2026年7月AI与数据安全周报
以下为本周AI领域关键、热点与重要新闻,聚焦大模型竞争、智能体移动化、世界模型、AI编程与资本研判方向,共8条。
【事件】7月11日,工信部网络安全威胁与漏洞信息共享平台发出安全预警:AI编程工具Claude Code存在严重安全后门,危害等级定为“严重”。该工具可在未获用户许可的情况下,向远端服务器上传用户地域信息、身份标识等敏感数据,受影响版本为2.1.91至2.1.196。包括阿里在内的多家企业已全面停用该工具。
【值得关注】AI编程与智能体工具已深度融入企业研发流程,“后门回传”暴露了软件供应链及开发侧的数据安全盲区。使用第三方AI Coding工具的企业,应将其纳入软件供应链安全管理,重点审查工具的远程通信行为、数据流向与权限范围,防止源码、内部凭证通过工具静默外泄。
【事件】7月12日,Anthropic宣布Claude Cowork扩展至网页端与移动端,首批面向Claude Max用户开放。Claude Cowork将会话和文件保存在账户中,通过远程环境运行,即使用户关闭电脑,任务也能继续执行。同期,Cursor、OpenClaw也推出移动应用,AI Agent产品集体进入手机端管理阶段。
【值得关注】AI Agent从“在电脑前输入指令”转向“随时随地手机调度、云端异步执行”,标志着智能体产品进入移动化、常态化阶段。对企业而言,异步长任务与跨端协作将重塑办公与研发流程,也带来“谁在何时用Agent操作了哪些数据”的可审计性新要求。
【事件】7月11日,智谱创始人唐杰发布内部信《巨浪已来》,宣布启动“Touch High(摸高)计划”:未来两年不追求短期商业变现,集中资源投入长程任务能力、自治智能体系统、完全自我训练、极致安全治理四大方向。
【值得关注】头部大模型公司在融资与商业化压力并存下,选择“战略性不赚钱”押注AGI,反映行业竞争焦点正从应用层红利转向底层通用能力与安全治理的“深水区”。对产业上下游而言,这意味着基座模型的能力跃迁与开源/闭源路线分化将加速。
【事件】7月9日,智源研究院公开悟界·RoboBrain Orca技术报告,突破大模型仅预测文本、画面或动作的传统路径,率先实现对整体“世界状态”的前后演化推演,标志AI从预测“下一个词”迈向预测“下一个世界状态”。
【值得关注】世界模型被视为具身智能与自动驾驶的关键底座。能够推演“世界状态演化”的模型,可显著提升机器人在非结构化环境中的规划与决策能力,也为仿真训练、数字孪生提供新范式。关注具身智能与机器人赛道的机构应重视该方向进展。
【事件】7月9日,Cognition发布SWE-1.7编程大模型,基于Kimi K2.7 Code研发,能力接近GPT-5.5与Claude Opus 4.8水平,而生成成本大幅降低。
【值得关注】编程大模型是AI商业化的“现金牛”场景,成本下探使中小团队也能大规模部署AI编程。值得关注的是,国产基座(Kimi K2.7 Code)已成为海外头部AI公司产品的技术底座,再次印证国产开源模型在性价比上的外溢竞争力。
【事件】7月9日,OpenAI推出GPT-Live-1全双工语音模型,替代原有回合式(一问一答)语音交互方案,支持实时双向语音对话,可打断、可自然衔接。
【值得关注】全双工语音将AI助手从“一问一答”升级为“可打断、可抢话、可并行”的自然对话,是语音客服、车载助手、智能硬件落地的关键能力。对国内语音交互厂商而言,全双工+低延迟将成为下一代对话产品的基准线。
【事件】7月上旬,谷歌正式推出Gemini 3系列模型。Gemini 3 Pro号称“全球最智能模型”,在LMArena、Humanity's Last Exam、GPQA Diamond、MathArena、MMMU-Pro、Video-MMMU等多基准登顶,支持百万Token上下文与Deep Think推理模式;Gemini 3 Flash成为默认模型,全局“思考开关”上线。据泄露信息,旗舰版Gemini 3.5 Pro定于7月17日发布,前端与视觉代码生成能力对标Anthropic Fable 5,并同步推进图像模型Nano Banana Pro。
【值得关注】谷歌以“多模型齐发+长上下文+Deep Think+智能体开发平台Antigravity”的组合加入7月大模型混战,与GPT-5.6、Grok 4.5同台竞速。对开发者和企业,模型选择更加多元,但API与生态锁定风险上升,建议采用多模型路由策略分散风险。
【事件】7月11日,高盛发布50页深度报告,指出中国AI大模型以低成本实现高性能,开源模型性能逼近全球顶尖;报告系统拆解了中国大模型在推理成本、训练效率、行业落地上的竞争优势,以及头部厂商的商业化路径。
【值得关注】国际顶级投行以专门报告聚焦中国大模型竞争力,反映资本市场对中国AI资产的重新定价。对关注AI板块的投资者,应重点跟踪国产模型的真实调用量、单位Token成本与行业渗透率,而非单纯比拼参数与榜单分数。
以下为本周及近期发布的数据安全相关法律法规、规章制度与标准规范,涵盖重点行业数据安全管理办法、网络安全国家标准、软件供应链安全、个人信息保护与AI训练数据安全等方向,共9项。
【发布机构】交通运输部(交科技规〔2026〕3号)
【时间】2026年6月30日印发,2026年7月1日起实施
【核心内容】共7章41条,规范数据安全管理总体原则、数据分类分级保护、数据全生命周期安全管理、数据安全风险评估、监测预警与应急处置、监督检查与责任追究等内容,是交通运输行业首部数据安全管理制度。
【值得关注】交通是数据要素密集、关键信息基础设施覆盖广的重点行业。首部行业数据安全管理办法落地,为铁路、公路、水路、民航、邮政等领域的分类分级与全生命周期管控提供制度遵循。相关企业应据此建立重要数据目录与年度风险评估机制,与既有公路水路数据分类分级指南有效衔接。
【发布机构】国家文物局
【时间】2026年7月6日报道印发,2026年11月1日起施行
【核心内容】明确国有文物资源数据属于国家所有,由国有文物管理机构承担具体管理职责;提出数据服务遵循“原始数据不出域、数据可控可计量”要求,将加工后数据面向社会提供服务;规定可开放与不可开放的数据类型,以及主动公开、非营利性使用、营利性使用等应用场景和服务方式。
【值得关注】这是文化文物领域专门的数据安全与合规利用制度。“原始数据不出域、数据可控可计量”的口径,与金融、政务等领域的数据要素流通原则一致,为文博数据的有序开放与授权运营提供合规框架,也提示其他垂直行业可参照建立本领域数据管理办法。
【发布机构】国家市场监督管理总局、国家标准化管理委员会(TC260归口)
【时间】2026年5月25日发布(国家标准公告2026年第23号),2026年12月1日起实施
【核心内容】18项网络安全标准覆盖等保测评、存储安全、量子通信、嵌入式系统、政务云、未成年人上网防护、国家网络身份认证等方向。包括GB/T 36959-2026 等保测评机构能力要求、GB/T 37939-2026 网络存储安全、GB/T 47679.1/2-2026 量子密钥分发、GB/T 47686-2026 政务云安全配置基线、GB/T 47690-2026 国家网络身份认证公共服务应用接入、GB/T 47694-2026 移动互联网未成年人模式、GB/T 47692-2026 事件调查原则和过程等。
【值得关注】本轮标准成体系补齐关基防护、量子安全、政务云、未成年人保护等新兴领域短板,并同步更新安全审核与事件调查等管理类国标。政企应在12月1日前完成对标整改,重点强化政务云配置基线、嵌入式操作系统安全与事件调查流程建设。
【发布机构】国家市场监督管理总局、国家标准化管理委员会(TC260归口)
【标准属性】推荐性国家标准,2025年12月发布,2026年7月1日起实施
【核心内容】规定网络空间安全图谱要素分类、代码与图形符号表达,适用于网络安全监管者、行业主管者、网络运营者和网络服务提供者开展网络空间安全图谱构建和可视化表达。
【值得关注】安全图谱是态势感知与攻击溯源的“基础地图”。该标准统一了要素分类与符号表达,有助于打通不同安全产品/平台间的图谱数据,提升跨系统的关联分析与协同处置能力,是安全运营中心(SOC)建设的重要参考。
【发布机构】国家市场监督管理总局、国家标准化管理委员会(TC260归口)
【标准属性】推荐性国家标准,2026年发布,2026年8月1日起实施
【核心内容】规定通用的软件物料清单(SBOM)数据交换格式,包括SBOM数据模型、格式要求和元数据,以及各元数据的属性和属性值格式,为软件构成透明化提供统一交换规范。
【值得关注】SBOM是软件供应链安全的“成分表”。该标准为软件构成透明化提供统一交换格式,有助于在采购、上线、应急响应时快速定位存在漏洞的开源组件与第三方依赖。在供应链攻击频发的背景下,企业应把SBOM纳入研发与采购流程。
【发布机构】国家市场监督管理总局、国家标准化管理委员会(TC260归口)
【标准属性】推荐性国家标准,2026年4月30日发布,2026年11月1日起实施
【核心内容】针对移动智能终端上的App个人信息处理活动提出管理指南,指导终端厂商与应用处理者在应用安装、权限调用、数据采集、共享等环节落实个人信息保护要求。
【值得关注】App过度索权、后台静默采集长期是个人信息投诉高发区。该标准把终端侧App的个人信息处理纳入规范管理,与《个人信息保护法》及App违法违规收集使用个人信息认定方法形成衔接。应用分发平台与终端厂商应提前对照整改权限调用与采集行为。
【发布机构】国家市场监督管理总局、国家标准化管理委员会(TC260归口)
【标准属性】推荐性国家标准,2025年4月25日发布,2025年11月1日起实施
【核心内容】规定敏感个人信息处理的安全要求,覆盖收集、存储、使用、加工、传输、提供、公开、删除等全生命周期各环节,对生物识别、宗教、医疗健康、金融账户、行踪轨迹等敏感信息的处理提出更严格的保护措施。
【值得关注】敏感个人信息一旦泄露危害重大。该标准为《个人信息保护法》中“敏感个人信息”专章提供落地细则,处理身份证号、人脸、健康、金融等数据的机构,应建立单独的授权、加密、最小化与审计机制。
【发布机构】国家市场监督管理总局、国家标准化管理委员会(TC260归口)
【标准属性】推荐性国家标准,2025年4月25日发布,2025年11月1日起实施
【核心内容】规定生成式人工智能在预训练与优化训练阶段的数据安全要求,覆盖训练数据