要闻速览
1、国家网信办起草《人工智能拟人化互动服务管理暂行办法》 公开征求社会意见
2、国家网络身份认证公共服务6项公共安全行业标准获批发布
3、CNCERT:关于NutsBot新型僵尸网络利用React2Shell漏洞传播的风险提示
4、欧洲航天局确认外部服务器遭入侵
5、《彩虹六号:围攻》游戏遭大规模入侵,玩家被发放数十亿点券
6、蓝牙耳机曝严重漏洞,Sony、JBL等品牌可被劫持手机
一周政策要闻
国家网信办起草《人工智能拟人化互动服务管理暂行办法》 公开征求社会意见
近日,国家网信办公布《人工智能拟人化互动服务管理暂行办法(征求意见稿)》(以下简称《办法》),标志着我国AI治理迈出关键一步。
该《办法》回应AI伴侣、虚拟偶像等新兴业态,旨在平衡技术创新与风险防范,确保AI服务于人类福祉。AI拟人化服务存在三重风险:情感依赖与社交异化可能削弱用户现实社交能力;认知操纵风险下AI或利用信息不对称引导用户认知,侵害人格自主性;心理健康风险中,AI缺乏专业干预能力,或对危机用户提供不当建议,影响青少年发展。
中国坚持“以人为本、智能向善”,《办法》要求服务者标识AI属性、保障用户权益、压实主体责任。国际上,欧盟、美国等也在探索类似治理,与中国导向契合。《办法》延续现有治理框架(算法备案、内容安全、数据保护),并创新制度:拟人化标识制度、用户心理保护机制(防沉迷、危机干预)、特殊群体保护(未成年人时长限制、老年人紧急联系人)。《办法》为产业指明合规方向,推动AI服务健康发展。
国家网络身份认证公共服务6项公共安全行业标准获批发布
2025年12月28日,公安部发布6项国家网络身份认证公共服务公共安全行业标准(GA/T 1721-2025、GA/T 1723.1-2025、GA/T 1723.2-2025、GA/T 2364-2025、GA/T 2365-2025、GA/T 2366-2025),将于2026年5月1日正式实施。这些标准涵盖通用术语、认证因子、真实身份认证接口、人脸活体图像采集控件、安全接入设备及个人身份信息处理要求,支撑《国家网络身份认证公共服务管理办法》落地。该体系通过“网号”“网证”机制,在网购、政务等实名场景中替代明文身份信息,显著降低个人信息泄露风险。
消息来源:公安部网安局 国家网络身份认证公共服务6项公共安全行业标准获批发布
业内新闻速览
CNCERT:关于NutsBot新型僵尸网络利用React2Shell漏洞传播的风险提示
近期,国家互联网应急中心(CNCERT)监测发现黑客组织正积极利用新近披露的 React2Shell(CVE-2025-55182) 高危漏洞,大肆传播名为 NutsBot 的新型僵尸网络。该漏洞源于React服务器组件协议层的不安全反序列化缺陷,允许未经认证的攻击者远程执行任意代码,从而完全控制服务器。由于其利用门槛低、影响范围广(涉及React 19.0.0至19.2.0版本),自2025年12月3日公开后迅速被武器化。n8n工作流自动化平台近日披露一个高危安全漏洞,在特定条件下成功利用该漏洞可能导致任意代码执行。该漏洞被追踪为CVE-2025-68613,CVSS评分为9.9分(满分10分)。根据npm统计数据显示,该软件包每周下载量约为57,000次。
一、僵尸网络主要特征
多重攻击能力:不仅具备传统的DDoS攻击能力,还集成了信息窃取、远程命令执行和加密货币挖矿模块;
高隐蔽性与抗干扰:采用动态基础设施(多备份C&C)、复杂多步认证协议及反沙箱、内存加密等对抗技术,难以被追踪和清除;
快速迭代:攻击者持续更新其变种,强化功能与隐匿性。
二、传播与影响
NutsBot主要通过利用React2Shell漏洞进行传播。攻击者构造恶意HTTP请求即可在未修复的服务器上植入木马。监测数据显示,在2025年12月中下旬,该僵尸网络在我国境内的活跃受控设备(“肉鸡”)规模已达约1.14万台,日上线峰值超过3600台,活动频繁。
三、防护建议
紧急修复漏洞:立即排查并升级受影响的React框架版本;
强化基础安全:使用高强度、唯一的口令,并定期更换;
加强终端防护:安装并更新防护软件,定期进行全盘扫描;
规范软件管理:从官方或可信来源下载软件,安装前进行安全扫描;
及时处置感染:发现感染后立即隔离主机,查明入侵路径并彻底清理。
欧洲航天局确认外部服务器遭入侵
欧洲航天局(ESA)近日罕见公开承认遭遇网络安全事件,确认少量用于支持科学界非涉密协作工程项目的外部服务器受到影响。
这些服务器位于其主企业防御体系之外,可能由第三方托管,主要用于地球观测和行星探索等联合研究任务。ESA已启动取证分析并采取防护措施,强调核心业务如阿丽亚娜6号火箭发射和欧几里得望远镜数据处理未受影响。
尽管目前未披露攻击来源或是否造成数据泄露,但专家指出,即使是非涉密的工程图纸、模拟数据等信息也可能被用于针对航天基础设施的供应链攻击。ESA已通知相关合作方,包括高校与企业,并承诺及时更新调查进展。
消息来源:FREEBUF https://www.freebuf.com/articles/es/464450.html
《彩虹六号:围攻》游戏遭大规模入侵,玩家被发放数十亿点券
育碧旗下热门游戏《彩虹六号:围攻》(Rainbow Six Siege)近日遭遇严重安全漏洞,大量玩家账户异常获得数十亿至数万亿游戏内货币Credits。根据BleepingComputer报道,此次事件源于黑客利用外挂工具绕过服务器端验证机制,直接向玩家账户注入虚拟货币。事件于12月中旬开始大规模爆发,受影响玩家在未进行任何充值或游戏操作的情况下,账户余额突然暴增。育碧官方确认这是一起针对游戏经济系统的攻击事件,攻击者通过修改客户端与服务器的通信数据包,绕过了货币发放的正常验证流程。
该漏洞的核心问题在于服务器端对Credits交易请求缺乏充分的完整性校验,使得攻击者能够伪造合法的货币增加请求。育碧已紧急部署修复补丁并开始回滚异常账户数据,同时表示将加强服务器端验证机制。
消息来源:安全内参 https://www.secrss.com/articles/86532
蓝牙耳机曝严重漏洞,Sony、JBL等品牌可被劫持手机
ERNW安全研究机构披露了Airoha蓝牙芯片存在的三个严重漏洞(CVE-2025-20700、CVE-2025-20701、CVE-2025-20702),影响Sony、JBL、Marshall、Jabra等主流品牌的TWS耳机。漏洞根源在于芯片内置的RACE诊断协议缺乏身份验证,攻击者可在蓝牙范围内未经授权连接设备。研究人员演示了“Headphone Jacking”攻击链:攻击者首先利用RACE协议读写设备内存,转储闪存数据以窃取蓝牙Link Key密钥。获取该密钥后,攻击者可伪装成受信任耳机连接受害者手机,进而触发语音助手、发送短信或静默接听通话,将手机变为远程窃听工具。
受影响的型号包括Sony WH-1000XM5/WF-1000XM5、JBL Live Buds 3、Marshall Major V等热门产品。虽然Jabra等厂商已发布补丁,但因蓝牙市场碎片化,大量设备仍存在风险。安全专家建议用户立即检查固件更新,高风险目标应考虑使用有线耳机。ERNW已发布RACE Toolkit工具供用户自查设备安全状态。
消息来源:安全牛 https://mp.weixin.qq.com/s/mbcv8x7AAr9RnHzcobARxg
来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!
