数安热搜丨筑牢医保数据质量防线，异常数据引发的医保基金飞行检查；8项公共安全行业标准获批发布

01热点资讯：

▸筑牢医保数据质量防线，异常数据引发的医保基金飞行检查

依托全国统一医保信息平台，大数据精准监管作用凸显。通过异常数据监测，成功查处多起典型案例：如“未知医生”大量开药暴露数据填报漏洞、诊断录入错误导致“高龄老人做取卵手术”的误报、医生批量开方配合骗保等。这些问题揭示了医疗机构在数据质量管理上的短板。医保部门要求严把数据“入口关”，完善智能监控，共同守护医保基金安全。

（原文链接：）

▸重磅丨中国签署《联合国打击网络犯罪公约》

2025年10月25日至26日，《联合国打击网络犯罪公约》签署仪式在越南河内举行。中国、俄罗斯、巴西、南非、埃及、英国、澳大利亚等71个国家和欧盟签署公约。此后，公约将继续在纽约联合国总部开放签署至2026年12月31日。根据规定，公约将于“第四十份批准书、接受书、核准书或加入书交存之日后第九十天起生效”。

（原文链接：丨中国签署《联合国打击网络犯罪公约》）

▸超26.6万台F5 BIG-IP设备暴露 面临远程攻击风险

网络安全公司F5遭黑客入侵，部分源代码及未公开漏洞信息被盗。目前全球有超26.6万台F5 BIG-IP设备暴露于公网，面临潜在攻击风险。F5已发布补丁修复44个漏洞，并强烈建议用户立即更新。美国网络安全监管机构CISA已发布紧急指令，要求联邦机构限期完成安全加固，并停用无法更新的老旧设备，以防国家级黑客及犯罪团伙利用漏洞入侵网络。

（原文链接：）

▸欧盟初步认定Meta和TikTok违反《数字服务法》

2025年10月24日，欧盟委员会发布初步调查结果，指出TikTok及Meta旗下Facebook、Instagram在履行《数字服务法》（DSA）相关透明度义务方面存在违规行为。调查指出，三家平台均违反了《数字服务法》（DSA）中 “向研究人员提供充足公共数据访问权限” 的义务。此外，Meta旗下的Facebook、Instagram被指未向用户提供简便的非法内容举报机制，并涉嫌使用“暗黑模式”干扰用户操作，同时在内容审核申诉流程中限制用户提交解释与证据，限制了申诉机制的有效性。

（原文链接：）

▸快时尚品牌MANGO因第三方营销服务商漏洞致客户个人信息泄露

西班牙知名时尚零售商MANGO近日确认，因其外部营销服务供应商遭受未授权访问，导致部分客户个人信息发生泄露。经初步确认，泄露内容涉及客户的姓名、国家、邮政编码、电子邮箱及电话号码等基础联系信息。MANGO强调，银行账户、信用卡信息、身份证件及系统登录凭证等核心敏感数据未受影响，整体泄露范围相对有限。

（原文链接：）

▸美国电子巨头 Avnet 确认数据泄露，被盗数据无法读取

安富利公司确认发生数据泄露，其欧洲、中东和非洲地区使用的云存储数据库遭未授权访问。黑客声称窃取了大量数据并在暗网索要赎金。安富利表示大部分数据需专有工具才能读取，该工具未受影响，但泄露样本中包含部分明文个人身份信息。事件仅限于特定区域系统，未影响全球运营，公司已通知相关部门并将联系受影响客户。

（原文链接：）

▸近2亿邮箱密码泄露 立刻改Gmail密码！

近日曝光大规模数据泄露事件，超1.83亿个电子邮件账户密码遭泄露，涉及数千万Gmail账户。此次泄露源于“信息窃取者”恶意软件长期感染用户设备窃取凭证，而非邮件服务商直接被入侵。专家强调，若用户在多个平台重复使用密码，将面临“凭证填充”攻击风险。建议受影响用户立即更改密码、启用两步验证，并使用密码管理器生成并保存独立强密码，以防账户被持续滥用。

（原文链接：）

02监管动态：

▸全国人民代表大会常务委员会关于修改《中华人民共和国网络安全法》的决定

全国人大常委会通过《网络安全法》修订，新法将于2026年1月1日实施。修订案明确网络安全工作坚持中国共产党的领导，并新增支持人工智能健康发展及风险监管的条款。同时，大幅加重了对违法行为的处罚力度，对造成严重后果的违法行为，最高可处以一千万元罚款。法规还强化了对境外主体危害我国网络安全活动的法律责任与制裁措施。

（原文链接：）

▸8项公共安全行业标准获批发布

公安部近期发布8项网络安全行业标准，包括2项强制性标准和6项推荐性标准。强制性标准针对网络直播和网络支付服务，明确了安全管理要求，将于2025年12月1日起实施。推荐性标准则覆盖边缘计算、大数据系统、IPv6网络、区块链等新兴技术领域的等级保护要求及测评指引，均将于2026年2月1日起正式实施。

（原文链接：）

▸关于防范SEO投毒攻击的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者大规模操纵SEO(搜索引擎优化)排名传播恶意软件，造成用户信息泄露与系统受控。建议相关单位及用户立即组织排查，定期离线备份核心数据；严格核验软件域名真实性，杜绝来源不明程序运行；及时修复系统漏洞并阻断恶意提权；加强员工反钓鱼培训，识别SEO欺诈及伪装启动项；同步部署终端行为监控，全面封堵网络攻击风险。

（原文链接：）

▸国家发展改革委、国家数据局等六部门联合印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》

近日，国家发改委、国家数据局等六部门联合印发《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》。《方案》旨在统筹数据发展与安全，明确企业数据、公共数据、个人数据三类数据的流通安全规则，完善责任界定机制，并加强安全技术应用与服务供给。目标到2027年底基本构建规则明晰、多方协同的数据流通安全治理体系，促进数据要素合规高效流通利用，释放数据价值。

（原文链接：）

▸通报！这20款智能终端存在侵害用户权益行为

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，工信部近期对智能终端进行检查，发现共20款产品存在违规收集使用用户个人信息等问题，相关终端须按规定整改，否则工信部将依法采取进一步处置措施。

（原文链接：）

▸工信部通报！这42款APP及SDK存在侵害用户权益行为

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，组织对APP及SDK进行抽查。检测发现共有42款APP及SDK存在违规收集使用用户个人信息等侵害用户权益的问题。相关运营者须按规定整改，对整改不到位的，工信部将依法采取进一步处置措施。

（原文链接：）

03安全研究：

▸六部门权威解读“十五五”规划，数据要素、AI相关有哪些？

中共中央公布“十五五”规划建议，提出打造新兴支柱产业并前瞻布局未来产业，明确将全面实施“人工智能+”行动，全方位赋能千行百业。同时，规划强调建设全国一体化数据市场，破除地方保护以释放超大规模市场红利，并部署了建设生育友好型社会、推动老有所养等人口高质量发展任务。

（原文链接：）

▸国家数据局出手，数据圈迎来“淘汰赛”？

国家数据局近日发布首批104个高质量数据集典型案例，覆盖科学研究、工业制造、低空经济等多个领域。这些数据集作为AI大模型的关键“燃料”，标志着我国数据要素市场化进入“深度应用”新阶段。当前建设已呈现全国统筹、区域特色鲜明的发展态势，但仍面临数据流通不畅、标准不统一等技术挑战。随着“数据要素×”三年行动计划推进，高质量数据集正成为推动人工智能与实体经济深度融合的核心动力。

（原文链接：）

▸研究发现：API 安全盲区正在威胁 AI 智能体部署

最新研究显示，80% 的企业缺乏对 API 的持续实时监控，这意味着它们针对 AI 智能体的攻击“视而不见”。由 Salt Security 发布的《2025 年下半年全球 API 安全现状报告》指出，随着企业争相布局 AI 智能体经济（AI Agent Economy），API 已成为推动这一浪潮的数字核心。但与此同时，API 安全体系的不成熟与防护缺口，正成为制约 AI 创新和自动化落地的“系统性漏洞”。

（原文链接：）

▸Gartner 2026 技术趋势中的安全启示：从“防御体系”迈向“信任体系”

Gartner近日发布的《2026年十大技术趋势》中，五项与安全密切相关的趋势——前置式主动网络安全、数字溯源、AI 安全平台、机密计算与地缘回归，勾勒出从“防御体系”向“信任体系”转型的未来方向。本文结合十大技术趋势，分析其对安全体系、技术架构及从业者能力的影响，并提出网络安全工作应向“主动防御、可验证信任、AI 治理与主权合规”方向升级。

（原文链接：）

▸数据智能的安全困境，如何用 AI 破解？

当前数据智能安全治理面临技术瓶颈难破、新业态治理复杂及落地实践不足三大挑战。政策法规加速完善，智能化技术从单点突破转向体系化渗透。未来趋势呈现两大方向：AI安全治理从“合规达标”转向“主动治理”，构建覆盖模型全生命周期的框架；AI技术自身正赋能数据安全基础能力升级，推动安全运营向“智能防御”转型，为数据要素流通与价值释放保驾护航。

（原文链接：）

▸AI驱动安全未来 | 腾讯云黑客松-智能渗透挑战赛开战！

腾讯云黑客松智能渗透挑战赛报名启动，大赛旨在推动AI大模型与网络安全的深度融合。大赛核心任务是编写以大语言模型（LLM）为核心的智能体，在隔离的靶场环境中自主完成全流程的自动化渗透测试，包括漏洞挖掘、路径突破和夺取FLAG。比赛采用权威基准与高还原度靶机，以探索智能体在自动化渗透测试领域的应用潜力。

（原文链接：）

▸2025年网络安全“金帽子”年度评选活动正式启动！

2025年网络安全“金帽子”年度评选活动已正式启动。本次评选旨在表彰行业年度杰出成果，设年度优秀安全产品、行业解决方案、AI安全创新应用等七大奖项。征集时间为10月22日至11月9日，旨在汇聚行业智慧，赋能数字未来，并进一步激发全行业的创新活力。

（原文链接：）

▸79%企业将增加威胁情报投入，AI持续改变情报运营模式

生成式AI席卷全球，亚太地区（APAC）同样成为了复杂网络威胁的温床。面对AI生成深伪、规避性恶意软件，以及国家级APT（高级持续性威胁）组织的精准打击，威胁情报已成为企业从被动响应转向主动防御的核心支柱。根据Forrester等机构最新研报，亚太地区高级安全决策者正积极调整预算，79%的受访者表示将在未来一年增加威胁情报投入。

（原文链接：）

▸大会前瞻 |《金融机构外部数据管理实践指南（2025年）》发布预告

2021年起，大数据技术标准推进委员会连续三年联合多家金融机构编制并发布金融机构外部数据管理实践系列指南，《金融机构外部数据管理实践指南（2025年）》在2024年版本基础上更新完善，深入探讨新环境下金融机构在外部数据应用中的热点、难点和趋势问题，整合行业具有创新性和实效性的管理经验，为企业在外部数据管理的各方面提供更为前沿的指导。

（原文链接：）

▸AI与数据安全

人工智能（AI）与数据安全正形成深度互构的相互促进的发展关系。一方面，AI技术通过智能威胁检测、自动化响应与行为分析，显著提升数据安全防护效率。机器学习模型可实时识别异常流量，预测潜在攻击路径，自然语言处理助力敏感信息分类与合规审查，大幅降低人工运维成本与响应延迟。另一方面，数据安全技术为AI发展提供可信基石，隐私计算（如联邦学习、差分隐私）保障模型训练中数据的“可用不可见”，加密技术与数据脱敏确保高价值训练集的合法流通。这种双向赋能不仅重塑了安全防御边界，更推动AI在更多敏感领域的合规落地，最终形成“以AI强化安全，以安全护航AI”的可持续发展生态。

（原文链接：）

▸新型恶意攻击瞄准macOS用户 仿冒三大平台植入窃密软件

一场新型恶意攻击正以macOS开发者为目标，通过仿冒Homebrew、LogMeIn与TradingView三大平台，传播AMOS、Odyssey等窃密恶意软件。该攻击采用“ClickFix”技术，诱骗受害者在终端中执行命令，从而自行感染恶意软件。

（原文链接：）

▸新型 Android Pixnapping 攻击：逐像素窃取MFA码

一款名为“Pixnapping”的新型侧信道攻击近期频繁出现，恶意安卓应用无需获取任何权限，即可通过窃取其他应用或网页显示的像素、重构像素内容来提取敏感数据。这些数据可能包括各类高敏感私人信息，例如加密通信应用Signal的聊天记录、Gmail邮件内容，以及谷歌身份验证器生成的双因素认证验证码。

（原文链接：）