【华安星安全资讯】半月精选集（2025.12.1-12.14）

近日，国家互联网信息办公室起草了《网络数据安全风险评估办法（征求意见稿）》，现向社会公开征求意见。《办法》根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规制定，旨在规范网络数据安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用。

为落实《中华人民共和国数据安全法》等法律法规，国家能源局制定并印发《能源行业数据安全管理办法（试行）》，自2026年7月1日起施行。《办法》根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国能源法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规制定，旨在规范能源行业数据处理活动，加强数据安全管理，防范数据安全风险，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益。

近日，韩国最大在线零售商、被称为“韩国亚马逊”的Coupang（酷澎）确认，3370万名用户账号的个人信息遭泄露，并就此发布致歉声明。为应对Coupang的数据泄露事件，韩国政府召开紧急会议，科学技术信息通信部表示：“鉴于此次泄露涉及大量公民的联系方式和地址，委员会将迅速展开调查。如发现存在违反《个人信息保护法》中安全措施义务的行为，将予以严厉制裁。”据称，泄露内容包括姓名、电子邮箱、邮寄地址、电话号码及订单记录。Coupang强调，支付信息和登录凭据未受到影响。他们“已第一时间将数据泄露情况报告给韩国警察厅、个人信息保护委员会及韩国互联网振兴院等相关主管机构”。

近日，多家国外媒体与安全研究者发现一件诡异的事：越来越多苹果用户的iPhone和Mac，在无人操作的情况下自动弹出苹果播客（Apple Podcasts），界面指向从未订阅过的宗教、灵修、教育类节目，有的节目标题充满奇怪的网址和参数，看起来更像“攻击脚本”而不是播客名称。更糟的是，其中至少有一个节目的页面，挂着通往疑似恶意网站的链接，被研究者点名“尝试发起XSS攻击”。如果说过去骚扰用户的是日历垃圾邀请、iMessage垃圾信息，那么这一次，黑客显然把目光投向了苹果的又一个系统级入口：Podcasts正在被当作“投递器”测试。

近日，因车辆追踪系统的卫星通信故障，俄罗斯多地数百辆保时捷突然无法正常运作。大量俄罗斯车主在社交媒体上发帖抱怨，称自己的保时捷会突然无法启动，让人被困原地、毫无办法。专家称可能是系统故障、人为造成（GPS和通信干扰）或网络攻击引发的，再度凸显现代联网汽车技术可能存在的安全隐患。

近期，AI巨头OpenAI发布报告称，旗下前沿AI模型的网络能力正快速提升，并警告即将发布的模型很可能带来“高”等级风险。OpenAI指出，近期发布的模型能力已出现明显跃升，尤其是在模型可自主运行更长时间方面，从而为类似暴力破解等依赖长时间运行的攻击创造条件。该公司称，GPT-5在8月的夺旗赛（CTF）中得分为27%，而GPT-5.1-Codex-Max在11月则达到了76%。报告指出，这一变化反映出与网络安全相关的性能正加速提升。

近日，网络安全领域出现了一个手法老练的新型勒索软件组织，该组织使用专门构建的跨平台攻击武器，将亚太地区关键基础设施作为攻击目标。这款完全采用Rust编程语言编写的"01flip"勒索软件家族，能够以同等破坏力同时攻击Windows和Linux系统。Palo Alto Networks旗下Unit 42研究团队以CL-CRI-1036为集群标识追踪该攻击活动。虽然攻击行动尚处初期阶段，但威胁行为体已宣称在菲律宾和中国台湾地区得手，这标志着以经济利益为驱动的网络犯罪出现了危险的新动向。

随着人工智能（AI）加速向工业控制领域渗透，如何平衡AI的“概率性创新”与运营技术（OT）的“确定性安全”，已成为全球关键基础设施面临的首要挑战。近日，美国网络安全和基础设施安全局（CISA）联合澳大利亚网络安全中心（ACSC），并协同英国、加拿大、新西兰、德国、日本、韩国等十余个国家的网络安全机构，共同发布了《运营技术（OT）人工智能集成安全原则》，涵盖了OT人工智能集成的四大基本安全原则，包括理解AI、评估AI应用、建立AI治理、嵌入安全与保障。