人工智能安全与数据合规引发今日热议

🏛️ 数据安全早知道 2026年06月22日 · 周一 📑 Vol.266 🔒 数据安全 🛡️ 信息安全 4 监管动态 3 安全事件 3 漏洞预警 2 风险提示 📋 本期要闻速览 ▸国家网信办发布分布式数字身份及网络安全标识产品目录两项重磅征求意见 ▸金监总局发布银行业保险业AI安全开发应用指导意见 ▸供应商泄露千万用户数据，甲方赔偿超2.3亿元 ▸Solon框架及Mongoose等多款组件曝高危漏洞 ▸特朗普签署AI国安备忘录，重塑军情AI应用体系 📋 监管动态 4条 国家网信办就《促进分布式数字身份互通互认应用规定》公开征求意见 政策 为促进分布式数字身份创新发展和互通互认应用，建立健全分布式数字身份公共服务体系，支撑国家区块链网络基础共性服务能力建设，国家网信办会同有关部门起草了《促进分布式数字身份互通互认应用规定（征求意见稿）》，现向社会公开征求意见。该规定旨在规范分布式数字身份的应用，推动其在各行业的合规落地，对于构建可信数字身份体系具有重要指导意义。 📎 安全内参 · 2026-06-22 国家网信办印发《实施网络安全标识的产品目录（第一批）》及实施规则 政策 国家互联网信息办公室、工业和信息化部、公安部联合制定了《实施网络安全标识的产品目录（第一批）》及相关实施规则。该目录依据《网络安全标识管理办法》制定，明确了首批需要实施网络安全标识的产品范围。此举将推动网络安全标识制度的落地，提升网络产品的安全可信水平，相关企业需密切关注目录内容，确保产品合规。 📎 安全内参 · 2026-06-22 国家网信办等三部门联合公布《网络数据安全风险评估办法》 政策 国家网信办等三部门联合公布《网络数据安全风险评估办法》。办法明确，鼓励相关评估机构通过认证，评估机构需对出具的风险评估报告的真实性、有效性、完整性负责，且不得转委托其他机构开展风险评估。该办法为数据安全风险评估工作提供了明确的法规依据和操作规范，对数据处理者和评估机构均提出了严格要求。 📎 安全内参 · 2026-06-22 国办发文：加强监管防范风险，促进私募投资基金高质量发展 政策 国务院办公厅发布指导意见，要求做好私募投资基金加强监管、防范风险工作，促进私募基金高质量发展。意见强调要落实中央金融工作会议部署，走好中国特色金融发展之路。该意见虽非直接针对网络安全，但其中关于数据安全、风险防控的要求，对涉及金融数据处理的私募机构具有重要合规指导意义。 📎 中国政府网 · 2026-06-22 · · · 🚨 安全事件 3条 国家金监总局发布《关于银行业保险业人工智能安全开发应用的指导意见》 高 国家金融监督管理总局发布《指导意见》，要求开发应用人工智能的银行业保险业金融机构统筹发展和安全，推动人工智能应用合规、透明、可信赖，加强分类分级管理，有效应对人工智能发展带来的风险挑战。该意见是金融行业首个针对AI安全开发的系统性指导文件，将对金融机构的AI模型开发、数据治理、风险管控产生深远影响。 📎 安全内参 · 2026-06-22 供应商泄露上千万用户数据，甲方赔偿超2.3亿元 紧急 一起因供应商泄露上千万用户数据引发的数据安全事件中，甲方企业最终承担了超过2.3亿元的巨额赔偿。该事件凸显了供应链数据安全管理的严峻性，甲方企业因对第三方供应商的数据安全管控不力而付出高昂代价。此案例为所有依赖第三方服务的企业敲响了警钟，必须将供应链数据安全纳入核心风险管理体系。 📎 安全内参 · 2026-06-22 特朗普签署AI国安备忘录，重塑AI军情运用体系 高 美国总统特朗普签署AI国家安全备忘录，旨在重塑AI在国防与情报领域的运用体系，强调采纳、适配、可靠与问责四大原则。备忘录承认了美国防务和情报系统对Anthropic等AI公司的依赖，并探讨了如何在封禁与利用之间寻求平衡。此举标志着美国将AI安全与国家安全深度绑定，将对全球AI治理格局产生重要影响。 📎 安全内参 · 2026-06-22 · · · 🔓 漏洞预警 3条 Solon框架模板漏洞深度剖析与修复实战 高 Solon，一个轻量级Java应用开发框架，被曝存在模板处理漏洞。该漏洞源于其灵活的渲染器映射机制，攻击者可利用此漏洞在特定条件下执行恶意操作。受影响版本广泛，使用Beetl、FreeMarker、Velocity等模板引擎的Solon应用均可能面临风险。建议开发者立即检查并更新至修复版本，或采取临时缓解措施。 📎 安全脉搏 · 2026-06-22 Mongoose搜索注入漏洞分析 高 Mongoose，一个流行的Node.js MongoDB对象建模工具，被曝存在搜索注入漏洞。漏洞根因在于对$where运算符的使用不当，攻击者可通过精心构造的查询条件实现注入攻击，可能导致数据泄露或未授权操作。所有使用Mongoose并允许用户输入参与查询构建的应用均受影响。建议开发者严格过滤用户输入，避免直接使用$where。 📎 安全脉搏 · 2026-06-22 Apache Calcite Avatica远程代码执行漏洞（CVE-2022-36364） 紧急 Apache Calcite Avatica JDBC驱动程序被曝存在远程代码执行漏洞（CVE-2022-36364）。攻击者可通过httpclient_impl连接属性提供恶意类名，触发远程代码执行。该漏洞影响范围广，利用难度低，可导致服务器被完全控制。建议所有使用受影响版本的组织立即升级到修复版本，并检查系统是否存在被利用痕迹。 📎 安全脉搏 · 2026-06-22 · · · ⚠️ 风险提示 2条 算力互联网安全风险与治理路径研究 中 中国信通院发布研究报告，系统分析了算力互联网面临的安全风险与治理路径。研究指出，随着算力网络的规模化发展，其面临的安全挑战日益严峻，包括算力调度安全、数据流转安全、多租户隔离风险等。报告建议构建覆盖算力、网络、数据、应用的全栈安全防护体系，并推动相关标准与评估体系建设。 📎 安全内参 · 2026-06-22 美商务部发布车联网供应链最新“白名单”与豁免规则 高 美国商务部发布车联网供应链新规，首次建立“合规白名单”供应商登记机制（Approved Supplier Registry）。根据《第3号通用授权》，车载连接系统硬件或受控软件及其供应商需共同列入该登记册方可获得豁免。此举将对中国车联网企业进入美国市场构成新的合规壁垒，相关企业需密切关注白名单动态并调整供应链策略。 📎 安全内参 · 2026-06-22 · · · ✅ 安全建议 5条 1 紧急：针对Apache Calcite Avatica远程代码执行漏洞（CVE-2022-36364），建议所有使用受影响版本的组织立即升级到修复版本，并排查系统日志中是否存在异常连接请求。 2 紧急：鉴于供应商泄露千万用户数据导致甲方赔偿超2.3亿元的案例，建议所有依赖第三方服务的企业立即开展供应链数据安全专项审计，重点核查供应商的数据处理权限与安全管控措施。 3 重要：针对Solon框架和Mongoose的漏洞，建议开发团队立即检查应用依赖版本，并实施输入过滤等临时缓解措施，同时关注官方补丁发布动态。 4 重要：建议金融行业机构立即组织学习金监总局发布的AI安全开发应用指导意见，对照开展AI模型与数据治理的合规差距分析。 5 建议：建议车联网企业密切关注美国商务部新发布的供应链白名单规则，评估其对现有供应链布局的潜在影响，并提前规划合规路径。 📰 数据安全早知道 数据