文章总结： 本期安全周报聚焦数据安全与合规领域，披露屏南农信社因数据安全管理不到位被罚65万元、江苏银行北京分行因违反数据安全等五项违规被央行处罚等案例。同时曝光AI模型安全隐患、Linux内核漏洞窃取SSH密钥、WordPress插件漏洞遭大规模利用等威胁，并通报非法破解无人机、倒卖艺人隐私等黑产案件。报告警示企业需加强数据合规管理、及时修复系统漏洞、提升员工安全意识。 综合评分： 78 文章分类： 数据安全,政策法规,漏洞分析,网络安全,AI安全

在看 | 周报：屏南农信社因数据安全及案防违规被罚65万；江苏银行北京分行因五项违规被央行处罚

原创

管窥蠡测 管窥蠡测

安在

2026年5月23日 19:14 上海

在小说阅读器读本章

去阅读

[导读]

本期周报聚焦数据安全、金融合规、AI安全与网络安全多领域热点。工信部通报31款APP及SDK侵害用户权益；屏南农信社、江苏银行北京分行因数据安全、案防及多项合规违规被监管重罚。同时艺人隐私倒卖、500余万条公积金信息非法交易黑产案件曝光。此外，多款AI模型现安全隐患、科技企业遭遇供应链黑客攻击，无人机非法破解、Linux及微软、WP插件等高危漏洞频发，海外也出现加油站系统、GitHub源码遭入侵事件。

数据安全及个人信息保护

1、工信部通报31款APP及SDK侵害用户权益

工信部依据《个人信息保护法》《网络安全法》等法律法规，针对APP、SDK违法违规收集使用个人信息等问题开展治理，经第三方检测机构抽查，发现31款APP及SDK存在侵害用户权益行为，问题包含违规收集个人信息、窗口乱跳转等。工信部要求涉事APP及SDK按规定整改，整改落实不到位的，将被依法依规开展相关处置工作。

2、屏南农信社因数据安全及案防违规被罚65万，相关责任人受处分

国家金融监督管理总局宁德监管分局对屏南县农村信用合作联社作出行政处罚，该农信社存在数据安全管理不到位、案件风险防控不到位两项违规问题，被合计罚款65万元。三名相关责任人同步受到处罚，周某标、陈某伟被给予警告，郑某隆被禁止从事银行业工作三年。

3、江苏银行北京分行因五项违规被央行处罚

中国人民银行北京市分行对江苏银行股份有限公司北京分行作出行政处罚，该分行存在五项违法违规行为，具体包括违反账户管理规定、违反网络安全管理规定、违反数据安全管理规定、违反信用信息采集提供查询及相关管理规定，以及未按照规定履行客户身份识别义务，监管部门对该分行给予警告，并处以51.2万元的罚款。

4、饭圈艺人隐私倒卖黑产乱象频发

上海警方侦破一起侵犯公民个人信息案，某新晋男团专职司机借工作之便窃取艺人非公开行程、家庭住址等隐私，联合两名网约车司机在粉丝群标价售卖，短期内涉案金额超五万元。不少未成年粉丝购买隐私信息后，跟踪蹲守艺人，还恶意翻找其生活垃圾、捡拾快递单据。

5、攀枝花警方破获非法买卖公民公积金信息案

王某曾任职某信息技术公司，凭借维护公积金相关系统的工作便利，非法获取公民公积金缴存信息，通过社交网络向贷款中介、理财公司兜售，声称信息真实可核验、能精准定位客户资质。王某等人累计出售公民公积金信息500余万条，其行为涉嫌侵犯公民个人信息罪，包括王某在内的10人已被警方依法采取刑事强制措施，案件仍在进一步侦办中。

6、美国多州加油站油罐监测系统遭黑客入侵

美国多州加油站自动油罐计量（ATG）系统遭未知黑客入侵，该系统因未设置密码保护且暴露在互联网存在漏洞，黑客篡改了油罐显示读数，未改变实际燃油储量，也未造成物理损坏与人员伤亡，但存在燃油泄漏无法被察觉的隐患。美方官员怀疑伊朗黑客为幕后黑手，因攻击者留下的证据有限，美方或无法溯源确定责任方。

7、黑客团伙窃取GitHub大量内部仓库源码公开售卖

黑客组织TeamPCP宣称售卖GitHub核心源代码与内部机密信息，并非索要勒索金。经官方核实，平台约3800个内部私有代码库遭窃取，失窃数据涉及AI编程助手、企业服务架构、安全测试工具等核心模块及内部协作通信信息。此次攻击因员工安装恶意VS Code扩展引发，借助蠕虫病毒不断扩散，GitHub已下架恶意扩展、隔离设备、轮换高风险凭证并排查病毒传播链路。

AI安全

1、DeepSeek回应字符触发模型异常回复

用户反馈在与DeepSeek模型对话时输入这类特殊字符，模型会偶发返回不可预期内容，引发对话泄露的疑虑，实测该模型快速模式下输入相关字符会出现无关回答，有用户称还出现疑似他人问题及隐私内容。DeepSeek经排查表示，该情况是特殊字符引发的模型幻觉，不涉及安全问题与隐私泄露，后续会通过针对性训练增强模型对特殊字符的识别处理能力，修复相关问题。

2、AI模型Mythos5天攻破苹果M5芯片MIE安全机制

安全研究人员联合Anthropic最新AI模型Mythos，成功在开启最高级硬件防护的macOS系统中完成内核提权，实现普通权限程序到完整Root控制的突破，成为首个公开绕过苹果MIE机制的案例。苹果耗时5年、投入数十亿美元打造的MIE是基于ARM内存标记技术的芯片级内存安全防线，过去顶级漏洞团队破解同类系统通常需要半年时间。

3、OpenAI员工设备遭TanStack供应链攻击入侵

OpenAI两名员工的设备在”Mini Shai-Hulud”大规模软件供应链攻击中遭到入侵，该活动由TeamPCP勒索团伙发起，通过在受信任的热门软件包中植入恶意更新将开发者作为攻击目标。攻击者未经授权访问了部分内部源代码存储库并窃取了有限凭证，用于OpenAI多平台产品的代码签名证书也被泄露。OpenAI已采取隔离系统、撤销会话、轮换凭证和证书等措施，macOS用户需在指定日期前更新桌面应用程序。此次攻击已致使数百个npm和PyPI软件包遭到入侵。

网络安全

1、公安部公布10起非法破解无人机飞控系统典型案例

公安机关严厉打击非法破解无人机飞行控制系统违法犯罪，公布10起典型案例。涉案人员通过篡改无人机载重参数、制作售卖破解软件、提供解除禁飞限高服务等手段牟取非法利益，此类行为易引发安全事故，危害公共安全与国家安全。10起案例的涉案人员均被依法采取刑事强制措施，非法破解行为涉嫌非法控制计算机信息系统等罪名，违规操控破解无人机还将面临罚款、拘留等处罚。

2、国家计算机病毒应急处理中心捕获”银狐”木马最新变种

国家计算机病毒应急处理中心捕获”银狐”木马最新变种，其伪装成”裁员补偿””违纪名单”等内部文件，利用职场焦虑实施精准攻击，已导致大量用户失陷。该木马源自开源远程控制框架，历经多年技术迭代，运用内存注入、双控制链路、AI 免杀等技术提升隐蔽性，还捆绑正规远控软件传播。

3、黑客利用Burst Statistics插件漏洞入侵WordPress网站

黑客正利用WordPress插件Burst Statistics的CVE-2026-8181认证绕过漏洞，获取网站管理员级别访问权限。该漏洞因插件对认证函数结果错误解读引发，未认证攻击者可冒充已知管理员、创建恶意管理员账户。该插件超20万个网站启用，漏洞已被主动利用，安全机构短时间拦截数千次攻击。受影响用户需升级至3.4.2修复版本或禁用插件，仍有超十万个网站面临权限被接管风险。

4、Linux内核漏洞ssh-keysign-pwn可窃取SSH密钥与密码文件

Linux内核存在编号CVE-2026-46333的“ssh-keysign-pwn”漏洞，源于ptrace访问控制中__ptrace_may_access()函数的缺陷，dumpability检查逻辑问题引发竞态条件，攻击者可借助pidfd_getfd()窃取文件描述符绕过权限。该漏洞影响Ubuntu、Debian、CentOS等主流Linux发行版，可窃取SSH私钥、读取/etc/shadow密码哈希，引发身份伪装、中间人攻击、内网横向移动等危害，需部署补丁、轮换密钥并限制本地用户权限。

5、微软Exchange Server高危漏洞遭在野利用

微软Exchange Server曝出高危漏洞CVE-2026-42897，该漏洞CVSS 3.1评分为8.1分，属于跨站脚本漏洞，攻击者可发送特制邮件，在Outlook Web Access中触发恶意代码执行，无需管理员权限即可实现网络欺骗。漏洞影响Exchange Server 2016、2019及所有订阅版。微软已推出临时缓解措施，存在轻微功能影响，永久补丁将优先推送订阅版，旧版用户需注册相关计划获取。

RECOMMEND

推荐阅读

●在看 | 周报：河北三家金融机构因数据安全等多项违规被罚；全国网安标委发布《人工智能应用伦理安全指引》1.0版（征求意见稿）

●在看 | 周报：中行福建省分行因多项违规被罚；谷歌确认黑客利用AI生成零日漏洞发动攻击

#

#

●在看 | 周报：公安人员勾结他人贩卖个人信息获刑；剪映、猫箱App、即梦AI因生成合成内容标识违法被查处

扫码加入诸子云知识星球。

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 管窥蠡测 管窥蠡测《在看 | 周报：屏南农信社因数据安全及案防违规被罚65万；江苏银行北京分行因五项违规被央行处罚》