文章总结： 本周安全资讯汇总涵盖政策法规与行业动态：国家发布智能体应用发展实施意见强调密码防护等安全要求，10项网络安全国标更新；安全热点包括通用汽车因违规出售用户数据被罚近9000万、英国水务公司数据泄露罚款885万元、富士康遭勒索攻击窃取大量客户文件；行业趋势显示勒索软件转向后量子密码与无加密勒索模式，西电AI密码分析取得突破，韩国扩展后量子密码试点；深度好文对比密码应用方案模板并探讨AI个人信息治理。 综合评分： 75 文章分类： 政策法规,数据安全,漏洞预警,解决方案,安全运营

安全资讯汇总：2026.5.11-2026.5.15

江南信安

2026年5月15日 16:04 北京

在小说阅读器读本章

去阅读

点击蓝字 关注江南信安

安全专栏

2026/5/11-2026/5/15

江南信安网络安全汇总专栏，每周为您提供网络安全领域「标准规范、安全热点、行业发展、深度好文、融资信息」等最新资讯的追踪与共享。

标准规范

1、密码防护丨首个国家级“智能体”应用发展政策出台！

5月8日，国家网信办、国家发展改革委、工业和信息化部联合印发《智能体规范应用与创新发展实施意见》（以下简称《实施意见》）。《实施意见》从夯实发展基础、守牢安全底线、强化应用牵引、建设创新生态4个方面提出举措。

《实施意见》提出提升内生安全能力。研究智能体数据安全、个人信息保护、密码防护、攻击检测、权限管理、行为控制等安全技术，提升智能体系统安全保障能力，防范数据投毒、隐私泄露、算法篡改、系统漏洞、运行失控等安全风险。

原文链接：

密码防护丨首个国家级“智能体”应用发展政策出台！

2、SM2/SM9 密码算法标准更新！10项网络安全国家标准获批发布

根据2026年4月30日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2026年第21号），全国网络安全标准化技术委员会归口的10项国家标准正式发布。

原文链接：

SM2/SM9 密码算法标准更新！10项网络安全国家标准获批发布

安全热点

1、最大罚单！头部车企因违规出售用户数据被罚近9000万

跨国汽车巨头通用汽车（General Motors）同意支付1275万美元（约合人民币8664万元），以解决美国加州对其提出的指控。相关指控称，该公司在未经数百万消费者同意的情况下收集并存储驾驶信息，并将这些数据出售给数据经纪商，从而侵犯了消费者隐私。根据加州法律，企业只能收集开展业务所必需的数据，并且必须明确告知消费者其数据的用途。

除罚款外，和解协议还要求通用汽车暂停向消费者报告机构出售驾驶数据，其中包括数据经纪商，期限为五年。这家汽车制造商还同意，在未获得消费者明确同意的情况下，于180天后删除相关驾驶数据，并要求两家数据经纪商Verisk和LexisNexis删除通用汽车出售给它们的数据。

和解协议同时要求通用汽车建立一套隐私保护计划，用于分析、修复并记录与OnStar产品数据收集相关的风险。OnStar正是此次加州调查所涉及数据销售计划的核心。根据加州隐私保护局发布的新闻稿，这些评估结果必须提交给加州检察长办公室和加州隐私保护局。

原文链接：

最大罚单！头部车企因违规出售用户数据被罚近9000万

2、大型水务关基机构因数据泄露被罚近千万元：攻击者曾在内网潜伏近两年

英国隐私监管机构日前宣布，对一家大型供水企业处以近百万英镑罚款。调查发现，这家公用服务公司长期未修复企业网络中的安全漏洞，导致一次勒索软件入侵事件泄露了超过63.3万名客户、员工和承包商的个人信息。

英国信息专员办公室（ICO）周一表示，在调查一起2022年的网络攻击事件后，决定对南斯塔福德郡水务水公司及其母公司南斯塔福德郡集团处以963900英镑（约合人民币885.4万元）罚款。此次攻击导致姓名、出生日期、联系方式、支付信息、在线账户凭证，以及部分健康相关信息遭到泄露。

罚款通知指出，此次数据泄露事件可追溯至2020年9月的一次网络钓鱼攻击。当时，恶意软件被植入公司的企业网络。

ICO负责监管事务的临时执行主任Ian Hulme表示：“客户无法选择由哪家水务公司为其提供服务。他们必须共享个人信息，并完全信任服务提供商。这家公用事业公司未能采取业界早已确立、广泛认可且行之有效的控制措施来保护其计算机网络。等到系统出现性能问题或收到勒索信息后，才发现已经遭到入侵，这是不可接受的。”

原文链接：

大型水务关基机构因数据泄露被罚近千万元：攻击者曾在内网潜伏近两年

3、富士康多家工厂遭勒索攻击，8TB超千万份客户敏感文件疑被窃取

电子制造商富士康表示，其位于美国威斯康星州园区的IT系统出现技术问题，并已影响运营。此前有员工称，该园区已连续数日出现网络中断，生产受到干扰。

富士康在向外媒DysruptionHub发表的声明中表示：“近期，我们威斯康星州园区的IT系统出现技术问题并影响运营。我们立即启动紧急响应机制，并实施了一系列应急措施，以确保生产和交付的连续性以及数据安全。”

本周早些时候，这家中国台湾地区的制造商被列入Nitrogen勒索软件团伙的暗网博客。威胁行为者声称，他们从富士康窃取了8TB数据，共计约1100万个文件。

Nitrogen在暗网帖子中写道：“这些文件包括来自英特尔、苹果、谷歌、戴尔、英伟达以及许多其他项目的机密说明、项目资料和图纸等内容。”

有研究人员分析了攻击者放在富士康数据泄露帖子中的数据样品，这些样品还附上了许多据称来自该公司的文件截图。研究人员表示，这些图片样本显示了硬件组件说明、原理图、投资文档、财务运营文档等各类数据。

研究人员指出，至少部分数据样本与攻击者的说法相符，因为其中展示了为谷歌制造的组件。不过，初步审查并未支持攻击者关于此次泄露波及苹果、戴尔或英伟达的说法。研究人员认为，如果事件得到证实，此次泄露可能会对富士康客户造成严重影响。

原文链接：

富士康多家工厂遭勒索攻击，8TB超千万份客户敏感文件疑被窃取

行业动态

1、后量子密码 + 无加密勒索，2026 勒索攻击战术全面升级****

2026 年 5 月 12 日，Securelist 发布《2026 年勒索软件态势报告》，揭示全球勒索威胁呈现两大核心技术演进。

报告显示，勒索软件家族持续迭代，新型家族开始采用后量子密码算法，以抵御未来量子计算破解，大幅提升加密强度与勒索威慑力。同时，受赎金支付率下滑影响，攻击团伙加速战术转型，部分组织放弃数据加密，转向无加密勒索模式，以窃取并威胁泄露敏感数据为核心手段，降低攻击暴露风险、提升作案效率。报告指出，传统加密勒索有效性下降，攻击者更依赖数据泄露施压，后量子密码的应用则让解密恢复难度显著提升，无加密勒索因隐蔽性强、成本低正快速扩散。

上述变化意味着企业防护需同步升级，既要应对传统加密威胁，也要强化数据防泄露与异常访问监测，提前布局后量子密码兼容能力，应对长期安全风险。

原文链接：

https://securelist.com/state-of-ransomware-in-2026/119761/

2、AI 破局！西电突破密码分析国际瓶颈

近日，西安电子科技大学王子龙教授团队创新研究，将人工智能与经典密码分析技术融合，依托 AI“慧眼”快速锁定并精准验证安全漏洞，为密码安全研究开辟了新路径。

据介绍，王子龙教授团队这项科研成果的最大创新，在于构建了一套完整的研究闭环，流程清晰且可落地：第一步，利用人工智能神经网络技术，快速挖掘密码算法中的关键特征；第二步，通过专业技术手段，对AI挖掘出的特征做出清晰、可解释的逻辑说明；第三步，自动优化相关分析模型，提升检测效能；第四步，借助传统密码分析方法，完成安全攻击验证，确保结果可靠。

团队相关负责人介绍，AI技术主要承担快速筛查的任务，凭借强大的数据处理能力，在海量信息中快速排查，精准锁定传统技术难以发现的密码漏洞可疑范围；而传统密码分析技术则负责严谨核验，对AI筛查出的线索逐一进行科学论证，最终确认漏洞的真实性以及是否存在安全风险。

依托神经网络技术，科研团队让机器自主从海量密文数据中挖掘隐藏的关键特征，无需人工逐一验算，大幅减少了运算工作量，提升了排查效率。同时，团队成功解决了人工智能应用中的“黑盒”难题——将AI的智能判断转化为严谨的数学逻辑，让整个分析研判过程清晰可追溯，便于行业内推广和借鉴。

实验测试结果显示，这套新技术应用在多款主流轻量级密码算法中，性能全面优于传统方法，不仅显著提升了漏洞识别和密钥分析的能力，还大幅提升了工作效率：过去需要耗时数年才能完成的密码安全检测工作，借助这套技术不但可高效完成，而且始终保证科研结论的严谨性和精准性。

原文链接：

AI 破局！西电突破密码分析国际瓶颈

3、韩国将后量子密码学试点扩展至电信、金融和国防领域

据首尔经济日报报道，科学与信息通信技术部（MSIT）4日表示，将扩大其针对国家关键基础设施的后量子密码学（PQC）试点转换项目，并将启动一项相关的商业化研发项目。此举是应对加密系统被淘汰的威胁，这一威胁源自量子计算技术与人工智能（AI）的快速发展。

继去年针对能源、医疗和行政部门关键基础设施实施后，今年的试点转换支持项目已扩展至五大核心领域：电信、金融、交通、国防和航天。目标是在这些领域实际应用PQC，分析出现的技术问题和解决方案，并制定一个建立转换程序的试点模型。

PQC是一种下一代密码学技术，其使用比当前使用的公钥密码算法（如素因数分解和离散对数）更复杂的数学结构（如格和哈希方案），这使得即使是量子计算机也难以解密。

最终被选定在各行业实施PQC的公司包括电信领域的Dream Security、金融领域的KSmartech、交通领域的Mobilitus、国防领域的大永S-Tek，以及由KSign领导的太空领域的财团。

原文链接：

韩国将后量子密码学试点扩展至电信、金融和国防领域

深度好文

1、2021 版与 2023 版密码应用方案模板专家级深度对比

文章展示了2021 版商用密码应用方案模板（密评联委会）与2023 版信息系统密码应用方案模板（GB/T 43207-2023 ）全面的对比分析，并给出结构化对比。

原文链接：

密码方案｜ 2021 版与 2023 版密码应用方案模板专家级深度对比

2、生成式人工智能个人信息安全的风险治理研究

目前，全球人工智能的竞争已经从技术层面扩展到监管治理层面。经济合作与发展组织（OECD）人工智能政策观察站的数据显示，全球已有70多个国家和地区出台了超过800项人工智能治理相关政策，其中，最为关键的一项议题即为如何加强人工智能应用过程中的个人信息保护。

在国内层面，我国首部针对生成式人工智能监管的专门立法《生成式人工智能服务管理暂行办法》（以下简称《暂行办法》），在多处条款强调了生成式人工智能服务提供者和用户的个人信息保护义务。例如，《暂行办法》第四条明确要求，提供与使用生成式人工智能服务不得侵害个人信息权益；第七条针对训练数据处理提出合法来源等合规要求，并强调处理涉及个人信息的数据应当取得个人同意或者符合其他法定情形；第九条则明确了服务提供者应当依法承担个人信息处理者责任，并在第十一条等条款中细化了对“使用者输入信息和使用记录”的个人信息保护义务。在行政法规层面，《网络数据安全管理条例》也首次提出要加强训练数据及相关处理活动的安全管理。上述立法与政策动向，清晰地表明了将生成式人工智能纳入规范轨道的紧迫性与广泛共识。

原文链接：

专题·个人信息保护 | 生成式人工智能个人信息安全的风险治理研究

END

点点赞

点分享

点喜欢

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：江南信安 《安全资讯汇总：2026.5.11-2026.5.15》