• 国家网信办正式开展个人信息保护负责人信息报送工作

• 江西网警查处两起网站运营者不履行网络信息安全管理义务违法案件

• 欧盟新人工智能法案 8 月生效，AI大模型面临合规考验

• 火绒安全：微信 Windows客户端3.9及以下版本存在远程代码执行漏洞

• 蔚来汽车法务部回应“举报截图”，系利用AI技术虚假生成

• 微软SharePoint服务器爆严重安全缺陷，官方补丁仍未发布

• 钓鱼攻击新手法，针对FIDO2多因素认证进行降级攻击

• 新型恶意二维码攻击风险正快速上升

• 攻击者利用热门开发工具包应用程序漏洞发起恶意攻击

• 马斯克宣布将推出儿童版 AI 应用「Baby Grok」

• OpenAI即将发布GPT-5，引入新的训练方法和数据集

根据《个人信息保护法》《个人信息保护合规审计管理办法》等法律法规规章规定，国家互联网信息办公室7月18日就开展个人信息保护负责人信息报送工作有关事项进行了公告：

一、信息报送要求

根据《个人信息保护法》第五十二条、《个人信息保护合规审计管理办法》第十二条规定，处理100万人以上个人信息的个人信息处理者，应当向所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。

二、信息报送时间

（一）自本公告发布之日起，个人信息处理者处理个人信息达到100万人的，应当自数量达到之日起30个工作日内完成信息报送。

（二）本公告发布前，个人信息处理者处理个人信息数量已经达到100万人的，应当在2025年8月29日前完成信息报送。

（三）报送信息发生实质性变更的，应当在变更之日起30个工作日内办理信息变更手续。

三、信息报送方式

个人信息保护负责人信息报送工作采用线上方式。请直接访问“个人信息保护业务系统”（https://grxxbh.cacdtsc.cn），按照系统首页提供的《个人信息保护负责人信息报送系统填报说明（第一版）》，准备相关材料并履行信息报送手续，也可从中国网信网（https://www.cac.gov.cn）首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。

四、法律责任

未按照《个人信息保护法》《个人信息保护合规审计管理办法》等法律法规规章的规定履行信息报送手续的，依照有关法律法规规章的规定处理。

原文链接：

https://mp.weixin.qq.com/s/DTM9QMXH6u11CnH9LYG-lA

今年以来，江西公安网安部门持续开展“护网-2025”专项工作，快速查处两起网站运营者不履行网络信息安全管理义务案，及时消除不良社会影响，切实维护网络空间秩序。

案件一：近日，宜春奉新网警在工作中发现，某公司“AI智能聊天机器人”未对生成内容进行审核，导致出现违法信息，严重危害网络秩序，极易造成社会负面影响。

案件二：近日，宜春宜丰网警在工作中发现，某网站负责人龚某自注册网站以来，未履行内容审核机制，致使该网站发布违法信息，严重扰乱网络空间，造成社会负面影响。

发现该违法行为后，公安机关迅速对涉事网站负责人依法进行约谈，对其不履行网络信息安全管理义务的违法行为作出行政处罚，并责令相关网站限期整改。网警郑重提醒，广大网络运营者必须严格落实主体责任，加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散。

原文链接：

https://mp.weixin.qq.com/s/Tqy4NfFsSrpS8aU3D5yMNQ

欧盟《人工智能法案》（EU AI Act）即将于 8 月 2 日起对生成式 AI 模型生效，该法案旨在规范 AI 技术，确保其安全、透明并尊重人权。此前，众多欧盟国家和行业呼吁 “暂停时钟”，延迟法案实施，理由是重要指导方针、标准和合规工具尚未准备就绪。不过，欧盟委员会发言人明确表示，针对生成式 AI 模型的法律截止日期不会变动，不存在 “暂停时钟”“宽限期” 或 “暂停” 的情况。虽然 AI 委员会正讨论给予签署方 “宽限期”，但这仅适用于自愿性的行为准则，AI 法案的相关规则仍于 8 月 2 日生效。

另外，欧盟委员会针对 GPAI 规则的指南草案中，已包含一年的合规宽限期，这意味着监管机构实际将于 2026 年 8 月 2 日开始执行相关规则，而对于 2025 年 8 月 2 日之前已上市的模型，法案则从 2027 年 8 月 2 日起适用。

原文链接：

https://www.techrepublic.com/article/news-eu-ai-act-explorer-guide/

近日，“火绒安全”公众号曝光并复现一个微信Windows客户端漏洞，该漏洞可使攻击者执行远程代码。微信Windows客户端3.9及以下版本均存在此问题，建议用户从微信官网下载升级至微信Windows客户端 4.0或更高版本。

据介绍，该漏洞具体技术原理为“微信客户端在处理聊天记录中的文件自动下载时，未对文件路径进行充分的校验和过滤”，可由“目录穿越”漏洞链与“远程代码执行（RCE）”组合触发。具体操作方面，黑客可向受害者发送包含恶意文件的聊天消息，当被受害者在微信中点击聊天记录时，恶意文件便会自动下载并被复制到受害者系统启动目录。之后黑客可利用目录穿越技术绕过微信安全限制，将恶意代码植入到 Windows 系统的关键目录中，实现开机自启动。受害者重启设备后，黑客即可通过该文件对受害者环境执行任意远程代码。

原文链接：

https://mp.weixin.qq.com/s/T6fCgPhradMR60CihqSD9g

7月19日，蔚来法务部发布声明，对近期网络恶意造谣事件作出回应：网传“乐道汽车员工参与黑公关”、“蔚来雇水军攻击友商”等内容，均为虚假信息，严重损害我司及员工声誉。所谓“举报截图”显示的“虚拟货币交易细节”、“证据材料”等，经核实系利用AI技术生成的虚假文件，属蓄意造谣，包括“阿文鉴机”在内的部分账号，在未核实内容真实性的情况下，传播了上述谣言。面对上述恶意伪造攻击行为，蔚来汽车已经迅速报案并启动法律程序。

此前，蔚来CEO李斌曾称每月遭水军攻击费用3000万 - 5000万，尽管蔚来法务部悬赏百万征集黑公关线索，并持续封禁造谣账号，但面对高额攻击资金，反击效果有限。

参考链接：

https://mp.weixin.qq.com/s/UM70ttUwDcON9NjpuI0U7w

近期，网络安全专家发现微软SharePoint服务器中存在一个严重的零日漏洞（CVE-2025-53770），该漏洞允许攻击者在未授权的情况下执行任意代码。此漏洞目前尚无官方补丁可供修复，给企业和组织的安全带来了重大风险。

根据安全研究人员的分析，攻击者可以利用该漏洞通过特制的请求来获取对受影响系统的完全控制。这种攻击方式不仅影响了SharePoint服务器的正常运行，还可能导致敏感数据的泄露。受影响的版本包括SharePoint Server 2019、SharePoint Server 2016和SharePoint Server 2013。

为了应对这一威胁，安全专家建议企业应采取紧急措施，包括限制对SharePoint服务器的访问、加强网络监控以及实施入侵检测系统。此外，组织还应更新其安全策略，以应对不断变化的网络威胁。

原文链接：

https://www.helpnetsecurity.com/2025/07/20/microsoft-sharepoint-servers-under-attack-via-zero-day-vulnerability-with-no-patch-cve-2025-53770/

研究人员近日发现了一种名为“PoisonSeed”的钓鱼攻击新手法，主要针对FIDO2多因素认证（MFA）进行降级攻击。攻击者通过伪造的登录页面诱使用户输入其凭证，从而绕过FIDO2的安全保护。

FIDO2是一种基于公钥的身份验证标准，旨在提供更强的安全性，尤其是在抵御钓鱼攻击方面。然而，PoisonSeed攻击利用了用户对FIDO2的信任，攻击者通过发送伪造的电子邮件，诱导用户访问恶意网站并输入其FIDO2设备生成的验证码，攻击者则可以利用这些信息进行身份盗用。

研究人员指出，PoisonSeed攻击的关键在于其能够有效地降低FIDO2的安全性，攻击者通过操控用户的行为，使得原本安全的认证过程变得脆弱。为了防范此类攻击，专家建议用户在输入敏感信息时，务必仔细检查网站的URL，并启用浏览器的安全警告功能。

原文链接：

https://www.bleepingcomputer.com/news/security/threat-actors-downgrade-fido2-mfa-auth-in-poisonseed-phishing-attack/

近期，网络安全领域出现了一种新型的二维码攻击，攻击者通过PDF文件传播恶意二维码，诱使用户扫描，从而窃取敏感信息。这种攻击方式利用了用户对二维码的信任，尤其是在移动设备上，用户往往不会对二维码的来源进行仔细检查。

研究人员指出，这种攻击的关键在于PDF文件的构造。攻击者可以在PDF中嵌入看似无害的二维码，用户在扫描后可能会被重定向到恶意网站，或下载恶意软件。此类攻击的隐蔽性使得用户难以察觉，尤其是在缺乏安全意识的情况下。

根据网络安全专家的分析，攻击者通常会利用社交工程手段，伪装成合法机构或服务，增加用户的信任度。此外，攻击者还可能通过电子邮件、社交媒体等渠道传播这些PDF文件，进一步扩大攻击范围。研究显示，随着二维码的普及，这种新兴恶意二维码攻击方式的风险也在不断上升。

原文链接：

https://cybersecuritynews.com/new-qr-code-attack-via-pdfs/

近期，安全研究人员通过网络空间搜索引擎（如 GreyNoise、Onyphe 和 Fofa）监测发现，威胁行为者正积极利用那些整合了存在漏洞的 Spring Boot 开发工具包（DevTools）发起网络攻击活动。Spring Boot DevTools 旨在提升开发效率，像实现代码修改后的快速重启等，但其中存在的安全漏洞却被攻击者盯上。

受影响的主要是使用了特定旧版本 Spring Boot DevTools 的 Java 应用。攻击者利用其中漏洞，可实现远程代码执行等恶意操作，严重威胁应用数据安全与系统稳定。例如，攻击者能通过构造特殊请求，突破应用安全防护，获取敏感信息甚至完全控制应用。目前，安全专家已发出警告，建议开发者尽快检查应用所使用的 Spring Boot DevTools 版本。同时加强网络监测，及时发现并阻止异常扫描行为。

原文链接：

https://www.csoonline.com/article/4025117/threat-actors-scanning-for-apps-incorporating-vulnerable-spring-boot-tool.html

7 月 20 日，马斯克在社交平台宣布，其人工智能公司 xAI 将开发一款专为儿童设计的应用“Baby Grok”，该应用将为儿童提供“友好型内容”。从公开信息来看，xAI目前并未披露Baby Grok的技术细节或发布时间。但儿童AI领域的监管要求极高，尤其在欧美市场。《儿童在线隐私保护法案》（COPPA）等法规明确规定，产品需对13岁以下用户提供特别保护，包括数据采集限制、内容过滤与家长控制。在这一领域，已有不少科技巨头踩过坑。2023年，YouTube因儿童数据收集问题被罚1.7亿美元。Meta则因青少年心理健康风波面临多州联合调查。xAI 作为一新兴的AI智能公司，要想在这块市场站稳脚跟，不仅需要技术过硬，更需要极高的合规意识。

原文链接：

https://mp.weixin.qq.com/s/YSGldo8vRFbZ15DG8_8onA

近日，关于OpenAI即将推出的GPT-5模型的消息引起了广泛关注。根据最新的报道，GPT-5的“推理Alpha”模型已经在多个平台上被发现，预示着其即将发布。该模型在推理能力和生成文本的质量上有显著提升，可能会在多个应用场景中展现出更强的智能。

GPT-5的推理Alpha模型在处理复杂问题时表现出色，能够更好地理解上下文并生成更为连贯的回答。这一进步得益于OpenAI在深度学习和自然语言处理领域的持续创新。根据内部测试数据，GPT-5在多个基准测试中超越了其前身GPT-4，尤其是在逻辑推理和多轮对话的能力上。

此外，GPT-5还引入了新的训练方法和更大规模的数据集，使其在理解和生成自然语言方面的能力得到了显著增强。专家们预测，这一模型的发布将对教育、客服和内容创作等多个行业产生深远影响。

原文链接：

https://www.bleepingcomputer.com/news/artificial-intelligence/chatgpts-gpt-5-reasoning-alpha-model-spotted-ahead-of-launch/