文章总结： 中央网信办通报30款App违规收集个人信息问题，CNNVD发布第23期漏洞周报披露1610个安全漏洞，微软修复211个安全漏洞含4个超危漏洞。OraclePeopleSoft遭零日漏洞攻击导致数据泄露，日本能源企业遗失存储设备影响1.09亿用户。安全报告显示九成负责人担忧AI代码风险，11国联合打击勒索病毒混币服务。 综合评分： 85 文章分类： 政策法规,漏洞预警,数据安全,安全大事件,AI安全

中央网信办发布关于30款App个人信息收集使用问题的通报；CNNVD关于微软多个安全漏洞的通报| 牛览

安全牛

2026年6月12日 11:28 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

新闻速览

• 中央网信办发布关于30款App个人信息收集使用问题的通报
• CNNVD关于微软多个安全漏洞的通报
• 国家信息安全漏洞库（CNNVD）发布第 23 期漏洞周报
• 高危零日漏洞遭利用，Oracle PeopleSoft 爆发大规模数据泄露事件
• 九成安全负责人担忧 AI 代码风险，超三成企业仍依赖人工审码
• 日本能源企业存储设备遗失，1.09 亿用户数据面临泄露风险
• 11 国联手打掉勒索病毒专用混币服务，两名核心头目被捕
• 俄罗斯企业攻击成本降至20美元：新型PowerLoader恶意软件运作解析
• Meta 升级 Edits视频应用，上线 AI 助手并推出桌面版本强化市场竞争
• Anthropic呼吁强制认证前沿AI模型，防范网络与生物安全风险

特别关注

中央网信办发布关于30款App个人信息收集使用问题的通报

依据中央网信办、工信部、公安部联合下发的 2026 年个人信息保护专项行动公告，结合《网络安全法》《个人信息保护法》等法规，中央网信办完成 App 及小程序个人信息收集使用情况检测并公开通报违规问题。

本次违规 App 共计 30 款，问题分为四类：其一，锐新教育、趣学车等 7 款 App 未公示个人信息收集使用规则；其二，蓝猫云商、大象优品等 4 款 App 过度频繁申请无关非必要系统权限；其三，中旅旅行、东融等 5 款 App 没有完整、如实标注 SDK 采集个人信息的详情；其四，匠者、句苗岛等 14 款 App 无法为用户提供可用、有效的账号注销通道。

监管部门要求所有涉事平台运营方在通报下发后的 15 个工作日内完成全部整改工作，同步递交整改报告。后续中央网信办将联合多部门核验整改成效，依据整改好坏落实对应的行政处罚与合规处置措施。

原文链接：

https://mp.weixin.qq.com/s/6lY8jw9fdBDb6sueEkD-4g

国家信息安全漏洞库（CNNVD）发布第 23 期漏洞周报

国家信息安全漏洞库（CNNVD）发布第 23 期漏洞周报，统计周期为 6 月 1 日至 7 日。本周共采集公开安全漏洞 1610 个，漏洞总量较前期有所下降。

漏洞厂商分布上，谷歌以 489 个漏洞位列首位，占比 30.37%；WordPress 基金会、Linux 基金会等紧随其后。国内厂商共上报 104 个漏洞，整体修复率达 60.38%。漏洞类型中，资源管理错误占比 7.33%，为占比最高类型。

按危害等级划分，本周超危漏洞 67 个、高危漏洞 430 个、中危漏洞 1047 个、低危漏洞 66 个，漏洞整体修复率 77.14%。周报披露多款重点高危漏洞，涉及 WordPress 插件、Apache ActiveMQ、Google Chrome 等常用软件。同时多款 AI 相关产品曝出漏洞，MLflow 存在超危漏洞，Hermes Agent、CodexBar 也检出高危隐患，可导致敏感信息泄露、远程命令执行等风险。

此外，本周 CNNVD 接报漏洞 1489 个，其中漏洞平台推送 865 个，各类机构及个人报送漏洞 624 个，累计收录漏洞通报 220 份。相关企业与用户需及时安装补丁，完成漏洞修复。

原文链接：

https://www.cnnvd.org.cn/group1/M00/02/B7/rBBlZ2opHCyACZ7_AAUCdswLepQ993.pdf

热点观察

CNNVD关于微软多个安全漏洞的通报

近日，微软发布 2026 年 6 月安全更新补丁，本次共修复211 个安全漏洞，涉及 Microsoft Windows、Windows Media、BitLocker、Azure Kubernetes Service 等多款产品与服务，国家信息安全漏洞共享平台（CNNVD）已完成相关漏洞收录。

本次漏洞分为新增漏洞与存量更新漏洞两类。其中新增漏洞补丁 200 个，包含超危漏洞 4 个、高危漏洞 48 个、中危漏洞 148 个；存量更新漏洞补丁 11 个，含高危漏洞 6 个、中危漏洞 5 个。整体统计来看，此次更新总计超危漏洞 4 个、高危漏洞 54 个、中危漏洞 153 个。

高危及超危漏洞集中出现在 HTTP.sys、Windows 内核、DHCP 服务器、远程桌面、BitLocker 等核心组件，一旦被利用，易引发远程代码执行、权限提升、服务异常等安全风险。文档同步公示了全部漏洞的 CNNVD 编号、CVE 编号及官方详情链接，用户可自行核对受影响产品版本。

目前微软已正式推送对应修复补丁，安全专家提醒，政企单位及个人用户需尽快排查设备是否受漏洞影响，及时安装补丁完成加固，防范网络攻击风险。

原文链接：

https://www.cnnvd.org.cn/home/warn

九成安全负责人担忧 AI 代码风险，超三成企业仍依赖人工审码

Salt Security 最新调研显示，90% 的安全负责人对 AI 生成代码的安全风险抱有担忧。当下 AI 编码工具已在研发团队广泛应用，它能提升编码效率、减少重复工作、加快软件交付节奏，因此企业仍在持续落地相关工具。

此次调研指出，29% 的受访者认为不安全编码范式是 AI 编码带来的首要风险。AI 依托海量数据集训练，会复刻其中存在的漏洞与老旧问题，生成看似正常却暗藏隐患的代码，这类问题很难被人工及时发现。

目前超三分之一的企业，在软件上线前依旧依靠人工开展代码审核。但 AI 的代码产出速度和体量，早已超出人工审查的承载能力，不仅容易造成审核人员疲劳，还会出现安全标准执行不一、解读偏差等问题。原有针对传统人工编码设计的安全管控流程，已无法适配当下的研发模式。

员工规模超 500 人的大型企业，管控难题更为突出。团队分散、工具与流程不统一，再加上交付压力，会加剧研发人员对 AI 工具的过度依赖。业内建议将 AI 编码工具纳入软件供应链安全管理体系，而非单纯依靠人工审查。相关网络安全机构也提醒，AI 会扩大攻击面，还会增加责任界定的难度，企业需尽快更新安全治理方案。

原文链接：

https://www.techradar.com/pro/security/nearly-all-security-bosses-are-worried-about-ai-safety-with-a-third-saying-they-still-rely-on-manually-reviewing-code-before-launch

安全事件

高危零日漏洞遭利用，Oracle PeopleSoft 爆发大规模数据泄露事件

近期，勒索犯罪组织 ShinyHunters 发起大规模攻击，针对 Oracle PeopleSoft 服务器实施数据窃取并索要赎金，该事件已波及大量政企与教育机构。PeopleSoft 是主流企业级软件套件，多用于人事、财务、供应链及校务管理，云部署与本地部署的相关实例均遭到针对性打击。

该团伙对外宣称，已入侵超 100 家机构的 300 个 PeopleSoft 实例。此次攻击采用新旧漏洞组合形成的 gadget 链开展入侵，攻击成功率受目标系统配置影响。本次攻击的核心漏洞为 CVE-2026-35273，该漏洞存在于 Oracle PeopleSoft PeopleTools 中，CVSS 评分为 9.8，属于高危未授权远程代码执行零日漏洞，影响 8.61、8.62 两个版本。

英国诺丁汉大学是已确认的受害单位，该校失窃数据已被公开至 ShinyHunters 的数据泄露站点，校方也已对外证实遭遇网络入侵。事发后，Oracle 紧急发布安全预警与临时缓解方案，正式补丁后续将陆续推出。目前该团伙仍在持续联系受害机构进行勒索，网络安全人员提醒相关单位尽快加固系统、封堵暴露端口，防范同类入侵行为。

原文链接：

https://www.bleepingcomputer.com/news/security/oracle-peoplesoft-servers-hacked-in-shinyhunters-data-theft-attacks/

日本能源企业存储设备遗失，1.09 亿用户数据面临泄露风险

日本Kyushu Electric Power披露一起物理安全事件，一块用于服务器数据备份的外部存储设备遗失，可能影响多达1090万名客户的信息安全。根据官方披露，该设备于4月27日因服务器容量管理需要被用于备份数据，随后存放于服务器机房柜中，但工作人员于5月26日取回时发现设备已失踪。

涉事存储设备包含客户姓名、供电地址、用电数据、电话号码、零售电力供应商名称等相关信息，但不包含银行账户信息或信用卡数据。Kyushu Electric表示，将逐步向受影响客户发送通知。

事件调查显示，服务器机房部署了多层物理访问控制，但存放设备的柜体处于未上锁状态。媒体报道称，共有57人具备机房访问权限，公司已对相关人员开展调查，并于6月4日报警，怀疑存储设备被未经授权移除。截至目前，设备仍未找回，也暂无证据表明数据已实际泄露。

据报道，日本经济产业省已要求Kyushu Electric在7月8日前提交事件详细调查结果及后续防范措施。此次事件再次凸显了在数据备份和存储过程中，除网络安全防护外，Physical Security、访问控制以及介质管理同样是保障敏感数据安全的关键环节。

原文链接：

https://www.bleepingcomputer.com/news/security/japanese-energy-firm-loses-drive-with-data-of-109-million-clients/

11 国联手打掉勒索病毒专用混币服务，两名核心头目被捕

2026 年 6 月 11 日，欧洲刑警组织通报，11 个横跨欧、美、亚的国家执法部门联合铲除 AudiA6 加密货币洗钱服务，该平台 2022 至 2025 年间为勒索软件团伙等网络黑产洗白资金总额超 3.8 亿美元，关联全球 15 起勒索攻击专案。

平台对外包装为专业混币工具，收取 3%-10% 手续费，约一小时内通过多层复杂交易隐匿资金源头，返还洗白资产。运营方依靠盗取、收购身份信息注册数千个虚假交易所账户，搭建工业化洗钱链路，此前 Intel471 与链上研究员 ZachXBT 早已曝光其非法行径。

案件突破口为 2025 年 9 月波兰抓获一名乌克兰关联人员，取证后锁定核心人员，最终在格鲁吉亚抓捕两名平台管理员 Ruslan Igorevich Tkachuk、Alexander Vladimirovich Ledenev，二人同时管控地下论坛 Dark2Web，用于发布黑灰产广告。

本次行动共搜查 3 处场地，扣押 25 个域名、80 台车辆及不动产，现场查获价值 9.9 万美元加密货币，冻结价值 79.8 万美元加密货币，封禁团伙 Telegram 账号，AudiA6 与 Dark2Web 站点现已公示查封通告。

司法资料显示，平台钱包累计入账约 10333 枚比特币，其中 393.39 枚直接来自暗网市场、勒索组织等非法渠道。办案单位查获六千套虚假 KYC 资料，对应大量资金骡子账户，多由俄语中间人招募注册，欧洲刑警组织已披露相关域名，供交易所拦截风险账户。两名嫌疑人面临最高二十年刑期。

原文链接：

https://www.bleepingcomputer.com/news/legal/authorities-dismantle-audia6-ransomware-crypto-laundering-service/

安全攻防

俄罗斯企业攻击成本降至20美元：新型PowerLoader恶意软件运作解析

2026年3月至5月，BI.ZONE监测到Fluffy Wolf针对俄罗斯企业的新一轮钓鱼攻击，受害行业包括建筑、咨询、制造、工程、零售和电商。攻击者冒充真实公司员工，发送与欠款、对账单、索赔或待签署文件相关的邮件，诱导收件人打开RAR压缩包，或通过GitHub仓库下载恶意归档文件，以降低邮件网关拦截概率。

本轮攻击的重点并非更换最终载荷，而是强化投递链。Fluffy Wolf继续使用PureLogs窃密程序、PureRAT远控木马和Pay2Key勒索软件，同时加入Rust加载器、Donut shellcode、批处理与JavaScript加载器、PureCrypter，以及此前未被公开描述的PowerLoader。

PowerLoader由C++编写，可隐藏启动PowerShell，通过命令行连接C2服务器，获取脚本并下载PureCrypter，进而执行后续恶意组件。BI.ZONE称，该工具以Malware-as-a-Service模式在地下市场出售，初始构建价格为100美元，重新构建仅需20美元。

PureLogs负责窃取浏览器、邮件客户端、FTP服务及其他应用数据，并将不同类别信息发送至不同C2地址，便于攻击者分类处理凭据、系统信息和应用数据。PureRAT则提供远程控制能力，BI.ZONE首次在针对俄罗斯组织的攻击中发现其PluginRemoteDesktop插件，可截屏、枚举窗口、识别活动窗口并控制键鼠。

在部分案例中，Pay2Key会在用户打开会计归档文件后启动，加密文件并添加.ywgulm_p2k扩展名，同时生成多语言恢复说明。该勒索软件还会阻碍分析、复制ZIP文件并清除自身痕迹。整体来看，该活动表明企业钓鱼攻击正从单一附件转向多阶段、可组合的投递链，最终可同时实现窃密、远控和勒索。

原文链接：

https://www.securitylab.ru/news/573636.php

产业动态

Anthropic呼吁强制认证前沿AI模型，防范网络与生物安全风险

2026 年 6 月 11 日，Anthropic 负责人 Dario Amodei 发布 Policy on the AI Exponential 白皮书，在 Claude Fable 5、Claude Mythos 5 发布次日，呼吁为高端 AI 模型设立强制上线认证制度，类比飞机出厂安检模式。

当前 AI 迭代速度远超立法节奏，Claude Mythos Preview 已拥有接近顶尖安全人员的漏洞挖掘能力，威胁覆盖金融、关键基础设施与国家安全，风险分为网络安全、生物武器制造、系统失控自主行为、加速衍生威胁四类。

Anthropic 态度由过往支持透明公示转向硬性审查，划定管控门槛：浮点运算量超 10²⁵、AI 年营收超 5 亿美元、年研发投入超 10 亿美元的企业，必须完成独立安全审计、红蓝对抗渗透测试，模型权重与训练基建需严防窃取、内鬼篡改。监管机构有权暂缓、召回风险模型，审核机构可由官方或合规第三方担任，权限仅限四类致命风险、隔绝政治干预。

配套 3.5 亿美元专项资金，2 亿美元用于 Economic Futures Research Fund 研究就业冲击，1.5 亿美元设立青年人才奖学金；同时提出薪资保险、企业 AI 税、再就业培训等对冲岗位流失方案。地缘层面倡议民主阵营组建 AI 安全联盟，共享芯片、安防技术，限制高端半导体流向滥用 AI 施压的地区，联合研发 AI 防御与无人设备体系。

该方案遭遇行业质疑，批评者认为严苛审核会形成头部企业壁垒，挤压开源模型生存空间。Dario Amodei 表示监管边界严格限定重大灾难风险，不会一刀切阻滞 AI 医疗、能源等正向技术创新。

原文链接：

https://www.securitylab.ru/news/573667.php

新品发布

Meta 升级 Edits视频 应用，上线 AI 助手并推出桌面版本强化市场竞争

Meta宣布将为视频编辑应用Edits推出AI助手和桌面版，进一步完善其面向内容创作者的工具生态。该消息于Meta在洛杉矶举办的创作者活动上公布。与此同时，Meta还发布了Beta实验专区和扩展受众分析等新功能。

即将上线的AI助手将利用Instagram平台数据，为创作者提供内容分析与创意策划支持。系统可基于播放量、视频留存率等指标分析内容表现，帮助用户理解哪些内容有效及其原因，并根据历史表现推荐新的视频选题以及热门音频素材。

从产品策略看，Meta希望通过将AI能力直接嵌入Edits，降低创作者对第三方工具的依赖，并提升其在Instagram生态内的创作频率和用户活跃度。此前，Meta已在Facebook面向创作者推出类似AI助手，而YouTube和TikTok也分别提供基于AI的创意生成与趋势分析工具。

此外，Meta还预览了Edits桌面版。相比移动端，桌面版将提供更精细的视频编辑控制能力，并支持在更大屏幕上进行复杂工作流处理。Meta表示，用户未来可在移动端与桌面端之间无缝同步编辑进度。

Edits最初定位为ByteDance旗下CapCut的竞争产品，而CapCut已具备成熟的桌面端能力。随着AI助手和桌面版的加入，Meta正试图增强Edits的专业创作能力，并进一步巩固其在短视频创作工具市场中的竞争地位。

原文链接：

Meta’s Edits app is getting an AI assistant and a desktop version

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《中央网信办发布关于30款App个人信息收集使用问题的通报；CNNVD关于微软多个安全漏洞的通报| 牛览》