AI安全一周速览：漏洞爆发、诈骗打击与监管动态

新闻速览

CNNVD 发布 AI 漏洞通报：213 个漏洞集中爆发，超危 8 个高危 89 个
国家信息安全漏洞库（CNNVD）发布了最新人工智能安全漏洞通报，统计周期内共收录 AI 相关漏洞213个，其中包含8个超危、89个高危漏洞。漏洞主要集中在AI智能体、MCP组件及大模型运行框架，常见类型包括命令注入、路径遍历等，可能导致未授权访问、权限提升等风险。OpenClaw组件的漏洞数量最多，风险尤为突出。CNNVD建议企业及时排查更新补丁，并加强权限与输入验证。

国家计算机病毒应急处理中心通报：67 款移动应用违反个人信息保护相关法规
国家计算机病毒应急处理中心通报称，有67款移动应用在个人信息收集和使用方面存在违规行为，违反了《网络安全法》、《个人信息保护法》等法规。问题主要集中在隐私政策告知不明确、未单独征得同意、未提供账号注销和信息更正渠道等方面。上期通报的17款违规App仍未整改，已被下架处理。

多国联合围剿加密杀猪盘：逮捕 276 人、查封 9 窝点、冻结 7.01 亿美元
阿联酋、美国、中国等多国执法部门联合开展行动，成功打击了一个大型加密货币“杀猪盘”诈骗团伙。行动共逮捕276名嫌疑人，捣毁9个诈骗窝点，并冻结了约7.01亿美元的涉案加密资产。该团伙通过婚恋交友建立信任，诱导受害者向虚假平台充值，并利用Android银行木马进行洗钱操作。

专家警告：86%钓鱼攻击由AI驱动
一份最新报告指出，目前86%的钓鱼攻击利用AI生成，大大提高了攻击效率和仿真度。AI驱动的钓鱼攻击已突破传统邮箱防护，转向多渠道协同攻击，并且呈现高度精准化和自动化特点，降低了攻击门槛。报告建议企业构建基于深度行为分析和实时威胁情报的防御体系。

教育科技巨头Instructure被勒索，第三方AI时代数据治理再敲警钟
教育科技公司Instructure确认遭遇数据泄露事件，勒索组织ShinyHunters宣称负责。此次事件波及旗下Canvas LMS平台，导致用户个人信息泄露。该事件再次凸显了在第三方AI时代，教育行业数据治理的严峻挑战，机构需强化API权限管控和数据安全措施。

全球首例！美国州政府起诉 AI 聊天机器人非法冒充执业医师
美国宾夕法尼亚州政府对AI聊天机器人公司Character.AI提起诉讼，指控其平台上的聊天机器人非法冒充持证精神科医生，违反了州《医疗执业法》。这是美国首次由州政府牵头，针对AI冒充医疗专业人员的执法行动，该案将对全球AI内容合规和医疗AI资质边界产生重要影响。

加拿大街头现 SMS Blaster 攻击：致 1300 万次网络中断
加拿大发生一起罕见的短信干扰攻击事件，黑客使用SMS Blaster设备在街头向移动通信基站发送大量无效短信，导致约1300万次网络服务中断。此次攻击暴露了公共区域移动通信空口防护的不足，监管机构已介入调查。

大规模误报：微软Defender误将DigiCert证书标记为木马
Microsoft Defender近期出现大规模误报，将合法的DigiCert根证书错误标记为木马病毒，导致部分设备出现SSL/TLS验证失败等问题。微软已确认误报并推送更新修复。此次事件提醒企业需建立特征库灰度验证和应急回退机制。

GPT-5.5 Instant 正式上线：事实性与 STEM 能力显著增强
OpenAI发布了新的默认模型GPT-5.5 Instant，旨在提高准确性并降低延迟，特别是在高风险场景下减少“幻觉”现象。新模型在数学和多模态推理方面表现出显著提升，并强化了上下文管理能力，可引用过往对话、文件和邮件内容生成更个性化的回答。

美国参议院司法委员会推进法案，拟禁止未成年人使用 AI 聊天机器人
美国参议院司法委员会正在推进一项法案，旨在禁止未成年人使用AI聊天机器人，以加强对青少年网络和数据安全的保护。该法案要求AI平台不得向未成年人提供通用AI聊天服务，并强制企业完善年龄核验和访问拦截机制。