要聞速覽

1、2025年全國信息技術標準化技術委員會“標準周”活動在即

2、金磚國家元首簽署“人工智能全球治理宣言”

3、工信部：關于防范KatzStealer信息竊取惡意軟件的風險提示

4、一種利用隱形UI誘騙用戶的新型Android攻擊手法曝光

5、美國能源部警告：AI或將引發(fā)長達800小時的大停電

6、麥當勞AI招聘工具McHire漏洞導致6400萬求職者數據泄露

一周政策要聞

2025年全國信息技術標準化技術委員會“標準周”活動在即

為貫徹落實《國家標準化發(fā)展綱要》及其行動計劃，完善信息技術標準體系，加強重點標準研制，高質量推動信息技術領域標準化工作，促進產業(yè)創(chuàng)新與合作，近日，全國信息技術標準化技術委員會發(fā)布通知，將于2025年7月15日至18日舉辦“標準周”活動。

本次活動聚焦國家信息技術工作重要部署，圍繞智能終端、軟件與數字化轉型、算力、擴展顯示與虛擬數字人、無人系統(tǒng)、教育大模型等重點領域，交流新階段新理念新格局下的政策、技術、產業(yè)發(fā)展新思路，探討新技術新應用新業(yè)態(tài)的標準需求。工業(yè)和信息化部、國家市場監(jiān)督管理總局相關負責同志，相關領域知名專家，全國信標委顧問、委員、觀察員，相關下設機構代表及成員單位代表、相關組織代表將參加活動。

金磚國家元首簽署“人工智能全球治理宣言”

2025年7月6日，在第十七次金磚國家領導人會晤期間，通過了《金磚國家領導人關于人工智能全球治理的宣言》（BRICS Leaders’ Declaration on Global Governance of Artificial Intelligence  以下簡稱《宣言》）。

《宣言》提出了一系列指導方針，旨在推動人工智能技術的負責任開發(fā)、部署與應用，助力可持續(xù)發(fā)展和包容性增長，宣言主要內容如下：

一是在治理原則方面。強調聯(lián)合國在全球治理中的核心作用，倡導包容、代表性和發(fā)展導向，縮小數字鴻溝，尊重各國主權與發(fā)展路徑。

二是在多方協(xié)作方面。政府應發(fā)揮主導作用，協(xié)同私營部門、民間組織和國際機構合作治理，保障各國特別是發(fā)展中國家在決策中的參與權。

三是在市場與技術方面。維護公平競爭環(huán)境，避免監(jiān)管碎片化，落實數據安全與隱私保護，確保所有國家平等獲取人工智能發(fā)展機遇。

四是在公平和可持續(xù)發(fā)展方面。推動人工智能服務可持續(xù)發(fā)展目標，助力醫(yī)療、教育等領域發(fā)展，重視環(huán)境保護與氣候變化應對，兼顧就業(yè)影響與勞動者權益。

五是在倫理、可信和負責任的人工智能方面。堅持多元文化與語言多樣性，防范算法偏見，建立透明可審計機制，堅持以人為本，保障人類對人工智能的最終控制權。

消息來源：中國國際科技交流中心 金磚國家元首簽署“人工智能全球治理宣言”

業(yè)內新聞速覽

工信部：關于防范KatzStealer信息竊取惡意軟件的風險提示

近日，工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺（CSTIS）監(jiān)測發(fā)現KatzStealer惡意軟件持續(xù)活躍，可導致敏感信息竊取。

KatzStealer是一款采用惡意軟件即服務（MaaS）模式的惡意軟件，主要通過釣魚郵件或被篡改的合法軟件包進行傳播。攻擊者通過投遞包含混淆JavaScript代碼的惡意GZIP壓縮包以繞過安全檢測，利用系統(tǒng)工具cmstp.exe（系統(tǒng)配置管理器）繞過用戶賬戶控制（UAC）獲取管理員權限，創(chuàng)建計劃任務實現持久化駐留，并借助進程鏤空技術注入MSBuild.exe（用于構建應用程序）進程，偽裝成可信應用程序運行。植入成功后，可竊取瀏覽器密碼、會話令牌、CVV碼、VPN/郵件憑證、Discord/Telegram令牌及多種加密貨幣錢包數據，甚至篡改Discord文件實現自動重感染，竊取的數據最終通過偽裝成Chrome代理流量的隱蔽通道傳輸。

建議相關單位及用戶立即組織排查，及時更新防病毒軟件；定期實施全盤查殺，檢測潛在感染；關閉非必要系統(tǒng)服務及端口，降低攻擊面；啟用進程白名單防護，限制可疑程序執(zhí)行；隔離異常網絡流量，防范C2服務器通信；加強網絡安全意識培訓，防范網絡攻擊風險。

一種利用隱形UI誘騙用戶的新型Android攻擊手法曝光

近期，網絡安全研究人員發(fā)現了一種新的Android攻擊手法，并將其命名為“TapTrap”。該攻擊利用了用戶界面(UI)的隱形特性，誘使用戶在不知情的情況下進行操作，從而竊取敏感信息或執(zhí)行惡意行為。

TapTrap攻擊的核心在于其巧妙的界面設計。攻擊者通過創(chuàng)建一個看似正常的應用程序界面，但實際上在用戶可見區(qū)域下方隱藏了惡意的UI元素。當用戶嘗試與應用程序交互時，實際上卻是在與隱藏的惡意元素進行交互。這種方法使得用戶在不知情的情況下，可能會點擊到惡意鏈接或輸入敏感信息。

研究人員指出，TapTrap攻擊的成功依賴于用戶的信任和對界面的直觀理解。攻擊者可以利用這一點，通過偽裝成合法應用程序，誘導用戶進行不安全的操作。此外，該攻擊方式不需要復雜的技術手段，任何具備基本編程能力的攻擊者都可以實施。

為了防范TapTrap攻擊，用戶應保持警惕，尤其是在下載和安裝應用程序時。建議用戶只從官方應用商店下載應用，并定期檢查應用權限，確保沒有不必要的權限被授予。同時，開發(fā)者也應加強應用的安全性，避免界面設計中的潛在漏洞。

總之，TapTrap攻擊展示了網絡安全領域中不斷演變的威脅，提醒用戶和開發(fā)者在日常操作中保持警惕，以保護個人信息和設備安全。

消息來源：安全牛 美國能源部警告：AI或將引發(fā)長達800小時的大停電；一種利用隱形UI誘騙用戶的新型Android攻擊手法曝光 | 牛覽

美國能源部警告：AI或將引發(fā)長達800小時的大停電

美國能源部在日前發(fā)布的一份研究報告中警告稱，由于人工智能的快速發(fā)展，美國未來可能面臨長達800小時的大停電風險。該警告主要源于AI技術廣泛應用對美國電力基礎設施的潛在威脅，特別是在AI技術不斷進步的背景下，新興網絡攻擊的復雜性和頻率也在指數級增長。
報告研究認為，AI系統(tǒng)在電網管理和監(jiān)控中的應用雖然提高了效率，但也極有可能被惡意攻擊者利用，導致電網系統(tǒng)崩潰或大規(guī)模的災難性停電。報告指出，AI技術已被實際證明可用來發(fā)起自動化網絡攻擊，識別系統(tǒng)漏洞，甚至模擬合法用戶的行為，從而繞過安全防護措施。
此外，美國能源部在報告中也強調了，隨著AI技術應用帶來的電力需求增加和氣候變化引起的極端天氣事件，現有電網系統(tǒng)的脆弱性也在加劇。為了應對這些挑戰(zhàn)，美國各州政府和電力企業(yè)需要加強網絡安全防護措施，投資于更先進的技術，以確保在面對由AI驅動的嚴重攻擊時，能夠有效保護電力基礎設施。

麥當勞AI招聘工具McHire漏洞導致6400萬求職者數據泄露

網絡安全研究人員伊恩?卡羅爾（Ian Carroll）和薩姆?庫里（Sam Curry）近期披露，麥當勞旗下招聘聊天機器人平臺 McHire 存在嚴重安全漏洞 —— 其管理員后臺竟使用 "123456:123456" 的默認弱密碼，同時內部 API 存在不安全直接對象引用（IDOR）漏洞。這意味著攻擊者可輕易獲取 6400 萬份求職申請數據，包括申請人姓名、聯(lián)系方式、地址等敏感信息。
研究人員在對 McHire 進行安全審查時發(fā)現，該平臺為餐廳老板設置的管理界面竟未修改初始登錄憑證。更嚴重的是，通過 API 接口的 ID 編號規(guī)則，攻擊者可遍歷獲取所有申請人的完整資料，甚至包含求職狀態(tài)變更記錄和用戶聊天授權令牌。這些信息足以讓惡意者冒充求職者登錄系統(tǒng)，進一步竊取原始聊天記錄。
研究團隊在發(fā)現漏洞后立即向 McHire 技術服務商 Paradox.ai 報告，該公司在 24 小時內完成修復。目前 McHire 已更新管理員認證機制，并對 API 接口增加權限校驗。

來源:本安全周報所推送內容由網絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內容的真實性，部分內容推送時未能與原作者取得聯(lián)系，若涉及版權問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！