安全动态丨网络空间安全动态第277期

编者按

网安动向热讯，本期有九点值得关注：

一是国家国务院常务会议审议通过《关于深入实施“人工智能+”行动的意见》；二是工信部等八部门印发《机械工业数字化转型实施方案》；三是CNCERT圆满完成2025年APCERT亚太地区网络安全应急演练；四是2025上半年我国信息安全领域收入1052亿元；五是《网络安全技术网络安全运维实施指南》等7项网络安全国家标准获批发布；六是美参议院投票确认肖恩·凯恩克罗斯担任国家网络主管；七是托尼斯·萨尔接任北约合作网络防御卓越中心指挥官；八是美陆军构建全球IT作战平台以提升网络战能力；九是美CISA发布恶意软件分析平台Thorium。

数据前沿快讯，本期有三点值得关注：

一是中国人民银行、中国证监会发布《金融基础设施监督管理办法》强调数据安全；二是《工业领域重要数据识别指南》等3项数据安全行业标准全文公开；三是全国一体化算力网2项技术文件公开征求意见。

网安事件聚焦，本期有两点建议关注：

一是政府机构及军工、电信、医药等关键领域成为网络攻击重点目标。

本期介绍：美情报机构网络攻击窃密重点瞄准我高科技军工类高校、科研院所及企业，试图窃取我军事领域相关科研数据或设计、研发、制造等环节的核心生产数据等敏感信息；网络攻击导致卢森堡全国通信瘫痪，攻击者重点针对该国电信基础设施中的华为设备；与俄罗斯存在关联的APT组织“秘密暴雪”针对驻莫斯科外国大使馆及敏感机构发起网络间谍行动；网络攻击致俄罗斯药店大规模停业。

二是数据泄露事件频发，敏感数据安全存在隐患。

本期介绍：勒索软件组织SafePay公开承认攻击英迈国际并宣称窃取3.5TB敏感数据；纽约金融服务供应商RiteCheck Cashing数据泄露影响超6.8万人，用户姓名、地址、出生日期、社会安全卡号、驾驶执照号、政府身份证号及支付卡号等敏感数据遭泄露；加密货币交易平台FTX Japan关闭一年后泄露超3.5万用户数据，内容包括用户真实姓名、居住地址、账户ID及交易记录等。

网安风险警示，本期有五点建议关注：

一是新型“瘟疫”恶意软件攻击Linux服务器以获取持久SSH访问权限；二是“黑猫”组织利用搜索引擎传播捆绑远控木马的知名应用程序安装包；三是AI氛围编程平台Base44曝严重逻辑漏洞；四是NestJS Devtools远程代码执行漏洞安全风险通告；五是1Panel agent远程命令执行漏洞安全风险通告。

01 网安动向热讯

国务院常务会议审议通过《关于深入实施“人工智能+”行动的意见》

7月31日，国务院总理李强主持召开国务院常务会议，审议通过《关于深入实施“人工智能+”行动的意见》。会议指出，当前人工智能技术加速迭代演进，要深入实施“人工智能+”行动，大力推进人工智能规模化商业化应用，充分发挥我国产业体系完备、市场规模大、应用场景丰富等优势，推动人工智能在经济社会发展各领域加快普及、深度融合，形成以创新带应用、以应用促创新的良性循环。政府部门和国有企业要强化示范引领，通过开放场景等支持技术落地。要着力优化人工智能创新生态，强化算力、算法和数据供给，加大政策支持力度，加强人才队伍建设，构建开源开放生态体系，为产业发展壮大提供有力支撑。要提升安全能力水平，加快形成动态敏捷、多元协同的人工智能治理格局。（信息来源：新华社）

工信部等八部门印发《机械工业数字化转型实施方案》

8月5日消息，工业和信息化部、人力资源社会保障部、住房城乡建设部、交通运输部、农业农村部、国家卫生健康委、应急管理部、市场监管总局八部门联合印发《机械工业数字化转型实施方案（2025-2030年）》。《方案》提出，到2027年，数智技术在产品研发设计、生产制造、经营管理、运维服务等环节广泛应用；到2030年，机械工业规上企业基本完成一轮数字化改造，行业数字化智能化水平大幅提升。《方案》从机械工业自身数字化转型和赋能其他行业数字化转型两个方面，围绕智能装备、智能制造和智慧服务“三大领域”，实施“四大行动”，提出12项重点任务，以智能制造为主攻方向，以装备技术与新一代信息技术深度融合为主线，以产品智能化、生产数智化、服务智慧化为抓手，聚焦企业发展和产业转型升级需求，坚持创新发展、安全可控，坚持场景牵引、问题导向，研制一批智能装备、建设一批智能工厂、拓展一批智慧服务，推动机械工业高端化、智能化、绿色化发展，为推进新型工业化提供坚实的技术装备保障。（信息来源：工信微报）

CNCERT圆满完成2025年APCERT亚太地区网络安全应急演练

7月29日消息，国家互联网应急中心（CNCERT）组织国内技术支撑单位参加并圆满完成亚太地区计算机应急响应组织（APCERT）发起举办的2025年亚太地区网络安全应急演练。本次演练的主题是“当勒索软件遇上生成式人工智能”，旨在积极应对恶意使用生成式人工智能构成的网络安全威胁。本次演练由来自18个APCERT成员（澳大利亚、孟加拉国、文莱、不丹、中国、中国台北、中国香港、印度、日本、韩国、老挝、马来西亚、缅甸、蒙古、菲律宾、新加坡、斯里兰卡和泰国）的24个CERT组织以及来自合作伙伴伊斯兰计算机应急响应合作组织和非洲计算机应急组织的3个CERT组织共同协作完成，各应急组织不仅检验了各自的事件响应流程，还提高了应对网络威胁的跨境协调能力。（信息来源：国家互联网应急中心）

工信部：2025上半年我国信息安全领域收入1052亿元

8月1日消息，2025年上半年，我国软件和信息技术服务业运行态势良好，软件业务收入达70585亿元，同比增长11.9%；软件业利润总额8581亿元，同比增长12.0%；软件业务出口283亿美元，同比增长5.3%。其中，软件产品收入15441亿元，同比增长10.6%，占全行业收入的21.9%；信息技术服务收入48362亿元，同比增长12.9%，占全行业收入的68.5%；信息安全产品和服务收入1052亿元，同比增长8.2%；嵌入式系统软件收入5730亿元，同比增长8.5%。从地区分布来看，东部地区占全国软件业务总收入的84.3%，东部地区、中部地区、西部地区和东北地区件业务收入分别同比增长12.1%、12.5%、10.4%和9.2%。（信息来源：工信微报）

《网络安全技术网络安全运维实施指南》等7项网络安全国家标准获批发布

8月4日消息，国家市场监督管理总局、国家标准化管理委员会发布2025年第19号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的7项国家标准正式发布，并将于2026年2月1日起正式实施。具体包括：《网络安全技术公钥基础设施证书管理协议》、《网络安全技术公钥基础设施 PKI组件最小互操作规范》、《网络安全技术公钥基础设施时间戳规范》、《网络安全技术信息安全风险管理指导》、《网络安全技术云计算服务安全能力评估方法》、《网络安全技术网络安全运维实施指南》、《网络安全技术人工智能计算平台安全框架》。（消息来源：全国网安标委）

美参议院投票确认肖恩·凯恩克罗斯担任国家网络主管

8月2日，美参议院投票确认肖恩·凯恩克罗斯担任国家网络主管，他将成为特朗普政府在国家网络安全战略与政策方面的首席顾问。凯恩克罗斯表示，“随着网络战略环境的不断发展，必须确保我们的政策努力和能力能够为国家安全和美国人民带来成果。美国必须通过各部门、各机构以及私营企业之间的紧密合作，在网络领域占据主导地位。在特朗普总统的领导下，我们将进入一个高效网络安全政策的新时代。”凯恩克罗斯生于1974年，共和党人，曾长期在共和党全国委员会任职并担任过该委员会首席运营官，特朗普第一任期内曾任千禧年挑战公司首席执行官（2019-2020年）和白宫高级顾问，2025年2月被提名为国家网络主管。（信息来源：美白宫网站）

托尼斯·萨尔接任北约合作网络防御卓越中心指挥官

7月31日，北约合作网络防御卓越中心在总部爱沙尼亚塔林举行指挥权交接仪式，托尼斯·萨尔接替马特·诺尔玛担任新一任指挥官。萨尔表示，北约合作网络防御卓越中心汇集了39个国家的力量，并作为一个联盟应对日益复杂的网络攻击。当前对中心的服务需求持续增加，中心将不断提高网络防御能力，不断响应成员国和北约的需求。萨尔拥有塔林理工大学工商管理学士学位和伦敦城市大学卡斯商学院管理学硕士学位，在政府部门任职超过20年，曾担任爱沙尼亚国家审计署署长、外交部行政事务副部长、司法和数字事务部秘书长等职务。（信息来源：北约CCDCOE网站）

美国土安全部拨款超1亿美元用于加强社区网络防御

8月1日，美国土安全部下属网络安全和基础设施安全局（CISA）和联邦紧急事务管理局（FEMA）宣布拨款超1亿美元用于加强社区网络安全。本轮拨款由两部分组成：一是“州和地方网络安全拨款”项目，该项目共向各州和地方政府提供9170万美元，用于一系列旨在提升网络安全的活动，包括规划和演习、聘请社区专家以及改善公民服务等；二是“部落网络安全拨款”项目，该项目共向部落政府（tribal government）提供1210万美元用于类似用途。上述拨款有利于帮助州、地方和部落政府建设更具韧性的网络生态系统，建强数字基础设施，降低网络安全风险。（信息来源：美CISA网站）

美网络司令部投资开发“持续网络训练环境”以满足网军训练需求

7月30日消息，根据美网络司令部2026财年预算申请，该机构拟于2025和2026财年向“持续网络训练环境”（PCTE）项目拨款2.74亿美元，以开发满足美网络任务部队（CMF）需求的训练环境。PCTE项目主要包括活动管理；环境运营和管理；物理和虚拟连接；测试与评估四部分，旨在模拟真实网络环境，并与其他靶场环境和网络训练资产连接，利用指定/支持性网络训练靶场、物理网络测试平台、工具和传感器的现有技术和服务，提供最真实的训练环境。PCTE项目2025和2026财年的建设重点包括：一是扩展容量、更新功能，改进CMF岗位资格要求，提升任务演练能力；二是增强课程管理和改进能力以及自动化环境构建能力；三是根据美网络司令部安排，与相关方面合作推进“联合网络作战架构”（JCWA）的集成工作。（信息来源：奇安网情局）

美陆军构建全球IT作战平台以提升网络战能力

8月1日消息，为应对未来的网络战，美国陆军对指挥、控制、通信和计算机能力进行了为期100天的评估，确定了五大重点领域，包括：一是优化信号兵团、网络和电子战队伍；二是加速下一代指挥控制的运输和基础设施建设；三是重塑任务伙伴环境；四是增强指挥官的电子战频谱感知能力；五是优化作战技术。美陆军表示正考虑将陆军统一网络转型为一个全球IT作战平台，并集成下一代指挥控制等技术。该平台直接关系到网络攻防作战、电子战、信号战以及情报等数据的传输，由陆军网络司令部和陆军网络体系技术司令部负责保护和捍卫。陆军还将致力于加速数据传输能力，完善下一代指挥控制所需架构，并与国防信息系统局合作开发零信任以及身份、凭证和访问管理功能。（信息来源：奇安网情局）

美CISA发布一款免费的网络安全事件响应策略生成工具

7月30日，美CISA发布一款帮助网络安全工作者应对网络事件的“驱逐策略工具”。该工具由CISA与MITRE公司签约开发，能够帮助网络安全工作者在几分钟内生成定制的应急响应计划，并制定在受感染系统和网络中遏制和驱逐攻击者的行动策略。该工具可免费获取，由两部分组成：一是名为COUN7ER的数据库，包含100多项与攻击者所采取战术、技术和程序（TTP）相适应的对策；二是一款名为“NextGen网络驱逐策略手册”、基于web的应用程序，可从COUN7ER中选取与网络事件相匹配的对策，并支持JSON、Word、Excel和Markdown等多种导出格式。（信息来源：美CISA网站）

美CISA发布恶意软件分析平台Thorium

7月31日，美CISA与桑迪亚国家实验室联合发布一款自动化、可扩展的恶意软件分析Thorium，以帮助网络安全工作者快速评估恶意软件威胁，并将分析结果汇总。当前，恶意软件引发的高级持续性威胁数量和复杂性不断增加，分析师需要同时管理一系列功能各异的恶意软件分析工具，难以快速准确地完成恶意软件的分析和取证工作。Thorium可将常用分析工具集成到统一平台，并生成定制化、自动化的分析工作流程，快速分析大量恶意软件，并随其变化快速调整分析工具。Thorium可为每个权限组每小时提取超过1000万个文件，每秒调度超过1700个进程，同时保证实现快速的结果查询。（信息来源：美CISA网站）

02 数据前沿快讯

中国人民银行、中国证监会发布《金融基础设施监督管理办法》强调数据安全

8月2日消息，中国人民银行、中国证监会印发了《金融基础设施监督管理办法》（中国人民银行中国证监会令〔2025〕第7号），自2025年10月1日起施行。《办法》包括总则、设立、运营要求、监督管理、法律责任、附则六章，全文共三十七条，聚焦金融基础设施业务监管，健全金融基础设施运营、风险管理、公司治理等制度规则，明确系统重要性金融基础设施认定标准和宏观审慎管理要求，完善金融基础设施检查、处罚、恢复处置、退出等监管规定，实现金融基础设施监管标准统一，为金融市场安全稳健高效运行提供基础保障。《办法》高度重视金融基础设施的网络安全和数据安全问题，第十五条要求建立完善的技术系统及管理机制，包括数据安全保护和数据备份措施、网络安全管理制度、数据存储管理机制等；第十八条要求加强数据安全管理，建立和完善有效的内部数据安全管理制度和问责办法，确保数据不被损毁、非法窃取及非法使用，不得侵害个人信息权益等。（消息来源：中国人民银行）

《工业领域重要数据识别指南》等3项数据安全行业标准全文公开

8月1日消息，国家工业信息安全发展研究中心向社会公开该中心数据安全所牵头编制的《工业领域重要数据识别指南》《工业企业数据安全防护要求》《工业领域数据安全风险评估规范》3项行业标准。《工业领域重要数据识别指南》于2024年12月10日正式发布，2025年4月1日开始实施，规定工业数据处理者开展工业领域重要数据识别的基本原则、流程和考虑因素。《工业企业数据安全防护要求》于2024年10月24日正式发布，2025年2月1日开始实施，规定工业企业数据安全防护的基础性数据安全防护要求、数据全生命周期安全防护要求、其它防护要求。《工业领域数据安全风险评估规范》于2025年5月9日正式发布，2025年8月1日开始实施，规定工业领域数据安全风险评估的基本原则、要素、流程及方法。（信息来源：国家工业信息安全发展研究中心）

全国一体化算力网2项技术文件公开征求意见

8月1日消息，全国数据标准化技术委员会秘书处在国家数据局指导下，根据《全国一体化算力网监测调度平台建设指南》体系框架中关于算力资源和算力安全部分规划，牵头研制了《全国一体化算力网智算中心算力池化技术要求》《全国一体化算力网安全保护要求》等2项技术文件，形成技术文件征求意见稿，现面向社会公开征求技术文件意见，意见反馈截止时间为2025年8月15日。（信息来源：全国数标委）

03 网安事件聚焦

CNCERT：美情报机构网络攻击窃密重点瞄准我国防军工领域

8月1日消息，CNCERT监测发现，近年来，美情报机构网络攻击窃密重点瞄准我高科技军工类高校、科研院所及企业，试图窃取我军事领域相关科研数据或设计、研发、制造等环节的核心生产数据等敏感信息。2022年7月至2023年7月，美情报机构利用微软Exchange邮件系统零日漏洞，对我一家大型重要军工企业的邮件服务器发起攻击，控制内网50余台重要设备，窃取11名企业高层邮件，前后持续将近1年。2024年7月至11月，美情报机构对我某通信和卫星互联网领域的军工企业实施网络攻击，入侵控制300余台设备，定向窃取敏感数据。据统计，仅2024年境外国家级APT组织对我重要单位的网络攻击事件就超过600起，其中国防军工领域是首要攻击目标。相关组织对我国关键信息基础设施、重要信息系统、关键人员等进行攻击渗透，严重威胁我国家网络安全。（信息来源：中国网络空间安全协会）

华为设备遭针对性网络攻击，致卢森堡全国通信瘫痪

8月4日消息，卢森堡宣布就7月23日导致全国通信瘫痪的网络攻击展开调查。此次攻击针对该国电信基础设施中的华为设备，导致全国范围4G/5G移动网络中断超3小时，互联网接入与电子银行服务陷入瘫痪，由于备用2G系统过载，大量民众无法拨打紧急服务电话。政府声明指出，攻击者利用国有电信运营商POST Luxembourg所采用的“标准化软件组件”漏洞实施攻击，依赖该运营商移动网络的政府预警系统亦因此失效，未能向民众有效推送事件警报。POST Luxembourg总经理称，此次攻击未侵入内部系统或窃取数据，公司正联合国家网络安全应急响应小组（CSIRT）开展司法取证调查。由于此次攻击针对华为路由器配套软件，该国关键基础设施监管机构已要求所有使用华为企业级路由器的组织联系CSIRT报备。目前，卢森堡政府已协同CSIRT与检察院，在国家保护高级委员会下设立特别危机小组，专项处理事件响应及影响评估。（信息来源：安全威胁纵横）

俄罗斯APT组织利用ISP访问权限攻击莫斯科外国大使馆等机构

7月31日消息，微软公司发现与俄罗斯存在关联的APT组织“秘密暴雪”（Secret Blizzard，别名包括Turla、Snake、Uroburos等）正针对驻莫斯科外国大使馆及敏感机构发起网络间谍行动。该组织利用其在俄罗斯本地ISP的中间人攻击能力，部署定制恶意软件ApolloShadow，通过伪造卡巴斯基反病毒软件根证书实现长期系统控制。目标设备连接网络时，将被重定向至攻击者控制的虚假强制门户，诱骗用户下载伪装成卡巴斯基安装程序的恶意软件。ApolloShado会根据设备权限调整执行策略：若权限较低，则收集IP数据并通过伪造Digicert域名与控制服务器通信，推送第二阶段载荷；若获得管理员权限，则实施系统级修改，包括将网络设为私有以削弱防火墙、启用文件共享、安装恶意根证书及创建隐藏管理员账户，从而建立持久化后门。微软威胁情报中心强调，此次攻击活动自2024年起持续运作，对依赖本地ISP的外交机构带来高度风险。（信息来源：SecurityAffairs网）

网络攻击致俄罗斯药店大规模停业

8月1日消息，俄罗斯最大的两家连锁药店Stolichki和Neofarm遭受网络攻击，支付系统中断，导致患者无法进行药品预约服务，旗下遍布各地的数百家药店被迫停业，员工被安排居家待命。Stolichki在俄共有约1000家门店，Neofarm在莫斯科和圣彼得堡共有逾110家门店。此外，位于莫斯科的Family Doctor连锁诊所也遭受网络攻击，导致其门户网站和线上预约系统一度瘫痪，患者只能现场挂号就诊。目前尚无任何组织宣称对此次攻击负责。（信息来源：安全内参）

勒索软件组织SafePay公开承认攻击英迈国际并宣称窃取3.5TB敏感数据

7月31日消息，新兴勒索软件组织SafePay公开承认7月4日对技术分销巨头英迈国际发起网络攻击，并威胁若未在指定截止日期前支付赎金，将公开窃取的3.5TB敏感数据。此次攻击导致英迈国际全球服务中断，多个官方网站下线，解决方案提供商、经销商及托管服务提供商客户的订购系统被迫中断。尽管公司次周宣称业务已全面恢复，但官方发布的网络攻击更新页面及提交给美国证券交易委员会的8-K文件中，均未提及数据泄露情况、赎金要求或攻击者身份，引发外界对其信息透明度的质疑。SafePay组织将英迈国际列入暗网数据泄露网站的受害者名单，但未公开具体的赎金金额。（信息来源：DarkReading网）

纽约金融服务供应商RiteCheck Cashing数据泄露影响超6.8万人

7月30日消息，纽约金融服务供应商RiteCheck Cashing近日向超过6.8万名客户及员工发出数据泄露通知，披露其服务器于2024年8月底遭未经授权用户入侵，但直至本周才获悉此事。遭泄露的个人数据包括姓名、地址、出生日期、社会安全卡号、驾驶执照号、身份证号及支付卡号等，可能被用于身份盗窃、欺诈性贷款或账户接管等非法活动。为应对此次事件，RiteCheck表示已采取多项补救措施，包括强制更改用户账户密码、部署威胁检测与端点监控工具，并为受影响用户提供12个月的免费信用监控及身份保护服务等。（信息来源：CyberNews网）

加密货币交易平台FTX Japan关闭一年后泄露超3.5万用户数据

7月30日消息，加密货币交易平台FTX Japan在关闭一年多后，被曝泄露超3.5万名用户的个人及财务数据，疑似其后端基础设施未彻底停运。2025年5月12日，研究人员发现与FTX Japan相关的Amazon S3存储桶存在数据泄露，涉及超2600万个文件，其中部分文件为2024年7月生成的HTML格式财务报告、日志及用户数据。这表明，尽管FTX Japan在2023年初完成用户提款并结束运营，其自动报告系统等后端流程仍在2024年持续运行，引发对系统关闭不彻底的质疑。此次泄露的数据涵盖35668个唯一用户标识符，这些标识符按电子邮件地址或Auth0用户ID分类，涉及敏感信息包括用户名、真实姓名、居住地址、FTX账户ID及详细的交易记录（借贷历史、加密货币类型、保证金率等），部分数据甚至包含清算警告、保证金风险触发等账户状态指标。这些信息若被恶意利用，可能用于身份盗窃、精准诈骗或市场操纵，对用户隐私及财务安全构成重大威胁。（消息来源：CyberNews网）

04 网安风险警示

新型“瘟疫”恶意软件攻击Linux服务器以获取持久SSH访问权限

8月3日消息，Nextron Systems公司的网络安全研究人员发现一种名为“瘟疫”（Plague）的复杂Linux后门程序，该恶意软件通过操纵核心认证机制建立持久SSH访问，同时能逃避所有主流杀毒引擎的检测，对企业安全构成前所未有的威胁。“瘟疫”采用多层技术手段，将高级混淆技术与系统级操作相结合，在传统安全措施面前实现了完美隐蔽。尽管过去一年有多个变种被上传至VirusTotal平台，但66款杀毒引擎无一将其样本标记为恶意，检测成功率为0。这种前所未有的隐蔽性源于其与Linux基础认证基础设施的深度集成，它作为合法的PAM模块运行，同时暗中破坏安全控制。研究人员认为，“瘟疫”代表了针对Linux系统攻击的范式转变，即从应用层攻击转向关注基础系统组件，利用PAM模块实现近乎完美的隐蔽性和系统级持久性。（信息来源：CyberSecurityNews网）

CNCERT：关于“黑猫”组织利用搜索引擎传播捆绑远控木马的知名应用程序安装包的风险提示

7月30日消息，CNCERT与安恒信息近期联合监测到由“黑猫”黑灰产组织发起的针对性攻击。该组织将包含钓鱼软件的恶意网站推送到搜索结果前列，并诱导搜索引擎错误地将部分钓鱼网站标注为“官方”，极大地增强了欺骗性。用户在访问这些高排名或带有“官方”标签的钓鱼页面后，极有可能会下载捆绑恶意程序的安装包。一旦运行安装，该程序会在用户不知情的情况下植入远程控制木马，导致设备被攻击者控制。监测分析发现，2025年6月1日至7月28日，“黑猫”黑灰产组织通过木马投放导致境内主机被控数量约2.88万台，日上线肉鸡数量最高达2328台，肉鸡C2日访问量最高达18913次。CNCERT已协调搜索引擎厂商对部分钓鱼网站搜索结果进行处置。建议用户通过官方网站统一采购、下载正版软件；尽量不打开来历不明的网页链接，不要安装来源不明软件；安装终端防护软件，定期进行全盘杀毒；当发现主机感染僵尸木马程序后，立即核实主机受控情况和入侵途径，并对受害主机进行清理。（信息来源：国家互联网应急中心）

AI氛围编程平台Base44曝严重逻辑漏洞

7月31日消息，Wiz Research公司发现AI氛围编程平台Base44存在严重的认证绕过漏洞，使攻击者得以利用未记录的API端点为非公开应用创建经验证的账号，从而绕过所有认证控制，越权访问私密企业应用和敏感企业数据。由于Base44的共享基础设施模型使所有客户应用继承其安全风险，该漏洞不仅影响个人应用，还波及内部聊天机器人、知识库和包括个人可识别信息的人力资源运营系统等多款企业应用。Base44公司称，尚未在易受攻击阶段发现恶意利用该漏洞的证据。目前该漏洞已在消息发布的24小时内修复，事件凸显了快速发展的AI开发生态系统中不断增长的安全隐忧。（信息来源：CyberSecurityNews网）

NestJS Devtools远程代码执行漏洞安全风险通告

8月4日，奇安信CERT监测到官方修复NestJS Devtools远程代码执行漏洞CVE-2025-54782（CVSS评分9.8），该漏洞源于@nestjs/devtools-integration包的API端点使用了不安全的JavaScript沙箱，攻击者可通过恶意网站触发CSRF攻击，利用沙箱逃逸在开发者本地机器上实现远程代码执行。NestJS是一个开源的渐进式Node.js框架，用于构建高效、可扩展的后端应用程序，被广泛用于企业级应用开发。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。（消息来源：奇安信CERT）

1Panel agent远程命令执行漏洞安全风险通告

8月4日消息，奇安信CERT监测到官方修复1Panel agent远程命令执行漏洞CVE-2025-54424（CVSS评分8.1）。该漏洞源于1panel agent端证书校验不完善导致身份验证绕过，攻击者可结合后台命令执行接口造成未授权远程命令执行，进一步接管服务器。1Panel是一款开源的服务器管理面板，支持多节点管理、资源监控、应用部署等功能，被广泛用于企业级服务器管理及个人开发环境。鉴于该漏洞影响范围较大，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）

本文来源：国家信息技术安全研究中心官方网站

本文编辑：林青

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

往期推荐

点赞在看转发是对我们最好的支持