要闻速览

1、工信部印发《关于做好2026年信息通信业安全生产和网络运行安全工作的通知》

2、《汽车数据安全保障要求》等2项汽车行业国家标准公开征集意见

3、CNCERT发布OpenClaw安全使用实践指南

4、Claude.ai曝“Claudy Day”漏洞链，聊天链接可被利用窃取敏感数据

5、网络犯罪组织Lapsus$声称入侵制药巨头阿斯利康

6、欧洲最大渔港因勒索攻击中断运营，被迫人工维持货运作业

一周政策要闻

工信部印发《关于做好2026年信息通信业安全生产和网络运行安全工作的通知》

近日，工信部办公厅印发工信厅信管函〔2026〕110 号通知，部署2026年信息通信业安全生产与网络运行安全工作。通知面向各地通信管理局、基础电信企业、互联网企业及通信工程参建单位，构建全链条防护体系，坚决防范重特大事故，保障行业安全稳定运行。

通知明确七大重点任务：压实全员安全责任制，健全卫星互联网、云服务分级分类等制度规范；推行极端场景、关键设备、高危岗位三项清单管理，落实重大事故隐患判定标准；强化网络冗余备份与防灾抗毁，保障重大活动网络安全；严控高处、有限空间、带电等危险作业，规范代维管理与人员持证上岗；建设综合预案、故障场景、抢通抢修三层预案体系，开展实战化应急演练；运用人工智能大模型等开展拉网式检查，问题台账销号管理，以案促治强化闭环整改。

通知要求，各地监管部门落实属地责任，企业保障安全投入与应急资源，基础电信企业依规购买责任保险，重要情况及时上报工信部，全面提升信息通信业本质安全水平。

信息来源：中华人民共和国工业和信息化部 https://www.miit.gov.cn/jgsj/xgj/wjfb/art/2026/art_2abb2e88da574f41869dbb61a062eebe.html

《汽车数据安全保障要求》等2项汽车行业国家标准公开征集意见

根据标准制修订计划，相关标准化技术组织已完成汽车行业《汽车数据安全保障要求》《汽车安全漏洞分类分级评价》2项推荐性国家标准的编制工作。为进一步听取社会各界意见，工业和信息化部科技司现予以公示。

其中，《汽车数据安全保障要求》将密码技术纳入汽车数据全生命周期安全管理制度体系，要求组织针对不同级别数据，在收集、存储、使用、加工、传输、提供、公开、删除等环节，建立包括加密、脱敏等在内的分级防护要求和操作规程，以实现数据全过程安全保护。

《汽车安全漏洞分类分级评价》将加密问题视为导致汽车安全漏洞产生或触发的技术原因，将弱口令、不安全加密算法、敏感信息明文存储、密钥硬编码等情形纳入漏洞范畴，强调应正确使用相关密码算法，避免引发安全风险。

消息来源：中华人民共和国工业和信息化部 https://www.miit.gov.cn/zwgk/wjgs/art/2026/art_2b4385a2ffca46deb565272510940d3b.html

业内新闻速览

CNCERT发布OpenClaw安全使用实践指南

2026 年 3 月 22 日，国家互联网应急中心 CNCERT 联合中国网络空间安全协会，发布 OpenClaw 安全使用实践指南。OpenClaw 因具备系统指令执行等高权限能力，默认配置与不当使用易引发远程接管、数据泄露等安全风险，指南针对普通用户、企业用户、云服务商、技术开发者 / 爱好者四类主体提出针对性防护建议。

普通用户需做好环境隔离、关闭默认端口公网暴露、以低权限运行，拒绝不明技能插件；企业用户要建立安全管理制度，做好权限管理、运行监控与审计，强化供应链安全和应急能力；云服务商需加固云主机基础安全，部署防护能力，管控 Skills 安装与模型调用安全；技术开发者 / 爱好者则要加固基础配置、做好运行环境沙箱化隔离，落实最小权限原则，防范供应链风险。

指南通过分主体、分场景的精细化防护建议，为不同使用者规避 OpenClaw 使用风险提供了专业实操方案，助力各主体安全合规使用该工具。

Claude.ai曝“Claudy Day”漏洞链，聊天链接可被利用窃取敏感数据

2026年3月，安全公司Oasis Security披露，AI助手Claude.ai存在一组被命名为“Claudy Day”的漏洞链，攻击者可通过精心构造的聊天链接诱导用户触发隐蔽指令，从而窃取敏感信息。该问题影响Claude.ai及其相关平台claude.com。

此次攻击利用了Claude支持通过URL参数预填聊天内容的功能。研究人员发现，攻击者可在该参数中嵌入隐藏HTML标签，将恶意指令注入用户请求。用户界面仅显示正常文本，但Claude在处理时会执行不可见部分中的指令，包括检索历史对话中的敏感数据。

攻击链的第二阶段利用了Claude内置代码执行环境的访问策略限制。尽管该环境禁止访问外部服务器，但允许与api.anthropic.com通信。攻击者可在隐藏指令中植入自身API密钥，诱导Claude收集对话历史中的敏感信息，将其写入文件并通过文件接口上传至攻击者账户，实现数据外流。

此外，claude.com存在开放重定向漏洞，路径“/redirect/”未对跳转目标进行校验。攻击者可借此构造看似可信的搜索结果或广告链接，将用户引导至嵌入攻击载荷的页面，降低攻击识别难度。

即使未启用外部集成，Claude仍可访问用户对话历史与记忆数据，攻击可能泄露商业计划、财务信息、健康记录等敏感内容。在接入企业系统或第三方服务后，风险进一步扩大，攻击者可能间接访问文件、API接口并执行操作。

目前，Anthropic已修复部分问题，包括隐藏指令注入漏洞，其余安全缺陷仍在持续修复中。

消息来源：安全牛 Claude.ai曝“Claudy Day”漏洞链，聊天链接可被利用窃取敏感数据；工信部印发 2026 年信息通信业安全工作通知，强化全链条安全管控|牛览

网络犯罪组织Lapsus$声称入侵制药巨头阿斯利康

近日，网络犯罪组织 Lapsus$ 在暗网平台发布消息，宣称已入侵制药企业 AstraZeneca，并窃取约 3GB 敏感数据，相关数据已在关联泄密网站挂牌售卖。
此次外泄数据包含凭证、令牌、内部代码库（Java、Angular、Python）及员工信息，暂未提及患者相关数据。AstraZeneca 方面尚未对该入侵事件及相关指控予以证实或公开回应。
安全厂商 SocRadar 监测到，该泄密信息在暗网论坛及 Lapsus$ 关联数据泄露站点同步出现，泄露文件体量较大且结构完整，包含源码、基础设施相关资料及权限相关信息，属于较为严重的内部信息暴露。
尽管失窃数据暂未包含用户密码，但凭证、代码与系统架构信息可被攻击者用于梳理网络拓扑、实施钓鱼攻击、针对内部系统发起进一步渗透，若事件属实，将对企业运营与数据安全构成严重威胁。

欧洲最大渔港因勒索攻击中断运营，被迫人工维持货运作业

安全内参3月26日消息，西班牙维戈港（Vigo）的港口官员日前表示，一起勒索软件攻击对港口的数字系统造成干扰，迫使当局切断部分网络连接，并临时以人工方式维持货运作业。此次攻击于24日（周二）清晨5点多被发现，影响了用于管理货物流量以及其他港口数字服务的计算机服务器。官员向当地媒体透露，部分设备已被锁定，并且攻击者提出了赎金要求。维戈港位于西班牙西北海岸的加利西亚地区，是欧洲最大的渔港之一。
为应对此次事件，港口管理局的技术团队迅速将受影响系统与外部网络隔离，以防止影响进一步扩大。港口负责人Carlos Botana表示，在安全团队确认网络环境完全安全之前，港口不会重新接入相关系统。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！