新聞速覽

• 2025年網(wǎng)絡(luò)犯罪損失將破10萬億美元，AI成雙刃劍

• 虛假低俗視頻借AI擴(kuò)散，制作者落網(wǎng)

• 迪士尼控告Google AI大規(guī)模侵權(quán)

• 美多部門聯(lián)合預(yù)警：警惕“蠻力式”O(jiān)T入侵

• 德國落地NIS2法案：4,300家機(jī)構(gòu)納入強監(jiān)管

• 超萬鏡像泄密！Docker Hub成AI密鑰“泄露重災(zāi)區(qū)”

• CTERA推AI驅(qū)動勒索防護(hù)方案，準(zhǔn)確率超97%

• Gladinet產(chǎn)品硬編碼密鑰漏洞遭利用:已有9家機(jī)構(gòu)受影響

• 美國2026財年網(wǎng)絡(luò)安全預(yù)算呈現(xiàn)“軍升民降”反差

• NSA聯(lián)合多國發(fā)布AI-OT集成安全原則,強調(diào)人機(jī)協(xié)同與故障安全

熱點觀察

2025年網(wǎng)絡(luò)犯罪損失將破10萬億美元，AI成雙刃劍

據(jù)Cybersecurity Ventures最新發(fā)布的《2025年網(wǎng)絡(luò)安全年鑒》，全球網(wǎng)絡(luò)犯罪造成的經(jīng)濟(jì)損失預(yù)計將在2025年達(dá)到10.5萬億美元，較2021年翻倍。報告指出，勒索軟件、AI驅(qū)動的攻擊和供應(yīng)鏈漏洞是三大主要威脅。其中，勒索軟件攻擊頻率每11秒發(fā)生一次，而AI被濫用于生成深度偽造（deepfake）和自動化釣魚攻擊，顯著提升了攻擊效率。此外，全球網(wǎng)絡(luò)安全人才缺口仍高達(dá)340萬人，加劇了防御難度。報告強調(diào)，企業(yè)需加強零信任架構(gòu)部署，并加大對威脅情報與自動化響應(yīng)系統(tǒng)的投入。

https://cybersecurityventures.com/cybersecurity-almanac-2025/

美多部門聯(lián)合預(yù)警：警惕“蠻力式”O(jiān)T入侵

2025年12月9日，F(xiàn)BI、CISA與NSA聯(lián)合發(fā)布網(wǎng)絡(luò)安全公告，警告親俄黑客組織正利用暴露在公網(wǎng)的虛擬網(wǎng)絡(luò)計算（VNC）連接，對全球水處理、能源及食品生產(chǎn)等關(guān)鍵基礎(chǔ)設(shè)施發(fā)動低技術(shù)但高破壞性的攻擊。這些組織如Cyber Army of Russia Reborn（CARR）、NoName057(16)、Z-Pentest和Sector16，雖缺乏高級持續(xù)性威脅（APT）的精密手段，卻通過弱密碼的工業(yè)人機(jī)界面（HMI）隨意篡改設(shè)備參數(shù)、關(guān)閉警報，造成“失視”狀態(tài)，引發(fā)不可控物理后果。美網(wǎng)絡(luò)安全機(jī)構(gòu)強調(diào)，首要防御措施是減少運營技術(shù)（OT）資產(chǎn)對公網(wǎng)的暴露，并強化認(rèn)證機(jī)制與離線邏輯備份。

https://securityonline.info/fbi-cisa-warn-pro-russia-hacktivists-target-critical-infrastructure-via-unsecured-vnc-hmis/

AI攻擊推高運營成本，小企業(yè)陷“安全—生存”兩難

根據(jù)Infosecurity Magazine 2025年12月11日報道，美國Identity Theft Resource Center（ITRC）最新《2025商業(yè)影響報告》顯示，81%的員工少于500人的中小企業(yè)在過去一年遭遇數(shù)據(jù)或安全 breaches。其中38%的企業(yè)因此提高產(chǎn)品或服務(wù)價格，形成所謂“網(wǎng)絡(luò)稅”（cyber tax）。ITRC總裁James Lee指出，這種隱性成本正加劇通脹，并對資源有限的小企業(yè)造成不成比例的負(fù)擔(dān)。在攻擊手法方面，41%的受害者歸因于AI驅(qū)動攻擊，如深度偽造音視頻、高仿真釣魚郵件和自動化偵察；其余則來自外部威脅者（43%）和惡意內(nèi)部人員（42%）。盡管企業(yè)對自身網(wǎng)絡(luò)安全準(zhǔn)備度的信心下降，多因素認(rèn)證（MFA）部署率卻從34%降至27%，安全工具投入亦減少15%。ITRC建議聚焦“人員、流程與技術(shù)”三位一體防御：加強識別AI生成內(nèi)容的培訓(xùn)、實施敏感操作的帶外驗證、部署基于行為分析的AI防護(hù)系統(tǒng)。

https://www.infosecurity-magazine.com/news/twofifths-smbs-raise-prices-after/

超萬鏡像泄密！Docker Hub成AI密鑰“泄露重災(zāi)區(qū)”

網(wǎng)絡(luò)安全公司Flare于2025年12月10日發(fā)布報告稱，其在11月對Docker Hub的掃描發(fā)現(xiàn)10456個容器鏡像泄露敏感密鑰，涉及101家企業(yè)，包括一家財富500強及十余家金融機(jī)構(gòu)。泄露內(nèi)容中，AI平臺訪問令牌（如OpenAI、HuggingFace、Anthropic）占比最高，達(dá)4000個；42%的問題鏡像包含五個以上密鑰，可能使攻擊者獲得云環(huán)境、代碼庫及支付系統(tǒng)的完全控制權(quán)。主要泄露原因包括將.env文件或硬編碼的API密鑰直接嵌入鏡像，且多源于未受監(jiān)管的“影子IT”賬戶。更嚴(yán)重的是，75%的案例在刪除密鑰后未執(zhí)行撤銷操作，導(dǎo)致憑證仍可被長期濫用。

https://mp.weixin.qq.com/s/SdAA8iQM0dxnUQ3aJGctOw

美國2026財年網(wǎng)絡(luò)安全預(yù)算呈現(xiàn)“軍升民降”反差

美國2026財年國防授權(quán)法案呈現(xiàn)“軍升民降”網(wǎng)絡(luò)安全預(yù)算格局。國防部申請網(wǎng)絡(luò)空間活動預(yù)算151億美元，同比增長4.1%，其中網(wǎng)絡(luò)安全91億、網(wǎng)絡(luò)空間作戰(zhàn)54億、網(wǎng)絡(luò)研發(fā)6.119億美元。重點投向零信任架構(gòu)、密碼現(xiàn)代化、國防工業(yè)基礎(chǔ)安全、人工智能賦能的網(wǎng)絡(luò)作戰(zhàn)及聯(lián)合網(wǎng)絡(luò)作戰(zhàn)架構(gòu)（JCWA）。與此同時，特朗普政府提議削減民事機(jī)構(gòu)網(wǎng)絡(luò)安全支出12.3億美元，降幅達(dá)10%，形成鮮明對比。法案還要求加強高級官員移動通信安全、制定AI/ML安全政策、建立AI沙箱環(huán)境，并規(guī)范商業(yè)間諜軟件使用。

https://www.secrss.com/articles/85963

安全事件

迪士尼控告Google AI大規(guī)模侵權(quán)

Disney于周三向Google發(fā)出停止侵權(quán)函,指控這家科技巨頭"大規(guī)模"侵犯其版權(quán)。根據(jù)Variety獲得的信函內(nèi)容,Disney聲稱Google利用AI模型和服務(wù),在商業(yè)規(guī)模上未經(jīng)授權(quán)分發(fā)其角色圖像和視頻。

信函指出,Google的運作如同"虛擬自動販賣機(jī)",能夠大規(guī)模復(fù)制、渲染和分發(fā)Disney寶貴的版權(quán)角色庫。更嚴(yán)重的是,許多由Google AI服務(wù)生成的侵權(quán)圖像帶有Gemini標(biāo)識,誤導(dǎo)公眾認(rèn)為這種對Disney知識產(chǎn)權(quán)的利用已獲授權(quán)。

涉及的版權(quán)內(nèi)容包括《冰雪奇緣》《獅子王》《海洋奇緣》《小美人魚》《死侍》等作品角色。Google發(fā)言人表示將與Disney"接洽",強調(diào)雙方有著長期互利關(guān)系,并稱Google使用公開網(wǎng)絡(luò)數(shù)據(jù)訓(xùn)練AI,已建立Google-extended和YouTube Content ID等版權(quán)控制工具。

值得注意的是,同日Disney與OpenAI簽署了為期三年、總額10億美元的協(xié)議,將其標(biāo)志性角色引入Sora AI視頻生成器。

https://techcrunch.com/2025/12/11/disney-hits-google-with-cease-and-desist-claiming-massive-copyright-infringement/

虛假低俗視頻借AI擴(kuò)散，制作者落網(wǎng)

2025年12月11日，北京市公安機(jī)關(guān)通報一起利用AI生成并傳播虛假低俗視頻案件。違法人員李某（男，36歲）為炫耀技術(shù)，使用AI工具偽造某汽車品牌車展展臺背景的低俗視頻，并在社交平臺發(fā)布，引發(fā)大量傳播，造成惡劣社會影響。經(jīng)查，該視頻系完全由AI生成，內(nèi)容不實且具有明顯低俗導(dǎo)向。李某對其違法行為供認(rèn)不諱，已被依法處以行政拘留10日。警方強調(diào)，網(wǎng)絡(luò)空間不是法外之地，對利用AI編造、傳播虛假信息擾亂社會秩序的行為將依法嚴(yán)懲。

https://mp.weixin.qq.com/s/MGQl0JyUH1tAQWg_K-p0Wg

Gladinet產(chǎn)品硬編碼密鑰漏洞遭利用:已有9家機(jī)構(gòu)受影響

Huntress安全公司警告,Gladinet旗下CentreStack和Triofox產(chǎn)品存在一個正被積極利用的漏洞,源于硬編碼加密密鑰的使用,目前已影響9家機(jī)構(gòu)。

漏洞的核心問題出在"GladCtrl64.dll"中的"GenerateSecKey()"函數(shù),該函數(shù)用于生成加密訪問票據(jù)所需的密鑰。由于該函數(shù)始終返回相同的100字節(jié)文本字符串來派生加密密鑰,攻擊者可利用這些不變的密鑰解密或偽造訪問票據(jù),進(jìn)而訪問web.config等敏感文件,最終通過ViewState反序列化實現(xiàn)遠(yuǎn)程代碼執(zhí)行。

攻擊采用特制URL請求"/storage/filesvr.dn"端點的形式。攻擊者將用戶名和密碼字段留空,使應(yīng)用回退到IIS應(yīng)用程序池身份,并將時間戳設(shè)置為9999,創(chuàng)建永不過期的票據(jù)以反復(fù)下載服務(wù)器配置。

截至12月10日,攻擊源自IP地址147.124.216[.]205,攻擊者試圖將此新漏洞與先前披露的CVE-2025-11371結(jié)合使用。受影響機(jī)構(gòu)涵蓋醫(yī)療和科技等多個行業(yè)。

Gladinet已于2025年12月8日發(fā)布修復(fù)版本16.12.10420.56791。用戶應(yīng)立即更新,檢查日志中是否存在字符串"vghpI7EToZUDIZDdprSubL3mTZ2",并在IIS管理器中輪換機(jī)器密鑰。這是今年以來該產(chǎn)品第三個遭在野利用的漏洞。

https://thehackernews.com/2025/12/hard-coded-gladinet-keys-let-attackers.html

產(chǎn)業(yè)動態(tài)

德國落地NIS2法案：4,300家機(jī)構(gòu)納入強監(jiān)管

德國于2025年12月5日正式通過《NIS2實施法案》（NIS-2-Umsetzungsgesetz），將歐盟《NIS2指令》轉(zhuǎn)化為國內(nèi)法，大幅擴(kuò)展關(guān)鍵實體覆蓋范圍。新法適用于能源、交通、衛(wèi)生、數(shù)字基礎(chǔ)設(shè)施等13個核心領(lǐng)域，以及制造、食品、郵政等6個重要領(lǐng)域，預(yù)計影響約4,300家組織。與舊版NIS相比，NIS2顯著強化監(jiān)管：要求企業(yè)建立網(wǎng)絡(luò)安全治理架構(gòu)、72小時內(nèi)上報重大事件，并授權(quán)聯(lián)邦信息安全辦公室（BSI）對違規(guī)者處以最高達(dá)全球年營業(yè)額2%或1,000萬歐元的罰款。法案還引入“主動網(wǎng)絡(luò)防御”機(jī)制，允許BSI在緊急情況下直接干預(yù)受攻擊系統(tǒng)。該法將于2026年全面生效，標(biāo)志著德國網(wǎng)絡(luò)安全監(jiān)管進(jìn)入更嚴(yán)格、更主動的新階段。

https://cyble.com/blog/nis-2-implementation-act-germany/

NSA聯(lián)合多國發(fā)布AI-OT集成安全原則,強調(diào)人機(jī)協(xié)同與故障安全

美國國家安全局(NSA)聯(lián)合網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、澳大利亞信號局網(wǎng)絡(luò)安全中心(ASD's ACSC)等機(jī)構(gòu)發(fā)布《人工智能安全集成運營技術(shù)原則》網(wǎng)絡(luò)安全信息表。該文件針對AI與運營技術(shù)(OT)系統(tǒng)集成帶來的新興風(fēng)險,提出四大核心原則:理解AI特性、評估OT領(lǐng)域應(yīng)用場景、建立治理保障框架、嵌入安全實踐機(jī)制。

報告強調(diào)關(guān)鍵緩解措施包括:明確AI獨特風(fēng)險,僅在收益大于風(fēng)險時集成;必要時將OT數(shù)據(jù)推送至獨立AI系統(tǒng);建立包含測試監(jiān)控的清晰治理;保持人工干預(yù)機(jī)制;實施故障安全機(jī)制限制最壞場景后果。

業(yè)界專家意見分歧明顯。Bugcrowd強調(diào)漸進(jìn)式部署與認(rèn)知偏差防范;ColorTokens批評文件缺乏受損AI系統(tǒng)遏制指導(dǎo),主張采用零信任架構(gòu)作為基礎(chǔ)原則,因為OT環(huán)境平均潛伏期達(dá)237天,投毒訓(xùn)練數(shù)據(jù)或提示注入攻擊可能數(shù)月不被發(fā)現(xiàn)。Darktrace Federal支持行為分析與異常檢測的動態(tài)監(jiān)督思路,認(rèn)可對大語言模型在OT安全決策中的謹(jǐn)慎態(tài)度。Qualys和Pax8則肯定AI在威脅可視化、響應(yīng)加速方面的價值,呼吁加快AI應(yīng)用以應(yīng)對APT挑戰(zhàn)。

https://www.manufacturing.net/cybersecurity/blog/22956600/guidance-for-ai-in-ot

CTERA推AI驅(qū)動勒索防護(hù)方案，準(zhǔn)確率超97%

CTERA近日推出基于AI的新型勒索軟件防護(hù)方案Ransom Protect，通過實時行為分析與異常檢測，有效識別并阻斷如REvil、LockBit等主流勒索攻擊。在Govdocs1測試集中，該方案成功攔截24.5萬次攻擊，準(zhǔn)確率達(dá)97.72%，誤報率僅2.28%。Synergy7作為其英國合作伙伴，已部署該技術(shù)用于政府及企業(yè)客戶，實現(xiàn)數(shù)據(jù)備份與主動防御一體化。CTERA表示，Ransom Protect不僅能快速隔離受感染文件，還可自動恢復(fù)業(yè)務(wù)系統(tǒng)，顯著提升災(zāi)備效率。

https://net.zhiding.cn/network_security_zone/2025/1211/3175070.shtml