要闻速览

1、国务院办公厅印发《政务移动互联网应用程序规范化管理办法》

2、关于发布2026年度第一批网络安全国家标准需求的通知

3、CNNVD：关于Microsoft Office安全漏洞的通报

4、数百个Clawdbot网关遭暴露，API密钥和私密聊天受影响

5、韩国公共系统全面沦陷：模拟攻击揭示安全防护重大缺陷

6、被指控窃听用户并推销广告，谷歌同意支付6800万美元和解

一周政策要闻

国务院办公厅印发《政务移动互联网应用程序规范化管理办法》

近日，国务院办公厅印发《政务移动互联网应用程序规范化管理办法》（以下简称《办法》），旨在规范各级政务APP、小程序等移动应用的建设和使用，防止“指尖上的形式主义”，切实为基层减负。《办法》明确实行备案管理，禁止强制打卡、排名、考核安装率等行为，要求整合重复低效应用，并严格落实网络安全、数据安全、个人信息保护及保密法规，推动政务应用集约、高效、便民发展。

信息来源：中华人民共和国中央人民政府 https://www.gov.cn/zhengce/content/202601/content_7056374.htm

关于发布2026年度第一批网络安全国家标准需求的通知

为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用，全国网络安全标准化技术委员会（简称“网安标委”）秘书处坚持问题导向，调研国家网络安全重点工作和技术产业发展需求，研究形成了2026年度第一批网络安全国家标准需求清单。

现将清单印发公示，请相关单位围绕需求做好申报工作，并于2026年3月4日17:00前登录网安标委“网络安全标准项目管理与服务平台”（https://www.tc260.org.cn/login）进行申报。联系人：王老师、张老师 010-64102731。

消息来源：全国网络安全标准化技术委员会 关于发布2026年度第一批网络安全国家标准需求的通知

业内新闻速览

CNNVD：关于Microsoft Office安全漏洞的通报

国家信息安全漏洞库(CNNVD)近日发布预警，Microsoft Office存在安全漏洞(CNNVD-202601-4359、CVE-2026-21509)，攻击者可利用该漏洞绕过用户保护机制执行恶意代码。

该漏洞源于Microsoft Office未对不受信任的输入进行有效验证，攻击者通过构造恶意Office文档即可触发漏洞。受影响版本覆盖范围广泛，包括Microsoft Office 2016、Microsoft Office 2019、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024以及Microsoft 365 Apps for Enterprise等主流版本。 

 由于Office办公软件在企事业单位中使用极为广泛，该漏洞一旦被利用可能造成大规模安全事件。攻击者可通过钓鱼邮件等方式传播恶意文档，用户在打开文档时即可能遭受攻击，导致敏感信息泄露或系统被控制。

目前微软官方已发布安全补丁修复该漏洞，CNNVD建议用户立即确认产品版本并部署补丁。企业用户应通过集中补丁管理系统尽快完成更新，个人用户可访问微软安全更新指南获取修复程序。

消息来源：国家信息安全漏洞库 CNNVD关于Microsoft Office安全漏洞的通报

数百个Clawdbot网关遭暴露，API密钥和私密聊天受影响

开源AI智能体网关Clawdbot近期被曝存在严重安全漏洞：由于默认配置信任本地回环地址（127.0.0.1）且未强制启用身份验证，当通过反向代理（如nginx或Caddy）部署时，若未正确设置trustedProxies参数，系统会将所有外部请求误判为本地可信流量，导致控制界面和WebSocket接口完全暴露。

安全研究员Jamieson O’Reilly于2026年1月23日披露，已有超900个实例在Shodan上可被公开访问，其中大量未设密码保护，攻击者可直接获取Anthropic、Telegram、Slack等平台的API密钥、数月聊天记录，甚至以root权限执行远程命令。

官方紧急建议启用gateway.auth.mode: "password"、配置可信代理列表，并立即轮换所有凭据；同时推荐使用Tailscale或Cloudflare Tunnel等安全隧道替代直接端口暴露。该事件凸显了AI基础设施在快速迭代中对安全配置的忽视，亟需严格落实网络安全、数据安全、个人信息保护及保密法规。

消息来源：CSDN https://blog.csdn.net/smellycat000/article/details/157452933

韩国公共系统全面沦陷：模拟攻击揭示安全防护重大缺陷

近期，韩国审计与监察委员会（BAI）在对七个公共部门系统进行模拟网络攻击测试中发现，所有系统均被黑客成功侵入，暴露出政府保护大量个人数据方面的严重漏洞。此次渗透测试由白帽黑客、国家安全研究所以及网络作战司令部联合执行，针对的是由个人信息保护委员会（PIPC）指定的123个需重点管理的公共系统中的七个。
测试结果显示，在一个系统中，可以查询到约5000万公民的居民登记号码及其他信息；另一个系统中，黑客仅用20分钟就窃取了1000万会员的数据。此外，还存在关键信息未加密的情况，导致拥有管理员权限的黑客可轻易获取13万人的敏感信息。尽管已通知相关机构负责人并完成整改措施，但为避免进一步风险，具体受测系统名称及方法未公开。

被指控窃听用户并推销广告，谷歌同意支付6800万美元和解

当地时间1月26日，路透社报道，谷歌同意支付约6800万美元，就一项关于其语音助手Google Assistant非法“窃听”用户的集体诉讼达成和解，但明确否认存在任何不当行为。原告指控称，搭载Google Assistant的智能设备常因误识别触发词（如“嘿，谷歌”）而擅自录制私人对话，并将语音数据分享给第三方用于广告推送。尽管谷歌坚称助手仅在准确识别触发词后才会激活，但为避免长期诉讼风险，选择以和解方式解决争议。目前该协议已提交至加州圣何塞联邦法院，若获批，2016年5月18日后购买谷歌设备或遭遇“误触发”的用户将获得赔偿。这并非科技巨头首次因语音助手监听问题面临法律挑战。2025年初，苹果公司也因类似指控——Siri在未获授权情况下录制用户对话——同意支付9500万美元达成和解，每台设备赔付20美元，单人上限100美元，相关款项近期正陆续发放。此类案件反映出公众对智能设备隐私保护的高度关注。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！