文章总结： 五部门联合发布互联网信息内容多渠道分发服务新规，明确服务机构备案要求及11类禁止行为，违者最高罚20万元；四部门部署2026年数字素养提升要点，强化网络安全建设与AI安全规范。软件供应链攻击频发，NxConsole扩展与GitHub仓库遭入侵，CISA警示CI/CD流水线风险。假冒Anthropic网站针对ClaudeCode用户投放无文件窃密木马，采用ClickFix攻击链窃取凭证。ShinyHunters泄露Charter近500万用户数据，FBI破获80亿美元加密货币诈骗案。ChatGPhish攻击利用AI网页摘要功能植入钓鱼链接，后量子安全需从密码成熟度建设入手。 综合评分： 78 文章分类： 政策法规,安全事件,威胁情报,恶意软件,漏洞分析

Anthropic 推出 Claude Opus 4.8，Mythos 系列模型即将全面开放；五部门联合发布互联网信息内容多渠道分发服务新规，9 月起施行| 牛览

安全牛

2026年6月1日 12:24 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

新闻速览

• 五部门联合发布互联网信息内容多渠道分发服务新规，9 月起施行
• 四部门联合发布 2026 年数字素养提升要点，强化网络安全建设
• Anthropic 推出 Claude Opus 4.8，Mythos 系列模型即将全面开放
• 软件供应链攻击频发，Nx Console 与 GitHub 仓库遭入侵
• ShinyHunters 泄露 Charter 数据，近 500 万用户信息遭曝光
• 假冒Anthropic网站针对Claude Code用户投放无文件窃密木马
• 微软威胁追责安全研究员，零日漏洞披露争议再起
• 后量子安全准备应从密码成熟度建设开始
• 全球打击跨国加密货币诈骗：查获 80 亿美元资产，解救强制劳工
• ChatGPhish攻击曝光：恶意网页可诱导ChatGPT生成钓鱼链接

特别关注

五部门联合发布互联网信息内容多渠道分发服务新规，9 月起施行

2026 年 5 月 29 日，国家网信办、公安部、文旅部、市场监管总局、广电总局联合发布《互联网信息内容多渠道分发服务管理规定》，自 2026 年 9 月 1 日起施行。

该规定聚焦互联网用户公众账号内容策划、制作、分发、营销等服务，明确多方监管职责，国家网信部门统筹全国治理，多部门按职责协同监管。

新规强化主体合规：服务机构需办理含对应经营范围的登记，30 日内完成变更；设内容管理负责人并配专业团队；入驻平台 30 个工作日内完成省级网信部门备案。平台需建立机构分级分类管理，公示账号所属机构名称，严控账号租借。

服务端明确 11 类禁止行为，涵盖流量造假、网络暴力、恶意炒作等，严管未成年人服务，禁止向未满 16 周岁未成年人提供直播发布服务。违规将依法处罚，最高可罚 20 万元，严重者纳入失信名单并追责。

原文链接：

https://www.cac.gov.cn/2026-05/29/c_1781795864412597.htm

四部门联合发布 2026 年数字素养提升要点，强化网络安全建设

2026 年 5 月 29 日，中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2026 年提升全民数字素养与技能工作要点》，统筹推进全民数字能力建设。

文件聚焦 6 大方向、部署 15 项重点任务。一是完善培育体系，强化数字资源开放供给，拓宽素养提升渠道；二是深化应用场景，覆盖数字生活、工作能力、创新活力三大维度；三是提升 AI 素养，推动 AI 赋能教育、培育专业人才、普及行业应用；四是促进普惠包容，完善信息无障碍建设，推进数字助老惠民项目；五是筑牢网络安全，引导文明用网、强化安全防护意识、规范 AI 安全发展；六是健全协同机制，完善多方协作、深化国际交流合作。

原文链接：

https://www.cac.gov.cn/2026-05/29/c_1781795842171477.htm

热点观察

软件供应链攻击频发，Nx Console 与 GitHub 仓库遭入侵

2026 年 5 月 28 日，美国网络安全和基础设施安全局（CISA）发布预警，当前多起新兴软件供应链入侵活动正集中针对开发者生态的持续集成 / 持续部署（CI/CD）流水线，相关风险持续升级。

近期典型事件包括两起高危攻击：一是恶意 Nx Console Visual Studio Code（VS Code）扩展引发 GitHub 仓库沦陷；二是 “Megalodon” 供应链入侵活动同步爆发。攻击者利用企业、云服务及 DevOps 环境依赖的工具链与流程实施破坏，核心瞄准 CI/CD 流水线、代码扩展及开发工作流，隐蔽性强、影响范围广。

此类供应链攻击通过污染开发工具、植入恶意代码，绕过传统边界防护，可直接窃取代码、篡改配置、窃取凭证，威胁企业核心数据安全。CISA 已将该类事件列为优先响应事项，警示开发者与企业强化工具链校验、代码审计及权限管控，防范供应链渗透风险。

原文链接：

Supply Chain Compromises Impact Nx Console and GitHub Repositories

假冒Anthropic网站针对Claude Code用户投放无文件窃密木马

网络安全公司Cyderes披露，一场针对Anthropic旗下Claude Code用户的凭证窃取活动正在进行。攻击者利用SEO投毒技术，将伪造的Anthropic网站推至搜索结果前列，诱导首次安装Claude Code的用户下载并执行恶意代码。受害者主要包括缺乏企业级安全防护的小企业主、创业者和教育工作者。

攻击采用典型的ClickFix攻击链。用户访问仿冒网站后，会被要求打开Windows运行窗口（Win+R）并执行恶意mshta.exe命令。该命令从远程服务器下载一个大小约6.7MB的MP3/HTA Polyglot文件。该文件同时具备合法音频文件特征和隐藏的HTA脚本，可绕过文件类型检查，并由mshta.exe解析执行恶意代码。

Cyderes表示，该攻击的核心特点是“无文件（Fileless）”执行。恶意载荷直接在内存中运行，避免在磁盘落地，从而降低被传统安全产品发现的概率。最终阶段部署的是反射式加载的.NET信息窃取程序，可窃取浏览器保存的账号密码、Cookie及其他认证凭证，并与攻击者控制的C2服务器通信。研究人员同时披露了相关IOC，包括域名oakenfjrod.ru和IP地址185.177.239.255。

研究人员指出，随着Claude Code等AI开发工具快速普及，攻击者正利用开发者对新兴AI工具的信任实施社会工程学攻击。企业应加强对SEO投毒、ClickFix诱导执行及mshta.exe异常网络通信行为的监测，并限制可疑脚本执行，以降低凭证泄露风险。

原文链接：

Fake Anthropic Sites Deliver Fileless Infostealer to Claude Code Users

微软威胁追责安全研究员，零日漏洞披露争议再起

2026 年 5 月 29 日，微软因威胁对安全研究员 Nightmare Eclipse 启动刑事调查，引发行业强烈批评，再度激化漏洞披露规则争议。

近日，Nightmare Eclipse 公开微软多款产品未修复漏洞，含 BlueHammer、RedSun、UnDefend、YellowKey，涉及 Windows Defender 杀毒引擎、BitLocker 磁盘加密工具，同时发布漏洞利用代码。微软 5 月 28 日发布博客指责其未提前报备，称此举或助恶意黑客攻击，部分漏洞已遭实际利用，并表示旗下数字犯罪部门将联合全球执法部门追责。

Nightmare Eclipse 称曾联系微软，但遭不公对待，其微软安全响应中心账号被封，被迫公开漏洞（属零日漏洞）。其 GitHub、GitLab 账号已被封禁。

安全行业普遍反对微软做法。Luta Security 创始人 Katie Moussouris 指出，微软用 “负责任披露” 施压并威胁追责，将引发寒蝉效应，降低研究员报备意愿，削弱整体安全水平。前微软员工 Kevin Beaumont 批评此举本末倒置，强调负责任披露常偏袒厂商，用刑事追责打压研究员突破行业底线。

原文链接：

Microsoft under fire for threatening security researcher with criminal investigation

安全事件

ShinyHunters 泄露 Charter 数据，近 500 万用户信息遭曝光

2026 年 5 月 30 日，知名网络犯罪组织 ShinyHunters 公开泄露美国大型电信运营商 Charter Communications 的用户数据，事件源于勒索失败，约 490 万用户受影响。

Charter 以 Spectrum 品牌提供互联网、有线电视等服务，用户规模庞大。本次泄露事件涉及其销售系统数据，含约 4200 万条客户记录。据数据泄露监测平台 HaveIBeenPwned 统计，实际唯一受影响用户约 490 万，泄露信息含姓名、邮箱、电话、住址，另有约 8.5 万条员工信息含职位。

Charter 已确认事件，启动安全预案并配合调查，否认敏感个人信息及客户专有网络信息（CPNI）泄露。ShinyHunters 隶属于松散黑客组织 “The Com”，惯用社会工程学（尤其语音钓鱼）窃取凭证，入侵 Salesforce、Okta、Microsoft365 等 SaaS 平台，曾攻击欧盟委员会、7Eleven、Rockstar 等机构企业。

原文链接：

ShinyHunters Leaks Charter Communications Data, Potentially Impacting 5 Million Customers

全球打击跨国加密货币诈骗：查获 80 亿美元资产，解救强制劳工

2026 年 5 月 31 日，FBI 宣布完成代号 Blackout 的跨国联合执法行动，打击跨境加密货币诈骗集团，涉案金额超 80 亿美元，为美国史上最大规模加密资产查获案。

此次行动针对亚洲、非洲、中东地区的武装诈骗园区，以柬埔寨 Prince Holding Group 负责人陈智为核心，关联缅甸 DKBA 武装组织。犯罪集团以高薪诱骗人员，再以酷刑胁迫实施电信、加密货币投资诈骗，每年获利达数亿美元。

行动分多个专项：Zephyr Exodus 查获 12.7 万枚比特币；Sand Dollar 在迪拜抓获 275 人；Haochen 端掉缅甸 Tai Chang 园区；联合泰国警方捣毁招募诈骗人员的 Telegram 渠道。FBI 联合 Starlink 定位并收缴 7000 台诈骗专用终端。

2025 年，FBI 互联网犯罪投诉中心收到 7.2 万起加密投资诈骗报案，损失超 75 亿美元，全球年均损失约 640 亿美元。FBI 同步推出 Level Up 预警计划，已提醒 8935 名潜在受害者，挽回 5.62 亿美元损失。

原文链接：

https://www.securitylab.ru/news/573206.php

安全攻防

ChatGPhish攻击曝光：恶意网页可诱导ChatGPT生成钓鱼链接

安全公司Permiso研究人员Andy Ahmedi披露一种名为“ChatGPhish”的新型攻击技术。该技术利用大型语言模型对网页内容进行摘要时的处理机制，使ChatGPT等AI助手在生成网页摘要时插入攻击者预设的钓鱼内容、恶意链接甚至二维码，从而诱导用户访问恶意网站。

研究显示，攻击者无需入侵浏览器或AI平台，只需在公开网页中植入隐藏指令（Prompt Injection）。这些指令可被嵌入GitHub README文件、技术文档、新闻文章或营销页面中。当用户要求ChatGPT总结网页内容时，模型可能将隐藏指令一并纳入回复，生成看似来自AI助手的“安全通知”或“账户警告”。

在演示案例中，ChatGPT在正常摘要后附加了一条伪造的账户安全提醒，声称检测到新设备登录，并引导用户点击攻击者控制的链接。由于链接出现在ChatGPT回复界面中，用户更容易将其误认为可信内容。

研究人员还展示了基于Markdown图片的变种攻击。攻击者可通过远程托管的二维码图片，使AI回复自动加载并显示二维码。受害者使用手机扫描后将直接访问恶意网站，从而绕过浏览器地址预览、密码管理器域名校验等安全机制。与此同时，远程图片加载还可能泄露IP地址、User-Agent、Referer及访问时间等信息，实现被动追踪。

Ahmedi于2026年4月通过Bugcrowd向OpenAI报告相关问题，但未获得漏洞认定。研究人员认为，该案例表明Prompt Injection风险已从传统聊天场景扩展至网页摘要场景，未来钓鱼攻击可能借助AI助手这一可信界面实施，给用户带来新的安全挑战。

原文链接：

https://www.securitylab.ru/news/573213.php

产业动态

后量子安全准备应从密码成熟度建设开始

2026 年 5 月 31 日，随着 NIST 发布首批 PQC 标准、NSA 推出 CNSA 2.0 指引，后量子密码学（PQC）从远期议题转为企业现实任务，核心在于构建密码学成熟度与敏捷性。

多数企业存在密码资产盲区：加密算法、密钥管理、遗留系统分布不明，覆盖应用、API、云负载、IoT、第三方软件等多场景，导致 PQC 迁移低效、高成本、易中断。

SafeLogic 推出CMAP（密码学成熟度行动计划），从资产盘点、治理策略、密钥生命周期、密码敏捷性、供应链可见性等八大维度，将密码学视为企业级能力，划分临时、发展、规范、优化四大成熟阶段，推动从被动补救转向主动准备。

当前企业面临三大风险：先窃取后解密威胁长期敏感数据、全球监管加速落地、遗留密码债务累积。安全负责人需优先完成密码资产盘点、评估密码敏捷性、聚焦高价值资产、将 PQC 融入现有治理体系。

提前布局密码学成熟度，能降低迁移成本、减少业务扰动、提升合规能力，是企业构建长期网络韧性的关键。

原文链接：

Preparing for Post-Quantum Security Starts with Cryptographic Maturity

新品发布

Anthropic 推出 Claude Opus 4.8，Mythos 系列模型即将全面开放

Anthropic近日发布Claude Opus4.8，并宣布将在未来数周向所有客户开放更高智能级别的Mythos-class模型。Claude Opus4.8已面向全体用户提供，价格与Opus4.7保持一致。

此次升级重点集中在模型诚实性、代码生成质量和Agentic任务能力。Anthropic表示，Opus4.8在信息不足时更倾向于主动承认限制，减少无依据判断。早期测试者反馈称，该模型在执行Agentic任务时可靠性更高，判断更敏锐。

在代码安全与质量方面，Anthropic称，评估结果显示，Opus4.8相较上一代模型，在生成代码后遗漏或不指出缺陷的概率降低约四倍。这意味着模型不仅能写代码，也更可能发现自身输出中的问题，从而降低开发者在安全审查和代码维护中的风险。

同时，Anthropic称Opus4.8在测试中表现出更低的欺骗行为和失配率，在是否遵循用户利益和指令方面，接近Claude Mythos Preview水平。

随新模型一同推出的Dynamic Workflows目前处于研究预览阶段，面向Claude Code的Enterprise、Team和Max用户开放。该功能允许Claude规划更大规模任务，在单次会话中运行数百个并行subagents，并在返回结果前验证输出。Anthropic称，Claude Code结合Opus4.8后，可完成横跨数十万行代码库的迁移任务，并以现有测试套件作为验收标准。

此外，新版本还加入任务努力程度控制，用户可在响应速度、推理深度和成本之间进行权衡。Anthropic表示，Mythos-class模型正通过Project Glasswing由少量机构测试，待额外网络安全防护措施完善后，将向所有客户开放。

原文链接：

https://www.helpnetsecurity.com/2026/05/29/anthropic-claude-opus-4-8/

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《Anthropic 推出 Claude Opus 4.8，Mythos 系列模型即将全面开放；五部门联合发布互联网信息内容多渠道分发服务新规，9 月起施行| 牛览》