1.【政策法规】国家网信办等十部门联合公布《促进和规范电子单证应用规定》
点击标题可查看详情链接
近日,国家网信办、工业和信息化部、公安部等十部门联合公布《促进和规范电子单证应用规定》,自2026年9月1日起施行。《规定》明确了促进和规范电子单证应用的原则、部门职责等。提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则,鼓励电子单证的推广应用,分类分级管理电子单证系统,提升货物贸易和运输的数字化、便利化水平。明确各有关部门加强政策协同,依据各自职责促进和规范电子单证应用,推动电子单证领域的国际交流与合作。提出相关行业组织应当加强行业自律,建立健全行业自律制度和行业准则,促进电子单证的规范应用和生态繁荣发展。
为贯彻落实党中央、国务院实施“人工智能+”行动有关决策部署,进一步加快推进行业高质量数据集建设,强化数据赋能人工智能创新发展,国家数据局综合司研究起草了《关于推进行业高质量数据集建设行动的实施方案(征求意见稿)》。《方案》保障措施部分强调,要建立健全尽职免责机制,完善试错容错管理制度,鼓励在依法依规、风险可控前提下开展创新探索。持续跟踪行业高质量数据集建设工作,完善监测指标,评估建设和应用成效,阶段性总结经验。强化安全保障,落实数据安全相关法律法规要求,建立全流程安全治理机制,防范数据投毒、数据篡改、数据泄露等安全风险,守牢数据安全底线。
近日,国际知名AI编程工具Lovable发生了安全问题,为专业软件工程师提供了又一个对氛围编程保持警惕的理由。X用户Impulsive点名Lovable,称这家瑞典AI编程初创公司发生了大规模数据泄露,影响了2025年11月之前创建的每一个项目。该用户表示,仅通过自己的免费Lovable账号,就能够访问另一名用户的代码、AI聊天记录以及客户数据,英伟达、微软、优步和Spotify的员工都有账号。总体来看,专业开发人员并不鼓励过度依赖AI,因为其可能生成混乱且未经充分测试的代码。他们认为,氛围编程还会带来信息安全方面的隐患,包括公司数据被意外暴露。
一台意外暴露在公网的服务器,揭开了近期一场大规模自动化攻击的真面目。在这场围绕Bissa scanner工具展开的攻击行动中,威胁攻击者利用自动化扫描、AI辅助编码与Telegram机器人,已悄无声息地入侵了全球超过900家企业。攻击者专门针对暴露在互联网上的Web应用程序,窃取敏感凭证,并将每一次成功的漏洞利用结果,实时发送至自己的Telegram账户。本次攻击的核心是Next.js中的一个高危漏洞——CVE-2025-55182。安全研究人员将其命名为React2Shell。该漏洞允许攻击者针对数百万台Web服务器发起攻击,窃取通常包含密码、API密钥和访问令牌的敏感环境文件(.env文件)。
Grinex是一家在吉尔吉斯斯坦注册、已被美国制裁的加密货币交易所,被认为主要在俄罗斯经营。该公司表示,此前遭遇了一起由“西方特种部门”黑客发起的攻击事件,导致价值达1300万美元(约合人民币8863万元)的加密货币被盗,交易所现已停止运营。Grinex表示,自16个月前成立以来,其系统几乎一直遭受攻击尝试,此次最新攻击主要针对该交易所的俄罗斯用户。
点击标题可查看详情链接
近期,美国政府正计划授权主要联邦机构使用Anthropic公司Claude Mythos模型的修改版本。该AI模型能够快速识别网络安全漏洞并具备漏洞利用能力,引发了广泛关注。白宫管理与预算办公室(OMB)联邦首席信息官表示,OMB正在建立防护措施,允许联邦机构开始使用该模型,备忘录未指定具体部署机构或提供时间表。通过修改版方案,OMB绕过了五角大楼对该模型的禁令,为其他实体采用开创先例。欧洲机构基本被排除在早期访问外,仅英国AI安全研究所获准测试,美国联邦防御性AI能力将领先欧洲。
在削减成本的同时提升网络安全?看似矛盾的做法,在正确的方法下可以变得切实有效。正如每位CISO所知,保持强大的网络安全态势成本高昂。但鲜为人知的是,有许多方法可以在相对微薄的投资下提升网络安全。安全负责人只需创造性地思考,就能以极低成本大幅提升企业安全保护。该文列举了八种在不严重影响预算的情况下提升企业网络安全的方法,包括更好地执行MFA、充分利用现有工具、进行桌面演练、利用应用层、实施通行密钥(Passkey)、瞄准核心、考虑人类风险管理、加倍关注网络安全基础。
每年SANS研究人员都会在RSA Conference大会上公布五大攻击技术。但RSA Conference 2026出现了一个明显的转变,这五项技术全部由人工智能驱动,包括:(1)人工智能生成的零日漏洞——从稀缺到过剩;(2)供应链风险——你的供应商的供应商的供应商;(3)OT复杂性与根本原因危机;(4)人工智能的阴暗面——数字取证与事件响应中的不负责任使用;(5)发现邪恶——自主防御的竞赛。