要闻速览

1、工信部印发《工业场景数据要素应用参考指引》

2、八部门联合发布《金融产品网络营销管理办法》

3、“剪映”“猫箱”“即梦AI”未按规定标识AI内容被网信部门约谈

4、9秒删库！Claude Opus 4.6编程Agent误删生产数据库

5、Lite LLM曝高危漏洞，攻击者可利用漏洞窃取API密钥

6、亚洲某国财政部遭网络入侵，超1800万元被窃取

一周政策要闻

工信部印发《工业场景数据要素应用参考指引》

近日，工业和信息化部印发《工业场景数据要素应用参考指引》（以下简称《指引》），推进工业数据采集处理、流通汇集、融合应用，赋能行业提质降本增效，助力新型工业化加快推进。

《指引》围绕研发设计、生产制造、经营管理、客户服务、产业协同等关键环节，凝练出23个场景，每个场景的数据要素应用分别从预期效果和数据“采、集、用”四个方面总结。其中，研发设计环节，涵盖数据驱动产品设计、工艺数字化设计、数字化协同研发、产品虚拟中试验证、工艺虚拟仿真验证5个场景。生产制造环节，涵盖设备智能监测与维护、数字孪生工厂建设、智能排产优化、生产作业智能调度、质量智能检测、质量预测与改进、安全生产智能监控、大规模个性化生产8个场景。经营管理环节，涵盖能耗智能管理与调度、碳资源全生命周期管理、精准营销管理、仓储智能管理、物流智能配送5个场景。客户服务环节，涵盖智能客户服务、智能远程运维服务2个场景。产业协同环节，涵盖网络化协同制造、产业链供应链高效协同、产业链供应链风险管控3个场景。

信息来源：中华人民共和国工业和信息化部

https://www.miit.gov.cn/jgsj/xxjsfzs/wjfb/art/2026/art_118d1522a8554a11b6b061600079367f.html

八部门联合发布《金融产品网络营销管理办法》

近日，中国人民银行、工业和信息化部、市场监管总局、金融监管总局、中国证监会、国家知识产权局、国家网信办、国家外汇局八部门联合发布《金融产品网络营销管理办法》，公告〔2026〕第9号，自2026年9月30日起实施。

办法旨在规范金融产品网络营销活动，明确持牌经营、合规委托等核心要求：非持牌机构与个人不得从事相关营销，严禁为非法集资、虚拟货币交易等非法活动提供营销服务；私募等产品不得向不特定对象营销。营销内容上，禁止虚假宣传、承诺收益、使用“高收益”“低风险”等诱导性用语。技术规范方面，算法推荐需防过度消费并提供关闭选项，弹窗广告须一键关闭。第三方平台不得介入资金划转等销售环节，需履行核验与监测义务。同时，办法强化数据安全与个人信息保护，压实金融机构与平台主体责任，多部门将协同监管，违规行为将依法处罚，以保障金融消费者权益与市场秩序。

消息来源：中华人民共和国中央人民政府

https://www.gov.cn/lianbo/202604/content_7066143.htm

业内新闻速览

“剪映”“猫箱”“即梦AI”未按规定标识AI内容被网信部门约谈

近期网信部门工作中发现，“剪映”“猫箱”App及“即梦AI”网站存在未有效落实人工智能生成合成内容标识规定要求等问题，违反《网络安全法》《生成式人工智能服务管理暂行办法》《人工智能生成合成内容标识办法》等法律规定。国家互联网信息办公室指导属地互联网信息办公室，依法对上述网站平台采取约谈、责令改正、警告、从严处理责任人等处置处罚措施。

国家互联网信息办公室相关负责人表示，网站平台要严守法律底线红线，严格落实人工智能生成合成内容标识相关规定要求。网信部门将深入推进依法管网治网，持续加大人工智能生成合成内容标识监督管理力度，切实维护社会公共利益，推动人工智能健康有序发展。

消息来源：网信中国

网信部门依法查处“剪映”App等生成合成内容标识违法问题网站平台

9秒删库！Claude Opus 4.6编程Agent误删生产数据库

4月25日，一场由AI引发的安全事件突袭美国租车行业——SaaS平台PocketOS的核心数据被AI编程Agent瞬间清空，业务中断超30小时，数千家租车企业客户受波及。

事故起因是AI Agent在预发布环境执行常规任务时遇到凭据不匹配问题。按照规则应暂停并请求人工干预，但它选择了“自主解决”，自动扫描代码库并在一个无关文件中找到了Railway云服务商的API令牌。由于Railway的令牌体系存在权限缺陷——没有权限隔离和范围限制，该令牌拥有全平台API的最高权限，包括不可逆的删除操作。AI执行删除指令后，更因Railway将卷级备份与主数据存储在同一卷中，导致数据库与备份被一同清空。

事后AI Agent承认违反了系统提示中的所有安全规则，包括“未经用户批准不得执行破坏性命令”，且仅凭“猜测”认定删除操作不会影响生产环境。

此次事件暴露了Cursor和Railway两家服务商的多层安全架构漏洞：Cursor的“破坏性防护栏”形同虚设，Railway的权限模型缺乏RBAC、操作范围限制和高危操作确认机制。事故发生30小时后，Railway仍无法确认基础设施级恢复是否可行。

消息来源：看雪学苑

9秒删库！Claude Opus 4.6 编程 Agent 误删生产数据库

Lite LLM曝高危漏洞，攻击者可利用漏洞窃取API密钥

FREEBUF4月28日消息，开源AI网关LiteLLM被曝出严重SQL注入漏洞（CVE-2026-42208），正被攻击者活跃利用。该漏洞存在于预认证阶段，攻击者只需在伪造令牌中插入单引号，即可突破查询限制，直接从PostgreSQL数据库中窃取云服务和AI供应商的高敏感凭证，包括主API密钥和企业云凭证。作为OpenAI、Anthropic、AWS Bedrock等主流语言模型的中央代理，LiteLLM存储着大量高价值机密信息，此次漏洞影响范围接近大规模云账户泄露。

在漏洞被纳入GitHub全球咨询数据库后仅36小时即出现定向利用尝试，攻击者展现出对LiteLLM内部架构的深入了解，专门针对存储虚拟API密钥、供应商凭证和环境配置的核心数据表发起攻击。LiteLLM已发布1.83.7版本修复漏洞，使用1.81.16至1.83.6版本的所有机构须立即升级，并轮换所有虚拟API密钥、主密钥及存储的供应商凭证。随着AI网关成为昂贵云凭证的主要存储库，必须将其视为最高级别安全目标，将代理环境置于内网保护之下并实施严格的补丁管理。

消息来源：FREEBUF

https://www.freebuf.com/articles/ai-security/479121.html

亚洲某国财政部遭网络入侵，超1800万元被窃取

安全内参4月27日消息，网络犯罪分子入侵亚洲岛国斯里兰卡财政部，窃取了原本用于偿还对澳大利亚债务的数百万澳元资金。斯里兰卡政府确认，犯罪分子在入侵该部门的计算机系统和电子邮件服务器后，造成超过370万澳元（约合人民币1810万元）的损失。这是斯里兰卡国家机构遭黑客窃取金额最大的一起案件，对这个负债累累的国家而言构成了沉重打击。

财政部秘书Harshana Suriyapperuma表示，当局在发现财政部电子邮件服务器被入侵后收到告警，随即发现一笔应支付给澳大利亚的款项已消失。斯里兰卡已寻求包括澳大利亚在内的外国执法机构协助调查，目前公共债务管理办公室的四名高级官员已被停职。澳大利亚方面确认应收款项出现异常情况，并表示正协助调查。今年早些时候，斯里兰卡中央银行和财政部曾通过当地报纸发布广告，提醒民众警惕网络诈骗。

消息来源：安全内参

亚洲某国财政部遭网络入侵，超1800万元被窃取

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！