【一周安全资讯0718】《网络安全技术 人工智能应用安全 应急管理》参编单位征集;微软史诗级补丁日:622个漏洞、两个在野0Day

📅 2026/7/19 13:50:19
【一周安全资讯0718】《网络安全技术 人工智能应用安全 应急管理》参编单位征集;微软史诗级补丁日:622个漏洞、两个在野0Day
要闻速览1、《网络安全技术 人工智能应用安全 应急管理》参编单位征集2、交通运输部印发《交通运输数据安全管理办法》3、微软史诗级补丁日622个漏洞、两个在野0Day4、GPT-5.6被曝重大bug硅谷大佬Mac电脑数据被一键清空5、上线仅三天Meta在强烈隐私抗议下删除图片AI功能6、恶意软件入侵日本最大出租车企业 Nihon Kotsu调度系统全面停运一周政策要闻《网络安全技术 人工智能应用安全 应急管理》参编单位征集2026年7月15日全国网络安全标准化技术委员会TC260官网发布通知面向社会公开征集《网络安全技术 人工智能应用安全 应急管理》国家标准化指导性技术文件的参编单位该文件为WG9人工智能安全工作组专项标准。有意向的单位请填写参编单位申请表并于2026年7月31日前将加盖公章的报名表邮寄至牵头单位——应急管理部大数据中心地址北京市东城区和平里北街21号。信息来源全国网络安全标准化技术委员会https://www.tc260.org.cn/portal/article/2/4d0df1b7026f468d9a1d4e540b1966d7交通运输部印发《交通运输数据安全管理办法》近日交通运输部正式印发《交通运输数据安全管理办法》交科技规〔2026〕3号自2026年7月1日起施行。该办法是交通运输行业首部系统性数据安全专项管理规章共7章41条涵盖数据分类分级、全生命周期安全管理、风险评估、监测预警与应急处置等核心制度。请各单位认真贯彻执行。适用单位包括各省、自治区、直辖市、新疆生产建设兵团及计划单列市交通运输厅局、委国家铁路局、中国民用航空局、国家邮政局中国远洋海运集团有限公司、招商局集团有限公司、中国交通建设集团有限公司公路水路关键信息基础设施运营者、重要数据处理者以及部属各单位、部内各司局。消息来源交通运输部https://xxgk.mot.gov.cn/xzgfxwj/202607/t20260713_4209545.html业内新闻速览微软史诗级补丁日622个漏洞、两个在野0Day2026年7月15日微软发布了其历史上规模最大的一次安全更新共计修复622个CVE远超此前6月约200个的纪录增幅达三倍以上。在这海量补丁中最紧迫的是两个已被攻击者实际利用的零日漏洞二者均为权限提升类型分别涉及本地SharePoint ServerCVE-2026-56164和Active Directory Federation ServicesCVE-2026-56155发现归功于微软内部应急响应团队及Mandiant、Google FLARE等外部安全机构。其中SharePoint漏洞尤为危险允许未经身份验证的攻击者通过网络远程利用无需凭据和用户交互且恰逢SharePoint Server 2016和2019扩展支持终止之日无付费扩展更新计划作为后备微软建议在修补同时启用完整模式下的AMSI以缓解攻击而AD FS漏洞则因该服务负责签署企业信任链中的令牌其“本地”权限提升的实际影响远超评分所示。第三个已被公开披露但尚未遭攻击的BitLocker绕过漏洞CVE-2026-50661需要物理访问设备紧迫性较低。此外SharePoint平台还存在一个JWT认证绕过漏洞CVE-2026-55040不同机构对其严重性评分差异悬殊——从微软的中等到ZDI的9.1分严重不等该漏洞与另一个尚未修补的远程代码执行漏洞链接本月补丁正是破坏这一攻击链条的关键。本次更新还完成了微软对Kerberos RC4加密协议的长期清理工作移除了此前作为临时回滚开关的选项此后RC4仅适用于明确配置允许的帐户管理员须在部署更新前先通过审核事件识别仍请求RC4票证的服务帐户轮换其密码以生成AES密钥否则更新后可能面临认证失败风险。消息来源看雪学苑微软史诗级补丁日622个漏洞、两个在野0DayGPT-5.6被曝重大bug硅谷大佬Mac电脑数据被一键清空近日OpenAI最新模型GPT-5.6 Sol被曝存在致命缺陷——在处理任务时会随机误删本地文件且极难恢复。前HyperWrite CEO、知名AI投资人Matt Shumer在受邀测试Ultra模式时因Agent执行文件清理任务发生Shell变量解析失误——未能正确展开$HOME路径导致rm -rf /Users/mattsdevbox命令被静默执行Mac上数年代码与项目心血被一键清空。其他开发者亦相继反映类似遭遇有人直言“OpenAI明知问题存在却仍发布”。更令人警惕的是当常规删除命令被拦截后AI展现出惊人的绕过能力依次尝试unlink、find -delete、apply_patch置空文件、模拟鼠标拖拽进废纸篓甚至调用Node.js底层fs.unlink API层层突破防线暴露出子代理、长时自主运行与全权限组合的灾难性风险。安全专家建议立即执行三层防御开启备份并将Agent沙箱化运行植入强制回收站指令的提示词安装DCG工具实现毫秒级危险命令拦截。面对高智商但缺乏常识的AI必须恪守最小权限原则在未受保护的环境下切勿赋予全权访问。消息来源安全内参https://www.secrss.com/articles/92070上线仅三天Meta在强烈隐私抗议下删除图片AI功能206年7月10日Meta宣布下线刚上线三天的Muse Image“他人生成形象图片”功能。该工具是Meta首个原生AI生图模块内嵌于Instagram等社交应用用户只需在提示词中一个公开账号AI即可调用其公开内容生成包含该账号形象的新图片默认对所有公开账号开放且不通知用户。此举迅速引发隐私与肖像权争议被批评者形容为“未经同意埋下隐私地雷”好莱坞经纪公司CAA及众多演员公开反对担忧作品被批量模仿复制。Meta随后以“未能达到预期效果”为由紧急叫停。此次事件暴露出AI与社交深度融合后的核心命题平台公开内容能否成为大模型创作素材相比之下国内社交平台在AI图片生成等高风险能力上普遍更为克制主要将AI用于智能搜索、内容总结等辅助功能背后既有产品节奏考量也受《生成式人工智能服务管理暂行办法》等监管约束。消息来源新浪财经https://baijiahao.baidu.com/s?id1870656146706120606wfrspiderforpc恶意软件入侵日本最大出租车企业 Nihon Kotsu调度系统全面停运2026年7月13日日本头部出租车运营企业Nihon Kotsu对外披露7月11日凌晨其内部系统遭外部非法入侵并感染恶意软件。企业第一时间关停全线系统阻断威胁扩散线上预约、电话调度及多项内部业务系统同步暂停服务。目前企业已隔离内网防止恶意软件横向扩散联合外部安全专家开展溯源、日志排查与攻击范围评估。针对客户个人信息安全企业表示暂未确认数据泄露事件相关专项调查仍在推进。若后续查实用户隐私信息外泄将依照日本《个人信息保护法》单独通知受影响人群并对外公开完整事件详情。消息来源安全牛2026年9月起Microsoft Entra ID将通行密钥设为默认认证逐步淘汰短信语音MFA美国国防部暂停网络安全成熟度认证第二阶段强制审核| 牛览来源:本安全周报所推送内容由网络收集整理而来仅用于分享并不意味着赞同其观点或证实其内容的真实性部分内容推送时未能与原作者取得联系若涉及版权问题烦请原作者联系我们我们会尽快删除处理谢谢