本期看点

热点资讯：

▸3.65TB数据被窃，2.75亿人信息泄露？全球近万所学校陷入危机

▸泄露200万余名患者健康信息，医疗软件厂商赔偿超7300万元

▸Chrome 148安全大更新127个漏洞，立刻升级

▸cPanel被曝惊天高危漏洞，千万级服务器面临“裸奔”，官方紧急发布补丁！

▸美国家庭安防巨头 ADT 被黑客勒索，大量客户数据泄露

▸重磅｜否决 Meta 收购 Manus：中国 AI 安全审查亮剑，核心技术绝无 “例外通道

▸安卓高危0Day漏洞可远程获取Shell访问权限

监管动态：

▸关于印发《网络安全标识管理办法》的通知

▸中央网信办部署开展“清朗·整治AI应用乱象”专项行动

▸网信部门依法查处“剪映”App等生成合成内容标识违法问题网站平台

▸国家网信办、国家发展改革委、工业和信息化部联合印发《智能体规范应用与创新发展实施意见》

▸10项网络安全国家标准获批发布

安全研究：

▸第三届“长城杯”网数智安全大赛（防护赛）总决赛在福州顺利闭幕

▸中国信通院【首批】企业级类Claw智能助手智能体能力评估正式启动！

▸一图读懂《智能体规范应用与创新发展实施意见》

▸《信息通信 数据应用能力成熟度评估模型》行标正式立项！

▸《AI开发环境下的代码安全与供应链管理》报告调研正式启动

▸2283美元，AI造出可用Chrome漏洞武器：网络攻防平衡已被彻底颠覆

01热点资讯：

▸3.65TB数据被窃，2.75亿人信息泄露？全球近万所学校陷入危机

全球最大在线教育平台Canvas在5月初期末考试关键期，遭ShinyHunters勒索组织发起大规模攻击。黑客窃取平台核心数据库，泄露3.65TB数据，波及全球9000余所学校、2.75亿师生信息，包含学生学籍档案、成绩记录、家庭联系方式、教师科研资料等敏感数据。攻击导致哈佛、MIT等顶尖高校系统瘫痪，期末考核被迫延期，部分数据已在暗网流转，师生面临精准诈骗、身份盗用风险，教育行业数据安全防护短板彻底暴露。。

（原文链接：3.65TB数据被窃，2.75亿人信息泄露？全球近万所学校陷入危机）

▸泄露200万余名患者健康信息，医疗软件厂商赔偿超7300万元

美国头部医疗软件服务商于4月中旬曝出重大数据泄露事件，因内部权限管理混乱、数据加密措施缺失，200万余名患者的完整电子病历、诊疗记录、过敏史、缴费信息等核心健康数据遭非法泄露，部分含HIV感染、精神疾病等高度敏感隐私。事件曝光后，涉事厂商面临集体诉讼，最终被判赔偿超7300万元，同时被监管部门责令停业整改3个月。此案再次警示，医疗数据作为高价值敏感资产，合规防护不到位将面临巨额经济损失与品牌崩塌。

（原文链接：泄露200万余名患者健康信息，医疗软件厂商赔偿超7300万元）

▸Chrome 148安全大更新127个漏洞，立刻升级

谷歌5月6日紧急发布Chrome 148版本安全更新，一次性修复127个高危漏洞，其中含17个零日漏洞、23个远程代码执行漏洞，CVSS高分漏洞占比超40%。漏洞主要集中在浏览器渲染引擎、扩展程序接口、数据解析模块，黑客可利用漏洞绕过安全防护，窃取用户账号密码、支付信息、浏览记录，甚至植入恶意程序控制设备。Chrome作为全球市占率超65%的浏览器，漏洞影响覆盖数十亿用户，官方强烈建议所有用户立即升级至最新版本，避免遭受无差别攻击。

（原文链接：【安全圈】Chrome 148 安全大更新127 个漏洞，立刻升级）

▸cPanel被曝惊天高危漏洞，千万级服务器面临“裸奔”，官方紧急发布补丁！

4月20日，全球市占率第一的服务器管理面板 cPanel曝出CVSS 9.8分超高危漏洞，漏洞存在于核心权限验证模块，攻击者可构造恶意请求绕过身份认证，直接获取服务器最高管理员权限，篡改网站数据、窃取数据库密码、植入木马病毒，甚至接管整台服务器。cPanel覆盖全球超千万台服务器，关联企业官网、电商平台、个人博客等海量站点，漏洞爆发后，千万级服务器处于“裸奔”状态，随时可能被入侵。官方已紧急发布补丁，要求所有用户24小时内完成修复，避免数据泄露与业务瘫痪。

（原文链接：【安全圈】cPanel被曝惊天高危漏洞，千万级服务器面临“裸奔”，官方紧急发布补丁！）

▸美国家庭安防巨头 ADT 被黑客勒索，大量客户数据泄露

全球知名家庭安防企业ADT于4月27日确认遭黑客组织勒索攻击，550万用户数据泄露，核心包括家庭详细住址、门禁密码、监控摄像头访问权限、家庭成员信息及报警记录。黑客通过攻破企业云管理平台，获取全量用户数据库，不仅在暗网售卖数据，还直接入侵部分用户家庭摄像头，实时监控室内动态，甚至远程控制门禁、报警设备。ADT作为安防行业标杆企业遭袭，印证智能家居设备安全防护薄弱，“家门口的安全防线”已形同虚设，普通家庭隐私与人身安全面临直接威胁。。

（原文链接：【安全圈】美国家庭安防巨头 ADT 被黑客勒索，大量客户数据泄露）

▸重磅｜否决 Meta 收购 Manus：中国 AI 安全审查亮剑，核心技术绝无 “例外通道”

4月30日，中国监管部门正式否决Meta收购国内AI公司Manus的交易，这是国内 AI 安全审查的标志性事件。审查聚焦三大核心风险：Meta获取Manus大模型核心技术后可能导致关键算法与训练数据外流；交易可能规避国内AI安全监管规则，形成“超国民待遇”；Manus技术涉及政务、金融等敏感领域，外资控股将威胁国家数据安全。此次否决明确释放信号：中国AI安全审查无例外通道，核心技术、敏感数据、关键领域AI企业，外资并购必须通过最严格安全审查，筑牢AI领域国家安全防线。

▸安卓高危0Day漏洞可远程获取Shell访问权限

5月4日，谷歌发布5月安卓安全公告，曝光编号CVE-2026-0073的严重零点击高危漏洞（CVSS 8.8），存在于系统核心组件adbd（安卓调试桥守护进程）中。攻击者只需与目标设备连接同一WiFi/局域网，无需用户任何点击、授权或交互，即可绕过认证机制，远程无感知获取手机最高 Shell 权限。漏洞影响安卓14、15、16及16-QPR2主流机型，可直接窃取通讯录、相册、支付凭证等敏感数据，监控设备操作甚至植入恶意程序。谷歌已推送安全补丁修复，但大量用户尚未更新，公共WiFi场景下设备面临 “裸奔” 风险。

02监管动态：

▸关于印发《网络安全标识管理办法》的通知

4月10日，国家网信办、工信部、公安部联合印发《网络安全标识管理办法》，自发布之日起施行。办法建立全国统一的网络安全标识制度，覆盖网络设备、操作系统、应用软件、云服务、物联网设备等全品类网络产品与服务，明确标识申请、审核、发放、使用、监督全流程规则。核心要求：关键信息基础设施必须采购带安全标识的产品；未获标识的产品不得上市销售、不得纳入政府采购；标识信息需全程可追溯，违规使用将面临最高1000万元罚款。办法落地标志着网络产品安全准入实现标准化、规范化，从源头筑牢网络安全防线。

（原文链接：关于印发《网络安全标识管理办法》的通知）

▸中央网信办部署开展“清朗·整治AI应用乱象”专项行动

4月22日，中央网信办正式启动为期6个月的 “清朗・整治AI应用乱象” 专项行动，聚焦当前AI领域突出安全风险，开展全行业专项整治。行动重点整治五大乱象：AI生成虚假信息、深度伪造造谣、违规收集个人信息、AI模型泄露、利用AI发起网络攻击；覆盖AI聊天机器人、图像生成工具、视频合成软件、智能办公应用等全品类AI产品。专项行动将建立 “曝光-整改-复查-处罚” 闭环机制，对违规平台从严处罚，涉嫌违法犯罪的移交司法机关，全力净化AI应用生态，保障公众合法权益与网络空间安全。

（原文链接：中央网信办部署开展“清朗·整治AI应用乱象”专项行动）

▸网信部门依法查处“剪映”App等生成合成内容标识违法问题网站平台

4月25日，中央网信办联合工信部、公安部开展专项执法，依法查处 “剪映” 等12款热门生成式AI应用及关联平台。经查，涉事平台存在生成合成内容未显著标注、AI生成标识模糊、虚假信息溯源困难等违法问题，违反《生成式人工智能服务管理暂行办法》相关规定。监管部门责令平台限期整改，下架违规功能，并处以最高50万元罚款；对拒不整改的3款应用，采取暂停新用户注册、限制服务范围等措施。此次查处强化AI内容合规刚性约束，明确AI生成内容 “必标识、可溯源” 的监管底线。

（原文链接：网信部门依法查处“剪映”App等生成合成内容标识违法问题网站平台）

▸国家网信办、国家发展改革委、工业和信息化部联合印发《智能体规范应用与创新发展实施意见》

5月5日，三部门联合印发《智能体规范应用与创新发展实施意见》，针对AI智能体（Agent）快速发展带来的安全风险，构建 “创新 + 合规 + 安全” 三位一体监管体系。意见明确智能体研发、部署、使用全链条合规要求：研发需落实安全评估、数据合规、算法备案；部署需强化权限管控、隐私保护、漏洞监测；使用需明确责任主体、禁止滥用、防范风险外溢。同时划定智能体应用负面清单，严禁用于数据窃取、虚假信息生成、网络攻击等违法活动，为AI智能体产业健康发展划定安全边界。

（原文链接：国家网信办、国家发展改革委、工业和信息化部联合印发《智能体规范应用与创新发展实施意见》）

▸10项网络安全国家标准获批发布

4月18日，国家市场监督管理总局、国家标准化管理委员会联合发布10项网络安全国家标准，涵盖数据安全、个人信息保护、网络攻击防护、AI安全、工业互联网安全五大领域。重点包括《数据安全技术 数据分类分级指南》《个人信息保护技术要求 终端设备》《人工智能安全 模型防护规范》等核心标准，明确企业数据资产分级规则、个人信息最小化收集要求、AI模型漏洞防护措施、工业数据安全隔离标准。10项国标填补多领域安全标准空白，为企业合规建设提供技术依据，推动数安治理从 “合规底线” 向 “能力升级” 迈进。

（原文链接：10项网络安全国家标准获批发布）

03安全研究：

▸第三届“长城杯”网数智安全大赛（防护赛）总决赛在福州顺利闭幕

4月28日，第三届 “长城杯” 网数智安全大赛（防护赛）全国总决赛在福州圆满收官。赛事由国家网信办指导、权威行业协会主办，是国内顶级网数智安全实战赛事，聚焦数据安全、网络防护、AI安全三大赛道，吸引全国32个省市、2000余支队伍参赛。总决赛以 “实战攻防 + 场景模拟” 为核心，模拟政务、金融、工业、医疗等真实场景安全威胁，考验参赛队伍漏洞挖掘、应急响应、数据防护能力。赛事汇聚行业顶尖技术人才，产出多项前沿防护技术成果，为网数智安全领域人才培养、技术交流提供核心平台，助力行业安全防护能力整体升级。

（原文链接：第三届“长城杯”网数智安全大赛（防护赛）总决赛在福州顺利闭幕）

▸中国信通院【首批】企业级类Claw智能助手智能体能力评估正式启动！

5月8日，中国信息通信研究院正式启动首批企业级类Claw智能助手智能体能力评估工作，这是国内首个针对AI智能体的权威第三方评估体系。评估围绕智能体的安全防护、隐私保护、合规性、稳定性、抗攻击能力五大核心维度，设置 28 项细分指标，覆盖智能体研发、部署、运维全流程。评估采用 “技术检测 + 场景测试 + 合规审查” 相结合的方式，通过评估的智能体将获得权威认证证书，成为企业选型、政府采购的重要参考依据。此次评估启动，标志着AI智能体行业告别 “野蛮生长”，进入标准化、规范化发展新阶段。

▸一图读懂《智能体规范应用与创新发展实施意见》

5月6日，全国网络安全标准化技术委员会发布《智能体规范应用与创新发展实施意见》权威图解，以可视化形式拆解政策核心要点，助力企业快速理解合规要求。图解从总体要求、核心规范、安全保障、产业支持、监督管理五大板块展开，清晰标注智能体研发备案、数据合规、算法安全、权限管控、应急处置等关键合规节点，明确企业、平台、监管三方责任边界，同时梳理智能体创新发展的支持政策与合规路径。图解内容简洁直观、重点突出，为企业开展 AI 智能体合规建设提供 “一站式” 指引，降低政策理解与落地成本。

（原文链接：一图读懂《智能体规范应用与创新发展实施意见》）

▸《信息通信 数据应用能力成熟度评估模型》行标正式立项！

4月30日，工业和信息化部正式批复，《信息通信 数据应用能力成熟度评估模型》行业标准获批立项，由中国信通院牵头、多家权威科研机构联合编制。该标准聚焦信息通信行业数据应用全生命周期，构建五级能力成熟度评估体系，覆盖数据采集、存储、治理、共享、流通、销毁六大环节，明确各级能力的核心要求、关键指标与建设路径。标准将为通信企业数据治理、数据价值挖掘、合规建设提供统一评估依据，助力行业数据应用从 “合规基础” 向 “价值释放” 升级，推动数据安全与产业发展深度融合。

（原文链接：《信息通信 数据应用能力成熟度评估模型》行标正式立项！）

▸《AI开发环境下的代码安全与供应链管理》报告调研正式启动

4月20日，中立权威安全研究机构正式启动《AI开发环境下的代码安全与供应链管理》专项报告调研工作，面向全国AI企业、科研机构、开发团队公开征集调研数据与案例。调研聚焦AI开发环境三大核心风险：开源组件后门、代码泄露、供应链投毒，重点梳理AI模型训练、代码开发、工具链使用、第三方依赖引入等环节的安全痛点、典型案例与防护实践。调研结束后将发布权威报告，总结AI开发环境安全防护最佳实践，提出针对性标准建议与技术方案，为AI企业筑牢开发环节安全防线，防范供应链攻击风险。