要闻速览

1、2025年全国信息技术标准化技术委员会“标准周”活动在即

2、金砖国家元首签署“人工智能全球治理宣言”

3、工信部：关于防范KatzStealer信息窃取恶意软件的风险提示

4、一种利用隐形UI诱骗用户的新型Android攻击手法曝光

5、美国能源部警告：AI或将引发长达800小时的大停电

6、麦当劳AI招聘工具McHire漏洞导致6400万求职者数据泄露

一周政策要闻

2025年全国信息技术标准化技术委员会“标准周”活动在即

为贯彻落实《国家标准化发展纲要》及其行动计划，完善信息技术标准体系，加强重点标准研制，高质量推动信息技术领域标准化工作，促进产业创新与合作，近日，全国信息技术标准化技术委员会发布通知，将于2025年7月15日至18日举办“标准周”活动。

本次活动聚焦国家信息技术工作重要部署，围绕智能终端、软件与数字化转型、算力、扩展显示与虚拟数字人、无人系统、教育大模型等重点领域，交流新阶段新理念新格局下的政策、技术、产业发展新思路，探讨新技术新应用新业态的标准需求。工业和信息化部、国家市场监督管理总局相关负责同志，相关领域知名专家，全国信标委顾问、委员、观察员，相关下设机构代表及成员单位代表、相关组织代表将参加活动。

金砖国家元首签署“人工智能全球治理宣言”

2025年7月6日，在第十七次金砖国家领导人会晤期间，通过了《金砖国家领导人关于人工智能全球治理的宣言》（BRICS Leaders’ Declaration on Global Governance of Artificial Intelligence  以下简称《宣言》）。

《宣言》提出了一系列指导方针，旨在推动人工智能技术的负责任开发、部署与应用，助力可持续发展和包容性增长，宣言主要内容如下：

一是在治理原则方面。强调联合国在全球治理中的核心作用，倡导包容、代表性和发展导向，缩小数字鸿沟，尊重各国主权与发展路径。

二是在多方协作方面。政府应发挥主导作用，协同私营部门、民间组织和国际机构合作治理，保障各国特别是发展中国家在决策中的参与权。

三是在市场与技术方面。维护公平竞争环境，避免监管碎片化，落实数据安全与隐私保护，确保所有国家平等获取人工智能发展机遇。

四是在公平和可持续发展方面。推动人工智能服务可持续发展目标，助力医疗、教育等领域发展，重视环境保护与气候变化应对，兼顾就业影响与劳动者权益。

五是在伦理、可信和负责任的人工智能方面。坚持多元文化与语言多样性，防范算法偏见，建立透明可审计机制，坚持以人为本，保障人类对人工智能的最终控制权。

消息来源：中国国际科技交流中心 金砖国家元首签署“人工智能全球治理宣言”

业内新闻速览

工信部：关于防范KatzStealer信息窃取恶意软件的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现KatzStealer恶意软件持续活跃，可导致敏感信息窃取。

KatzStealer是一款采用恶意软件即服务（MaaS）模式的恶意软件，主要通过钓鱼邮件或被篡改的合法软件包进行传播。攻击者通过投递包含混淆JavaScript代码的恶意GZIP压缩包以绕过安全检测，利用系统工具cmstp.exe（系统配置管理器）绕过用户账户控制（UAC）获取管理员权限，创建计划任务实现持久化驻留，并借助进程镂空技术注入MSBuild.exe（用于构建应用程序）进程，伪装成可信应用程序运行。植入成功后，可窃取浏览器密码、会话令牌、CVV码、VPN/邮件凭证、Discord/Telegram令牌及多种加密货币钱包数据，甚至篡改Discord文件实现自动重感染，窃取的数据最终通过伪装成Chrome代理流量的隐蔽通道传输。

建议相关单位及用户立即组织排查，及时更新防病毒软件；定期实施全盘查杀，检测潜在感染；关闭非必要系统服务及端口，降低攻击面；启用进程白名单防护，限制可疑程序执行；隔离异常网络流量，防范C2服务器通信；加强网络安全意识培训，防范网络攻击风险。

一种利用隐形UI诱骗用户的新型Android攻击手法曝光

近期，网络安全研究人员发现了一种新的Android攻击手法，并将其命名为“TapTrap”。该攻击利用了用户界面(UI)的隐形特性，诱使用户在不知情的情况下进行操作，从而窃取敏感信息或执行恶意行为。

TapTrap攻击的核心在于其巧妙的界面设计。攻击者通过创建一个看似正常的应用程序界面，但实际上在用户可见区域下方隐藏了恶意的UI元素。当用户尝试与应用程序交互时，实际上却是在与隐藏的恶意元素进行交互。这种方法使得用户在不知情的情况下，可能会点击到恶意链接或输入敏感信息。

研究人员指出，TapTrap攻击的成功依赖于用户的信任和对界面的直观理解。攻击者可以利用这一点，通过伪装成合法应用程序，诱导用户进行不安全的操作。此外，该攻击方式不需要复杂的技术手段，任何具备基本编程能力的攻击者都可以实施。

为了防范TapTrap攻击，用户应保持警惕，尤其是在下载和安装应用程序时。建议用户只从官方应用商店下载应用，并定期检查应用权限，确保没有不必要的权限被授予。同时，开发者也应加强应用的安全性，避免界面设计中的潜在漏洞。

总之，TapTrap攻击展示了网络安全领域中不断演变的威胁，提醒用户和开发者在日常操作中保持警惕，以保护个人信息和设备安全。

消息来源：安全牛 美国能源部警告：AI或将引发长达800小时的大停电；一种利用隐形UI诱骗用户的新型Android攻击手法曝光 | 牛览

美国能源部警告：AI或将引发长达800小时的大停电

美国能源部在日前发布的一份研究报告中警告称，由于人工智能的快速发展，美国未来可能面临长达800小时的大停电风险。该警告主要源于AI技术广泛应用对美国电力基础设施的潜在威胁，特别是在AI技术不断进步的背景下，新兴网络攻击的复杂性和频率也在指数级增长。
报告研究认为，AI系统在电网管理和监控中的应用虽然提高了效率，但也极有可能被恶意攻击者利用，导致电网系统崩溃或大规模的灾难性停电。报告指出，AI技术已被实际证明可用来发起自动化网络攻击，识别系统漏洞，甚至模拟合法用户的行为，从而绕过安全防护措施。
此外，美国能源部在报告中也强调了，随着AI技术应用带来的电力需求增加和气候变化引起的极端天气事件，现有电网系统的脆弱性也在加剧。为了应对这些挑战，美国各州政府和电力企业需要加强网络安全防护措施，投资于更先进的技术，以确保在面对由AI驱动的严重攻击时，能够有效保护电力基础设施。

麦当劳AI招聘工具McHire漏洞导致6400万求职者数据泄露

网络安全研究人员伊恩・卡罗尔（Ian Carroll）和萨姆・库里（Sam Curry）近期披露，麦当劳旗下招聘聊天机器人平台 McHire 存在严重安全漏洞 —— 其管理员后台竟使用 "123456:123456" 的默认弱密码，同时内部 API 存在不安全直接对象引用（IDOR）漏洞。这意味着攻击者可轻易获取 6400 万份求职申请数据，包括申请人姓名、联系方式、地址等敏感信息。
研究人员在对 McHire 进行安全审查时发现，该平台为餐厅老板设置的管理界面竟未修改初始登录凭证。更严重的是，通过 API 接口的 ID 编号规则，攻击者可遍历获取所有申请人的完整资料，甚至包含求职状态变更记录和用户聊天授权令牌。这些信息足以让恶意者冒充求职者登录系统，进一步窃取原始聊天记录。
研究团队在发现漏洞后立即向 McHire 技术服务商 Paradox.ai 报告，该公司在 24 小时内完成修复。目前 McHire 已更新管理员认证机制，并对 API 接口增加权限校验。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！