国家网信办约谈英伟达！要求说明H20芯片漏洞后门安全风险；史上最离谱的“安全漏洞”，黑客可远程控制成人玩具造成现实伤害

2025-07-31 14:35 北京

牛览网络安全全球资讯，洞察行业发展前沿态势！

新闻速览

国家网信办约谈英伟达！要求说明H20算力芯片漏洞后门安全风险

“清朗·成都世运会网络环境整治”专项行动开展启动

《民航领域数据分类分级要求》等两项数据安全行业标准发布，8月1日施行

澳大利亚将全面禁止16岁以下青少年注册使用社交媒体

OWASP 发布首份Agentic AI安全应用指导

字节跳动旗下AI编程工具涉嫌“偷跑”用户数据，官方回应来了

微博客户端Bug导致苹果中国官方支持账号闹出“大乌龙”

“海莲花”APT组织利用Python官方软件仓库PyPI发起定向“投毒”攻击

史上最离谱的“安全漏洞”，黑客可远程控制成人玩具造成现实伤害

大华IP摄像头曝高危漏洞：缓冲区溢出缺陷可导致远程代码执行

供应链安全风险再现！诺基亚超 9.45 万员工数据因承包商系统漏洞泄露

特别关注

国家网信办约谈英伟达！要求说明H20算力芯片漏洞后门安全风险

近日，英伟达算力芯片被曝出存在严重安全问题。此前，美议员呼吁要求美出口的先进芯片必须配备“追踪定位”功能。美人工智能领域专家透露，英伟达算力芯片“追踪定位”“远程关闭”技术已成熟。为维护中国用户网络安全、数据安全，依据《网络安全法》《数据安全法》《个人信息保护法》有关规定，国家互联网信息办公室于2025年7月31日约谈了英伟达公司，要求英伟达公司就对华销售的H20算力芯片漏洞后门安全风险问题进行说明并提交相关证明材料。

原文链接：

https://mp.weixin.qq.com/s/4SfjclOEbZOcus-TXc0KUw

“清朗·成都世运会网络环境整治”专项行动开展启动

7月31日，中央网信办秘书局发布通知，为做好成都世运会保障工作，决定自8月1日起开展为期20天的“清朗·成都世运会网络环境整治”专项行动。专项行动围绕世运会举办，集中整治以下6类突出问题：

（一）散布涉世运会及相关地区公共政策、社会民生领域虚假信息，捏造可能引起恐慌的灾难事故、违法犯罪、食品产品质量问题等谣言，特别是在权威辟谣信息发布后仍大肆造谣传谣的行为。

（二）发布有关人群、地域歧视的信息，煽动群体对立，恶意损害举办城市及相关地区形象等。

（三）未经许可擅自开展涉世运会相关互联网新闻信息服务活动；利用人工智能技术制作和发布有关虚假赛事视频。

（四）使用相同或者相似名称、域名、标识、页面等，假冒仿冒世运会的网站、移动应用程序、快应用、小程序；在账号名称、头像、简介、直播间或短视频背景等环节假冒仿冒相关地区官方机构、新闻媒体等。

（五）组织“人肉搜索”，故意泄露运动员、裁判员、教练员等个人隐私信息，诱导实施网络暴力；实施拉踩引战、互撕谩骂等体育饭圈不良行为，影响运动员备战和赛事举办。

（六）片面、歪曲传播突发事件信息，假冒当事人或相关人员身份发声，关联翻炒旧闻旧事。

原文链接：

https://mp.weixin.qq.com/s/kyz1svMpjf67mcgTyQ81rw

《民航领域数据分类分级要求》等两项数据安全行业标准发布，8月1日施行

近日，中国民用航空局正式发布了《民航领域数据分类分级要求》（MH/T 3039 - 2025）与《民用航空数据安全监测预警技术要求》（MH/T 3038 - 2025）两项行业标准，并将于2025年8月1日起正式实施。这两份标准紧密围绕民航领域数据安全，从数据分类分级的基础规范到数据安全监测预警的技术操作，构建起较为完善的防护体系，为行业数据处理者提供了全面、细致且具有实操性的指导，对于推动民航行业数字化转型、保障数据安全、维护行业稳定发展具有重要意义。

参考链接：

https://mp.weixin.qq.com/s/ZhXdds_yuXm2QVeMXMx2FQ

热点观察

澳大利亚将全面禁止16岁以下青少年注册使用社交媒体

日前，澳大利亚政府已确认将YouTube等一批社交媒体纳入针对16岁以下青少年的社交媒体禁令范围。该禁令将于2025年12月10日生效。此前，YouTube等部分社交媒体平台因被视为“视频分享平台”而在去年立法时被被认定为"教育工具"而暂时豁免。

根据新规，Facebook、Instagram、Snapchat、TikTok、X及YouTube等平台若未能阻止16岁以下用户注册或使用账户，最高将面临4950万澳元罚款。（约合2.31亿元人民币）。

参考链接：

https://mp.weixin.qq.com/s/Sk-htXt8DatNOrLQ25Z-AQ

OWASP 发布首份Agentic AI安全应用指导

7 月 28 日，开放全球应用安全项目（OWASP）发布了首份《Securing Agentic Applications Guide v1.0》，为Agentic AI（自主智能体）的安全应用提供全面指导。

当前，Agentic AI凭借高度自主性、跨工具数据传递能力及动态适应等特性，在企业中应用激增，但缺乏安全监督的特性容易引发代码注入、系统配置等安全隐患，还可能被用于自动化网络攻击。作为首个针对 Agentic AI 的开源安全指导，可为开发者和防护者提供可操作方案，以应对这一新兴技术的独特安全挑战。

该指南覆盖智能体全生命周期安全，核心包括：架构中嵌入权限与认证控制；设计阶段防范模型操纵；采用 OAuth 2.0、加密等增强措施；管控与 API、数据库的连接风险；扫描第三方代码漏洞；定期红队演练；强化部署与运行时安全（如沙箱、行为监控）。

参考链接：

https://www.infosecurity-magazine.com/news/owasp-agentic-ai-security-guidance/

字节跳动旗下AI编程工具涉嫌“偷跑”用户数据，官方回应来了

近日，有开发者在 GitHub 上公开警告称，字节跳动旗下 AI 编程工具 Trae IDE 会在用户未明确知情的情况下，将数据上传至字节服务器的行为，即便用户已在设置中手动关闭遥测（Telemetry）功能。

针对用户反馈的数据上传问题，字节跳动官方回应称：“为持续优化产品体验，Trae 与业内通行做法类似，采集部分非敏感的统计数据和性能指标，不涉及用户个人身份或隐私信息。所有数据的使用严格限定于产品性能分析与功能优化，并遵循相关地区的数据保护法规。Trae 自身的遥测机制并不依赖该开关，但可能造成用户关闭遥测但仍上传数据的误解，团队将尽快优化以避免混淆。”

参考链接：

https://mp.weixin.qq.com/s/260dVusUP5v9yHYRqxdH-g

微博客户端Bug导致苹果中国官方支持账号闹出“大乌龙”

7 月 30 日，有网友发现，苹果的官方微博账号 @Apple支持闹出了一个乌龙事件，意外地为竞争对手三星的 Galaxy Z Flip7 手机做了免费宣传。网上截图显示该账号在微博上发布了一则消息，配文是介绍苹果设备的家长控制功能，但是下面配的视频却是三星 Galaxy Z Flip7 的宣传视频。

随后事情迅速发酵，“苹果官方闹乌龙”词条一度冲上热搜。其他网友再去 @Apple支持账户那里看发现配文的视频已经变回苹果公司自己的内容。因此网友误以为是苹果已经将其删除并重新发布，但@Apple支持后台数据显示其当天并没有删除过微博，而网友截图的那条微博也没有二次编辑。实际上，该乌龙其实可能是因为微博客户端自身的bug，导致某条微博的文案与视频错位。

苹果官方表示，目前正与微博沟通，以调查此事的发生原因。

参考链接：

https://mp.weixin.qq.com/s/Mfu6_UaMEV88TEOovpHneQ

网络攻击

“海莲花”APT组织利用Python官方软件仓库PyPI发起定向“投毒”攻击

近日，国资国企在线监管安全运营中心（以下简称“安全运营中心”）监测发现APT组织“海莲花”针对Python官方软件仓库——PyPI（Python Package Index）平台“投毒”事件。该组织利用PyPI平台高开放性、高可信性及开发者高依赖性，通过仿冒合法软件模块投递后门程序。

经安全运营中心研判，“海莲花”APT组织策划利用PyPI“投毒”并通过第三方聊天软件Zulipchat来实施C2通信的攻击活动，其恶意载荷的执行方式依旧为该组织惯用的“白加黑”加载手法，相关活动最早从4月份进入测试阶段，并在7月中旬正式投入了使用，从当前投毒仓库的更新情况来看，后续“海莲花”组织可能还会利用这一手段进行进一步的钓鱼和供应链攻击。

参考链接：

https://mp.weixin.qq.com/s/t6ChhMWYqQg4qVMw0wJTrw

史上最离谱的“安全漏洞”曝光，黑客可远程控制成人玩具造成现实伤害

据外媒 TechCrunch 报道，安全研究员 BobDaHacker 日前公开了新加坡成人用品制造商 Lovense 的一个高危安全漏洞，可让攻击者远程控制其生产的部分成人玩具并造成现实世界危害。

BobDaHacker 表示，在使用 Lovense 的 App 时发现了其存在的漏洞，这个漏洞看上去较为低级，任何使用网络分析工具的用户都可以看到与之交互的用户的电子邮件地址（不需要添加好友）。黑客在拿到电子邮箱地址后，借助漏洞即可创建身份验证令牌，不需要密码或其他验证方式即可直接访问 Lovense 账户，进而远程控制成人用品，这可能在现实世界中造成实质性伤害。

参考链接：

https://www.ithome.com/0/871/836.htm

大华IP摄像头曝高危漏洞：缓冲区溢出缺陷可导致远程代码执行

大华科技近日发布安全公告，针对其IP摄像头产品线中两个高危漏洞进行修复。这两个漏洞编号为CVE-2025-31700和CVE-2025-31701（CVSS评分均为8.1），均由缓冲区溢出（buffer overflow）缺陷引发，远程攻击者可利用这些漏洞导致设备崩溃或执行任意代码。

根据研究团队的报告，攻击者通过向受影响设备发送特制恶意数据包即可触发漏洞。缓冲区溢出可能造成服务中断，严重情况下甚至会导致远程代码执行（RCE）。目前，大华科技已发布修复缓冲区溢出问题的固件更新，并建议客户：

立即访问大华下载中心获取最新固件

联系当地技术支持团队协助安装补丁

升级至2025年4月16日后编译的固件版本

参考链接：

https://mp.weixin.qq.com/s/IBRzPmOcKeZql9mp9__oJA

供应链安全风险再现！诺基亚超 9.45 万员工数据因承包商系统漏洞泄露

近日，名为 tsar 0 byte 的威胁行为者宣称，通过利用第三方承包商系统的漏洞，成功侵入诺基亚内部网络，致使超 9.45 万名员工的敏感数据面临风险。此次泄露的数据极为全面，囊括员工详尽信息、内部系统登录凭证、企业核心源代码，以及各类关键技术文档等。