文章总结： 2026年6月19日网安热点显示，国家网信办等三部门联合发布《网络数据安全风险评估办法》，自8月20日起施行，重要数据处理者须每年评估，违规最高罚1000万，数据安全合规进入硬约束时代。安全事件方面，微软Copilot曝出SearchLeak漏洞（CVE-2026-42824），可窃取用户2FA验证码和邮件内容；微软6月补丁日修复206个漏洞及3个0day，规模创纪录。厂商动态中，知道创宇入局企业AIAgent赛道，发布AIPY企业版与网安专版，绿盟科技分享智能体全周期安全实践。 综合评分： 85 文章分类： 政策法规,漏洞预警,安全大事件,安全运营,ai安全

网安热点 · 2026-06-19

Reset安全

2026年6月19日 07:23 广东

在小说阅读器读本章

去阅读

📋 今日热点概览

今日最大新闻是国家网信办等三部门联合发布《网络数据安全风险评估办法》，自2026年8月20日起施行，数据安全板块迎来刚性合规需求爆发。安全事件方面，微软Copilot SearchLeak漏洞（CVE-2026-42824）曝光，攻击者可窃取用户2FA验证码和邮件内容。厂商动态方面，知道创宇正式入局企业AI Agent赛道，发布AiPy企业版与网安专版。

一、安全厂商动态

1. 知道创宇入局企业AI Agent，发布AiPy企业版与网安专版

   网安厂商切入450亿规模企业AI Agent赛道，数据安全基因成差异化王牌。

• 概览：6月17日，知道创宇发布AiPy企业版与网安专版两款战略级产品，正式入局企业AI Agent赛道。AiPy企业版通过AI网关统一管控、智能体权限隔离、运行行为审核、系统底层加固构建全链路AI应用安全治理体系。知道创宇CTO杨冀龙表示，企业推进AI最大的痛点不是模型不够强，而是数据不敢用——核心数据不敢上传公有云，这正是网安厂商的差异化切入点。科智咨询数据显示，国内企业级AI Agent市场规模已从2025年的212亿元跃升至2026年的449亿元。
• 来源：每日经济新闻

1. 绿盟科技亮相2026全国CIO大会，分享智能体全周期安全落地实践

   AI Agent新型安全风险成为企业CIO关注焦点。

• 概览：6月17日，绿盟科技在2026全国CIO大会上系统解读智能体阶段的身份认证、权限管控、行为审计等全生命周期新型安全风险，并发布了配套落地防护方案，助力企业应对AI原生时代的安全挑战。
• 来源：绿盟科技微博

1. 中国电信构建立体云网安全防护体系，护航千行百业数字化转型

   2026年安全生产月期间，云网安全成为数字安全重中之重。

• 概览：今年6月是第25个全国”安全生产月”，中国电信深耕云网融合，构建覆盖云、网、边、端的立体安全防护体系。云网基础设施已成为各行业数字化转型的核心支撑，其安全直接关系到数字产业发展的生命线。
• 来源：览潮网

1. 嘉华龙马入选2026年度信创安全类厂商推荐名录

   信创数据安全与文印安全领域获行业权威认可。

• 概览：信创产业媒体信创纵横发布《2026年度信创参考手册》，嘉华龙马凭借信创适配能力、行业落地方案及市场口碑成功入选安全类厂商推荐名录，彰显其在信创数据安全与文印安全领域的标杆地位。
• 来源：ICPrint云打印

二、技术研究

1. 专家解读《网络数据安全风险评估办法》：构建数据安全治理新范式

   中国网信网发布多位专家解读，深度剖析《办法》对数据治理体系的深远影响。

• 概览：专家指出，《办法》正文共二十五条，从评估频次、机构管理、穿透监管、整改闭环四个维度搭建了全景式操作框架。重要数据处理者须每年评估，一般数据鼓励每3年一次；评估机构不得转委托，同一机构不得连续3次以上服务同一客户；省级以上部门可对评估报告真实性进行核验，拒不整改的可要求停止处理重要数据。这标志着我国数据安全治理从”外部约束”向”内生需求”的根本转变。
• 来源：中国网信网

1. AI重构网络安全攻防全景：2026年100+实战洞察与未来布局

   AI从”辅助工具”跃升为网络安全”核心引擎”。

• 概览：2026年AI不再仅是安全辅助，而是贯穿攻防全链条的核心引擎。从自主AI智能体主导的工业化攻击到复合AI防御体系构建的主动防护网，网络安全正经历范式级变革。文章系统梳理了AI Agent攻防、身份信任重构、API攻击规模化、零信任向OT/物联网延伸、量子安全迁移等关键趋势。
• 来源：CSDN

三、政策法规

1. 国家网信办等三部门联合公布《网络数据安全风险评估办法》

   三部门联合发布第24号令，自2026年8月20日起施行，数据安全合规进入”硬约束”时代。

• 概览：《办法》明确重要数据处理者须每年度开展风险评估，安全状态发生重大变化时须立即追加评估；鼓励一般数据处理者至少每3年评估一次。评估机构须公正客观并对其报告真实性负责，不得转委托；同一机构及其关联方不得连续3次以上服务同一客户。重要数据处理者须在评估完成后20个工作日内报送报告并至少保存3年，整改完成后15个工作日内报送整改报告。违规最高罚款可达1000万元。《办法》的出台将直接催生每年数十亿规模的数据安全合规市场。
• 来源：国家网信办官网、专家解读

1. 专家解读：统筹网络发展和安全，完善数据治理体系

   《办法》为企业合规路径提供全景式操作指引。

• 概览：专家指出，《办法》在《数据安全法》《网络数据安全管理条例》宏观框架基础上，将原则性要求转化为具象化操作规范，为”谁来管、怎么评、如何用”提供了清晰指引。通过构建体系化、包容性的合规规范，实现合规资源优化配置与高水平风险防范的有机统一。
• 来源：中国网信网

四、安全事件与漏洞通报

1. 微软Copilot AI高危漏洞曝光：SearchLeak可窃取验证码、邮件等敏感数据

   6月18日曝光，漏洞编号CVE-2026-42824，评级Critical。

• 概览：Varonis Threat Labs研究员Dolev Taler发现微软Copilot存在三阶段漏洞链，攻击者将恶意参数嵌入合法URL，Copilot AI引擎将URL解读为搜索指令，执行”搜索用户邮件”等操作，随后将敏感数据（2FA验证码、邮件主题、会议邀请、OneDrive文件）嵌入图片URL通过Bing外传。有别于传统漏洞，该攻击直接利用AI对自然语言指令的”轻信”绕过常规检测。影响Microsoft 365 Copilot企业版，可获取企业内部任何已索引内容。微软已发布补丁。
• 来源：IT之家

1. 微软2026年6月补丁日修复206个漏洞及3个0Day漏洞，规模创23年纪录

   CVE-2026-45657可蠕虫内核漏洞CVSS 9.8引发高度关注。

• 概览：微软本月修复206个安全漏洞（33个严重、167个重要），含3个已公开0Day（CVE-2026-49160、CVE-2026-45586、CVE-2026-50507）。重点漏洞包括：Windows内核TCP/IP栈CVE-2026-45657（CVSS 9.8，可蠕虫远程代码执行，破坏力堪比EternalBlue）、Windows Netlogon CVE-2026-41089（CVSS 9.8）、HTTP.sys CVE-2026-47291（CVSS 9.8）、Azure HorizonDB CVE-2026-48567（CVSS 10.0认证绕过）。AI辅助分析使漏洞挖掘效率大幅提升。
• 来源：CSDN

1. ShinyHunters利用Oracle PeopleSoft零日漏洞攻击多所大学

   漏洞编号CVE-2026-35273，Google Mandiant参与调查。

• 概览：ShinyHunters勒索组织利用Oracle PeopleSoft未修补漏洞入侵企业系统并窃取数据，以不支付赎金则公开数据为要挟。大学成为攻击重灾区，Google旗下Mandiant已介入调查。该漏洞可被利用获取敏感学生和教职工数据，影响范围覆盖全球多所高校。
• 来源：The Hacker News

五、国外安全动态

1. PCI DSS v4.0.1新规：结账页面第三方脚本成合规新焦点

   6月18日报道，Magecart攻击影响超10万网站。

• 概览：PCI DSS v4.0.1新增两项要求，将结账页面的第三方脚本纳入合规审查。现代结账页面加载数十个第三方脚本（分析标签、标签管理器、客服组件、支付iframe），任何一个都可能被攻破变成窃密器（即Magecart攻击）。Sansec统计已有超10万网站遭网页窃密和供应链攻击，2018年英国航空事件泄露38万笔交易，罚款1.83亿英镑。独立PCI评估机构已测试Reflectiz应对新规的方案。
• 来源：The Hacker News

1. Crypto Clipper恶意活动利用虚假评论、AI旁白和VirusTotal评论扩散

   Check Point Research披露新型社交工程攻击手法。

• 概览：未知攻击者利用付费推广文章在合法新闻网站制造热度，配合WordPress钓鱼页面、GitHub/SourceForge虚假项目、YouTube频道和VirusTotal协同虚假评论，构建完整的”虚假信誉生态”。攻击者借用合法品牌的营销策略——虚构下载量、刷五星好评、制作网红教程视频，诱导用户下载恶意”工具”。
• 来源：The Hacker News

1. 初级黑客利用Tailscale和OpenSSH在C2掉线后维持访问权限的真实案例

   6月17日报道，法国汽车企业遭入侵。

• 概览：一名法语攻击者入侵法国小型汽车企业，植入键盘记录器窃取银行和邮件凭证。在C2服务器（Havoc框架）掉线前，攻击者安装了OpenSSH和Tailscale建立不依赖C2的后门通道。该案例揭示了即使技术水平不高的攻击者，也懂得利用合法运维工具构建持久化通道，对企业安全监控构成挑战。
• 来源：The Hacker News

1. Check Point VPN认证绕过漏洞（CVE-2026-50751）已被在野利用

   CVSS 9.8，影响Remote Access VPN和Spark Firewall产品。

• 概览：Check Point披露CVE-2026-50751为严重认证绕过漏洞，影响配置了IKEv1协议（已废弃）的Remote Access VPN、Mobile Access和Spark Firewall产品。攻击者利用证书验证逻辑缺陷，无需有效密码即可建立VPN会话。Check Point确认该漏洞已被在野利用，建议启用IKEv2并立即应用补丁。
• 来源：Innovate Cybersecurity

1. WordPress主流插件脚本遭篡改，植入后门影响大量网站

   6月15日报道，PushEngage、OptinMonster、TrustPulse受波及。

• 概览：攻击者篡改了PushEngage、OptinMonster、TrustPulse三款WordPress插件使用的可信JavaScript文件，将其转化为后门入口。当网站管理员登录时，恶意脚本自动加载，攻击者可借此获取管理员权限。该供应链攻击手法隐蔽，利用用户对知名插件的信任绕过安全检查。
• 来源：The Hacker News

数据来源：以上资讯通过 Web 搜索从安全厂商官网、行业媒体、漏洞通报平台等公开信息源获取。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Reset安全 《网安热点 · 2026-06-19》