2026-06-20 04:59:32 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本期网络安全动态报告汇总全球13项政策动向，包括中国个人信息保护报告、美国AI模型出口限制、欧盟AI法案修订等；披露多起重大安全事件，如伊朗黑客攻击基础设施、金融医疗数据泄露；发布5项风险提示涉及恶意软件与漏洞预警。报告突出各国强化网络安全立法与关键基础设施防护的趋势，为行业提供政策合规参考与风险防范指引。 综合评分： 78 文章分类： 政策法规,威胁情报,漏洞预警,数据安全,网络安全

cover_image

安全动态丨网络空间安全动态第338期

国信中心国信中心

极客安全

2026年6月18日 18:30 北京

在小说阅读器读本章

去阅读

编者按

网安动向热讯，本期有十三点值得关注：

一是国家网信办发布《中国个人信息保护报告（2025年）》；二是特朗普政府发布国家安全总统备忘录NSPM-12；三是美众议院军事委员会通过《2027财年国防授权法案》；四是美政府以国家安全为由限制Anthropic两款AI模型的访问权限；五是美白宫调整AI安全测试机构权限，AI治理重心向国家安全倾斜；六是美CISA发布BOD 26-04‌指令，要求基于风险优先级开展漏洞修复工作；七是欧洲议会通过《人工智能法案》修正案；八是英政府发布能源行业网络安全战略，强化关键能源基础设施防护能力；九是英国与日本签署《经济安全合作联合宣言》，深化经济安全与前沿技术协作；十是日本与意大利举行首脑会谈，强化供应链韧性并推进下一代战机研发；十一是法国将在北约演习测试自研AI战场指挥系统；十二是英国拟禁止16岁以下儿童使用社交媒体，未成年人网络保护监管继续收紧；十三是加拿大拟禁止16岁以下未成年人使用社交媒体。

数据前沿快讯，本期有三点建议关注：

一是国家网信办等六部门联合印发《金融信息服务数据分类分级指南》；二是甲骨文公司计划投入700亿美元建设数据中心，AI基础设施资本开支继续攀升；三是美Thea Energy公司携手英伟达等巨头，借助AI开发聚变数字孪生模型。

网安事件聚焦，本期有两方面内容建议关注：

一是军事冲突与网络空间的对抗深度交织；全球重大赛事网络安全风险加剧。

本期介绍：与伊朗有关的黑客组织Handala入侵加州水务公司；伊朗四家银行遭有限网络攻击，未发生客户信息泄露；FIFA世界杯内部系统存在授权缺陷，攻击者或可劫持直播信号。

二是涉及金融、医疗领域数据泄露事件频发。

本期介绍：黑客声称窃取Dynatrace公司内部GitHub代码库；知名金融科技巨头Wise 490万条用户记录数据遭黑客组织窃取；全球最大胰岛素生产商诺和诺德内部IT系统遭黑客攻击致患者数据泄露；韩国电商公司Coupang因泄露全国超七成民众个人信息被罚约28亿元；携程未落实数据出境安全评估要求，被网信办罚款1000万元。

网安风险警示，本期有五点建议关注：

一是国家网络安全通报中心：发现一批境外恶意网址和恶意IP；二是工信部：关于防范VoidLink恶意软件的风险提示；三是Splunk Enterprise未授权文件操作漏洞安全风险通告；四是FortiSandbox严重漏洞可导致未授权命令执行；五是Langflow高危漏洞被用于未认证RCE攻击。

01 网安动向热讯

国家网信办发布《中国个人信息保护报告（2025年）》

6月12日，国家网信办发布《中国个人信息保护报告（2025年）》（以下简称《报告》）。《报告》以习近平总书记关于网络强国的重要思想为根本遵循，全面梳理2025年我国个人信息保护取得的成果，系统总结经验，广泛凝聚共识。这是国家网信办首次发布个人信息保护综合性年度报告，为深化推进个人信息保护工作、提升各方个人信息保护意识能力提供有力支撑。“十四五”期间，国家网信办会同各地区各有关部门深入贯彻《个人信息保护法》，出台多部个人信息保护相关法规规章，加大个人信息违法犯罪打击力度，健全社会化服务体系，加强个人信息保护宣传教育，我国个人信息保护不断深化。《报告》立足这一背景，在系统梳理我国个人信息保护制度体系建设发展基础上，全面展现过去一年个人信息保护领域的工作进展，为“十五五”期间做好个人信息保护工作提供了理论和实践指引。（信息来源：国家网信办）

网安标委就两项人工智能应用安全指引征求意见稿公开征求意见

6月10日，全国网安标委就两项人工智能应用安全指引征求意见稿面向社会公开征求意见。其中，《人工智能应用安全指引教育行业》给出了教育行业人工智能应用基本安全指引、场景安全指引和使用安全指引，用于指导教育行业企事业单位开展人工智能应用活动、提高安全能力，也用于指导学生、教师、学生监护人、教育机构安全使用人工智能，也可为教育管理部门及第三方评估机构提供参考。《人工智能应用安全指引卫生健康》给出了卫生健康领域应用人工智能的安全指引，包括总体业务安全、应用流程安全、应用场景安全等方面。本标准适用于指导各级卫生健康行政部门、各级各类医疗卫生机构和相关事业单位等卫生健康机构及技术提供方在卫生健康领域开展人工智能应用活动。意见反馈截止日期为2026年6月24日。（信息来源：全国网安标委）

特朗普政府发布国家安全总统备忘录NSPM-12

6月12日，特朗普签署主题为“国家安全系统的网络安全国家政策”的国家安全总统备忘录NSPM-12，旨在加强美国的网络安全，并使国家安全系统治理现代化，以保护美国作战人员和情报官员免受网络威胁。该备忘录明确，美国政府的政策是为所有国家安全系统打造一个主动、适应性和韧性的网络安全生态，以更好地保护国家免受来自复杂对手的持续网络威胁。该备忘录明确规定国家安全系统的治理结构、权限、角色和责任，以及国家安全系统所有者和运营者对系统网络安全要求的问责制；有助于确保由民用机构拥有或运营的国家安全系统获得与国防部和情报界相称的防御；重新设立国家安全系统委员会，并对其进行35年多来的首次现代化改造，以建立所有国家安全系统的网络安全基本要求，并加强各机构间的问责制和协调，从而在所有国家安全系统中实施必要的网络防御；授权国家安全局局长担任国家安全系统的国家管理者和密码权威，允许其充分利用国家安全局的技术实力，提供先进的防御和援助，以加强美国政府各部门的国家安全系统安全；通过鼓励在国家安全系统中使用共享服务并要求废除过时的要求，促进国家资金的有效利用；该备忘录设立了一个政策协调委员会，与国家安全系统委员会合作，请求对国家安全系统的网络安全状况进行评估。（信息来源：美白宫网站）

美众议院军事委员会通过《2027财年国防授权法案》

6月11日消息，美众议院军事委员会通过《2027财年国防授权法案》，明确将中国等国列为“战略对手”，重点围绕对华供应链脱钩展开。法案聚焦关键矿产的国防供应链安全，认为中国拥有全球90%的关键矿产提炼产能，会对美国国防供应链造成较大隐患。法案要求行政部门对中国不断扩大的全球影响力进行全面评估，并授权美战争部通过一系列强制机制收紧对华围堵，包括不得采购中国产光纤产品，也不得采购中国等相关境外主体生产的太阳能电池板、组件及逆变器。法案授权战争部为台湾建立“战争储备物资库”，以便在危机发生时能够迅速提取物资。法案将菲律宾纳入援助适用对象，同时将倡议授权期限延长至2032年。法案将无人机及相关技术的投资直接增至目前的3倍，总额超过740亿美元，预算中申请了42亿美元用于“主权人工智能基础设施”建设，并持续开发军方专属的生成式AI平台。（信息来源：华语安全简讯）

美政府以国家安全为由限制Anthropic两款AI模型的访问权限

6月12日，美人工智能公司Anthropic在发布Claude Fable 5两天后，收到美政府下达的出口管制指令，要求暂停所有外国籍人士对其人工智能模型Fable 5和Mythos 5的访问权限。Anthropic在声明中表示，公司已收到政府指令，但指令未提供国家安全关切的具体细节，目前已对相关技术报告进行审查，强调Fable 5的风险已降至与行业内现有已部署模型相当的水平，将立即禁用上述两款模型以确保合规，其他Anthropic模型访问不受影响。美政府声称已掌握一种可绕过Fable 5安全防护的“越狱”方法。Anthropic公司表示尚未收到任何可能导致有害结果的非通用“越狱”情况报告。（信息来源：赛博研究院）

美白宫调整AI安全测试机构权限，AI治理重心向国家安全倾斜

6月10日消息，白宫正调整联邦AI测试机构职能，限制其公开发布模型评估报告，并将更多工作重点转向国家安全、网络安全和关键技术竞争。报道称，特朗普政府内部部分官员认为，过度强调AI安全风险可能影响美国企业创新能力，并削弱美国在全球AI竞争中的领先地位。该动向显示，美国AI治理正从模型透明度和风险评估，进一步转向服务国家安全、产业竞争力和技术优势维护。（信息来源：华尔街日报）

美CISA发布BOD 26-04‌指令，要求基于风险优先级开展漏洞修复工作

6月12日消息，美网络安全与基础设施安全局（CISA）发布具有约束力的操作指令BOD 26-04《基于风险优先级处理安全更新》。该指令将取代并正式废止《BOD 19-02：面向互联网开放系统的漏洞修复要求》与《BOD 22-01：降低已知可利用漏洞带来的重大风险》，同时整合并明确了各联邦机构处置网络安全漏洞的修复规范。根据该指令，联邦民事机构必须根据四个关键标准评估漏洞：资产暴露程度；纳入CISA已知被利用漏洞（KEV）目录中的状态；被自动化利用的可能性以及被利用后的技术影响。该指令将各机构需要采取的行动划分为三个阶段：第一阶段需立即更新漏洞管理政策，确保持续修复CISA已知被利用漏洞目录中的漏洞；第二阶段需在60天内完成常见漏洞修复流程的更新；第三阶段则要求在180天内按照指令规定的修复时间表运行。（信息来源：美CISA网站）

欧洲议会通过《人工智能法案》修正案

6月16日，欧洲议会以423票赞成、57票反对、174票弃权的表决结果，通过欧盟《人工智能法案》修正案。作为欧盟数字综合简化一揽子法案的组成部分，此次修法旨在为企业减负，同时强化对AI色情工具的监管。多项关键合规时限均向后调整。高风险AI系统的合规期限分为两档：独立运作的系统自2027年12月2日起执行；作为安全组件嵌入且已有行业安全法规覆盖的系统，宽限期进一步延长至2028年8月2日。AI生成内容的水印标注义务则推迟至2026年12月2日生效。AI脱衣工具及儿童色情生成工具被明确禁止。此外，修正案允许高风险及一般风险AI主体在落实隐私保护的前提下，处理个人数据以排查和修正算法偏见；中小微企业的监管豁免权扩展至中型企业；通用AI系统的执法权统一收归欧盟AI办公室，以简化全欧盟范围内的执法流程。根据立法流程，修正案需经欧盟理事会正式通过后方能生效。（信息来源：赛博研究院）

欧盟发布《人工智能生成内容标记与标签行为准则》

6月10日消息，欧盟发布《人工智能生成内容标记与标签行为准则》，为落实《人工智能法案》相关透明度要求提供操作指引，核心目标是强化AI内容的透明度，遏制深度伪造等虚假信息传播，保障公众知情权与社会安全。‌‌根据规定，自2026年8月2日起，深度伪造内容以及涉及公共利益事项的AI生成或AI篡改文本必须明确标注，聊天机器人等交互式AI系统也需告知用户其正在与AI互动。该准则涵盖生成式AI提供商和部署方两大主体，重点规范AI生成音频、图像、视频和文本的可识别标记机制，违规企业可被处以全球营收‌6%‌的罚款。（信息来源：欧盟委员会）

英政府发布能源行业网络安全战略，强化关键能源基础设施防护能力

6月8日消息，英政府正式发布新的能源行业网络安全战略，计划在未来四年内全面提升能源系统网络安全水平，加强关键基础设施抵御网络攻击和数字化风险的能力，为能源转型和电力系统现代化提供安全保障。英政府表示，随着电网升级、可再生能源大规模接入以及核能项目持续推进，能源行业正面临日益复杂的网络安全挑战。新战略将把网络安全要求全面嵌入未来能源系统建设，同时提升现有能源基础设施的整体韧性。新战略提出了多项重点措施：建立统一的能源系统网络安全韧性基准；对现有安全防护机制开展持续测试和评估；在行业内部推广“安全优先”理念；加强政府、监管机构和企业之间的信息共享与协同响应能力；提升关键能源资产和供应链的网络安全防护水平。（信息来源：英伦新能源）

英国与日本签署《经济安全合作联合宣言》，深化经济安全与前沿技术协作

6月14日消息，英国首相斯塔默与日本首相高市早苗签署《经济安全合作联合宣言》，并宣布建立“前沿技术伙伴关系”，全面升级经济安全领域与前沿技术战略合作。经济安全方面，两国将深化经贸、能源等领域合作，强化投资安全，共同反对经济胁迫与不合理出口限制，联手保障能源与关键矿产供应链稳定，落地海上风电等项目。科技合作方面，两国将共同推动AI、量子计算、生物安全及民用核能等新兴技术的创新与保护，加强科研安全管控与国际标准制定。（信息来源：共同社）

日本与意大利举行首脑会谈，强化供应链韧性并推进下一代战机研发

6月15日消息，日本首相高市早苗与意大利总理梅洛尼举行首脑会谈，一致同意加强包括半导体、关键矿产等前沿技术领域的供应链韧性。双方签署多份备忘录，确认将加快推进日英意三国下一代战机联合开发计划，推动日本尖端半导体国产化企业Rapidus与意大利半导体设计企业的合作，并商定在太空垃圾应对及卫星数据分析领域加强协作。（信息来源：共同社）

法国将在北约演习测试自研AI战场指挥系统

6月13日消息，法国宣布将在于波兰举办的北约“联盟勇士互操作性演习”中，测试本土研发的“阿卡迪亚”人工智能战场指挥系统，以此替代北约目前使用的美国帕兰提尔公司Maven系统，化解数字主权相关隐患。该系统由法国联合Mistral AI、泰雷兹、空客等本土企业打造，此前已在多场欧洲军演中完成初步测试。“阿卡迪亚”严格遵循北约联邦任务网络标准，采用分布式网状架构，区别于Maven的集中云平台模式，即便出现网络中断、数据损毁，各指挥所仍可自主运转，部署灵活性与抗风险能力更强。该系统为开放式架构，支持多方接入与数据共享。（信息来源：DefenseNews网）

英国拟禁止16岁以下儿童使用社交媒体，未成年人网络保护监管继续收紧

6月15日消息，英国首相斯塔默表示，将禁止16岁以下儿童使用社交媒体，并对游戏和直播平台中陌生人联系儿童等功能施加限制。相关措施预计覆盖TikTok、Snapchat、Instagram、YouTube、Facebook和X等平台，但WhatsApp、Signal等即时通讯服务，以及YouTube Kids、Google Classroom等儿童或教育用途服务不在禁令范围内。此前，斯塔默已向苹果和谷歌公司发出三个月期限要求，敦促两家公司通过技术手段，防止儿童在智能手机上拍摄、分享或浏览不当影像。英政府称，该政策意在保护儿童网络安全，并可能于2027年春季前后实施。该动向显示，欧美国家正加快强化未成年人网络准入、平台责任和年龄验证监管。（信息来源：路透社）

加拿大拟禁止16岁以下未成年人使用社交媒体

6月11日消息，加拿大政府提出《安全社交媒体法案》，拟暂时禁止16岁以下未成年人使用Snapchat、Instagram等社交媒体平台。该法案仍需议会批准，符合特定安全要求的平台可申请豁免，但成人色情平台不得豁免，AI聊天机器人和Roblox等游戏平台暂不适用该年龄限制。报道称，违规企业最高可被处以全球收入3%或1000万加元罚款。（信息来源：华尔街日报）

02 数据前沿快讯

国家网信办等六部门联合印发《金融信息服务数据分类分级指南》

6月13日消息，国家互联网信息办公室、中国人民银行等六部门联合印发《金融信息服务数据分类分级指南》（以下简称《指南》），旨在为金融信息服务机构开展数据分类分级工作提供系统性、针对性、可操作性的指引，规范金融信息服务数据处理活动，提升数据安全水平，促进数据依法合理有效利用。《指南》适用于在中华人民共和国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作，不适用于涉及国家秘密的数据和军事数据。在数据分类方面，《指南》按照金融信息服务数据的业务属性进行分类，其中一级分类为业务数据、用户数据和企业数据3类，在此基础上进一步细分二级分类9类、三级分类67类。在分级方面，《指南》参照国家标准，根据金融信息服务数据在经济社会发展中的重要程度和敏感程度，以及一旦遭到泄露、篡改等对国家安全、经济运行等造成的危害程度，将数据从高到低分为四级，分别为核心数据、重要数据、敏感一般数据、常规一般数据。（信息来源：网信中国）

甲骨文公司计划投入700亿美元建设数据中心，AI基础设施资本开支继续攀升

6月10日消息，甲骨文公司表示，未来一年将投入约700亿美元用于数据中心建设，较上一财年557亿美元资本支出继续增长。报道称，甲骨文正为OpenAI等客户建设大规模AI数据中心，2026财年已交付约1.2吉瓦算力容量，并计划通过债务和股本融资支持后续扩张。该动向显示，AI产业竞争正从模型和芯片进一步转向数据中心、电力、融资和长期租赁能力比拼，大型云服务商正加速向重资产算力基础设施运营商转型。（信息来源：金融时报）

美Thea Energy公司携手英伟达等巨头，借助AI开发聚变数字孪生模型

6月9日消息，美核聚变企业Thea Energy宣布联合英伟达、新思科技、阿贡国家实验室、普林斯顿等离子体物理实验室，为其“Helios”仿星器聚变电站构建数字孪生模型。此次合作将借用人工智能与计算工具，分析并扩展海量数据集，快速迭代电站设计方案，并对系统运行流程开展压力测试。英伟达负责搭建实时交互数字孪生平台，新思科技负责搭建高保真多物理场仿真框架，阿贡实验室攻坚中子学与能量转换系统，普林斯顿等离子体物理实验室提供等离子体模拟核心代码与验证数据集。项目预计2035年前实现聚变电力稳定交付。（信息来源：全球技术地图）

03 网安事件聚焦

与伊朗有关的黑客组织Handala入侵加州水务公司

6月13日消息，与伊朗有关联的黑客组织Handala声称成功入侵美国加州水务公司，并公布据称从该公司窃取的5GB数据（包括客户姓名、地址、电话号码、账号以及支付历史记录），还枚举了加州水务公司在七个地区NTRIP网络关联的IP地址，以及挂载点级别的NTRIP源密码。该黑客组织声称，此次攻击是对美国近期在伊朗采取行动的报复。威胁情报公司Dataminr分析认为，Handala很可能首先入侵了加州水务公司用于GNSS基站管理的平台RTKBase实例，然后通过横向移动侵入了计费系统。Dataminr证实，加州水务公司奇科区已确认为此次攻击的受害者。（信息来源：SecurityWeek网）

伊朗四家银行遭有限网络攻击，未发生客户信息泄露

6月13日消息，伊朗国有银行协调委员会表示，包括伊朗国民银行、伊朗出口银行、伊朗商业银行等在内的四家银行当天系统出现中断。技术团队在发现异常后立即启动必要的预防与防护措施，以保护客户数据及银行基础设施安全。经过详细技术调查，这次中断被确认源于针对这四家银行的一次有限网络攻击。目前，未发生任何未经授权的客户信息访问，也未出现数据泄露。银行系统的安全加固与恢复工作正在快速进行。（信息来源：央视新闻）

FIFA世界杯内部系统存在授权缺陷，攻击者或可劫持直播信号

6月16日消息，安全研究人员BobDaHacker披露，国际足联（FIFA）世界杯内部系统存在严重授权漏洞，攻击者仅需在公开的FIFA Agent Platform注册为球员经纪人，即可被加入FIFA的Microsoft Entra租户。研究员访问了Football Data Platform、Commentator Information System等平台，并进入世界杯直播管理面板，该面板覆盖每场比赛的多路摄像机信号，理论上攻击者可替换或中断直播画面，影响广播合作方输出到全球电视观众的信号。研究人员已向FIFA、美CISA和FBI等多方报告，漏洞数小时后被修复。（信息来源：TechCrunch网）

黑客声称窃取Dynatrace公司内部GitHub代码库

6月13日消息，黑客组织声称已成功窃取Dynatrace公司的内部GitHub代码库，并对外兜售。据称，此次被盗数据总大小为8.46GB，包含246个代码库，涵盖广泛的技术和基础设施数据，包括基础设施拓扑、CI/CD配置、Kubernetes管理详情、Terraform模块、ArgoCD部署信息、云账户参考以及内部部署凭证。如事件属实，该数据集将为攻击者提供关于Dynatrace内部开发和云环境的情报，可被用于策划针对该公司及其客户的精准网络攻击。（信息来源：Cybernews网）

知名金融科技巨头Wise 490万条用户记录数据遭黑客组织窃取

6月11日消息，黑客组织在网络犯罪论坛发布消息，声称其拥有一个从金融科技平台Wise窃取的数据库，内含约490万条用户记录。Wise是一家全球知名的金融科技巨头，活跃用户超过1500万人。研究人员在分析了样本中的17条记录后发现了包含一系列个人身份信息（姓名、性别、出生日期、联系方式，以及尤为敏感的西班牙NIF号码）的数据集。研究人员表示，泄露数据范围集中在2025年末至2026年初，极有可能被用于严重的欺诈和身份盗窃活动。此次数据泄露规模尚未得到官方证实。（信息来源：Cybernews网）

全球最大胰岛素生产商诺和诺德内部IT系统遭黑客攻击致患者数据泄露

6月15日消息，全球最大胰岛素生产商诺和诺德披露一起数据泄露事件，攻击者访问了其内部IT系统以及与参与某些临床试验的患者相关的数据（包括患者ID、试验参与者性别、出生年份、生物标志物、健康/免疫原性数据以及生活方式因素等）。诺和诺德成立于1923年，目前在全球80个办事处拥有约67900名员工。诺和诺德表示，遭泄露数据为假名化，攻击者无法利用这些数据识别任何受影响的患者。此次数据泄露还涉及数量不详的医疗保健专业人员的个人身份信息（姓名、电话号码、WhatsApp详情和办公地点等）。诺和诺德建议受影响人员警惕意外消息或电话，防范网络钓鱼攻击。（信息来源：HackerNews网）

韩国电商公司Coupang因泄露全国超七成民众个人信息被罚约28亿元

6月12日消息，韩国数据保护监管机构对电商公司Coupang处以创纪录的6247亿韩元（约合人民币27.86亿元）罚款，这是该监管机构迄今为止对单一企业开出的最高金额罚款。韩国个人信息保护委员会负责人表示，调查发现，此次事件黑客攻击手段并不复杂，主要原因为Coupang安全管理体系存在不足，导致约3750万名用户的个人信息被窃取。（信息来源：安全内参）

携程未落实数据出境安全评估要求，被网信办罚款1000万元

6月16日消息，在国家网信办指导下，上海市网信办针对属地部分企业网络数据安全主体责任履行不到位、安全管理防护措施缺失、后端处理数据合规能力不足、数据出境合规审计不严等问题办理了一批执法案件。其中，针对上海携程商务有限公司未落实数据出境安全评估要求、违法出境个人信息等行为，依据《个人信息保护法》，予以罚款1000万元的行政处罚，并责令企业限期改正。企业受处罚后积极配合，全面落实有关整改要求。（信息来源：安全内参）

04 网安风险警示

国家网络安全通报中心：发现一批境外恶意网址和恶意IP

6月16日，国家网络安全通报中心发布预警，发现一批来自法国、德国、荷兰、柬埔寨等多国的境外恶意网址与IP，相关地址关联木马程序及控制端，正持续发起网络攻击，威胁国内联网设备与用户安全。此次曝光的恶意地址共十组，威胁主要分为后门程序和僵尸网络两类。后门类包含DarkKomet、NjRAT、RemCos、Larby等病毒家族，可实现远程控机、键盘记录、摄像头窃取、密码盗取、文件操控等恶意行为，多通过钓鱼链接、移动设备传播。僵尸网络类涵盖Gafgyt、TBot、Mirai、CondiBot、Catddos 等，主要针对路由器、摄像头等物联网设备，借助漏洞、暴力破解扩散，组建僵尸网络发起DDoS攻击，易造成网络瘫痪。安全部门提醒，一旦发现受害设备，及时勘验分析；切勿打开陌生邮件、社交平台的不明链接与文件；若遭攻击需及时向公安机关报备。（信息来源：国家网络安全通报中心）

工信部：关于防范VoidLink恶意软件的风险提示

6月15日消息，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，VoidLink恶意软件持续活跃，主要针对云环境中的Linux服务器发起攻击，可造成供应链攻击、服务器被控和业务中断等风险。攻击者通过供应链污染、云环境配置漏洞及容器逃逸等手段植入具备环境感知能力的恶意加载器，利用未签名的容器镜像、泄露的凭证等配置弱点，实现隐蔽初始入侵。当VoidLink在受害Linux系统激活后，会收集主机详细信息，并通过LD_PRELOAD、eBPF、LKM模块等内核级Rootkit技术隐藏自身进程、文件及网络活动，实现持久化驻留并规避常规检测。建议相关单位及用户加强监测，及时修复已知漏洞。（信息来源：CSTIS）

Splunk Enterprise未授权文件操作漏洞安全风险通告

6月16日消息，奇安信CERT监测到官方修复Splunk Enterprise未授权文件操作漏洞CVE-2026-20253（CVSS评分9.8），该漏洞源于PostgreSQL Sidecar Service端点缺少身份认证控制。攻击者可利用该漏洞，通过构造包含路径遍历序列的backupFile参数实现任意文件创建与截断，进一步通过PostgreSQL连接字符串注入控制pg_dump/pg_restore的数据库连接目标，结合passfile参数读取本地.pgpass凭据文件，最终实现远程代码执行，完全控制目标服务器。目前该漏洞PoC和技术细节已公开。Splunk Enterprise是一款面向企业级的大数据日志收集、检索、监控与分析平台，可全面采集服务器、网络设备、安全设备、业务系统产生的海量日志、指标与事件数据。鉴于该漏洞影响范围较大，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）

FortiSandbox严重漏洞可导致未授权命令执行

6月11日消息，Fortinet公司修复FortiSandbox产品线中的一个严重漏洞CVE-2026-25089(CVSS评分9.1)，影响多个版本的FortiSandbox、FortiSandbox Cloud以及FortiSandbox PaaS部署。未经身份验证的远程攻击者可利用该漏洞，通过发送特殊构造的HTTP请求在底层系统上执行未授权命令，导致受影响系统的机密性、完整性和可用性完全受损。目前尚无该漏洞遭在野利用的公开报告，但该攻击向量的未认证特性使其成为攻击者的高优先级攻击目标，建议用户尽快升级。（信息来源：代码卫士）

Langflow高危漏洞被用于未认证RCE攻击

6月13日消息，Tenable公司研究人员发现用于构建人工智能应用的开源低代码平台Langflow中存在一个高危路径遍历漏洞CVE-2026-5027（CVSS评分8.8）且已在野利用，可导致攻击者将文件写入任意位置。研究人员表示，由于Langflow默认启用了无身份验证的自动登录功能，访问该漏洞端点无需任何凭证，只需发送一个未经验证的请求即可获得有效的会话令牌，随后便可实施利用。调查显示，互联网上目前约有7000个Langflow实例公开暴露，其中大多数位于北美。该漏洞已在Langflow 1.9.0版本中被修复，建议用户尽快更新。（信息来源：代码卫士）

本文来源：国家信息技术安全研究中心官方网站

本文编辑：林青

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

往期推荐

安全动态丨网络空间安全动态第337期

安全动态丨网络空间安全动态第336期

安全动态丨网络空间安全动态第335期

安全动态丨网络空间安全动态第334期

安全动态丨网络空间安全动态第333期

点赞在看转发是对我们最好的支持

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客安全国信中心国信中心《安全动态丨网络空间安全动态第338期》