文章总结： 本期工业网络安全周报涵盖政策法规、漏洞预警与安全事件三大板块。政策方面中国气象局发布地球系统数据平台十年规划；漏洞预警包括日立能源GMS600时序漏洞、思科SecureWorkload满分漏洞等8个高危漏洞；安全事件涉及波兰水厂攻击、纽约医疗系统180万患者数据泄露等6起事故。报告突出关键基础设施面临的严峻威胁，建议企业及时修补漏洞、强化访问控制与网络隔离。 综合评分： 82 文章分类： 漏洞预警,政策法规,威胁情报,安全事件,解决方案

工业网络安全周报-2026年第20期

OT工控安全领导者 OT工控安全领导者

安帝Andisec

2026年5月23日 12:01 北京

在小说阅读器读本章

去阅读

本文预计阅读时间26分钟

BREAKING NEWS

本 期 摘 要

政策法规方面，中国气象局发布十年规划，推进地球系统数据平台建设。

漏洞预警方面，日立能源GMS600曝OpenSSL时序漏洞，存在数据解密风险；美国思科公司Secure Workload（原Tetration多云工作负载安全平台）再曝满分高危漏洞；ABB CoreSense系列曝高危路径遍历漏洞，可致系统完全沦陷；OpenClaw（开源自主AI代理平台）曝Claw Chain漏洞链，可被黑客劫持AI代理并实现系统接管；美国PostgreSQL全球开发组发生20年老漏洞公开概念验证利用程序；巴西开源SCADA平台ScadaBR曝多个高危漏洞，可无权限远程执行代码；美国Linux内核开发团队发现Linux内核漏洞允许非特权用户访问root文件。

安全事件方面，波兰水厂遭大规模网络攻击，关键基础设施安全风险蔓延至美国；美国纽约市公共医疗系统曝大规模数据泄露，180万患者信息遭第三方黑客窃取；俄罗斯关联FrostyNeighbor黑客组织持续针对乌克兰政府及军事部门使用升级后技术发动网络攻击；美国网络安全机构CISA大量密码与云密钥公开泄露；捷豹路虎遭网络攻击致利润暴跌99%，生产停滞拖累全年业绩；马来西亚政府背景黑客滥用Cloudflare开展长期网络间谍活动。

风险预警方面，美国Recorded Future公司发布关于暗网活动的研究报告。

安全技术方面，美国CTC公司与Quantum Knight公司合作部署后量子防护措施覆盖联邦及工业系统。

政策法规

1. 中国气象局发布十年规划，推进地球系统数据平台建设

2026年5月11日，中国气象局正式印发《地球系统数据平台体系发展建设总体工作方案（2026—2035 年）》，全面部署未来十年地球系统数据平台建设任务，助力数字中国建设与国家重大战略实施。方案锚定 “全球覆盖、要素完备、技术先进、标准规范、质量可靠、流通高效” 总目标，明确 “三步走” 路径：2027年前完成数据资源普查、初步建成平台并确立共享机制；2030年实现平台稳定运行并形成标杆应用场景；2035年推动数据应用深度融入数字中国。方案从夯实数据与算力基础设施、拓展多元应用场景、完善治理体系、强化协同协作四方面推进，数据将赋能农业、交通、能源、金融、文旅等行业，支撑全球预警、极端天气应对与气候治理，同时构建数据标准、安全管理与共建共享机制，为气象现代化和国家数字经济发展提供坚实支撑。

资料来源：

https://www.cma.gov.cn/2011xwzx/2011xqxxw/2011xqxyw/202605/t20260520_7802777.html

漏洞预警

2. 日立能源GMS600曝OpenSSL时序漏洞，存在数据解密风险

2026年5月21日，据 CISA 发布公告，瑞士工业巨头日立能源（Hitachi Energy）旗下GMS600 云安全设备存在中危漏洞（CVE‑2022‑4304，CVSS 5.9），影响1.3.0与1.3.1版本。该漏洞源于设备内置OpenSSL组件在RSA解密时存在时序侧信道缺陷，属于可观测差异（CWE‑203）类问题。攻击者可向目标服务器发送大量特制试探消息，通过比对处理时间差异，采用Bleichenbacher攻击法还原TLS连接中的预主密钥，进而解密传输中的敏感应用数据。漏洞覆盖所有RSA填充模式，全球部署的关键制造领域基础设施均受波及。日立能源已发布1.3.2版本补丁修复漏洞，CISA提醒相关企业尽快升级，强化传输加密防护，防范工业控制系统数据遭窃听与解密，保障关键基础设施通信安全。

资料来源：

https://www.cisa.gov/news-events/ics-advisories/icsa-26-141-01

3. 美国思科公司Secure Workload（原Tetration多云工作负载安全平台）再曝满分高危漏洞

2026年5月21日，据科技媒体The Register报道，思科再次披露一款CVSS评分为10.0的严重级高危漏洞，该漏洞存在于Cisco Secure Workload平台的管理员组件中。该产品前身为Tetration，是思科主打、面向混合云及容器环境的工作负载安全管控平台，广泛用于企业数据中心、多云架构的流量防护与安全策略治理。本次漏洞为认证绕过漏洞，源于产品自身安全机制存在设计缺陷，未授权的远程攻击者可通过构造恶意请求，获取平台最高管理员完全控制权限。漏洞成功利用后，攻击者可肆意查看、篡改平台核心安全配置，窃取业务敏感数据，植入恶意程序，同时依托平台管控能力在内网开展横向移动，全面接管受防护的服务器、容器等工作负载，对企业混合云业务体系造成毁灭性安全威胁。目前该高危漏洞暂无可用临时缓解方案，唯一处置方式是升级至思科官方发布的安全修复版本。

资料来源：

https://www.theregister.com/security/2026/05/21/cisco-serves-up-yet-another-perfect-10-bug-with-secure-workload-admin-flaw/5244012

4. ABB CoreSense系列曝高危路径遍历漏洞，可致系统完全沦陷

2026年5月19日，据美国网络安全与基础设施安全局（CISA）公告，瑞士工业巨头ABB旗下CoreSense HM与CoreSense M10工业监测设备存在高危路径遍历漏洞（CVE‑2025‑3465，CVSS 7.1），影响全球食品农业、商业设施及关键制造领域。漏洞源于对文件路径限制不当（CWE‑22），允许未授权本地用户绕过目录限制，访问受限文件、窃取敏感信息，甚至实现系统完全接管。受影响版本包括CoreSense HM ≤2.3.1、2.3.4及CoreSense M10 ≤1.4.1.12、1.4.1.31。漏洞仅在攻击者获得设备本地访问权限时可被利用，但工业现场物理接触风险高，一旦结合其他入口易形成组合攻击链。ABB已发布2.3.4（HM）与1.4.1.31（M10）版本补丁，CISA紧急提醒关键基础设施运营方尽快升级，并严格管控本地访问权限、强化设备物理隔离，防范漏洞被利用引发工业系统安全事故。

资料来源：

https://www.cisa.gov/news-events/ics-advisories/icsa-26-139-01

5. OpenClaw（开源自主AI代理平台）曝Claw Chain漏洞链，可被黑客劫持AI代理并实现系统接管

2026年5月19日，GovInfoSecurity报道，开源自主AI代理平台OpenClaw曝出名为“Claw Chain”的四漏洞组合链，攻击者可利用该链从初始入侵逐步实现对 AI 代理的完全劫持与系统级持久控制。OpenClaw是面向自主AI代理的主流开源平台，广泛用于构建具备自主执行能力的AI智能体。该漏洞链由Cyera研究团队发现，影响2026年4月23日前所有版本，核心高危漏洞CVE‑2026‑44112的CVSS评分达9.6（近满分），利用沙箱执行环境的时间差缺陷，可绕过验证实现沙箱逃逸、篡改系统配置并植入持久后门。其余三漏洞（CVE‑2026‑44113/44115/44118）可配合完成凭证窃取、权限提升，形成完整攻击链路。目前所有漏洞已在OpenClaw2026.4.22版本中修复，但事件凸显AI代理平台安全架构缺陷，公网暴露的数十万实例曾面临被远程接管、数据泄露风险，企业需立即升级并强化AI代理的权限隔离与访问管控。

资料来源：

https://www.govinfosecurity.com/patched-openclaw-flaw-let-hackers-hijack-ai-agents-a-31720

6. 美国PostgreSQL全球开发组发生20年老漏洞公开概念验证利用程序

2026年5月19日，据安全研究人员报道，PostgreSQL全球开发组发现了一个存在20年的安全漏洞，该漏洞的公开概念验证利用程序已经发布，可能导致远程代码执行。这个漏洞涉及PostgreSQL数据库管理系统中的一个长期存在的安全缺陷，攻击者可以利用该漏洞在受影响的系统上执行任意代码。该漏洞的严重性较高，因为它允许攻击者在数据库服务器上获得完全控制权，可能导致数据泄露、系统被接管等严重后果。安全研究人员已经发布了概念验证利用代码，这意味着攻击者现在可以更容易地利用这个漏洞。PostgreSQL用户需要立即采取行动，应用相关的安全补丁或更新到最新版本，以保护其系统免受潜在攻击。这个漏洞的公开引起了广泛关注，因为它影响了许多使用PostgreSQL数据库的组织和应用程序，包括企业、政府机构和开源项目。安全专家建议用户检查其PostgreSQL版本是否受影响，并采取适当的防护措施。

资料来源：

20-Year-Old PostgreSQL Flaw Gets Public PoC Exploit for Remote Code Execution

7. 巴西开源SCADA平台ScadaBR曝多个高危漏洞，可无权限远程执行代码

2026年5月19日，美国CISA发布安全预警，巴西开源工业控制系统平台ScadaBR 1.2.0存在4个高危漏洞，其中主漏洞CVSS评分为9.1（严重级），可被未授权攻击者利用实现远程代码执行。漏洞包括关键功能认证缺失（CVE-2026-8602）、操作系统命令注入（CVE-2026-8603）、跨站请求伪造及硬编码凭证问题，攻击者无需登录即可发送特制请求篡改传感器数据、以root权限执行任意系统命令，甚至完全接管工业控制系统。该平台全球广泛应用于关键制造、水利、化工、能源、大坝等核心基础设施领域，一旦被攻击，可能引发生产中断、设施失控等重大安全事故。截至预警发布，厂商尚未响应漏洞修复请求，暂无官方补丁可用。CISA紧急提醒相关行业运营方立即隔离暴露设备、强化网络边界防护、限制外部访问，防范漏洞被恶意利用，保障工业控制系统安全稳定运行。

资料来源：

https://cwe.mitre.org/data/definitions/306.html

8. 美国Linux内核开发团队发现Linux内核漏洞允许非特权用户访问root文件

2026年5月18日，据网络安全研究人员报道，Linux内核开发团队发现了一个严重的安全漏洞，该漏洞允许非特权用户访问原本仅限root用户访问的文件。该漏洞涉及Linux内核的文件系统权限检查机制，在特定条件下会绕过正常的权限验证流程。研究人员发现，当系统执行某些文件操作时，内核未能正确验证用户权限，导致普通用户能够读取或修改本应受保护的系统文件。这个漏洞影响多个Linux内核版本，包括一些广泛使用的发行版。攻击者可以利用此漏洞获取敏感信息、修改系统配置或提升权限。该漏洞的发现促使Linux内核维护者迅速发布补丁，建议所有Linux系统管理员及时更新内核版本以修复此安全问题。此事件再次凸显了操作系统内核安全的重要性，以及持续监控和及时修补安全漏洞的必要性。

资料来源：

https://www.theregister.com/security/2026/05/18/linux-kernel-flaw-opens-root-only-files-to-unprivileged-users/5241950

安全事件

9. 波兰水厂遭大规模网络攻击，关键基础设施安全风险蔓延至美国

2026年5月21日，据CySecurity News报道，波兰近期曝出多起针对水处理厂的系列网络攻击，凸显关键基础设施因基础安全缺失而面临的严重威胁。黑客成功入侵5家水厂的工业控制系统，部分场景下可篡改水泵、报警装置及水处理设备运行参数，攻击危害从数据窃取升级至直接威胁公共供水安全。调查显示，攻击入口极为低级，源于弱口令及工控系统直接暴露公网，这类可避免的安全短板，让高价值民生设施成为攻击者的易击目标。波兰官方将部分攻击活动关联至亲俄背景威胁组织，认定其意图破坏公共服务、测试国家应急韧性，水务设施已成为跨境网络破坏的重点目标。美国面临同等严峻风险，联邦机构多次预警，本土大量水务系统仍依赖老旧设备、薄弱访问策略及不安全远程连接，未防护的人机界面可被未授权人员操控实时运行参数。事件警示，供水安全已从工程运维问题升级为核心网络安全议题，水务企业亟需强化密码管理、网络隔离、严控远程访问并持续监控工控系统，防范攻击扩散引发系统性公共安全危机。

资料来源：

https://www.cysecurity.news/2026/05/poland-water-plant-hacks-expose-growing.html

10. 美国纽约市公共医疗系统曝大规模数据泄露，180万患者信息遭第三方黑客窃取

2026年5月19日，据信息安全媒体集团（ISMG）旗下HealthInfoSecurity 网站记者Marianne Kolbasuk McGee报道，纽约市公共医疗系统（NYC Health + Hospitals）近期通报一起大规模数据泄露事件，受影响患者人数高达180万。该医疗系统是纽约市主要公共医疗服务机构，下辖70个医疗站点，服务覆盖纽约五大区，年接诊超百万患者。此次黑客攻击源于一家未具名的第三方供应商安全漏洞，黑客借此非法侵入系统并窃取大量敏感信息。泄露数据范围广泛，包括医疗与商业保险信息、医疗记录、账单索赔信息、社保号码、银行卡号，以及指纹、掌纹等不可重置的生物识别数据。安全专家指出，生物识别信息一旦泄露将永久关联个人身份，风险极高。值得注意的是，这已是该机构2026年内第二起第三方相关数据泄露：3 月11日，其曾披露合作机构 “国家药物滥用项目协会” 遭黑客攻击，导致5,086名居家医疗项目患者信息泄露。专家警示，此类大规模公共医疗数据泄露将引发医疗身份盗用、金融欺诈等风险，尤其会加剧弱势群体的就医恐慌，对机构声誉与运营造成重创。

资料来源：

https://www.govinfosecurity.com/public-nyc-health-system-notifying-18m-hack-a-31726

11. 俄罗斯关联FrostyNeighbor黑客组织持续针对乌克兰政府及军事部门使用升级后技术发动网络攻击

2026年5月19日，据网络安全研究人员披露，与白俄罗斯关联的FrostyNeighbor黑客组织持续对乌克兰政府、军事领域相关机构发动网络攻击。该组织在攻击中更新了整套攻击技术链条，使用了新型恶意软件、定制化钓鱼攻击组件以及升级后的检测规避技术，能够绕过目标机构现有部分网络防护体系，大幅提升了攻击的隐蔽性和成功率。攻击者还会搭配使用针对性社会工程学手段，伪装成合法官方通信内容诱导目标人员点击恶意链接或下载携带恶意程序的附件，在获取目标机构内部网络访问权限后，还会开展横向渗透、窃取敏感数据，甚至可能实施后续的系统破坏或勒索操作。该系列攻击对乌克兰多个政府及军事相关机构的网络安全造成严重威胁，可能导致敏感信息泄露、业务系统运行中断，对相关部门的正常运作以及信息安全防护体系带来了较大挑战，目前相关机构正针对性升级防护策略以应对新型攻击手段。

资料来源：

Belarus-aligned FrostyNeighbor continues targeting Ukrainian government, military sectors with updated attack techniques

12. 美国网络安全机构CISA大量密码与云密钥公开泄露

2026年5月19日，据TechCrunch记者Zack Whittaker报道，美国国土安全部下属网络安全与基础设施安全局（CISA）发生严重数据泄露事件。GitGuardian安全研究员纪尧姆・瓦拉东发现，一名CISA承包商员工在GitHub仓库中公开上传含大量明文凭证的电子表格，内容涵盖CISA及国土安全部系统的访问令牌、云密钥及敏感文件，部分密钥经验证真实有效。由于承包商未回应安全预警，事件由独立记者布莱恩・克雷布斯率先披露。CISA作为美国联邦民用网络安全主管机构，竟出现将密码存于未加密表格、公开上传代码仓库的低级失误，极具讽刺性。CISA回应称已知情并调查，暂无敏感数据遭入侵迹象，但未说明是否已撤销泄露凭证。事件还暴露CISA自2025年1月以来无正式局长、人员缩减三分之一的治理困境，引发外界对其网络防护能力的质疑。

资料来源：

US cyber agency CISA exposed reams of passwords and cloud keys to the open web

13. 捷豹路虎遭网络攻击致利润暴跌99%，生产停滞拖累全年业绩

2026年5月19日，据Silicon报道，英国最大汽车制造商捷豹路虎（JLR）公布2025财年（截至3月）业绩，税前利润暴跌超99%，从上年25亿英镑骤降至1400万英镑，税后亏损达2.44亿英镑，而去年同期税后利润为18亿英镑，业绩断崖式下滑的核心原因，是2025年10月底遭遇的严重网络攻击。此次攻击发生在新车销售旺季关键节点，直接导致生产线中断数周，生产秩序混乱，直至财年第四季度才逐步恢复正常产能，造成巨额直接损失与订单延误。此外，美国关税政策调整、全球电动车市场需求不及预期等因素进一步加剧经营压力，公司全年营收下滑21%至229亿英镑，电动化战略被迫推迟，电动揽胜车型延后至下半年发布，捷豹纯电旗舰车型Type 01也同步调整节奏。行业安全专家强调，网络攻击已从单纯数据泄露升级为直接冲击企业年度营收的重大威胁，网络安全必须上升至企业最高决策层优先事项，这也警示全球制造业需全面强化工业控制系统防护，筑牢网络安全防线，防范类似事件造成毁灭性经济损失。

资料来源：

https://www.silicon.co.uk/security/jlr-profit-hack-629923

14. 马来西亚政府背景黑客滥用Cloudflare开展长期网络间谍活动

2026年5月18日，据网络安全媒体HackRead的Waqas报道，Oasis Security研究人员披露，疑似马来西亚政府支持的黑客组织长期滥用Cloudflare云服务，实施针对性网络间谍活动。该行动已持续数年，核心依托隐蔽的命令与控制（C2）基础设施，通过精细化配置规避常规网络扫描，部分服务器仅对特定路径或协议响应，大幅降低被检测概率。攻击者频繁轮换、复用基础设施，而非短期使用后废弃，确保间谍活动持续开展。调查显示，黑客将恶意载荷、钓鱼页面上传至Cloudflare存储与CDN服务，利用公众对主流云平台的信任规避安全拦截，相关流量不易触发告警，恶意文件易绕过基础过滤。同时，组织摒弃固定基础设施，改用临时存储桶、短期托管服务，被封禁后可快速替换，保障活动连续性。研究指出，此类攻击给企业防护带来挑战，仅靠域名信誉检测难以应对，需强化行为监控、严查外联流量。该事件反映出全球网络间谍活动的新趋势：依托公共云服务、隐蔽化基础设施，将恶意流量混入正常网络活动，延长潜伏时间。

资料来源：

Government Backed Hackers Abuse Cloudflare in Malaysian Espionage Campaign

风险预警

15. 美国Recorded Future公司发布关于暗网活动的研究报告

2026年5月21日，据RecordedFuture公司报道，该公司发布了一份关于暗网活动的研究报告。报告显示，大多数暗网活动集中在少数几个主题上，包括金融欺诈、网络犯罪服务、黑客工具和数据泄露等。研究发现，暗网上的活动主要集中在几个关键领域，其中金融欺诈是最常见的活动类型，包括信用卡欺诈、银行账户盗窃和加密货币诈骗等。网络犯罪服务也是一个重要主题，包括DDoS攻击服务、恶意软件开发和网络钓鱼工具等。黑客工具的销售和交易在暗网上也很活跃，包括漏洞利用工具、勒索软件和僵尸网络等。数据泄露信息的交易也是一个重要组成部分，包括个人身份信息、企业数据和政府机密等。报告指出，这些活动对网络安全构成了严重威胁，可能导致企业和个人遭受重大经济损失。金融欺诈活动使消费者面临财产损失的风险，而网络犯罪服务的普及降低了网络攻击的门槛，使更多不法分子能够实施网络攻击。黑客工具的传播增加了网络系统的脆弱性，使组织更容易受到攻击。数据泄露信息的交易侵犯了个人隐私，可能导致身份盗窃和其他形式的欺诈行为。这些暗网活动不仅威胁到个人和企业的安全，还可能影响整个社会的稳定和信任。报告建议加强网络安全措施，提高对暗网活动的监测和打击力度，以保护网络空间的安全。

资料来源：

Most dark web activity revolves around a handful of topics

安全技术

16. 美国CTC公司与Quantum Knight公司合作部署后量子防护措施覆盖联邦及工业系统

2026年5月20日，据相关行业媒体报道，美国网络安全服务提供商CTC与量子安全技术企业QuantumKnight达成合作，双方将共同推进后量子加密防护方案在联邦政府系统以及工业关键基础设施中的部署落地。此次合作推出的防护方案适配现有各类系统架构，可在不进行大规模系统改造的前提下完成传统加密体系的升级，能够抵御量子计算技术突破后对传统加密算法造成的破解风险，覆盖场景包含联邦机构涉密数据存储传输、能源工业控制系统、交通调度系统、通信核心网络等多个关键领域。该方案落地后，将有效提升美国联邦系统与关键工业领域的网络安全防御能力，防范量子计算时代的新型网络攻击风险，保障核心数据资产安全，也为后续后量子防护技术在更多领域的规模化推广提供可参考的落地实践范本。

资料来源：

CTC and Quantum Knight collaborate to deploy post-quantum protections across federal and industrial systems

工业网络安全情报解码  2026-19期

工业网络安全情报解码  2026-18期

工业网络安全情报解码  2026-17期

工业网络安全情报解码  2026-16期

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。公司主要产品已应用于数千家“关基”企业。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec OT工控安全领导者 OT工控安全领导者《工业网络安全周报-2026年第20期》