要闻速览

1、网安标委技术文件《人工智能应用伦理安全指引》1.0版公开征求意见

2、国家网信办等十部门联合公布《促进和规范电子单证应用规定》

3、国家病毒中心发布通报：龙虾智能体现恶意技能包攻击

4、Vercel遭第三方OAuth劫持入侵，内部访问令牌与部分环境变量暴露

5、法国国家身份系统ANTS遭网络攻击，1900万公民数据疑似泄露

6、AI闯祸没人赔？保险业集体“弃保”

一周政策要闻

网安标委技术文件《人工智能应用伦理安全指引》1.0版公开征求意见

全国网络安全标准化技术委员会组织制定的技术文件《人工智能应用伦理安全指引》1.0版已形成征求意见稿。根据《全国网络安全标准化技术委员会技术文件制订工作程序》，现将该技术文件面向社会公开征求意见，如有意见或建议请于2026年4月26日24:00前反馈秘书处。

信息来源：全国网络安全标准化技术委员会 https://www.tc260.org.cn/portal/article/2/0e3933e11d904f4b93c4dcc348f9b61c

国家网信办等十部门联合公布《促进和规范电子单证应用规定》

近日，国家网信办、工信部、公安部等十部门联合公布《促进和规范电子单证应用规定》，该规定自2026年9月1日起施行。此举旨在落实《海商法》等法律法规要求，对接国际高标准经贸规则，提升货物贸易和运输的数字化水平，服务数字经济高质量发展。

《规定》明确了坚持发展和安全并重、促进创新和依法治理相结合的原则，鼓励货物贸易、物流、金融等领域应用电子单证，并对电子单证系统实施分类分级管理。同时要求系统运营者遵守《网络安全法》《数据安全法》等规定，数据出境需符合国家要求。国家网信部门将会同有关部门进行监督检查。

消息来源：中华人民共和国中央人民政府 https://www.gov.cn/lianbo/202604/content_7066143.htm

业内新闻速览

国家病毒中心发布通报：龙虾智能体现恶意技能包攻击

近日，国家计算机病毒应急处理中心与计算机病毒防治技术国家工程实验室发布预警，在龙虾（OpenClaw）智能体系统技能仓库中，发现多款含恶意代码的仿冒技能包，攻击者通过技能包投毒实施木马植入与数据窃取。

用户安装被投毒技能包后，系统调用时会后台静默下载安装POLYSKILLOPENCLAWTROJAN僵尸远控木马，窃取隐私信息，引发数据泄露与财产损失。本次检出8类恶意技能包，涵盖 LinkedIn 操作、Polymarket 查询、Excel 处理、Solana 钱包、浏览器自动化等常用功能，仿冒程度高，隐蔽性强。

本次预警同步公开 zohoclaw.zip、polymarket-all-in-one.zip、excel-1kl.zip 等恶意安装包名称，以及配套 MD5、SHA-256 等哈希校验值，其中 excel-1kl.zip 的 MD5 校验码为：4602c99cdd7df49c2e7d7a4451d94339。

智能体技能包已成为新型病毒传播载体，针对此类攻击，官方提出四项防护建议：安装前审计技能包代码与链接；将智能体与生产系统隔离并严格权限管控；通过 HASH 值在国家计算机病毒协同分析平台核验；对可疑安装包与技能包进行安全检测。

消息来源：国家计算机病毒应急处理中心 https://www.cverc.org.cn/head/zhaiyao/news20260422-OpenClaw.htm

Vercel遭第三方OAuth劫持入侵，内部访问令牌与部分环境变量暴露

4月19日，云开发平台Vercel披露了一起安全事件，称有未经授权的第三方入侵了其部分内部系统，已对部分客户造成影响。该公司强调，其核心服务、Next.js、Turbopack及其他开源项目均未受影响。目前Vercel已聘请事件响应专家协助调查，并已通知执法部门。

据后续调查，此次漏洞源于第三方AI工具Context.ai的Google Workspace OAuth应用遭到入侵，导致一名Vercel员工的Google Workspace账户被攻破。攻击者利用该账户提升了在Vercel环境中的访问权限，并成功枚举了那些未被标记为“敏感”的环境变量——这些变量因仅用于存放非敏感信息而在静态存储时未加密，但攻击者借此进一步获取了更多内部凭证。与此同时，一名自称“ShinyHunters”的威胁行为者在黑客论坛发帖，声称已入侵Vercel并试图出售被盗数据，包括访问密钥、源代码、数据库数据、内部部署和API密钥等。该黑客还分享了一份包含580条Vercel员工信息（姓名、邮箱、账户状态等）的文本文件，以及一张疑似内部控制面板的截图，并声称曾与Vercel联系提出约200万美元的赎金要求。截至目前，攻击者真实身份尚未确认，Vercel未正面回应赎金谈判传闻，但表示服务运行平稳，未发现大规模数据外泄迹象。

消息来源：安全内参 https://www.secrss.com/articles/89586

法国国家身份系统ANTS遭网络攻击，1900万公民数据疑似泄露

Security Affairs 报道，法国负责身份证、护照、驾照等安全证件管理的国家机构ANTS官网于4月15日遭网络攻击，疑似发生大规模数据泄露，涉事数据规模最高达1900万条。
法国内政部已确认事件成立，泄露数据包含公民全名、电子邮箱、手机号、出生日期、出生地、住址、账户元数据等 PII 信息，未涉及证件扫描件与账户直接登录凭证。官方已通报法国数据保护机构 CNIL、检察院及国家网络安全部门，开展溯源与影响范围调查，并强化平台防护措施。黑客组织 breach3d/ExtaseHunters 在黑客论坛公开宣称窃取数据，并以私下议价方式兜售1800万至1900万条用户信息，声称数据真实未篡改，支持第三方托管交易。该数据若被滥用，可引发大规模身份盗用、金融诈骗、合成身份欺诈等长期安全风险。
目前官方尚未完全证实黑客所售数据的真实性，仅提醒用户警惕钓鱼短信、电话与邮件等后续诈骗行为。此次事件再次凸显政务身份系统作为高价值目标的安全脆弱性，对各国政务平台数据防护提出严峻挑战。

AI闯祸没人赔？保险业集体“弃保”

2026年4月16日消息，全球多家保险机构正逐步将AI生成内容相关责任，排除在网络安全险及职业过失险（E&O）之外，部分机构直接拒保AI相关业务，或大幅上调保费。业内人士透露，保险公司核心顾虑在于AI输出不可预测、推理路径不可追溯，难以评估与定价风险。这一趋势始于2025年11月，当时 AIG、Great American、W.R. Berkley 等机构已向美国监管机构申请，将聊天机器人、智能代理等AI工具相关责任排除在保单之外。
目前保险商策略分化：部分直接拒保AI相关业务，尤其是AI厂商；部分通过涨价覆盖风险；还有机构严格区分AI使用场景，仅接受治理完善、决策边界清晰、可监控可回滚的 “可控 AI” 投保，对实验性、无监管的自主AI系统则不予承保。保险公司在核保时会详细问询企业AI使用政策、流程与部署方式，企业若隐瞒AI使用情况，出险后可能被拒赔。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！