计算机信息系统罪对二人提起公诉，法院判处罗某有期徒刑三年、缓刑四年并罚金一万元，其妻子获刑一年六个月、缓刑二年并罚金五千元。

2、金山毒霸、360安全卫士内核驱动曝高危漏洞

安全研究人员披露，金山毒霸、360安全卫士的内核驱动存在高危漏洞。金山毒霸相关驱动因缓冲区分配不足引发内核池溢出，可被攻击者用于完全控制系统；360安全卫士相关驱动可强制终止任意进程、绕过受保护进程机制，且解密密钥硬编码、全版本通用。两款驱动均具备合法签名，漏洞未获CVE编号且未被屏蔽，攻击者可借此提权、窃取内核凭据并隐藏恶意行为。

3、加密货币ATM巨头Bitcoin Depot遭黑客入侵损失366万美元

Bitcoin Depot作为全球大型比特币ATM网络运营商，其系统遭黑客非法入侵，攻击者盗取账户凭证后转走约50.9枚比特币，造成约366.5万美元损失。公司发现入侵后立即启动应急程序，聘请安全专家并报案，该事件未影响客户平台及相关数据。

4、苹果紧急提醒iPhone用户更新设备防范网页攻击

苹果官方发布安全提醒，安全研究人员发现存在基于网页的攻击，这类攻击会借助恶意网页内容，对旧版本iOS系统发起攻击。苹果提示，使用旧版本iOS的iPhone用户需立即更新设备，以此保护数据安全；设备无法更新且支持锁定模式的用户，可启用该模式，防范恶意网页内容及其他相关威胁。

5、伊朗境内美制通信设备集体失灵，疑遭四类恶意攻击

伊朗中部伊斯法罕省遇袭期间，境内大量美国思科、飞塔、朱尼珀等品牌的通信设备突然失灵、操作系统崩溃。伊朗网络安全专家分析，该国通信网络疑似遭受隐藏访问、恶意数据包、潜伏式 “僵尸网络”、生产链污染四类恶意攻击，涉事设备或存在后门、预装恶意程序或出厂前已被篡改。

6、WordPress 数十款插件被植入后门，超两万站点面临风险

WordPress数十款插件因被植入后门已从官方插件库永久下线，该后门是插件开发商EssentialPlugin被收购后，源码被悄悄植入休眠恶意程序，近期被激活并向使用站点推送恶意代码。受影响插件安装量超40万次，超2万个活跃WordPress站点面临安全威胁，且用户不会收到插件所有权变更通知。

7、10美元域名可致黑客掌控2.5万个终端，涉多类敏感网络

Huntress研究发现，Dragon Boss Solutions的恶意软件更新主域名未注册，黑客仅需10美元购得该域名，就能向受感染终端下发任意代码。该软件可禁用安全产品、实现持久驻留，已感染全球124国超2.5万个终端，波及高校、运营技术、政府机构等敏感网络，美国受影响设备数量最多。

8、CISA将微软多款产品漏洞列入已知被利用漏洞目录

美国网络安全和基础设施安全局（CISA）把微软Excel远程代码执行漏洞CVE-2009-0238、SharePoint Server漏洞CVE-2026-32201，以及苹果、Laravel Livewire、Craft CMS的漏洞纳入已知被利用漏洞目录。其中Excel漏洞可触发内存损坏实现远程代码执行，SharePoint漏洞为已遭野外利用的零日欺骗漏洞，CISA要求联邦机构在2026年4月28日前完成修复，同时建议私营企业及时排查修补。

9、假冒Ledger Live应用致950万美元加密货币被盗

苹果App Store上架的假冒Ledger Live应用，通过诱骗用户输入钱包恢复短语实施盗窃，造成超50名受害者损失总计950万美元加密货币，涉及比特币、以太坊等多种币种，多名受害者损失达七位数，甚至有用户退休储蓄被清空。被盗资金经KuCoin存款地址及加密混合服务完成洗钱，苹果已下架该假冒应用。

RECOMMEND

推荐阅读

●在看 | 周报：山东济宁警方破获新型侵犯公民个人信息案；“3·15”曝光网安黑灰产；国家安全部发布“龙虾”安全养殖手册

●在看 | 周报：湖南两家金融机构因数据安全等违规问题受罚；男团司机勾结他人售卖艺人隐私；上海警方捣毁游戏账号工厂黑产链

#

#

●在看 | 周报：北京公安网安部门破获网络开盒案；美团疑删用户照片引热议；晋中网安部门破获一起非法获取公民个人信息案

扫码加入诸子云知识星球。

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 管窥蠡测 管窥蠡测《在看 | 周报：河北三家金融机构因数据安全等多项违规被罚；全国网安标委发布《人工智能应用伦理安全指引》1.0版（征求意见稿）》