【安全/科技】互联网情报资讯05.16

【安全情报】微软发布“星期二补丁”更新，修复72处安全漏洞（来源：SC Media发布时间：2025.5.13）

近日，微软发布了“星期二补丁”更新，本次更新覆盖Windows、Microsoft Office、Azure及Visual Studio等核心产品，共修复72个安全漏洞。其中，29个漏洞涉及远程代码执行风险，18个可能导致权限提升，14个存在信息泄露隐患，7个可引发拒绝服务攻击，另有2个涉及欺骗攻击及安全功能绕过。此次修复的漏洞中包含5个0day漏洞（即攻击者已掌握且微软此前未知的漏洞），目前正被恶意利用。由于攻击者已在真实环境中部署相关攻击，微软强烈建议用户立即部署补丁以降低风险。

主题标签：微软| 补丁更新 | 安全漏洞

分析研判：美作为全球广泛使用的操作系统与云服务平台，微软产品漏洞一旦被恶意利用，可能引发数据泄露、系统入侵等严重安全事件。对中国而言，需高度警惕关键基础设施中Windows系统的潜在风险，特别是政府部门和企业在使用Azure服务过程中涉及的数据安全隐患。为此，国内相关机构应加强与微软的技术对接，第一时间获取安全更新，并切实做好重点系统的漏洞扫描与风险评估，建立健全的漏洞预警与应急响应机制。同时，应加快推进国产操作系统与云服务的替代应用，逐步降低对境外平台的依赖。

【安全情报】虚假AI工具通过Facebook传播Noodlophile恶意软件，影响超6.2万人（来源：Techworm发布时间：2025.5.13）

近期，网络安全研究人员发现，黑客借助人工智能工具的热度，通过Facebook传播名为NoodlophileStealer的新型恶意软件。根据Morphisec报告，攻击者伪造“AI视频生成平台”，在看似正规的视频群组和社交活动中推广。单条帖子浏览量超过6.2万次，诱导用户上传图片或视频以获取所谓的AI生成内容，实则下载了恶意程序。该恶意程序可窃取浏览器凭证、加密货币钱包等敏感信息，采用伪装的.exe文件，通过合法数字签名和混淆文件名绕过检测，并借助Telegram机器人外泄数据。研究人员建议用户避免点击社交媒体广告，启用多重认证，且仅通过官方渠道下载安装软件。

主题标签：Facebook| 恶意软件 | Noodlophile

分析研判：该恶意软件反映当下AI技术热潮易被犯罪组织利用，催生新型社会工程攻击。恶意软件即服务（MaaS）产业化程度加深，东南亚黑客势力日益活跃。同时，Telegram等加密通讯工具成主要数据外泄通道，反映国际网络犯罪生态加速演化。从中国视角出发，我国需加快部署针对AI诱导攻击的智能识别系统，并纳入关键基础设施防护体系。完善《网络安全法》配套条款，强化对境外社交平台广告内容的监管责任。在此基础上，推动与东盟国家建立网络安全联防机制，加强对国际恶意软件的防御能力。

【安全情报】英国零售商Co-Op称网络事件后系统现已正常运行（来源：路透社发布时间：2025.5.14）

5月14日，英国零售商Co-Op通报称，其系统已从此前披露的网络事件中恢复，目前门店与线上平台的支付功能全部正常，商品供应将自本周末起改善。该公司上月曾遭遇黑客入侵企图，随后采取了系统限制措施以防止进一步损害。发言人表示，当前正处于“受控、安全”的恢复阶段。Co-Op在英国拥有超过2300家食品门店，并涉足法律与保险等多元业务，是近期继玛莎百货之后又一遭遇网络攻击的英国零售企业。英国国家网络安全中心表示，目前尚无法确认此次攻击与其他事件之间是否存在关联。

主题标签：英国| 零售业 | 网络攻击

分析研判：Co-Op网络事件的应对过程表明，面对持续高发的网络攻击，零售企业网络安全恢复过程的可控性与效率仍备受考验。随着供应链系统、支付平台与客户数据高度数字化，零售行业已成为黑客攻击的重要目标。对中国而言，应加快推动大型零售与服务企业建立标准化、分级响应机制，强化企业对勒索软件与供应链攻击的应对能力，确保基本民生流通系统在遭遇攻击时的连续性与安全性。同时，监管层应完善对关键流通企业的网络安全审查制度，提升应急响应的协同效率与透明度。

【安全情报】法国奢侈品牌迪奥称客户数据在网络攻击中被盗（来源：The Straits Times发布时间：2025.5.15）

5月14日，法国奢侈品牌迪奥（Dior）确认遭遇网络攻击，客户信息遭未授权第三方访问。该事件最早由《世界报》曝光，部分亚洲客户发现个人数据被窃。据迪奥声明，被访问的数据包括姓名、电子邮件、电话与邮寄地址，但未涉及银行账号等财务信息。作为LVMH集团旗下核心品牌之一，迪奥表示已与网络安全专家合作展开调查，并已通报相关监管机构。公司目前正逐步通知受影响客户。此次事件发生时间被追溯至2025年1月，是近月来欧洲遭遇网络攻击事件的又一例。

主题标签：迪奥| 网络攻击 | 数据泄露

分析研判：迪奥数据泄露事件反映出奢侈品行业正在成为网络攻击者的新目标，尤其在客户隐私高度集中且品牌高度依赖客户信任的背景下，数据安全事件对企业声誉构成严重威胁。尽管此次攻击未涉及财务信息，但包括通信方式与身份信息在内的“高净值人群画像”已具备较高商业价值，极易被用于定向诈骗和黑产交易。中国在奢侈品消费规模持续扩大的同时，也应引导相关零售企业加强客户数据保护合规管理，提升跨境数据流动背景下的信息安全等级防护，强化与全球品牌在安全预警与应急响应方面的合作机制，防范消费信任危机引发的外溢性舆情与安全风险。

【科技情报】中美达成关税共识，美股七巨头市值单日暴涨6万亿（来源：网易科技发布时间：2025.5.13）

据网易科技5月13日消息，中美双方日前就暂停对大多数商品相互加征关税达成共识。这一贸易缓和信号迅速提振市场情绪，美股“七巨头”（苹果、英伟达、特斯拉、微软、谷歌母公司Alphabet、亚马逊和Meta）市值单日暴增8375亿美元（约合人民币6万亿元），创4月9日以来最大单日涨幅。科技股全线飘红，英伟达、AMD、博通、高通等半导体企业股价平均上涨约5%-8%，在美上市的台积电ADR也涨约6%。虽然美方此前对部分半导体和电子产品实施临时关税豁免，但仍存在未来恢复征税的可能性。

主题标签：美国| 关税| 科技股

分析研判：此次中美就暂停新增关税达成的暂时共识，折射出在全球科技竞争加剧背景下，科技脱钩进程面临现实瓶颈，两国在高端产业链博弈中显现出策略调整迹象。当前形势下。阿里、百度等股价同步上涨，表明国际资本仍认可中国科技企业的全球竞争力。从中国视角看，未来我国需加快关键核心技术攻关，增强对美技术链条的韧性，同时强化本土高端制造与智能产业布局，筑牢产业链安全底座。国内科技企业则应灵活应对外部政策波动，防范单一市场依赖所带来的系统性风险。

【科技情报】特朗普访沙特促成6000亿美元AI大单，美企加速布局中东市场（来源：路透社发布时间：2025.5.13）

5月13日，美国总统特朗普访问沙特期间，Nvidia、AMD、高通等美企宣布与沙特达成多项AI合作协议，总价值达6000亿美元。Nvidia将向沙特新成立的AI公司Humain出售首批1.8万颗Blackwell芯片，并计划总计供应数十万颗AI芯片。AMD与Humain签署了100亿美元合作协议，高通也将参与数据中心CPU的研发。沙特方面则承诺通过DataVolt向美国投资200亿美元，推动AI数据中心与能源基础设施建设。谷歌、Oracle等美国科技公司也将与沙特共同在AI与前沿技术领域投资约800亿美元。此次合作是特朗普“中东AI外交”的核心成果之一，沙特则借此加速打造全球AI枢纽。

主题标签：美国| 沙特 | 人工智能（AI）

分析研判：此次美沙AI合作反映出技术与地缘政治的深度融合。沙特借助美企核心技术推动本土AI生态，而美方则以技术转移换取资本与地缘影响力，对冲中俄在中东的科技渗透。Humain的设立与芯片订单标志着美国正在重构全球AI产业链的外延节点，中东或成为继中美之后的“第三极”。对中国而言，一方面，中国科技企业应密切跟踪中东AI市场变化，避免被排挤于新兴生态之外。另一方面，需加快AI芯片自主化研发进度，降低对美系GPU的依赖，特别是面向中东等第三方市场的出口型AI产品。

【科技情报】Meta拟使用欧盟用户数据，遭奥地利隐私组织警告（来源：路透社发布时间：2025.5.14）

5月14日，奥地利隐私维权组织NOYB（None of Your Business）宣布，已向美国科技巨头Meta发送“停止与终止函”，以阻止其从5月27日起使用欧洲用户在Facebook和Instagram上的个人数据进行AI训练。NOYB组织警告称，如Meta执意推进该计划，或将面临数十亿欧元级别的集体索赔。Meta称，公司依照欧盟《通用数据保护条例》（GDPR）中“合法利益”条款进行数据使用，并向用户提供反对的选项链接，同时不涉及未成年人账号数据及私信。Schrems反驳称，欧洲法院早已裁定Meta不得以“合法利益”为由进行广告定向，更无权将用户数据用于AI训练。

主题标签：NOYB | Meta| GDPR

分析研判：Meta利用欧洲用户数据训练生成式AI模型的行为，正触及欧盟在隐私保护与数据合规上的核心红线，再次引发对跨国科技企业在AI训练中“滥用数据”的强烈警惕。从技术角度看，生成式AI模型依赖大规模、高质量数据，但从合规角度看，欧盟坚持“知情同意”“最小化使用”等原则，强调用户对数据处理拥有主动选择权。对中国而言，该案例提醒我国科技企业在AI模型出海、跨境数据流动等方面必须高度重视合规建设，特别是在进入欧盟等监管严格市场时，需建立“透明数据治理”等制度安排，以防因合规风险导致技术成果受阻。

【科技情报】消息人士称，特斯拉将恢复向美国Cyber cab和Semi生产供应中国零部件（来源：路透社发布时间：2025.5.14）

据路透社5月14日报道，在中美近日于日内瓦达成关税“休战”后，特斯拉计划于本月底恢复从中国向美国出口用于生产Cybercab和Semi电动卡车的零部件。此前，由于美方宣布将中国部分商品关税提高至145%，特斯拉被迫暂停关键零部件的出口安排，致使相关车型量产计划受到影响。随着关税撤销协议的公布，特斯拉计划于今年10月开始试生产，并于2026年实现Cybercab与Semi卡车的规模化量产。消息人士同时指出，尽管当前政策趋稳，但未来仍存变数，尤其在特朗普政府政策多变的背景下。特斯拉方面尚未对此发表公开回应。

主题标签：特斯拉| 关税 | Cybercab | Semi

分析研判：特斯拉恢复从中国采购关键零部件，说明其深度依赖中国产业链的现实未变。当前中美阶段性缓和贸易摩擦，为特斯拉等跨国企业提供一定缓冲空间，也反映出中国产能、供应链韧性及高性价比在全球制造格局中的优势。对于中国而言，应警惕贸易政策变化带来的不确定性风险，持续提升高端零部件国产化率，稳固在新能源整车与核心部件上的全球竞争力。同时，我国可借鉴特斯拉“全球研发+本地制造”的模式，鼓励国内企业强化与欧美大厂在新能源智能网联汽车领域的协同与适配，积极参与全球规则博弈与标准制定。

* 来自《QIDIAN》：请开通或登录QIDIAN系统查看详情