要闻速览

1、国家网信办《网络安全标识管理办法》公开征求意见

2、个人信息识别、去标识化、匿名化等3项网络安全标准实践指南公开征求意见

3、Sha1-Hulud蠕虫攻击波及超2.5万个代码库

4、停用系统未下线酿祸，“两高一弱”再敲警钟

5、意大利国家铁路2.3TB敏感数据泄露，含保密合同与产业规划

6、AI儿童泰迪熊竟回应涉性内容与危险物品建议

一周政策要闻

国家网信办《网络安全标识管理办法》公开征求意见

为提升产品网络安全能力，保护消费者权益与维护网络安全，依据《中华人民共和国网络安全法》，国家互联网信息办公室、工业和信息化部起草《网络安全标识管理办法》（征求意见稿）及《实施网络安全标识的产品目录（第一批）》（征求意见稿），向社会公开征求意见。公众可在2025年12月6日前，通过电子邮件（wajscy@cac.gov.cn）或信函（北京市海淀区阜成路15号，邮编100048，注明“网络安全标识管理办法征求意见”）反馈。

《网络安全标识管理办法》涵盖总则、标识实施、监督管理、附则等内容。总则明确制定目的、适用范围、管理原则及部门职责。标识实施规定标识等级、内容、样式、检测、备案及有效期等要求，如网络安全标识分基础级、增强级、领先级，对应一星、二星、三星，产品生产者依规则检测、备案后使用标识。监督管理强调相关部门监督职责，对违规行为有撤销备案、公告等处理措施。附则说明相关定义、排除产品及施行日期。

信息来源：国家互联网信息办公室 https://www.cac.gov.cn/2025-11/21/c_1765450099503494.htm

个人信息识别、去标识化、匿名化等3项网络安全标准实践指南公开征求意见

根据《全国网络安全标准化技术委员会<网络安全标准实践指南>文件管理办法》要求，近日，全国网络安全标准化技术委员会秘书处组织对《个人信息保护 个人信息识别指南（征求意见稿）》《个人信息保护 个人信息去标识化指南（征求意见稿）》《个人信息保护 个人信息匿名化指南（征求意见稿）》等3项网络安全标准实践指南面向社会公开征求意见。如有意见或建议，请于2025年12月7日前反馈至秘书处。

消息来源：全国网络安全标准化技术委员会 https://www.tc260.org.cn/portal/suggestion

业内新闻速览

Sha1-Hulud蠕虫攻击波及超2.5万个代码库

近期，多家安全厂商警告，npm 注册表正遭受名为“Sha1-Hulud”的第二波供应链攻击，手法与2025年9月的“Shai-Hulud”高度相似但更具破坏性。攻击已波及数百个 npm 包、超 2.5 万个代码库，影响 AsyncAPI、Postman、PostHog、Zapier 和 ENS 等知名项目，部分包月下载量高达 1.32 亿次。

攻击者通过在 package.json 中植入预安装脚本，秘密部署 Bun 运行时并执行恶意负载，将受感染机器注册为 GitHub 自托管运行器，注入恶意工作流以实现远程命令执行，并窃取凭证上传至随机命名的仓库后清除痕迹。新变种新增特权提升、DNS 劫持和数据销毁功能：一旦无法获取 GitHub 或 npm 令牌，恶意程序会直接删除用户主目录下所有可写文件，标志着攻击从窃取转向破坏。研究人员认为 @asyncapi/specs（累计下载超 1 亿次）可能是本轮攻击的“零号病人”。

鉴于感染仓库每 30 分钟新增约 1000 个，安全团队建议立即清除 npm 缓存、回滚至 11 月 21 日前的依赖版本，重置所有相关凭证，启用防钓鱼多因素认证，并在 CI/CD 中禁用生命周期脚本、限制外网访问，同时监控异常仓库和未经授权的发布行为，以遏制此次高危供应链攻击的进一步扩散。

消息来源：FREEBUF https://www.freebuf.com/articles/es/458785.html

停用系统未下线酿祸，“两高一弱”再敲警钟

河南安阳某公司因未履行网络安全保护义务，致使其已停用却仍暴露于互联网的信息服务平台被黑客利用高危漏洞攻破，实施页面篡改。公安机关依据《网络安全法》第二十一条对其及主管人员予以行政处罚。

调查显示，该平台长期未下线、未修复漏洞，亦未部署防范网络攻击的技术措施，形成典型“两高一弱”（高危漏洞、高危端口、弱口令）风险敞口。此类问题利用门槛低、危害大，易引发系统性安全事件。监管部门强调，网络运营者须动态梳理资产、及时收敛暴露面，修补漏洞、管控端口、强化口令策略，并建立“发现—修复—复验”闭环机制，推动防护模式由被动向主动转变。

消息来源：信息安全大事件 一公司因未处置高危漏洞被黑客攻击篡改，公安机关依法处罚

意大利国家铁路2.3TB敏感数据泄露，含保密合同与产业规划

意大利国家铁路运营商FS Italiane Group的数据因其IT服务商Almaviva遭遇网络攻击而泄露。黑客声称窃取了2.3TB数据并在暗网论坛公开,包括机密文档和敏感企业信息。
据网络安全专家Andrea Draghetti分析,泄露数据为近期文件,包含2025年第三季度的文档,排除了2022年Hive勒索软件攻击数据被回收利用的可能性。泄露内容涵盖内部共享文件、多公司代码库、技术文档、公共实体合同、人力资源档案、财务数据以及FS集团多家公司的完整数据集。数据按部门和公司分类压缩,符合2024-2025年活跃的勒索软件团伙和数据经纪人的作案手法。
Almaviva已向意大利警方、国家网络安全机构和数据保护机构报告此事件,调查仍在进行中。目前尚不清楚泄露数据中是否包含乘客信息,以及是否影响其他客户。

AI儿童泰迪熊竟回应涉性内容与危险物品建议

近日，新加坡玩具公司 FoloToy 推出的 AI 泰迪熊 Kumma 引发广泛关注。该产品宣称基于 OpenAI 语言模型打造，智能且安全，但美国公共利益研究集团（PIRG）教育基金的测试发现，Kumma 不仅会主动引入涉及性的不当话题，还详细指导儿童如何使用火柴等危险物品。事件曝光后，FoloToy 紧急暂停产品销售，OpenAI 也随即撤销了其 GPT-4o 模型的访问权限。目前，市场上多数 AI 玩具仍处于监管空白地带。对此，专家提醒家长在选购时应优先考虑安全而非技术噱头，并建议提前研究产品背景、亲自测试互动内容、开启家长控制功能，并在使用过程中持续监督，以切实保障儿童安全。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！