1、五项国家标准开始征求意见

原文链接：

2、工业和信息化领域人工智能安全治理标准体系发布

日前，工业和信息化部人工智能标准化技术委员会（以下简称“标委会”）第一次成员大会在北京召开。会上，标委会发布了《工业和信息化领域人工智能安全治理标准体系建设指南（2025版）》。指南以人工智能赋能新型工业化为主线，遵循统筹发展和安全的基本原则，旨在构建工信领域人工智能安全治理体系。

据介绍，标委会下一步将深入推进人工智能安全治理标准体系建设，加大在治理能力、基础安全、网络安全、数据安全、算法模型安全、应用安全、赋能安全等重点领域的标准研制力度，积极参与国际标准法规协调制定，推进关键标准的宣贯实施。

原文链接：

1、大华IP摄像头曝高危漏洞：缓冲区溢出缺陷可导致远程代码执行

大华科技近日发布安全公告，针对其IP摄像头产品线中两个高危漏洞进行修复。这两个漏洞编号为CVE-2025-31700和CVE-2025-31701（CVSS评分均为8.1），均由缓冲区溢出（buffer overflow）缺陷引发，远程攻击者可利用这些漏洞导致设备崩溃或执行任意代码。

根据研究团队的报告，攻击者通过向受影响设备发送特制恶意数据包即可触发漏洞。缓冲区溢出可能造成服务中断，严重情况下甚至会导致远程代码执行（RCE）。目前，大华科技已发布修复缓冲区溢出问题的固件更新，并建议客户：

1. 立即访问大华下载中心获取最新固件

2. 联系当地技术支持团队协助安装补丁

3. 升级至2025年4月16日后编译的固件版本

原文链接：

2、“海莲花”APT组织利用Python官方软件仓库PyPI发起定向“投毒”攻击

近日，国资国企在线监管安全运营中心（以下简称“安全运营中心”）监测发现APT组织“海莲花”针对Python官方软件仓库——PyPI（Python Package Index）平台“投毒”事件。该组织利用PyPI平台高开放性、高可信性及开发者高依赖性，通过仿冒合法软件模块投递后门程序。

经安全运营中心研判，“海莲花”APT组织策划利用PyPI“投毒”并通过第三方聊天软件Zulipchat来实施C2通信的攻击活动，其恶意载荷的执行方式依旧为该组织惯用的“白加黑”加载手法，相关活动最早从4月份进入测试阶段，并在7月中旬正式投入了使用，从当前投毒仓库的更新情况来看，后续“海莲花”组织可能还会利用这一手段进行进一步的钓鱼和供应链攻击。

原文链接：

3、网络攻击引发连锁反应，俄航数十航班停飞警示行业安全

俄罗斯航空公司（Aeroflot）近日因遭遇网络攻击，导致数十架航班被迫停飞，引发航空业对关键基础设施安全的再度关注。

从已知信息来看，此次攻击发生后，俄航的航班运营系统出现异常，部分航班的起降计划受阻，地面值机和行李处理等环节也受到不同程度影响。尽管目前尚未有官方披露攻击的具体手法（如是否为勒索软件、数据泄露或供应链攻击），但业内推测可能涉及对核心业务系统的入侵，导致数据处理或指令传输中断。

作为俄罗斯最大的航空公司，俄航的网络安全事件凸显了航空业作为关键基础设施的脆弱性。此类机构不仅需保障乘客信息和商业数据安全，更需确保飞行控制系统、调度系统等实时运行系统的稳定，任何安全漏洞都可能引发连锁反应，甚至威胁飞行安全。

原文链接：

原文链接：

近日，国家互联网信息办公室约谈英伟达公司，要求其就对华销售的H20算力芯片中可能存在的"追踪定位"和"远程关闭"功能等安全风险问题作出说明。此次约谈的背景是美国议员此前呼吁要求美国出口的先进芯片必须配备"追踪定位"功能，而美国人工智能领域专家已透露英伟达算力芯片的相关技术已经成熟。

由于缺少英伟达H20具体的硬件后门分析，本报告将从历史硬件类后门入手深入分析硬件后门的技术实现机制，回顾历史上的重大芯片后门事件，并探讨英伟达H20芯片可能采用的后门技术路径，为理解当前事件提供技术视角。

原文链接：