新聞速覽

• 罰單密集落地，銀行安全治理再受監(jiān)管高壓

• 使館外籍人員偽裝戀愛接近我工作人員，國家安全機關及時斬斷竊密黑手

• 俄港口巨頭遭萬級IP DDoS攻擊，物流樞紐安然無恙？

• 《華盛頓郵報》數(shù)據(jù)泄露事件曝光：零日攻擊鏈揭示供應鏈安全隱患

• AI創(chuàng)作版權(quán)歸屬問題引關注：創(chuàng)作者與AI的邊界如何界定？

• 零日漏洞再釀禍，羅技（Logitech）數(shù)據(jù)外泄敲響供應鏈安全警鐘

• 自主決策AI引安全警報，全球技術貿(mào)易協(xié)會呼吁構(gòu)建新型治理框架

• OWASP發(fā)布MCP服務器安全實用指南：為AI工具鏈加上一道“安全閘”

• 僅因一次釣魚得手，外賣平臺DoorDash用戶聯(lián)系方式全泄露

• 偽裝醫(yī)保+冒充中國警方，新型跨境詐騙盯上在美華人

特別關注

罰單密集落地，銀行安全治理再受監(jiān)管高壓

近期，多地人民銀行分支機構(gòu)連續(xù)公布針對銀行機構(gòu)的網(wǎng)絡安全與數(shù)據(jù)安全行政處罰，涉及國有銀行、股份制銀行、城商行、農(nóng)商行及多家村鎮(zhèn)銀行，暴露行業(yè)在信用信息管理、數(shù)據(jù)保護與網(wǎng)絡安全合規(guī)方面的共性短板。

統(tǒng)計顯示，江西銀行蘇州分行因違反網(wǎng)絡安全、數(shù)據(jù)安全及信用信息管理等規(guī)定，被警告并罰款67.2萬元；無錫濱湖興福村鎮(zhèn)銀行因7項違法行為被罰31.06萬元；寧夏寧東本富村鎮(zhèn)銀行因違反網(wǎng)絡與數(shù)據(jù)安全規(guī)定被警告。多家銀行的背后控股股東為城商行或農(nóng)商行，體現(xiàn)風險在集團體系內(nèi)的延展性。

9月以來，多起高額罰單集中指向數(shù)據(jù)安全管理不到位。包括民生銀行廈門分行被罰147.96萬元、浙江海鹽農(nóng)商銀行被罰158.3萬元、建設銀行懷化分行與湖南溆浦農(nóng)商銀行因未制定網(wǎng)絡安全事件應急預案等被處罰。寧波甬城農(nóng)商銀行因多項違規(guī)被罰262.05萬元，為近期金額最高。

監(jiān)管持續(xù)強調(diào)金融機構(gòu)必須完善應急預案、強化信用信息保護、落實數(shù)據(jù)安全與網(wǎng)絡安全管理要求。業(yè)內(nèi)人士提醒，隨著監(jiān)管趨嚴，銀行需加速補齊安全合規(guī)能力，避免重復性違規(guī)。

https://mp.weixin.qq.com/s/iZMNS_-KrUmwdFAkPDPDcw

熱點觀察

AI創(chuàng)作版權(quán)歸屬問題引關注：創(chuàng)作者與AI的邊界如何界定？

在人工智能快速發(fā)展的背景下，關于AI創(chuàng)作內(nèi)容的版權(quán)歸屬、創(chuàng)作者責任和道德問題成為焦點。在紐約舉辦的第二屆AI Deciphered大會上，業(yè)內(nèi)專家探討了AI如何影響創(chuàng)意產(chǎn)業(yè)、法律框架和營銷策略。與會者包括Empwrd的AI集成總監(jiān)Kanene Holder、Klaris Law創(chuàng)始合伙人Edward Klaris和Def Jam Recordings的市場高級副總裁Dr. Charlene Thomas。

Klaris指出，在美國版權(quán)法下，單純通過AI生成的內(nèi)容不能算作創(chuàng)作，因此創(chuàng)作者無法主張對AI生成內(nèi)容的所有權(quán)。他強調(diào)，AI應基于已有創(chuàng)作進行生成，才能更清晰地界定創(chuàng)作歸屬。不同國家對此的規(guī)定各異，日本則為AI創(chuàng)作內(nèi)容提供版權(quán)保護。

除了版權(quán)問題，如何保證AI促進而非削弱人類創(chuàng)意的潛力也成為討論重點。Holder強調(diào)，AI在創(chuàng)作中可能帶有偏見，企業(yè)和創(chuàng)作者需要在設計和使用AI時保持人類的監(jiān)督，確保AI的應用符合道德標準，避免產(chǎn)生負面影響。

Thomas提到，AI在娛樂行業(yè)的應用尤為復雜，消費者質(zhì)疑AI作品的真實性，因此保持人類創(chuàng)作的獨特性仍然至關重要。專家們一致認為，人類與AI應當是協(xié)作關系，而非競爭關系。

https://www.campaignlive.com/article/owns-ai-output-legal-ethical-questions-brands-cant-ignore/1939885

安全事件

俄港口巨頭遭萬級IP DDoS攻擊，物流樞紐安然無恙？

俄羅斯港口運營商Port Alliance披露，其關鍵數(shù)字基礎設施已連續(xù)第三日遭受源自境外的網(wǎng)絡攻擊，主要表現(xiàn)為大規(guī)模分布式拒絕服務（DDoS）攻擊，并伴隨網(wǎng)絡入侵嘗試。公司指出，攻擊者意圖“破壞運營、干擾業(yè)務流程”，目標直指其在波羅的海、亞速–黑海、遠東及北極地區(qū)承擔煤炭與礦物肥料出口的關鍵鏈條。

盡管攻擊強度高企，Port Alliance強調(diào)其港口與碼頭系統(tǒng)仍維持正常運轉(zhuǎn)，核心業(yè)務未受實質(zhì)影響。據(jù)稱，攻擊者動用了一個由逾15,000個全球分布IP地址組成的僵尸網(wǎng)絡（botnet），并持續(xù)變換戰(zhàn)術以規(guī)避安全防御機制。

Port Alliance目前在六大航運要道運營海運碼頭，年貨物吞吐量逾5,000萬噸。該公司未將此次事件歸因于任何特定黑客組織。

自2022年俄烏沖突爆發(fā)以來，交通與物流基礎設施成為網(wǎng)絡攻擊的高頻目標，雙方黑客頻繁利用DDoS手段癱瘓對方關鍵設施。同日，烏克蘭WOG加油站連鎖遭遇大規(guī)模網(wǎng)絡攻擊，致使其線上服務短暫中斷；本周，丹麥政府及多家國防企業(yè)網(wǎng)站亦遭DDoS襲擊，初步研判或與親俄組織NoName057有關。

https://therecord.media/cyberattack-on-russian-port-operator

《華盛頓郵報》數(shù)據(jù)泄露事件曝光：零日攻擊鏈揭示供應鏈安全隱患

《華盛頓郵報》近日確認遭遇一起針對OracleE-Business Suite(EBS)零日漏洞的網(wǎng)絡攻擊，約9,720名現(xiàn)任與前任員工、合同工的個人信息被泄露。攻擊者疑與Cl0p勒索團伙相關，背后可能是被追蹤為FIN11的攻擊集群。該團伙今年7月至8月期間利用OracleEBS零日漏洞，針對數(shù)十家機構(gòu)發(fā)起入侵，并在受害者拒絕支付贖金后將數(shù)據(jù)公布于Cl0p泄露網(wǎng)站。

根據(jù)提交給緬因州司法部長辦公室的報告，被竊取的數(shù)據(jù)包括姓名、銀行賬號及路由號、社會安全號與稅號等敏感信息?！度A盛頓郵報》稱其于9月29日收到攻擊者的勒索聯(lián)系，調(diào)查顯示攻擊最早可追溯至7月10日。這也印證了外界此前關于OracleEBS漏洞利用在補丁發(fā)布前數(shù)月即已開始的判斷。

目前已在Cl0p泄露網(wǎng)站上確認受影響的機構(gòu)還包括Hitachi旗下GlobalLogic、Harvard University以及American Airlines的子公司Envoy Air。其他大型企業(yè)因調(diào)查未完成或試圖保持低調(diào)，尚未公開事件影響范圍。

https://www.securityweek.com/washington-post-says-nearly-10000-employees-impacted-by-oracle-hack/

零日漏洞再釀禍，羅技（Logitech）數(shù)據(jù)外泄敲響供應鏈安全警鐘

羅技于2025年11月14日披露一起由第三方軟件零日漏洞引發(fā)的網(wǎng)絡入侵事件。該漏洞存在于Oracle E-Business Suite中，被Clop團伙自7月起利用，通過多階段Java植入實現(xiàn)未授權(quán)訪問與數(shù)據(jù)外泄。被復制的數(shù)據(jù)涉及部分員工、消費者、客戶與供應商的非敏感信息，但未包含身份證號、付款數(shù)據(jù)等要素，且公司運營未受影響。

Oracle已于10月4日發(fā)布了緊急補丁，羅技在獲悉后迅速完成修復，并聘請外部安全機構(gòu)開展調(diào)查與溯源。此次事件凸顯供應鏈安全短板，以及零日攻擊在企業(yè)軟件生態(tài)中的擴散趨勢。專家警示，盡管泄露數(shù)據(jù)有限，但仍可能被用于定向釣魚等二次攻擊。

業(yè)內(nèi)指出，Clop正從傳統(tǒng)加密型勒索轉(zhuǎn)向“數(shù)據(jù)竊取+勒索”模式，相關手法與微軟等近期零日事件呈現(xiàn)相似攻擊鏈。羅技已向監(jiān)管機構(gòu)報備并啟動通知程序，強調(diào)事件已得到控制。該事件再次提醒企業(yè)需強化零信任架構(gòu)、提高補丁響應速度，并加強第三方風險管理。

https://www.webpronews.com/logitechs-zero-day-breach-how-a-hidden-flaw-exposed-tech-giants-data/

使館外籍人員偽裝戀愛接近我工作人員，國家安全機關及時斬斷竊密黑手

近日，國家安全機關破獲一起境外間諜情報機關利用情感滲透手段實施的竊密案件。某機關單位工作人員小寧在公務活動中結(jié)識某使館外籍工作人員，對方針對其情感需求構(gòu)建“完美男友”人設，逐步獲取信任。交往期間，該外籍人員以關心工作為名，誘使小寧泄露敏感工作內(nèi)容，甚至要求其刻意收集國家秘密及內(nèi)部文件作為“感情籌碼”。經(jīng)查，該外籍人員實為境外間諜，已娶妻生子。國家安全機關及時介入，消除了重大泄密隱患。案件警示境外“感情拉攏”類間諜行為高發(fā)，黨政機關等重點領域人員需增強反間防諜意識，筑牢國家安全防線。

https://mp.weixin.qq.com/s/g4yPlDvl7xf_mUe97nikVA

僅因一次釣魚得手，外賣平臺DoorDash用戶聯(lián)系方式全泄露

DoorDash再次發(fā)生數(shù)據(jù)泄露，涉及用戶、配送員和商家敏感信息。2025年10月25日，DoorDash的內(nèi)部安全團隊發(fā)現(xiàn)數(shù)據(jù)泄露事件，初步調(diào)查顯示，攻擊者通過社交工程手段欺騙公司員工，獲得了對系統(tǒng)的訪問權(quán)限。泄露的數(shù)據(jù)包括用戶的全名、住址、電子郵件和電話號碼，受影響地區(qū)包括美國、加拿大、澳大利亞和新西蘭。DoorDash確認，泄露的內(nèi)容不包括信用卡號、社會保障號或駕照信息，但此聲明遭到批評。專家指出，即便是姓名、電話和地址，也足以讓攻擊者發(fā)起具有欺騙性的網(wǎng)絡釣魚攻擊。

此外，雖然事件發(fā)生后，DoorDash在10月25日已發(fā)現(xiàn)泄露，但直到11月13日才開始向受影響的用戶發(fā)出通知。通知延遲引發(fā)用戶不滿，部分人質(zhì)疑公司是否遵守了數(shù)據(jù)泄露法規(guī)，并威脅采取法律行動。對此，DoorDash表示正在加強安全防護，提升員工的網(wǎng)絡安全培訓，并聘請第三方網(wǎng)絡安全公司進行進一步調(diào)查，案件已移交執(zhí)法部門處理。這是自2019年以來，該公司遭遇的第三次重大安全事件。

https://hackread.com/doordash-data-breach-employee-social-engineering-scam/

偽裝醫(yī)保+冒充中國警方，新型跨境詐騙盯上在美華人

美國聯(lián)邦調(diào)查局（FBI）近日發(fā)布警告，指出一種針對在美華語人群的金融欺詐新型騙局。犯罪分子偽裝成美國健康保險公司和中國執(zhí)法部門，通過偽造的電話欺詐受害者。受害者會接到來自偽裝成合法健康保險公司理賠部門的電話，電話內(nèi)容使用中文，詢問受害者關于近期手術的保險理賠情況。隨后，犯罪分子通過視頻軟件展示虛假的賬單，并要求受害者支付費用。

如果受害者表示未提交過理賠或未進行相關手術，犯罪分子則會將受害者轉(zhuǎn)接給假冒的中國執(zhí)法人員，進一步施壓。FBI提醒，受害者應提高警惕，避免因虛假信息上當受騙。

https://www.cybersecurity-review.com/criminals-impersonate-us-health-insurance-providers-target-chinese-speakers-residing-in-the-united-states/

產(chǎn)業(yè)動態(tài)

自主決策AI引安全警報，全球技術貿(mào)易協(xié)會呼吁構(gòu)建新型治理框架

全球技術貿(mào)易協(xié)會Information Technology Industry Council（ITI）于2025年11月發(fā)布題為《Understanding Agentic AI》的政策白皮書，提出“agentic AI”——即具備多步推理、規(guī)劃能力并可自主調(diào)用工具執(zhí)行任務的人工智能系統(tǒng)——正逐步邁入實際應用階段，但其發(fā)展伴隨顯著的安全隱患與治理挑戰(zhàn)。

報告指出，此類系統(tǒng)雖有望顯著提升生產(chǎn)效率與網(wǎng)絡安全響應能力，卻存在“jagged intelligence”（鋸齒智能）現(xiàn)象：模型在復雜任務中表現(xiàn)卓越，卻可能在基礎操作上意外失效，從而在自動化流程中引發(fā)級聯(lián)故障。

此外，agentic AI易受prompt injection（提示注入）、數(shù)據(jù)投毒及未授權(quán)工具訪問等攻擊；其自主決策特性亦帶來責任歸屬模糊與“自動化偏差”（automation bias）等新型風險。

為應對上述挑戰(zhàn)，ITI建議采取“基于風險、場景適配”的監(jiān)管路徑，將現(xiàn)有框架（如National Institute of Standards and Technology的AI Risk Management Framework）拓展至agentic系統(tǒng)。具體政策建議包括：制定國家級AI發(fā)展戰(zhàn)略、強化全鏈條透明度、完善數(shù)據(jù)治理與隱私保護機制、推動行業(yè)主導的開放標準與安全協(xié)議，以及加強跨部門協(xié)作與專業(yè)人才儲備。

報告強調(diào)，隨著agentic AI在政府、制造、網(wǎng)絡安全等關鍵領域的加速部署，若治理結(jié)構(gòu)滯后，恐將削弱公眾信任并放大系統(tǒng)性風險。業(yè)界與政府亟需開展深度對話，共同構(gòu)建可控、透明且可信的應用生態(tài)。

https://www.executivegov.com/articles/iti-agentic-ai-risks-policy-recommendations

合作電話：18311333376

合作微信：aqniu001