安全威胁情报周报（2026/06/20-2026/06/26）

近日，全球知名WordPress安全厂商Defiant发布紧急预警，称黑客正大规模利用Gravity SMTP插件中的一个未认证信息泄露漏洞（CVE-2026-4020，CVSS评分6.5，中等严重性）发起攻击，该插件在全球有超过10万个活跃安装网站，涵盖中小企业、电商平台、内容创作站点等多个类型，截至6月20日，Defiant的威胁防护系统已拦截超过1700万次针对该漏洞的攻击尝试。

图：示意图

Gravity SMTP是WordPress生态中广泛使用的邮件发送增强插件，主要功能包括配置SMTP服务器、优化邮件投递成功率、监控邮件发送状态、处理退信等，许多网站依赖该插件完成用户注册验证、密码重置、订单确认、会员通知等核心邮件服务。此次曝光的CVE-2026-4020漏洞存在于插件的"admin-ajax.php"内部API端点，由于权限校验逻辑缺失，未认证的攻击者可通过发送特制的HTTP GET请求，直接访问该端点并读取插件配置文件中的敏感信息，无需登录WordPress后台。

Defiant的技术分析显示，该漏洞可导致攻击者获取的敏感信息包括：

1. 第三方邮件服务的API密钥（如SendGrid、Mailchimp、Amazon SES、Gmail SMTP等）；

2. OAuth令牌、刷新令牌等身份认证凭证；

3. SMTP服务器的地址、端口、登录账号和加密密码；

4. 插件的配置参数，包括邮件发送频率、接收人白名单等。

攻击者获取这些凭证后，可实施一系列后续攻击行为：

- 劫持第三方邮件服务账户，利用被盗的API密钥发送大量钓鱼邮件、垃圾邮件，导致邮件服务账号被封禁，影响目标网站的正常邮件功能；

- 将恶意链接、钓鱼页面地址注入原本可信的网站通知邮件（如订单确认、密码重置邮件），诱导用户点击，进而窃取用户账号、银行卡信息；

- 利用SMTP凭证登录邮件服务器，查看网站的历史发送邮件记录，获取更多用户隐私信息和网站运营数据；

- 部分情况下，可通过邮件服务的权限升级，进一步渗透至网站的服务器后台，实施更严重的攻击。

漏洞的修复与应对情况：Gravity SMTP插件开发商已于6月18日发布v3.8.2版本，修复了该权限校验漏洞，Defiant建议所有用户立即将插件升级至最新版本；对于暂时无法升级的用户，可通过修改.htaccess文件屏蔽对该API端点的外部访问，或使用WordPress安全插件拦截针对CVE-2026-4020的攻击请求。此外，所有使用该插件的网站管理员需立即轮换所有第三方邮件服务的API密钥、OAuth令牌和SMTP密码，排查是否存在异常的邮件发送记录。

行业安全专家指出，此次事件反映出WordPress插件安全的普遍问题：大量插件开发者对API端点的权限控制重视不足，且缺乏常态化的安全测试。据统计，2026年上半年，WordPress生态已曝出超过80个插件漏洞，其中30%涉及信息泄露，而此类漏洞的利用门槛极低，极易被黑产团伙批量利用，威胁数百万网站的安全。

美国网络安全和基础设施安全局（CISA）于6月19日发布紧急指令（Binding Operational Directive 26-02），要求所有联邦机构在6月22日（周日）前必须修补Splunk Enterprise中的一个高危漏洞（CVE-2026-20253，CVSS评分9.8，严重级）。该漏洞已被攻击者在野积极利用，截至6月19日，CISA已监测到超过5000次针对该漏洞的攻击尝试，涉及全球多个国家的政府和企业Splunk实例。

图：示意图

Splunk Enterprise是全球广泛使用的日志分析与安全信息事件管理（SIEM）平台，被政府机构、金融机构、科技企业等用于收集、分析和监控网络日志，其安全漏洞可能直接危及整个企业的安全监测体系。CVE-2026-20253漏洞存在于Splunk Enterprise的PostgreSQL sidecar服务端点，该端点用于管理平台的内部数据库，由于输入验证和权限控制缺失，未经授权的远程攻击者可通过发送特制的HTTP请求，利用该漏洞创建或截断系统中的任意文件，进而通过文件写入实现远程代码执行（RCE），完全控制受影响的服务器。

安全研究机构Mandiant的技术分析显示，该漏洞的利用流程如下：

1. 攻击者通过网络扫描工具定位暴露在公网的Splunk Enterprise实例（默认端口8089）；

2. 发送包含恶意参数的POST请求至PostgreSQL sidecar服务端点，绕过身份验证；

3. 利用文件创建权限，在Splunk的可执行目录下写入恶意Shell脚本或DLL文件；

4. 触发Splunk的定时任务或服务重启，执行恶意文件，获取系统权限；

5. 进一步横向移动，窃取日志数据、篡改安全告警规则，或植入后门程序。

Mandiant确认，该漏洞已被至少两个黑客组织在野利用，其中一个组织被关联到针对美国能源行业的定向攻击，另一个则是黑产团伙，利用该漏洞批量攻陷Splunk实例，植入加密货币挖矿程序。被攻陷的Splunk服务器不仅会泄露企业的核心日志数据，还可能成为攻击者的"跳板"，渗透至企业内网的其他关键系统。

2026年6月18日，知名WordPress插件供应商ShapedPlugin通过官方博客发布重大安全公告，确认其官方插件更新服务器遭黑客入侵，攻击者在三款付费插件的更新包中植入恶意代码，导致超过40万活跃安装用户的WordPress网站面临安全风险。这是2026年以来WordPress生态中规模最大的供应链攻击事件之一，凸显了插件更新流程安全的严峻性。

图：示意图

涉事的三款付费插件分别为：WP Carousel Pro（轮播图制作插件，约18万活跃安装）、WP Team Pro（团队展示插件，约12万活跃安装）、WP Testimonial Pro（客户评价展示插件，约10万活跃安装），均为ShapedPlugin的核心产品，主要面向中小企业和电商网站。攻击的核心链路为：黑客通过钓鱼攻击攻陷了ShapedPlugin一名运维人员的账号，进而入侵了插件更新服务器的后台管理系统，在插件的自动更新包中注入了恶意代码；当用户的WordPress网站自动检查并安装插件更新时，带毒的插件版本被静默推送到用户网站，无需用户手动确认。

安全厂商Sucuri的技术分析显示，植入的恶意代码具备以下核心功能：

1. 信息窃取：收集WordPress网站的管理员账号密码、数据库连接信息（用户名、密码、数据库名）、服务器IP地址、网站目录结构等敏感信息，并加密发送至黑客的控制服务器；

2. 远程文件写入：允许攻击者通过特制的HTTP请求，向网站根目录写入任意文件（如后门脚本、恶意PHP文件），完全控制网站；

3. 持久化驻留：在网站的主题文件中植入隐藏的后门代码，即使用户卸载涉事插件，恶意代码仍能持续存在；

4. 流量劫持：修改网站的.htaccess文件，将部分用户流量重定向至黑客指定的恶意网站（如钓鱼页面、恶意软件下载站）。

恶意代码的伪装方式极具迷惑性：其被封装在名为"woocommerce-integration.php"的文件中，伪装成WooCommerce电商插件的集成组件，普通用户和管理员难以识别；同时，恶意代码采用了混淆加密技术，常规的WordPress安全扫描插件难以检测。截至6月19日，Sucuri已监测到超过1.2万个网站被植入恶意代码，其中约3000个网站已被攻击者接管，用于发送垃圾邮件或托管恶意软件。

ShapedPlugin的应急响应措施：

1. 立即下线受影响的插件更新包，关闭更新服务器，进行全面安全审计；

2. 发布三款插件的清洁版本（版本号均升级至v3.7.1），移除所有恶意代码，并修复了更新服务器的安全漏洞；

3. 通过邮件、短信通知所有付费用户，要求立即更新插件至最新版本，并提供了手动清理恶意代码的教程；

4. 重置所有员工的服务器访问账号，启用多因素认证（MFA），并聘请第三方安全机构开展溯源调查；

5. 为受影响用户提供免费的网站安全扫描服务，协助排查是否存在残留的恶意代码。

网络安全公司 XM Cyber 演示了一种 macOS 攻击技术，允许标准的非管理用户账户静默禁用企业端点安全工具，包括 EDR 和 MDM 代理，而不会触发警报或需要内核漏洞利用。

图：示意图

一些底层原语，包括滥用弱验证的 XPC 连接以及将恶意载荷注入应用程序的 Interface Builder（NIB）文件，已被安全研究人员公开记录多年，并且 Apple 已部分解决。

然而，该研究引入了一种新颖的攻击链，利用了合法签名应用程序执行后内核代码签名信任缓存的持久性，允许攻击者注入冒充受信任应用组件的恶意载荷，并静默调用特权 XPC 方法。

该网络安全公司指出，该攻击技术滥用了合法的 macOS 行为，而非软件漏洞。

该技术已成功针对 CrowdStrike Falcon Sensor 进行演示——从标准用户账户完全卸载了该传感器；以及针对 Kandji MDM——通过两阶段链永久禁用了该 MDM。XM Cyber 表示，针对 Kandji 的利用清除了 EDR 防护并终止了 Endpoint Security Framework 扩展。

据该安全公司称，CrowdStrike 迅速修复了该问题，支付了赏金，并在所有受支持的 macOS 传感器版本上添加了检测和预防功能。Kandji 已修补该问题，并将 CVE-2026-39118 分配给该漏洞。第三家未具名的企业 EDR 供应商也成功被攻击，目前正在开发补丁。

XM Cyber 研究员 Hillel Pinto 将发布一个名为 XPC Hunter 的开源发现工具，该工具可自动识别所有已安装 macOS 应用程序中可利用的 XPC 权限提升面，完整演示计划于 2026 年 8 月的 Black Hat USA 上进行。

SecurityWeek 已联系 Apple、CrowdStrike 和 Kandji 寻求评论，如有任何说明将更新本文。

更新： CrowdStrike 发言人告诉 SecurityWeek：“该技术利用了 macOS 的一个问题，我们已为 Falcon 传感器提供了检测和预防措施。”

2026年6月15日，美国网络安全和基础设施安全局（CISA）宣布，将Cisco Catalyst SD-WAN Manager的路径遍历漏洞（CVE-2026-20262，CVSS评分9.8，严重级）纳入其"已知被利用漏洞目录"（KEV），该漏洞是一个已被在野利用的零日漏洞，截至6月19日，CISA已监测到超过1000次针对该漏洞的攻击尝试，涉及全球多个国家的企业和政府机构。

图：示意图

Cisco Catalyst SD-WAN Manager是思科推出的软件定义广域网（SD-WAN）核心管理组件，广泛部署在金融、电信、能源、政府等关键基础设施领域的企业和机构中，用于集中管理分布在全球各地的SD-WAN边缘设备、配置网络策略、监控网络流量。该路径遍历漏洞存在于SD-WAN Manager的Web管理界面，攻击者无需身份验证，即可通过发送包含特殊字符（如"../"）的特制HTTP请求，绕过文件访问限制，实现路径遍历，进而访问系统上的任意文件。

漏洞的危害程度极高：

1. 读取敏感文件：攻击者可读取配置文件（包含管理员密码、设备证书、网络拓扑信息）、日志文件、系统密钥等核心数据；

2. 提权至root权限：通过读取/etc/passwd、/etc/shadow等系统文件，破解root密码，或利用配置文件中的凭证登录系统，提升至root权限；

3. 控制整个SD-WAN网络：一旦获得SD-WAN Manager的root权限，攻击者可修改网络策略、监控所有分支机构的网络流量、拦截敏感数据，甚至关闭部分分支机构的网络连接，导致业务中断；

4. 横向渗透：以SD-WAN Manager为跳板，攻击企业内网的其他核心系统（如数据库、服务器）。

CISA的溯源调查显示，该漏洞已被至少两个黑客组织在野利用：一个是针对能源行业的APT组织，另一个是黑产团伙，利用该漏洞攻陷SD-WAN Manager后，植入勒索软件或挖矿程序。已确认的受害案例包括：美国某能源公司的SD-WAN Manager被攻陷，导致其下属3个分公司的网络中断数小时；欧洲某金融机构的SD-WAN流量被监听，部分客户交易数据被窃取。

思科的应对措施：

1. 于6月16日发布紧急安全更新（版本20.12.3），修复了CVE-2026-20262漏洞，同时发布了针对无法立即升级的用户的临时缓解措施（如通过防火墙规则封禁对SD-WAN Manager Web界面的外部访问、配置Web应用防火墙（WAF）拦截路径遍历攻击请求）；

2. 提供漏洞检测工具，帮助用户检查自身系统是否已被利用，以及是否存在可疑的文件访问记录；

3. 建议用户立即采取以下行动：升级至最新版本、审查管理员账户活动（删除可疑账号）、重置所有管理员密码、轮换设备证书和密钥、审计网络策略是否被篡改。

CISA对关键基础设施运营商提出强制要求：所有使用Cisco Catalyst SD-WAN Manager的联邦机构和关键基础设施企业，必须在6月30日前完成漏洞修复，并向CISA提交安全整改报告；同时，CISA将该漏洞的攻击特征纳入其网络安全工具集，供全球安全机构共享。

2026年6月18日，Fortinet（飞塔）发布紧急安全公告，确认其FortiSandbox沙箱分析产品中存在两个关键漏洞（CVE-2026-4010和CVE-2026-4011，CVSS评分均为9.8），现已被攻击者积极利用，截至6月19日，全球已有超过500台FortiSandbox设备被攻陷，涉及金融、电信、医疗、制造等多个行业，攻击者利用这些漏洞执行远程代码、提升权限，进而渗透至企业内网。

图：示意图

FortiSandbox是Fortinet的核心安全产品之一，主要用于检测和分析可疑文件（如恶意软件、钓鱼邮件附件）、网络流量，识别未知威胁，广泛部署在企业的网络边界，作为威胁检测的"最后一道防线"。此次曝光的两个漏洞具体危害：

1. CVE-2026-4010（命令注入漏洞）：存在于FortiSandbox的Web管理界面的某个参数中，未经身份验证的攻击者可通过发送特制的HTTP请求，注入恶意命令，直接在设备上执行；

2. CVE-2026-4011（权限提升漏洞）：攻击者利用CVE-2026-4010获取初始访问权限后，可通过该漏洞将权限提升至root，完全控制FortiSandbox设备。

攻击者利用这些漏洞的攻击流程：

1. 扫描阶段：通过全网扫描工具定位暴露在公网的FortiSandbox设备（默认端口80/443）；

2. 利用阶段：发送包含恶意命令的请求，触发CVE-2026-4010漏洞，执行简单命令（如创建临时文件）；

3. 提权阶段：利用CVE-2026-4011漏洞提升至root权限；

4. 后续攻击：植入后门程序，关闭FortiSandbox的威胁检测功能，使其成为"哑设备"；同时，以FortiSandbox为跳板，横向移动至企业内网的其他系统（如数据库、服务器），窃取数据或投放勒索软件。

Fortinet的应急响应措施：

1. 立即发布安全补丁（版本7.2.5、7.0.10），修复了这两个漏洞，建议所有用户在24小时内完成升级；

2. 提供临时缓解措施：对于无法立即升级的用户，可通过ACL（访问控制列表）限制仅允许内部可信IP访问FortiSandbox的Web界面，禁用不必要的功能模块；

3. 发布漏洞检测脚本，帮助用户检查设备是否已被入侵，排查是否存在可疑的进程、文件、网络连接；

4. 启动全球客户通知机制，通过邮件、短信提醒用户尽快修复漏洞，并提供免费的安全咨询服务。

安全机构的监测数据显示，针对这两个漏洞的攻击工具已在黑产论坛出现，且被多个勒索软件团伙（如LockBit、Qilin）纳入攻击武器库，攻击呈现"自动化、规模化"特征：黑客利用批量扫描工具，每天可扫描数十万IP地址，识别易受攻击的FortiSandbox设备，并自动发起攻击。已确认的受害案例包括：美国某医疗中心的FortiSandbox被攻陷，导致其内网的患者数据被窃取；欧洲某制造企业的FortiSandbox被植入后门，引发生产系统的勒索软件攻击。

Fortinet强调，此次漏洞的出现是由于代码审查环节的疏漏，已启动内部安全流程整改，加强对产品的渗透测试和漏洞挖掘。CISA也已将这两个漏洞纳入KEV目录，要求联邦机构立即修复，并提醒关键基础设施企业高度重视，因为FortiSandbox作为威胁检测设备被攻陷，将导致企业失去对未知威胁的感知能力，内网暴露在更大的风险中。

2026年6月11日，微软发布史上规模最大的"补丁星期二"更新，一次性修复了200个安全漏洞，其中包含33个严重级漏洞、12个高危级漏洞，涵盖Windows操作系统、Microsoft Office、Microsoft Defender、Edge浏览器、SharePoint等多款核心产品。

图：示意图

此次更新的重中之重是修复一个CVSS评分9.8分的可蠕虫化Windows内核TCP/IP漏洞（CVE-2026-45657），以及三个已公开且可能被在野利用的零日漏洞。

CVE-2026-45657漏洞是此次更新中最受关注的漏洞，存在于Windows内核的TCP/IP堆栈中，属于远程代码执行（RCE）漏洞，且具备"蠕虫化"传播能力——即无需用户交互，攻击者可利用该漏洞在易受攻击的系统之间自动传播，类似于2017年WannaCry勒索软件利用永恒之蓝漏洞的传播模式。该漏洞影响所有主流Windows版本（Windows 10 21H2及以上、Windows 11 22H2及以上、Windows Server 2019/2022），攻击者只需向目标设备发送特制的网络数据包，即可触发漏洞，实现远程代码执行，完全控制设备。

微软的技术分析显示，CVE-2026-45657的利用难度较低，黑产团伙可快速开发出攻击工具，一旦大规模利用，可能引发全球性的网络攻击事件。为此，微软在发布补丁的同时，还发布了临时缓解措施：建议企业通过Windows防火墙阻止不必要的TCP/IP入站连接，启用内核保护功能（如Memory Integrity），限制非管理员用户的网络访问权限。

除CVE-2026-45657外，此次修复的三个已公开零日漏洞分别为：

1. CVE-2026-40001：影响IE和Edge浏览器的内存损坏漏洞，已被在野利用，攻击者可通过恶意网页触发漏洞，执行任意代码；

2. CVE-2026-40002：影响SharePoint Server的文件上传漏洞，未经授权的攻击者可上传恶意文件，实现远程代码执行；

3. CVE-2026-40003：影响Windows图形组件（GDI+）的漏洞，已被用于钓鱼攻击，攻击者通过恶意图片文件触发漏洞，控制受害设备。

此外，微软在此次更新中还确认了此前曝光的Microsoft Defender"RoguePlanet"零日漏洞（暂未分配CVE编号），表示正在紧急开发修复补丁，预计将于6月下旬推送。这是微软首次在官方补丁公告中承认Defender存在未修复的零日漏洞，引发了企业对终端防护系统安全性的担忧。

此次补丁更新的其他重点修复内容：

- Windows操作系统：修复了112个漏洞，涵盖内核、用户态组件、驱动程序等，其中28个可导致远程代码执行；

- Microsoft Office：修复了27个漏洞，包括Excel、Word的宏漏洞，Outlook的钓鱼攻击漏洞；

- Microsoft Defender：修复了8个漏洞，提升了对新型恶意软件的检测能力；

- SharePoint、Exchange Server：修复了15个漏洞，重点防范文件上传、权限提升攻击；

- Azure云服务：修复了10个漏洞，强化了云资源的访问控制。

微软在公告中强调，此次是其有史以来规模最大的月度安全更新，反映出Windows生态面临的安全威胁日益复杂，建议所有用户和企业立即通过Windows Update（或WSUS、Intune等企业级更新工具）安装所有可用更新，尤其是针对CVE-2026-45657的补丁。对于无法立即更新的关键业务系统，微软提供了详细的威胁防护指南，协助企业降低攻击风险。

安全监测平台捕获一场极速Node.js供应链投毒攻击，攻击者利用binding.gyp原生编译配置文件作为载体，2小时内完成57个主流npm包篡改，累计上传286个携带恶意逻辑的新版本，伪装成常规迭代更新混淆开发者识别，是上半年速度最快的开源软件污染攻击。

图：示意图

binding.gyp是Node原生扩展模块必备配置文件，负责编译C/C++底层代码，攻击者在此文件内插入隐藏执行脚本，安装阶段无需用户额外操作即可自动触发。恶意脚本核心窃取目标包括系统环境变量、云厂商密钥、SSH私钥、Git账号凭证、数据库连接字符串，采集完成后通过加密HTTPS通道上传攻击者受控服务器。

投毒策略极具迷惑性：恶意包版本号仅在补丁位小幅上调（如1.2.3改为1.2.4），与正版版本高度接近，且包描述、README文档完全复制原版内容，无明显异常标识，常规依赖扫描工具难以快速识别。npm官方安全团队监测到异常批量版本上传后，紧急下架全部286个恶意版本，封禁涉事发布账号，并同步更新恶意包特征库。

防护建议：企业项目使用lock文件锁定依赖完整版本哈希，开启npm官方源码校验功能；上线前对binding.gyp、install脚本进行人工代码审计；禁止开发环境持有高权限云密钥，采用临时授权机制降低泄露损失。

6月24日消息，印度科技代工巨头塔塔电子(Tata Electronics)周一表示，公司近期发现了一起"网络安全事件"。 

图：示意图

此前，研究人员称，勒索软件组织World Leaks发布了据称属于苹果和特斯拉的组件设计及规格文件，而这两家公司均为塔塔电子的核心客户。安全研究人员告诉路透社，勒索软件组织已在暗网上分批次发布超过20万个文件，涵盖了从产品核心设计到供应链管理的多类敏感数据。  

塔塔电子在一份提交给路透社的声明中表示："几周前，塔塔电子的安全监控系统发现部分内部服务器存在异常访问行为，随即确认发生了一起网络安全事件。我们的应急响应协议已立即启动，第一时间隔离了受影响服务器，并聘请第三方网络安全机构开展溯源分析。该事件并未影响我们各业务领域的日常运营，目前印度本土及海外的生产基地均正常运转。"一名熟悉此事的消息人士向路透社透露，苹果已成立专项调查小组介入此次入侵事件，并且"正在对所有与塔塔电子交互的数据流进行全面分析，排查是否存在其他潜在泄露点"。该人士还补充称，塔塔电子在事件发生后48小时内便收到了World Leaks的赎金要求，金额未被披露，但据行业人士估算，赎金数额或达到数百万美元级别。  

World Leaks在其暗网发布平台称，从塔塔电子窃取的数据包含超过20万个文件，总容量超过630GB，覆盖2023至2026年的核心数据。该网站上的公开数据库样本显示，其中包含多个标注"机密级"的苹果相关文件和文件夹，部分标题为"com.apple.factorydata"，详细记录了iPhone、Apple Watch等产品的工厂生产参数、良品率管控标准，另有大量文件涉及"材料规格"，包括苹果自研芯片封装材料、电池电芯原材料的供应商信息及质量检测指标。印度知名网络安全研究人员Rajshekhar Rajaharia在为路透社审查World Leaks上的塔塔文件后证实，这些文件还包含塔塔电子与苹果、特斯拉的往来电子邮件、跨越2023-2026年的系统事件日志，以及包括美国、印度、中国等多国公民在内的员工护照副本、薪资信息等敏感个人数据。  

值得关注的是，World Leaks数据库中的一个文件夹被明确标记为"NV36充电端口控制器-北美"，文件内容指向用于升级版特斯拉Model Y SUV的核心零部件设计图纸，包含该控制器的电路原理图、耐高温测试数据及量产成本核算表。另一份标注为2023年的特斯拉文件被醒目地标记"商业机密"，其中展示了其Highland项目（特斯拉Model 3改款项目）的部分底盘结构图纸、电池组布局优化方案。泄露文件中还包含一份52页的PDF文档，该文档带有苹果公司专有加密标识，据称详细说明了iPhone 16系列电路板组件的质量检验标准，涵盖了SMT贴片工艺、焊接精度、可靠性测试等核心环节的参数阈值。  

此次入侵事件再次凸显了全球供应链企业在面对日益复杂的网络攻击和勒索攻击时的脆弱性。行业分析机构Gartner指出，塔塔电子作为苹果、特斯拉等科技巨头的核心代工厂，其数据安全防护本应处于行业顶尖水平，但此次泄露暴露了其权限管理混乱、暗网威胁监测缺失等问题。目前，印度网络安全监管机构已介入调查，要求塔塔电子在30天内提交详细的安全整改报告，苹果和特斯拉也均表示将重新评估与塔塔电子的合作安全协议。  

6月24日消息，科技媒体AppleInsider独家报道称，知名密码管理服务商LastPass于当地时间6月23日再次披露一起安全事件，此次事件源于第三方供应商Klue（竞品情报分析平台）的供应链攻击，最终导致LastPass部分用户数据泄露。

图：示意图

根据LastPass发布的官方安全公告，本次攻击的核心链路为：黑客先通过钓鱼攻击攻陷Klue员工的办公设备，窃取了Klue用于访问LastPass Salesforce环境的OAuth Token，随后利用该令牌绕过身份验证，非法进入LastPass的Salesforce客户关系管理系统，接触到客户支持和销售模块中的部分敏感数据。  

在受影响的具体信息维度，涵盖了客户的姓名、电话号码、注册电子邮件地址、实体通信住址、历史支持案例的详细内容（包括用户反馈的密码管理问题、账户异常记录等），以及销售相关的客户关系管理(CRM)数据，例如客户的购买套餐、续费周期、企业客户的对接人信息等。LastPass在公告中反复强调，本次事件中其核心产品（密码管理器客户端及服务端）、底层基础设施、核心服务集群、用户密码保险库以及已存储的各类网站/应用凭证均未受到任何影响，仅涉及集成了Klue服务的Salesforce子系统，且未发现黑客有进一步横向移动的行为。  

针对此次事件，LastPass已采取多项应急措施：立即轮换了所有受影响的访问Token和API密钥，永久停用了员工对Klue平台的全部访问权限，同时启动了由第三方安全机构主导的全面调查，梳理数据泄露范围，并已正式通知美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）。作为涉事第三方的Klue也同步发布声明，称已在第一时间撤销了所有受影响的凭证与Token，移除了黑客植入的未授权恶意代码，停用了与LastPass的所有集成接口，并对自身系统进行全面安全审计。  

这是LastPass自2022年8月和12月两起重大安全事件以来，近四年内的第5起公开安全事故。回顾2022年的安全事件，先是一名LastPass开发者的家用设备被黑客通过勒索软件攻陷，攻击者借此获取了LastPass开发环境的部分源代码；同年12月，黑客进一步利用该源代码中的漏洞，获取了客户保险库数据备份的访问权限，导致数百万用户的加密密码库数据面临泄露风险，该事件曾引发密码管理行业的信任危机。  

行业分析师指出，此次供应链攻击暴露了企业"第三方风险管控"的普遍漏洞：LastPass虽对自身核心系统防护严密，但对第三方供应商的权限管控、令牌生命周期管理缺乏有效监督。据统计，Klue与LastPass的集成接口已存在超过3年未进行权限复核，且OAuth Token未设置自动过期机制，这为黑客攻击提供了可乘之机。LastPass已宣布将在未来90天内完成对所有第三方供应商的安全评估，建立供应商令牌动态监控系统，并向受影响用户免费提供12个月的身份盗窃监测服务。  

近日，美国德克萨斯州公园与野生动物部门（TPWD）通过官方网站发布重大数据泄露公告，确认其合作的许可证系统供应商Unitech Systems的服务器遭黑客入侵，导致超过300万名用户的个人敏感信息被泄露，这是德克萨斯州2026年以来规模最大的政府相关数据泄露事件。 

图：示意图

此次事件由德克萨斯州网络司令部（Texas Cyber Command）在日常网络安全监测中率先发现异常流量，随即联合FBI启动专项调查。  

TPWD在公告中披露，受影响的数据主要来自该部门管理的钓鱼许可证、狩猎许可证、露营地预订、州立公园年卡等服务的申请和管理系统，涵盖2018年至2026年的用户数据。具体泄露信息包括：用户的全名、驾照号码、护照号码（针对非美国籍用户）、出生日期、联系电话、家庭住址，以及部分用户的狩猎/钓鱼资格认证信息、露营地预订记录等。值得庆幸的是，调查确认此次泄露未涉及用户的社保号码、银行账户信息、信用卡数据等核心财务信息，但驾照、护照等身份信息的泄露，已足以让黑客实施精准的钓鱼攻击、社会工程学欺诈，甚至伪造身份证件。  

据调查溯源结果显示，此次泄露的根源在于供应商Unitech Systems的安全防护严重缺位：其一，该供应商的数据库未启用字段级加密，所有用户身份信息均以明文形式存储；其二，服务器的远程访问端口长期暴露在公网，且管理员密码为弱口令（仅6位数字），未启用多因素认证；其三，系统日志审计功能失效，黑客在入侵后的数周内持续窃取数据，却未被及时发现。德克萨斯州总检察长办公室已对Unitech Systems提起调查，考虑依据《德克萨斯州数据隐私法》（TDPA）对其处以最高200万美元的罚款。  

针对此次事件，德克萨斯州当局已采取多项补救措施：  

1. 立即切断TPWD与Unitech Systems的所有系统对接，临时切换至线下许可证办理流程；  

2. 通过邮件、短信、信件等方式逐一通知受影响的300万用户，告知泄露信息范围及防范建议；  

3. 为所有受影响用户免费提供为期24个月的信用监控服务（由Equifax提供），涵盖身份盗窃预警、信用报告实时监测等功能；  

4. 成立专项工作组，全面审查TPWD旗下所有第三方供应商的安全合规情况，要求所有供应商在90天内完成安全整改并通过第三方审计；  

5. 向公众开放身份信息泄露查询入口，用户可输入个人信息查询是否在受影响名单内。  

德克萨斯州网络安全主管Chris Crawford在新闻发布会上表示："此次事件再次提醒我们，政府部门的第三方供应商安全管理不能有任何松懈，每一个供应链环节的漏洞，都可能危及数百万民众的隐私安全。"目前，调查仍在进行中，执法部门正追踪黑客的资金流向和IP地址，尚未锁定具体的攻击团伙，但初步判断此次攻击为有组织的黑产团伙所为，目标大概率是将窃取的身份信息在暗网出售，用于后续的电信诈骗、金融欺诈等犯罪活动。 

2026年6月18日，拥有143年历史的美国影像与打印技术巨头柯达（Kodak）通过官方发言人向科技媒体BleepingComputer证实，其内部系统于6月初遭到未经授权的第三方非法访问，导致部分公司数据被窃取。 

图：示意图

知名勒索团伙ShinyHunters已在暗网论坛公开宣称对此事件负责，并声称窃取了超过220万条记录，涵盖客户个人身份信息（PII）、内部企业数据、产品研发文档等，威胁若柯达在7天内未支付150万美元比特币赎金，将分批次公开泄露这些数据。  

ShinyHunters在暗网发布的信息显示，此次窃取的数据具体包括：  

1. 客户数据：约180万条消费者购买柯达打印机、相纸、影像设备的记录，包含客户姓名、邮箱地址、电话号码、收货地址、部分支付卡后四位数字；  

2. 企业数据：柯达与全球经销商、合作伙伴的合同文件、供货价格表、销售数据；  

3. 研发数据：部分未上市的打印技术、影像处理算法的研发文档，以及2026-2027年的产品路线图；  

4. 员工数据：约1.2万名柯达员工的姓名、工号、部门、邮箱地址（未包含薪资、社保等核心信息）。  

柯达方面表示，已第一时间聘请第三方网络安全公司Mandiant开展溯源调查和应急响应，目前已隔离受影响的服务器，修复了系统漏洞（初步确认是旧版ERP系统的未授权访问漏洞），并通知了美国证券交易委员会（SEC）和相关执法部门。柯达强调，此次泄露未涉及核心的影像专利数据、生产制造系统，也未影响全球门店和线上商城的正常运营，且已采取措施保护客户的支付信息安全。  

ShinyHunters是近年来活跃的知名数据勒索组织，以窃取数据后威胁公开或出售牟利为主要手段，此前曾主导多起大型数据泄露事件：2025年攻陷牙科保险服务商DentaQuest，泄露260万患者数据；2024年窃取美国连锁药店CVS的部分客户数据；2023年攻击健身平台Planet Fitness，泄露数百万用户信息。该组织的作案模式通常为：先通过漏洞扫描、钓鱼攻击等方式攻陷目标系统，窃取大量数据后，在暗网发布部分样本作为证明，随后向目标企业发送勒索邮件，若企业拒绝支付，便将数据在暗网论坛出售（按数据类型定价，客户PII每条0.1-0.5美元）或免费公开，以此破坏企业声誉。  

行业分析师指出，柯达此次遭遇攻击，与其数字化转型过程中的安全短板密切相关：柯达近年来从传统影像业务向数字打印、AI影像处理转型，但部分老旧系统未及时升级，安全补丁更新不及时，且权限管理混乱，给了ShinyHunters可乘之机。此次数据泄露可能导致柯达面临消费者的集体诉讼（违反《加州消费者隐私法》CCPA等法规），以及品牌声誉受损，进而影响其市场份额。  

截至6月19日，柯达尚未公开回应是否会支付赎金，但据知情人士透露，柯达的法务和安全团队正在评估数据泄露的潜在损失，同时与执法部门合作追踪ShinyHunters的资金流向和IP地址。安全专家建议柯达的客户立即修改相关账号密码，关注自身信息是否在暗网泄露，同时警惕针对柯达客户的钓鱼攻击（攻击者可能利用泄露的信息发送伪装成柯达官方的钓鱼邮件）。

“观看广告领取福利”“看广告解锁会员时长”“大额现金红包一键领取”…… 各类霸屏弹窗广告遍布网页、短视频、小众 App、手游，跳过按钮隐蔽、极易误触跳转，看似普通营销，实则被境外间谍情报机关利用，开展情报搜集、目标筛选、思想渗透，严重危害国家安全。

图：示意图

两大间谍弹窗作案套路

1. “个性广告推送” 明修栈道，精准画像拉拢策反

用户点击弹窗后，App 会自动回传个人隐私、浏览偏好、设备信息给广告服务商；境外间谍与个别违规广告公司勾结搭建监控平台，整合以下多维度数据：

广告点击、停留、浏览行为数据

社交媒体账号、发言、人脉信息

手机高精度持续定位记录

系统自动勾勒完整个人画像：家庭住址、工作单位、出行轨迹、职业、兴趣、作息，锁定公职、科研、军工、涉密单位等重点人群，后续针对性以高薪兼职、海外调研、数据合作等名义拉拢策反，套取敏感行业、单位涉密信息。

2. “网络内容分发” 暗度陈仓，夹带渗透内容

境外势力依托 CDN 网络分发机制，在弹窗内暗藏境外反华网站链接，借境外节点绕过国内网络监管隐蔽投放：

弹窗表层展示红包、话费、游戏道具等福利；

点击跳转后加载歪曲国家历史、抹黑政策、分裂导向的渗透内容；

同步记录所有点击人群，标记为长期渗透重点对象，持续推送负面信息扭曲认知。

国家安全机关处置措施

已依法约谈、责令涉事网络平台，全面停止为不明境外来源链接提供广告推送，关停违规广告投放通道，斩断间谍情报传播链路，同步排查处置勾结境外的违规广告服务商。

普通民众防范实操指南

权限管控：关闭 App 非必要权限（定位、通讯录、相册、设备识别码）；手机系统关闭「广告跟踪 / 个性化广告推荐」，定期重置广告标识符。

点击克制：不点击弹窗内 “领取福利、查看详情、立即兑换” 跳转按钮，直接关闭弹窗；不下载弹窗附带的陌生安装包。

下载规范：仅从手机官方应用商店下载软件，拒绝网页、社群内不明链接、破解版 App。

举报处置：遇到夹带抹黑、分裂内容、诱导填写工作 / 单位信息的异常弹窗，第一时间截图留存证据，通过12339 国家安全机关举报受理电话、12339 线上举报平台上报。

法律提示

根据《中华人民共和国反间谍法》：境内机构、企业与境外间谍情报势力勾结，非法收集、向境外提供关系国家安全的公民数据、行业敏感信息，属于间谍相关违法行为，将依法追究行政、刑事责任；公民发现间谍活动不举报，造成危害后果的，同样需承担相应法律责任。

在波谲云诡的国际形势下，统筹发展和安全是稳步推进中国式现代化进程的战略性举措。习近平总书记深刻指出，统筹发展和安全，增强忧患意识，做到居安思危，是我们党治国理政的一个重大原则。全国人民在总体国家安全观指导下，聚焦统筹发展和安全，共同谱写我国“十五五”新蓝图。实现“高质量发展和高水平安全的动态平衡”是“十五五”期间国家治理的重要目标。要实现这一重要目标，不仅需要树立统筹发展和安全的法治理念，还需要优化统筹发展和安全的法治体系，更需要提升统筹发展和安全动态平衡的法治实效，确保统筹高质量发展和高水平安全的良性共进。

图：示意图

文 | 黑龙江大学国家安全研究院院长 陈文

第一，法治理念的演进：从单一守护到系统统筹。随着时代的发展，国家安全法治理念持续演进。在传统安全立法方面，国家安全法治着重守护清晰的权利边界、维护基本的社会秩序，且治理路径带有明显的防御性特点。国家发展步入新阶段后，安全问题的综合性、关联性、关注度越发强烈，新兴风险和传统风险在发展进程中相互交织。根据总体国家安全观，国家安全治理理念应当客观反映发展和安全的辩证关系，应从“重发展轻安全”转变为“统筹发展和安全”。法治理念的转变表现为立法不再单纯地把安全作为发展的约束条件，而是努力把安全要求融入经济社会发展的整个过程。法治功能主要是从划定禁区，转变为同时铺设发展轨道与安全护栏。在数字经济领域，相关法律不但要防范网络和数据风险，还要为数据要素合法流动、价值利用提出明确规范，从而将安全能力转化为驱动发展的新型竞争力。

第二，制度体系的优化：以精准规范应对复杂风险。法治理念是法律制度的先导。为切实落实统筹发展和安全，法律学界和业界积极推进统筹发展和安全理念的制度化进程。目前，我国已经搭建起以《中华人民共和国国家安全法》为“纲”和以《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国反恐怖主义法》《中华人民共和国反间谍法》等多领域法为“目”的法律规范体系，形成纲举目张的良好态势。相关立法精准回应了统筹发展和安全动态平衡的实际需求，搭建起国家数字安全治理与良性发展的保障体系，在保护数据产权、关键信息基础设施、国家利益与公民权利以及发展数字产业等方面发挥不可替代的保障作用。《中华人民共和国生物安全法》《中华人民共和国核安全法》《中华人民共和国保守国家秘密法》等相关立法在科研和产业发展领域承担着维护国家核心利益、防范产业重大风险、促进科研创新的法治使命。随着国际国内安全形势的变化，还需与时俱进，进一步优化法治体系，使之呈现动态的、开放的特性，以制度确定性应对内外部环境的不确定性，依靠法治连续性保障国家发展进程稳定性。

第三，实施效能的提升：在协同共治中凝聚合力。无论是法治理念还是法律制度，都将接受国家发展和安全实践的检验。只有经得起实践检验的理念和制度，才是科学、正确且符合社会发展规律的法治理念和法律制度。实践检验的过程是从法治文本迈向法治实践的过程，是逐步实现统筹国家发展和安全良性动态平衡目标的过程。为提升统筹发展和安全法治保障实效，需要凝聚国家发展和安全相关部门的协同治理合力。在党中央的集中统一领导下，国家安全事务各领域和部门打通跨部门、跨层级会商结点和执法壁垒，在统筹发展和安全重大决策实施中实现高效同步。另外，法治能力现代化是提升法治实效的关键因素。公众参与治理是提升法治实效的“法宝”，是群众路线在现代社会治理中的体现。当绝大多数民众都能自觉履行维护国家安全与发展的义务时，国家发展和安全的动态平衡状态就有了最深厚的社会基础，法治理论和法律制度优势就能转化为法治实效。

个人信息保护是促进数字经济健康发展的重要保障，也是维护人民群众在网络空间合法权益的必然要求。《中国个人信息保护报告（2025年）》（以下简称《报告》），全面总结我国个人信息保护工作的法治建设、监管治理、社会共治、宣传教育与国际合作成果，系统梳理制度框架、治理成效与实践经验，为“十五五”时期个人信息保护工作纵深推进提供行动指引，标志着我国个人信息保护迈入法治化、系统化、常态化新阶段。

图：示意图

文 | 中国网络空间安全协会副秘书长 杜阿宁

一、法治体系日趋完善，制度框架全面夯实

《报告》指出，2025年我国以《个人信息保护法》为核心，持续完善个人信息保护相关法律法规、司法规则和标准体系，搭建起全方位、多层次、立体化的个人信息保护制度保障网络。

法规制度方面，多项重要规章落地，补齐重点领域监管短板。2025年1月，《网络数据安全管理条例》正式施行，细化“告知-同意”规则、个人信息行权条件及大型处理者安全义务；《个人信息保护合规审计管理办法》《人脸识别技术应用安全管理办法》等规章先后出台，确立个人信息保护合规审计、人脸识别应用管理等核心制度；《个人信息出境认证办法》健全跨境数据流动规则，六地及海南自贸港发布数据出境负面清单，保障个人信息安全有序跨境流动。

司法保障力度持续加大，裁判标准进一步统一。最高法明确互联网法院集中管辖网络个人信息保护纠纷，新增个人信息公益诉讼纠纷案由、完善公益诉讼机制；通过指导性案例明确平台个人信息收集的必要性判定标准，将“网络开盒”等行为纳入侵犯公民个人信息罪规制范畴。

标准体系建设步伐加快。2025年共发布9项个人信息保护国家标准，包含2项强制性标准、7项推荐性标准，覆盖敏感个人信息处理、自动化决策、跨境认证、合规审计等重点场景，为行业合规提供专业精准的技术指引。

二、监管治理精准发力，重拳整治违法违规行为

《报告》明确，2025年我国坚持日常监管与专项治理相结合，聚焦重点场景、重点行业、重点环节，全面规范个人信息处理活动，形成监管震慑。

专项行动成效显著。开展个人信息保护专项行动，通报千余款违规App并督促整改处罚；将智能终端、穿戴、家居、玩具等纳入合规检测；深入整治公共场所人脸识别，排查数万场所及相关系统，整改大量违规问题；线下消费场景大规模排查，有效整治超范围收集、强制授权、强制刷脸等乱象。

重点行业监管压实责任。教育、金融、税务、寄递等领域加强个人信息保护督导，快递隐私运单全面普及，招聘、高考志愿等场景个人信息防护持续加强。

司法惩治力度持续加大。公安机关侦办大量涉个人信息案件、抓获多名涉案人员；最高法明晰案件管辖、增设公益诉讼案由、统一裁判标准，把“网络开盒”纳入刑法规制；检察机关同步开展公益诉讼，形成全链条司法保护格局。

三、社会共治格局成型，协同防护效能持续提升

《报告》指出，我国加快构建政府监管、企业履责、行业自律、公众监督的个人信息保护综合治理体系，凝聚全社会防护合力。

行业自律持续深化。相关行业协会制定自律公约，出台人工智能、金融、证券等领域团体标准；中国网络空间安全协会持续指导App运营方开展个人信息处理活动合规优化，累计发布115款完成个人信息收集使用优化改进App名单，引导行业企业规范处理个人信息。

社会服务体系日趋完善。个人信息保护认证、个人信息保护合规审计服务认证稳步推进，1531人获得中国网络空间安全协会颁发的个人信息保护合规审计人员能力评价证书，多家企业和机构获相关认证；国家网络身份认证平台客户端下载量超6000万、认证服务达1.7亿次，夯实数字身份安全基础。

投诉举报渠道保持畅通。中国网络空间安全协会全年受理相关举报1.5万余条，超范围收集、一揽子授权等突出问题已有明显改善；主流媒体强化舆论监督、曝光典型案例，助力营造全民保护个人信息的社会氛围。

四、宣传教育全域覆盖，公众保护意识显著增强

《报告》指出，我国依托数安中国行、全国网络普法行等活动，结合国家宪法日、网络安全宣传周等重要节点，通过宣讲、答题、案例解读等形式，全方位开展个人信息保护普法，司法部相关平台专项答题参与超6.4亿人次，普法成效突出。

同时，实行分众精准宣传，面向老年人、未成年人、新业态劳动者、少数民族等群体，运用动漫、短视频、公开课、多语言宣讲等形式开展科普。相关网络调查显示，公众个人信息保护法治认知、风险识别和维权能力均明显提升。

五、开放合作不断深化，贡献全球治理中国智慧

《报告》强调，我国坚持开放共赢，深度参与个人信息保护国际规则制定，加强多边双边交流，推动全球治理协同发展。我国积极参与个人信息保护国际规则与标准制定，在ISO/IEC等国际平台成功立项多项隐私保护标准，提出多项隐私设计指南，推动中国实践转化为国际规则。积极推进加入DEPA谈判，与韩国、新加坡以及欧盟、东盟、非洲等国家开展双边多边交流，发布中国—东盟、中非数字治理合作倡议，推动规则兼容与认证互认。

在世界互联网大会、联合国互联网治理论坛等重要平台，我国积极宣介个人信息保护理念与实践，倡导共商共建共享，推动构建网络空间命运共同体，为全球个人信息保护贡献中国经验。

2026年是“十五五”开局之年，也是个人信息保护迈向新台阶的关键期。《报告》明确，我国将持续完善法规体系，健全协同治理机制，深化专项整治，推广认证审计与网络身份认证服务，强化普法宣传，提升国际影响力，以高水平安全保障个人信息合理利用，不断增强人民群众在网络空间的获得感、幸福感、安全感。

人工智能与移动智能终端深度融合，推动轻量化、场景化、自主化的移动终端智能体快速兴起，打破了传统移动应用工具化的局限，实现了从被动响应到主动服务、从单一功能到全场景协同的转变，成为数字经济新的增长点。当前，移动终端智能体产业处于技术迭代加速、应用场景拓宽的关键期，但其自主决策、跨应用联动、高频权限调用的特性，催生了诸多新型安全可信威胁与多维度信任隐患，传统终端防护体系已难以适配全新运行形态。

图：示意图

文 | 中国信息通信研究院、移动应用创新与治理技术工业和信息化部重点实验室 刘陶；博鼎实华（北京）技术有限公司 任维赫；中国信息通信研究院、移动应用创新与治理技术工业和信息化部重点实验室 傅山* 

同时，产业生态内跨主体协同缺乏统一规则，用户知情权、控制权保障不足，严重制约行业生态平稳有序发展。立足总体国家安全观，统筹发展和安全，围绕人工智能“为人所用、为人服务、为人所控”发展导向，严格遵循用户自主管控、知情权优先的核心治理逻辑，构建全方位、多层次、全链条、多方共治的移动终端智能体可信生态体系，这一举措既是防范新型安全风险、守护用户权益的必然要求，也是规范产业秩序、推动技术应用落地的关键举措。

一、产业发展态势与运行特征

移动终端智能体特指部署在手机、平板等移动智能终端设备上，依托终端本地算力与端云协同能力，具备自主感知、意图理解、任务拆解、跨应用协同、自动化执行与闭环服务能力的轻量化AI智能主体。

当前，全球移动终端智能体技术创新与商用落地进程全面提速，其技术突破正引发移动应用生态的颠覆性重构，推动跨应用、跨场景一体化协同服务成为常态，人机交互逻辑与移动服务形态从底层重塑。从技术架构与能力实现角度来看，移动终端智能体具备三方面核心特征：一是具备自主决策与任务闭环能力，可基于用户意图自主拆解复杂需求、调度各类资源，无需人工分步指令即可完成全流程服务；二是具备跨应用工具互联能力，能实现终端内不同应用、外部工具与数据源之间的无缝联动，打通功能与数据流通壁垒；三是具备轻量化与端云协同能力，通过模型压缩、边缘计算以适配移动终端算力、存储、功耗受限特性，兼顾端侧本地运行效率与隐私安全，依托云端算力实现能力持续拓展与优化。

与此同时，移动终端智能体行为链路复杂、参与主体多元，安全与可信成为生态发展双重核心要求，安全是系统运行底线，可信是用户接受与产业协同的前提。而现有安全防护治理体系相对滞后，难以适配移动终端智能体技术特性，由此引发多重新型安全风险与信任隐患，严重制约了行业生态有序、高质量发展。

二、可信安全主要风险研判

移动终端智能体依托端云协同架构、跨应用联动能力和长期记忆机制，形成了感知、推理、记忆、执行的全链路数据处理闭环。相较于传统移动应用，其自主化决策、动态化交互、隐蔽化运行、跨主体流转的特征尤为突出，个人信息处理呈现来源多元、过程隐蔽、边界模糊、责任交织的新特点。结合智能体技术架构与运行逻辑，从跨主体交互、行为管控、数据安全、责任界定四个维度梳理，当前，移动终端智能体主要面临四类核心可信安全风险。

（一）跨主体可信交互风险

跨主体协同是智能体运行的基础，多主体交互信任体系缺失易引发各类适配漏洞与安全隐患。移动终端智能体需与本地终端、第三方应用及云端服务深度融合，实现多主体协同交互。目前，业界尚未形成适配智能体运行特征的统一身份信任体系与跨域交互规范，跨实体、跨层级信任传递机制缺失。传统权限管控体系适配性严重不足，难以约束智能体新型跨应用交互行为。智能体可依托无障碍服务、屏幕内容理解、自动化触控操作、剪贴板读取等系统底层辅助能力完成跨应用任务联动，该类操作独立于应用标准化业务API体系，可直接绕过应用接口权限校验与前置安全风控流程，脱离传统权限管控范式，极易导致跨主体交互边界失控、信任机制失效，滋生越权访问、非授权调用、安全策略旁路等安全隐患，且传统静态权限配置模式也无法适配智能体动态化、自主化的跨域调度需求，交互可信性难以得到有效保障。

（二）自主行为失控风险

移动终端智能体的自主决策与黑盒运行特性，易导致行为失序、用户控制权弱化。区别于传统应用被动执行的运行模式，移动终端智能体具备自主推演、动态交互与跨应用协同作业能力，原有终端静态安全防护体系难以适配这种动态化、主动化的全新运行形态。从端侧模型运行层面来看，由于受限于终端算力、存储及运行环境约束，轻量化智能体模型普遍存在鲁棒性偏弱、安全冗余不足的短板。由于端侧部署场景缺乏常态化安全校验与动态风险监测机制，模型极易被对抗样本干扰，从而引发决策偏差与执行异常。同时，模型潜藏的隐蔽后门、固有程序漏洞难以被及时感知与发现，持续对智能体自主决策逻辑与终端运行安全构成威胁。此外，智能体依托深度学习推理完成任务规划，整体决策与执行过程呈现黑箱特征，运行流程不透明、行为逻辑不可见，用户无法及时知晓智能体运行目的与潜在风险，缺少实时审查、干预、终止的有效手段。叠加AI模型固有“幻觉”问题，易出现任务规划错误、流程执行失序等异常情况，进一步加剧终端智能体自主行为失控风险。

（三）数据隐私泄露风险

智能体多环节高频数据交互与多模态处理特性，既存在隐私泄露隐患，也存在数据处理不透明、用户知情可控性不足的可信问题。移动终端智能体依托多模态感知、自主学习、跨应用协同能力开展业务运行，全过程伴随高频、多维的数据处理行为。不同于传统应用规范化的数据交互模式，智能体数据处理流程隐蔽性强，数据采集用途、流转路径、使用范围缺乏公开透明的披露机制，用户难以知晓个人数据处理细节，知情权与自主管控能力被大幅弱化，难以有效监督干预数据处理行为。在感知层面，智能体多以静默方式宽泛采集用户信息，易超出业务必要范畴，违背最小必要原则，且多模态数据融合可精准刻画用户画像，造成隐私过度暴露。在记忆存储层面，智能体具备自动记忆留存特性，依托向量数据库存储交互数据，数据耦合度高、清理难度大，存在持续性隐私残留风险。在流转执行层面，跨应用数据交互路径动态模糊，传输过程中易遭受恶意嗅探、指令劫持、数据篡改等攻击，极易引发数据滥用、隐私外泄等安全问题，整体数据安全与可信风险较为突出。

（四）跨应用责任溯源风险

多主体行为深度耦合、审计追溯机制缺失，造成跨应用场景风险溯源难、责任界定难。移动终端智能体可自主调度多类应用以协同完成复合任务，使得用户、终端厂商、模型服务商、应用开发者、云端平台等多方主体行为深度嵌套、链路交织，彻底打破传统移动应用权责清晰、主体独立的运行边界。从可信治理视角来看，智能体黑箱式的推理运行模式导致业务执行过程不透明、行为归属模糊，以及行业尚未建立适配智能体跨域运行的标准化审计追溯体系，各环节行为记录、数据流转日志缺乏统一规范，存在日志碎片化、轨迹不完整等问题，无法完整还原协同作业链路。同时，当前行业缺少针对性的安全可信认证体系与跨主体协同治理规则，各参与主体的履职边界、安全权责、判定依据缺乏精细化界定。一旦发生越权操作、数据泄露、服务异常等安全事件，难以精准定位风险源头、厘清责任归属，极易引发多方责任纠纷，严重制约智能体产业生态的规范化、有序化发展。

三、可信生态核心治理目标

移动终端智能体的自主推演、动态交互与跨应用协同运行模式，重塑了移动端服务的运行逻辑与风险形态。传统终端安全可信体系以静态环境可信为核心，侧重静态防护，适配运行逻辑固定、业务被动响应等传统场景。针对移动终端智能体全新运行形态的安全可信治理体系需在兼容基础环境可信的前提下，将治理核心聚焦智能体动态运行全流程，重点管控自主决策、动态授权、跨应用协同等行为引发的内生安全风险，实现模型、行为、数据、交互的全过程动态可信，适配智能体主动化、自主化、动态化的全新运行场景。同时，区别于工业、企业级智能体侧重生产安全与业务合规的建设逻辑，移动终端智能体安全可信生态更加侧重以用户权益保障为核心，聚焦用户使用安全、隐私保护、用户全程掌控，重点防范数据泄露、权限滥用、行为失控等直接影响用户利益的风险。其整体生态应以全主体、全链路可信关联为核心指向，构建终端与终端、终端与智能体、智能体与应用、用户与服务四层互信关系，打通产业协同信任壁垒，达成来源可查、模型可信、运行可控、行为可溯、权限可管、协同可靠、用户放心的全维度治理效果，实现技术安全性、行业合规性与用户信任感的有机统一，为后续防护技术迭代与治理规则落地提供顶层支撑。

针对移动终端智能体在权限调用、数据流转、自主行为、运行环境等方面的安全风险，以及责任边界模糊、跨主体协同不足等阶段性困境，移动终端智能体安全可信生态应以“权限可管、数据可溯、行为可控、环境可托”为四维核心目标。这四方面目标各有技术治理指向，相互支撑、耦合联动，形成完整的闭环治理逻辑。

（一）权限可管

聚焦智能体权限申请、调用、变更、释放全流程管控，以最小必要、场景适配、动态可控为核心原则，构建精细化、动态化的授权管控体系，实现权限按需分配、场景化授权。重点落实用户敏感权限实质确认、高危操作实时拦截、权限动态回收调整等机制，严格规范智能体及第三方应用的权限申请与调用行为，从源头构建安全管控与合规授权体系。

（二）数据可溯

聚焦智能体全生命周期数据安全管理，确立数据全程可追溯治理目标。围绕智能体数据采集、存储、流转、使用、销毁各环节搭建溯源管理体系，规范端内数据交互与跨应用数据流通路径。依托端云协同审计机制，完整留存智能体数据调用、跨应用流转、本地处理、云端同步及安全销毁等全链路操作记录，形成不可篡改的可信审计台账。明确跨应用数据流转可信通道与权属界定，确保各环节数据可追溯、可审计、可核验，防范数据泄露、篡改、滥用风险。

（三）行为可控

聚焦智能体自主决策、执行交互全流程管控，以用户知情权与控制权保障为核心原则，构建技术防护与责任约束相结合的全流程行为管控体系，实现操作可解释、行为可预见、异常可阻断、过程可干预。通过技术手段向用户清晰告知智能体行为目的、执行流程、预期结果及潜在影响，支持用户对相关操作的暂停、终止、撤销功能，并对高危操作设置用户建立二次确认机制；规范主动服务与多模态交互行为，禁止弹窗劫持、诱导点击、静默执行等违规操作，降低“AI幻觉”、对抗样本攻击引发的误操作风险，建立行为失范后的责任追溯与举证机制，明确厂商及第三方应用的行为管理责任。

（四）环境可托

聚焦端云协同底层软硬件安全底座建设，构建一体化、规范化的跨主体安全防护体系，夯实智能体可信运行环境。终端侧可依托可信执行环境（TEE）、安全元件（SE）等安全技术，搭建分层化可信根基，保障端侧模型运行、数据存储的底层安全。云端依托隐私计算、机密计算、远程可信证明等核心技术，搭建通信加密、边界防护、异常流量监测一体化安全防护体系，筑牢端云数据交互与协同运行安全屏障。同时，建立智能体与第三方应用之间统一的可信身份鉴权机制与跨应用风控体系，制定标准化安全交互协议，补齐行业统一规范缺失的短板，规避因标准不统一引发的恶意利用、风控失效、判定偏差等安全问题，全方位打造安全稳定、可信可控的端云协同与跨主体协同运行环境。

四、结 语

移动终端智能体作为人工智能技术落地的重要形态，正深刻改变着移动服务模式与产业生态，但其自主化、跨域化、隐蔽化特性带来的安全可信风险仍不容忽视。应围绕权限、数据、行为、环境四大核心目标锚定治理方向，贴合产业实际补齐安全治理短板，这样能够有效化解各类新型安全可信风险，切实守护广大用户的合法权益。后续可依托既定四维治理目标，逐步完善配套治理举措，持续跟踪技术演进与风险变化，动态优化治理思路，推动移动终端智能体产业在安全可控前提下健康有序发展，为数字经济安全稳健发展筑牢坚实支撑。