文章总结： 本周安全周报披露多起数据安全与网络安全事件，包括幼儿园违规传输未成年人信息、民宿安装针孔摄像头直播隐私、程序员私自删除AI训练数据获刑等典型案例，同时曝光AI技能包恶意投毒、WindowsDefender漏洞被利用、加密货币交易所遭黑客攻击等威胁。报告指出当前数据保护漏洞与AI安全风险突出，并给出相应防护建议。 综合评分： 76 文章分类： 数据安全,政策法规,漏洞分析,恶意软件,AI安全

在看 | 周报：合肥一民宿装针孔摄像头直播隐私，涉案人员被刑拘；程序员私自删除AI训练数据获刑五年十个月

原创

管窥蠡测 管窥蠡测

安在

2026年4月25日 18:21 上海

在小说阅读器读本章

去阅读

[导读]

本周数据安全与个人信息保护乱象频发：幼儿园违规传输未成年人信息被约谈，民宿安装针孔摄像头直播隐私涉案人员被刑拘，程序员私自删除 AI 训练数据获刑，海外多起数据泄露、勒索与违规售卖事件接连发生。AI 安全方面，智能体技能包遭恶意投毒，多家知名 AI 公司暴露编程安全缺陷。同时，系统 0Day 漏洞被利用、供应链攻击频发、加密交易所遭黑客攻击停运，各类安全事件凸显数据与 AI 安全防护的严峻性。

数据安全及个人信息保护

1、德令哈某幼儿园违规传输未成年人个人信息被约谈

海西州网信部门接网民举报后查实，德令哈市某幼儿园在核对学生信息时，将包含未成年人个人信息的表格发布至微信群，未对相关信息采取保护措施，存在被查看、复制、利用的风险，违反个人信息保护、儿童个人信息保护及未成年人网络保护相关法律法规。当地网信部门在省级网信部门指导下，约谈涉事幼儿园、教育部门及相关责任人，责令限期整改并提交整改报告。

2、合肥一民宿装针孔摄像头直播隐私，涉案人员被刑拘

反针孔摄像头博主举报合肥 “静语轩小舍” 民宿多个房间安装针孔摄像头，镜头朝向床位直播他人隐私。该民宿临近多所大学，专升本考试期间有大量学生入住，多名女学生在房内的活动被直播，有入住者也在房间发现摄像头。警方核实该案件后，将犯罪嫌疑人武某飞、胡某依法刑事拘留，案件正在进一步侦办。

3、程序员私用算力删AI训练数据获刑五年十个月

北京某科技公司算法工程师王某，为私用公司算力干私活，违规登录服务器集群，用业内危险删库指令删除公司89TBAI训练数据及多个自研文生3DAI模型，导致模型训练中断、成果无法恢复，企业损失20余万元且研发受阻。王某辩称系误删，检察机关查实其主观故意，法院以破坏计算机信息系统罪判处其有期徒刑五年十个月。

4、美国精工网站遭黑客篡改并遭数据勒索

美国精工网站被黑客篡改，“新闻发布厅”板块内容被替换为勒索通知。黑客声称攻破其Shopify商店安全系统，窃取了含客户姓名、邮箱、电话、订单历史、配送数据、账户详情的完整客户数据库，要求美国精工通过指定Shopify客户账户联系谈判，若72小时内未响应就公开所有数据。美国精工已移除网站上的勒索信息，暂未公开确认该事件。

5、英国50万民众健康数据被违规挂牌出售

英国生物样本库50万志愿者的去标识化健康数据被发现在电商平台挂牌出售，数据包含基因组序列、脑部扫描、诊断记录等，暂未发生实际交易。经中英政府与平台协作，相关售卖信息已下架，英国生物样本库撤销三家涉事研究机构的访问权限，暂停全部数据访问并关闭平台三周以升级安全措施，该事件暴露出其科研数据管理存在明显漏洞。

AI安全

1、“龙虾”智能体技能包遭恶意投毒

国家计算机病毒应急处理中心和相关实验室，在“龙虾”（OpenClaw）智能体系统技能仓库发现多个含恶意代码的仿冒技能包。用户安装并调用这类技能包时，会被后台静默下载安装木马病毒，进而被窃取隐私信息，造成敏感信息泄露甚至财产损失。对此，相关方给出了防范措施，包括安装技能包前做安全审计、隔离智能体与其他信息系统等。

2、多家知名 AI 公司现数据安全事件，暴露 AI 编程安全缺陷

瑞典AI编程工具Lovable因权限设置不当，暴露用户代码、AI聊天记录及客户数据，其设计缺陷与后端权限调整失误导致数据外露。Anthropic发生产品源代码公开泄露事件，Vercel则因第三方工具被攻破，员工账号遭劫持，内部系统被未授权访问。多起事件由安全未嵌入设计、供应链风险及员工操作不当引发，凸显AI编程工具安全默认设置缺失的问题。

网络安全

1、商务部回应欧盟《网络安全法》修订草案

商务部向欧委会提交对欧盟《网络安全法》修订草案的评论意见，表达严正关切与正式立场。草案以网络安全和供应链安全为名，引入主观随意的 “非技术风险”，认定相关国家与供应商名单并将其全链条排除出欧盟供应链，属于经贸问题政治化、泛安全化做法。中方指出草案违反世贸组织规则、超出欧盟法律授权，会冲击中欧经贸与全球产供链，建议删除相关条款，若欧方歧视中国企业，中方将采取反制措施。

2、航旅纵横 App 崩溃 核心功能无法正常使用

大量网友反馈航旅纵横 App 崩溃，页面显示 “服务暂时不可用，请稍后再试”，查看行程、购买机票等核心功能受影响。有网友吐槽在机场准备查看登机口时遇故障，行程信息全无，登机需咨询地服。故障发生后，大量用户前往航旅纵横官方微博留言反馈，官方对此致歉，称已反馈核实相关问题，恳请用户耐心等待。

3、CNNVD | 关于Oracle多个安全漏洞的通报

近日，Oracle官方发布了多个安全漏洞的公告，其中Oracle产品本身漏洞110个，影响到Oracle产品的其他厂商漏洞345个。Oracle Mysql、Oracle Identity Manager Connector、Oracle PeopleSoft Enterprise HCM Shared Components、Oracle PeopleSoft Enterprise FIN Maintenance等多个产品和系统受漏洞影响。

4、Windows Defender 0Day漏洞遭活跃利用，部分漏洞未修复

安全研究人员发现，泄露的三款Windows Defender提权0Day漏洞正被实际攻击利用，攻击者使用公开的漏洞利用代码针对企业目标作案，可让低权限用户提升至系统最高权限。微软已修复其中一款漏洞，另外两款仍未推出补丁，海量Windows系统持续面临安全风险。

5、俄加密货币交易所Grinex遭黑客攻击被盗近亿加密货币并停运

俄罗斯加密货币交易所Grinex声称遭西方特种部门黑客攻击，约1300万美元加密货币被盗，平台随即停止运营，其认定此次攻击意在损害俄金融主权。区块链安全机构估算被盗金额约1500万美元，同遭入侵的TokenSpot交易所或为Grinex马甲。Grinex前身Garantex曾被美国制裁，被指为勒索软件等网络犯罪提供便利，被盗稳定币经链上转换，规避了资产冻结风险。

6、Claude Mythos发现火狐浏览器271个漏洞

Anthropic的Claude Mythos预览版在火狐浏览器中识别出271个漏洞，火狐对应版本已完成修复，官方公告仅3个漏洞明确归因于该AI，其余多为低严重程度或不符合公开CVE标准的问题。火狐CTO表示，未发现人类顶尖研究员无法识别的漏洞。该AI暂未向公众发布，仅通过Project Glasswing计划向少数大型组织提供，其漏洞挖掘效率极高，还能串联中低危漏洞、识别传统工具难检测的逻辑问题。

7、新型Lotus数据擦除恶意软件攻击委内瑞拉能源公用事业机构

一款未被记录的Lotus数据擦除恶意软件被用于定向攻击委内瑞拉能源和公用事业组织。攻击者先通过两个批处理脚本禁用系统服务、注销账户、停用网络接口，清理系统环境并初步擦除数据，随后部署Lotus擦除器作为最终载荷。该恶意软件底层运行，获取管理员权限，覆盖物理驱动器扇区、清除系统日志与还原点，彻底摧毁受感染系统使其无法恢复，相关攻击活动契合当地地缘政治局势，卡巴斯基给出了监测预警与防范建议。

8、受制裁加密交易所Grinex遭黑客攻击停运

受英美制裁的吉尔吉斯斯坦加密货币交易所Grinex遭遇黑客攻击，超10亿卢布用户资金被盗，平台因此暂停运营，该交易所指责西方情报机构策划此次攻击。Grinex是Garantex的更名平台，被盗资金被转移至波场、以太坊区块链并兑换为其他代币，以规避泰达币冻结风险。关联平台TokenSpot也受波及，此次攻击对俄罗斯逃避制裁的加密金融基础设施造成重大打击。

9、Vercel遭黑客入侵 第三方AI工具成攻击突破口

主流网页部署平台Vercel被黑客入侵，涉事黑客自称是入侵Rockstar Games的ShinyHunters组织成员，正试图出售窃取的数据，泄露信息包含员工姓名、电子邮箱地址及操作时间戳。Vercel证实该安全事件仅影响少量客户，攻击通过遭入侵的第三方AI工具实施，该工具的Google Workspace OAuth应用遭大范围入侵，可能影响数百个机构的大量用户，Vercel建议管理员核查操作日志、轮换环境变量防范风险。

10、Bitwarden CLI npm包遭入侵，开发者凭证被窃取

攻击者向npm上传含窃取凭证载荷的恶意@bitwarden/cli包，借助被入侵的GitHub Action注入恶意代码，恶意程序可窃取npm、GitHub、SSH密钥及云服务凭证，还能自我传播扩大攻击范围。该攻击与Checkmarx供应链攻击同源，关联TeamPCP威胁组织。Bitwarden称事件仅影响npm分发渠道，未泄露用户保险库与生产数据，已撤销入侵权限并弃用恶意版本。

11、黑客利用Breeze Cache插件漏洞发动攻击

黑客正积极利用WordPress的Breeze Cache插件存在的严重漏洞发起攻击，该漏洞编号为CVE-2026-3844，漏洞评分为9.8分。漏洞源于插件函数缺少文件类型验证，未认证攻击者可上传任意文件，实现远程代码执行以控制网站，仅启用特定附加组件时攻击可成功。该漏洞影响2.4.4及之前版本，官方已发布2.4.5版本完成修复，建议相关网站尽快升级插件或禁用对应功能。

RECOMMEND

推荐阅读

●在看 | 周报：河北三家金融机构因数据安全等多项违规被罚；全国网安标委发布《人工智能应用伦理安全指引》1.0版（征求意见稿）

●在看 | 周报：湖南两家金融机构因数据安全等违规问题受罚；男团司机勾结他人售卖艺人隐私；上海警方捣毁游戏账号工厂黑产链

#

#

●在看 | 周报：北京公安网安部门破获网络开盒案；美团疑删用户照片引热议；晋中网安部门破获一起非法获取公民个人信息案

扫码加入诸子云知识星球。

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 管窥蠡测 管窥蠡测《在看 | 周报：合肥一民宿装针孔摄像头直播隐私，涉案人员被刑拘；程序员私自删除AI训练数据获刑五年十个月》