要闻速览

1、《网络安全法》完成修改，自2026年1月1日起施行

2、等级保护标准体系再完善，六项新技术公安行标正式发布

3、CNNVD关于Apache Tomcat安全漏洞的通报

4、OpenAI推出GPT-5驱动安全代理Aardvark 能自主找Bug

5、瑞典国家电网运营商遭勒索攻击，超280GB数据被窃取

6、会计巨头安永4TB SQL Server数据库文件在微软Azure平台遭公开

一周政策要闻

《网络安全法》完成修改，自2026年1月1日起施行

十四届全国人大常委会第十八次会议10月28日表决通过关于修改《网络安全法》的决定，自2026年1月1日起施行。

2016年制定的《网络安全法》是网络安全领域的基础性法律。此次修改，适应网络安全新形势新要求，重点强化网络安全法律责任，加强与相关法律的衔接协调。

为了回应人工智能治理和促进发展的需要，修改后的《网络安全法》中明确规定，国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。

等级保护标准体系再完善，六项新技术公安行标正式发布

近日，涵盖边缘计算、大数据、IPv6、区块链、云计算及5G接入安全领域的六项网络安全等级保护公安行业标准正式发布，并于2026年2月1日起正式实施。这些标准聚焦新技术领域安全痛点，从安全扩展要求、测评扩展要求等维度进一步完善我国网络安全等级保护标准体系，为新技术场景下的安全防护提供技术指引。

此次六项标准的集中发布，是对网络安全等级保护基本要求和测评要求的系统性扩展，针对新技术领域的安全特性与需求，从技术、管理等维度明确了具体的安全要求与测评规范，进一步完善了我国网络安全等级保护标准体系，可为行业主管部门、运营者、安全厂商、测评机构等相关方在新技术领域开展等级保护工作提供依据。

消息来源：公安部网络安全等级保护中心 等级保护标准体系再完善：六项新技术公安行标正式发布

业内新闻速览

CNNVD关于Apache Tomcat安全漏洞的通报

近日，国家信息安全漏洞库（CNNVD）通报Apache Tomcat高危漏洞（CNNVD-202510-3510/CVE-2025-55752）。

该漏洞源于URL重写处理缺陷，未授权攻击者可构造特殊请求绕过防护，访问敏感目录；若环境启用PUT请求，还可上传恶意文件实现远程代码执行。受影响版本包括Tomcat 11.0.0-M1至11.0.10、10.1.0-M1至10.1.44、9.0.0.M11至9.0.108及8.5.6至8.5.100。

Apache官方已发布新版本修复漏洞，建议用户立即核查当前版本，通过官方渠道下载更新（如Tomcat 10.1.48/9.0.111/11.0.13等最新发布版本），及时修补避免被利用。

OpenAI推出GPT-5驱动安全代理Aardvark 能自主找Bug

2025年10月31日，OpenAI正式发布由GPT-5驱动的AI安全代理Aardvark（代号“土豚”），定位为“代理型安全研究员”。该系统能自动在大规模代码库中发现并修复安全漏洞，不同于传统的模糊测试或软件成分分析技术，Aardvark依托大语言模型的推理能力，通过阅读代码、分析行为、编写测试和验证漏洞，模拟人类安全专家的工作方式，成功识别出92%的已知与人工注入漏洞，并能定位复杂条件下的隐蔽问题。

Aardvark构建了完整的自动化安全工作流，涵盖五大核心环节：首先进行威胁建模，全面分析项目安全目标；随后监控代码提交并扫描变更；发现可疑漏洞后，在沙盒环境中进行隔离验证，确认可利用性；接着集成OpenAI Codex自动生成修复补丁；最后提供清晰的漏洞解释和代码标注，支持开发者一键审阅与合并，实现高效闭环。

OpenAI 副总裁 Matt Knight 表示：" 开发者反馈显示，Aardvark 在清晰解释问题并引导修复方面确实提供了价值，这证实了我们技术路线的正确性。" 目前，Aardvark 已在内测中表现出色，发现了多个开源项目中的安全漏洞，其中 10 个已获得 CVE 编号。OpenAI 计划为部分非商业开源仓库提供公益扫描服务，以提升整个开源生态的安全性。

消息来源：ZAKER https://app.myzaker.com/news/article.php?pk=690425858e9f096e2268bd32

瑞典国家电网运营商遭勒索攻击，超280GB数据被窃取

2025年10月28日监测发现，瑞典电力公司（Svenska kraftnät）于当地时间10月27日晚间确认遭遇勒索软件攻击，导致约280GB的内部数据可能被窃取。该公司作为瑞典电力系统的运营与安全监管核心机构，管理着全国超1.7万公里输电线和多个关键变电站。
勒索软件团伙Everest宣称对此负责，该组织此前曾攻击都柏林机场、阿拉伯航空和柯林斯宇航等机构，导致欧洲航班大面积中断。其在10月25日已通过暗网发布勒索声明，并对泄露信息设置访问口令，显示其行动具有高度组织性。
该公司首席安全官Cem Göcgören表示，初步调查发现，该事件仅影响“有限的对外文件传输系统”，关键业务系统未受波及，因此不会影响电力系统的供应稳定性。公司目前已联合警方及网络安全监管机构全面核查数据暴露范围。

会计巨头安永4TB SQL Server数据库文件在微软Azure平台遭公开

全球“四大会计师事务所”之一的安永（EY）近日被曝出一起严重数据泄露事件。据网络安全研究机构披露，EY存储在微软Azure云平台上的一份约4TB的SQL数据库备份文件被意外公开，外部任何人都可访问。据悉，该文件可能包含客户资料、员工信息及内部业务数据，目前尚不清楚泄露持续了多久，也未确认是否有数据被下载或滥用。研究人员发现问题后立即发出警告，并协助相关方关闭访问权限。
截至目前，EY尚未就事件作出正式回应。分析人士指出，此次事件再次暴露出全球大型企业在云安全配置上的薄弱环节，提醒行业在数据备份、访问控制与实时监测方面需加强管理。业内专家表示：“一次配置疏漏，足以让巨头陷入信任危机。”这起事件预计将引发监管机构的进一步调查与合规审查。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！