【华安星安全资讯】半月精选集（2026.3.30-4.12）

近日，全国网络安全标准化技术委员会发布通知，就《网络安全技术 物理不可克隆功能安全技术规范》等3项国家标准征求意见稿公开征求社会意见，意见反馈截止时间为2026年6月8日。物理不可克隆功能（PUF）是利用硬件物理差异实现不可复制的安全标识，该项规范将明确其技术要求与测评方法；网络安全威胁信息评价方法将完善威胁信息的评估体系；区块链系统安全实施指南将为区块链平台建设、运营提供统一安全实施路径。

根据国家标准化管理委员会下达2025年第二批、第九批、第十批、第十二批推荐性国家标准计划，由全国数据标准化技术委员会归口《数据 基础术语》等22项国家标准，现已形成征求意见稿，并面向社会广泛征求意见。《数据 基础术语》（征求意见稿）根据国家数据标准体系确定术语分类，界定了数据领域中的常用术语和定义，标准适用于数据领域的教学、科研、生产、经营和技术交流。征求意见稿中明确了词元、数据价值、数据资产、可信数据空间、数据标注产业等术语的中英文名称和定义。

近日，工业和信息化部等十部门联合印发《人工智能科技伦理审查与服务办法（试行）》，为我国人工智能科技伦理审查与服务工作提供了明确指引。《办法》对人工智能科技伦理审查的适用范围、服务促进、实施主体、工作程序、监督管理等作出规定，并结合人工智能科技活动特点，明确了申请与受理、一般程序、简易程序、专家复核程序、应急程序等不同程序要求，有效规范人工智能科技活动伦理治理。

为促进数字虚拟人信息服务健康发展和规范应用，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规，国家互联网信息办公室起草了《数字虚拟人信息服务管理办法（征求意见稿）》，现向社会公开征求意见。《办法》规定，数字虚拟人服务提供者和服务使用者应当依照法律、行政法规规定，在特定目的和范围内开展数据处理活动，使用具有合法来源的数据并落实数据安全保护责任，采取相应的技术措施和其他必要措施保障数据存储、传输安全，防止数据泄露或者不当使用。

为落实《中华人民共和国数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法（试行）》相关要求，引导工业企业逐级提升数据安全能力成熟度水平，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——工业企业数据安全能力成熟度模型》。《指南》提出了工业企业数据安全能力成熟度模型，规定了工业企业数据全生命周期安全和通用安全的成熟度等级要求，适用于指导工业企业开展数据安全能力建设，以及对工业企业数据安全能力成熟度等级进行评估。

为防范部署使用OpenClaw类智能体的安全风险，提升部署使用OpenClaw类智能体的管理能力，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——OpenClaw类智能体部署使用安全指引（征求意见稿）》，面向社会公开征求意见。该指引适用于自行部署OpenClaw类智能体的个人使用者，以及需要对内部人员部署使用OpenClaw类智能体进行安全管理的相关组织。

近日，AI提效供应商Anodot被黑，身份验证令牌泄露，导致至少12家公司的Snowflake云数据平台遭到数据窃取，部分公司还受到了ShinyHunters组织的数据勒索威胁；Snowflake表示：“我们近期在少量与特定第三方集成相关的Snowflake客户账号中检测到异常活动。我们已第一时间启动调查，并出于高度谨慎锁定了可能受影响的账号。同时已通知相关客户，并提供预防性指导，帮助其进一步加强账号安全。”这一事件再次展示了SaaS、AI等新技术新业态极大放大了数据安全风险，此前Salesforce也曾因第三方生态屡遭攻击，导致大量客户数据大规模泄露。

近期，一名攻击者入侵九家墨西哥政府机构，窃取数亿条记录。攻击者不仅将Anthropic的Claude Code和OpenAI的GPT-4.1用于策划攻击，更将其作为核心操作工具，大幅加速了攻击进程。根据恢复的取证证据显示，Claude Code在入侵过程中生成并执行了约75%的远程命令。该攻击手法虽先进，但利用的仍是未修补软件、凭证薄弱等传统漏洞，暴露了技术债务。虽然人工智能显著降低了实施大规模网络攻击的成本和复杂度，但防御策略仍需立足于基础安全实践。各组织必须紧急解决未修补软件问题，实施严格的凭证轮换策略。一旦外围防御被突破，执行网络分段对于限制横向移动也至关重要。