原文链接: https://mp.weixin.qq.com/s?__biz=Mzg4NjYyMzUyNg==&mid=2247492099&idx=1&sn=b7ab18ced54b4f106cca79e67a064a59

安全威胁情报周报（2025/06/07-2025/06/13）

观安无相实验室 2025-06-13 09:01

#本期热点

01

热点安全事件

热门Chrome扩展陷HTTP和硬编码密钥双重漏洞

科技巨头隐秘监视数十亿Android用户，滥用系统漏洞跨端追踪

思科警告 ISE 和 CCP 存在公开漏洞代码

恶意RubyGems冒充Fastlane窃取Telegram API数据

npm发现系统级后门包，可一键抹除服务器数据

BadBox 2.0 僵尸网络席卷全球，数百万物联网设备遭入侵

谷歌账户恢复漏洞致攻击者可获取任意用户手机号

Microsoft Outlook 曝高危漏洞，仅需低权限就能实施攻击

02

数据安全情报

美国报业巨头遭勒索攻击，近4万社保号泄露

美国电话电报公司（AT&T）再次遭遇大规模身份数据泄露事件

英国税务机关遭钓鱼攻击，损失 4700 万英镑

美国税务解决公司遭勒索攻击，69GB 客户数据泄露

03

网络安全监管动态

国家互联网信息办公室公开《中国网络法治发展报告（2024年）》全文

2025年5月全国受理网络违法和不良信息举报1829.6万件

04

网络安全研究报告

曾毅：人工智能可以兼得高水平的能力与安全

以网络安全保险为抓手，构建供应链安全治理新范式

0
1

热点安全事件

01

热门Chrome扩展陷HTTP和硬编码密钥双重漏洞

网络安全研究人员发现多款热门谷歌Chrome扩展存在严重安全隐患：通过HTTP明文传输数据并在代码中硬编码密钥，导致用户隐私与安全面临风险。

赛门铁克安全技术响应团队研究员指出：“数款广泛使用的扩展通过未加密的HTTP协议传输敏感数据，以明文形式暴露浏览域名、设备ID、操作系统信息、使用分析数据乃至卸载记录。”

这种未加密的网络流量使其极易遭受中间人攻击（AitM）。恶意攻击者可在公共Wi-Fi等开放网络中拦截甚至篡改数据，引发更严重后果。以下为存在风险的扩展清单：

HTTP传输漏洞扩展

SEMRush Rank（ID: idbhoeaiokcojcgappfigpifhpkjgmab）与PI Rank（ID: ccgdboldgdlngcgfdolahmiilojmfndl）：通过HTTP调用“rank.trellian[.]com”

Browsec VPN（ID: omghfjlpggmjjaagoclmmobgdodcjboh）：卸载时通过HTTP访问卸载链接

MSN新标签页（ID: lklfbkdigihjaaeamncibechhgalldgl）与MSN主页、必应搜索与新闻（ID: midiombanaceofjhodpdibeppmnamfcj）：通过HTTP向“g.ceipmsn[.]com”发送设备唯一标识符

DualSafe密码管理器与数字保险库（ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc）：向“stats.itopupdate[.]com”发送含扩展版本、浏览器语言等信息的HTTP请求

研究人员特别指出：“密码管理器使用未加密请求传输遥测数据，严重削弱用户对其安全性的信任。”

硬编码密钥风险扩展

Online Security & Privacy（ID: gomekmidlodglbbmalcneegieacbdmki）、AVG Online Security（ID: nbmoafcmbajniiapeidgficgifbfmjfo）等：暴露Google Analytics 4密钥，攻击者可伪造数据推高分析成本

Equatio数学工具（ID: hjngolefdpdnooamgdldlkjgmdcmcjnc）：嵌入Azure语音识别API密钥，可能导致开发者服务费用激增

Awesome截屏工具（ID: nlipoenfbbikpbjkfpfillcgkoblgpmj）等：泄露AWS S3访问密钥，攻击者可非法上传文件

Microsoft Editor编辑器（ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa）：暴露遥测密钥“StatsApiKey”

Antidote Connector（ID: lmbopdiikkamfphhgcckcjhojnokgfeo）：第三方库InboxSDK含硬编码API密钥（影响超90款扩展）

Trust Wallet钱包（ID: egjidjbpglichdcondbcbdnbeeppgdph）：泄露法币通道API密钥，可伪造加密货币交易

攻击者利用这些密钥可能造成API服务费用暴涨、托管非法内容、伪造遥测数据等后果，甚至导致开发者账户被封禁。

研究人员强调：“从GA4密钥到Azure语音密钥，这些案例证明几行代码足以危及整个服务。核心解决方案是永远不要在客户端存储敏感凭证。”开发者应采取三项关键措施：

全面启用HTTPS数据传输

通过凭证管理服务在后端服务器安全存储密钥

定期轮换密钥以降低风险

赛门铁克警告用户：“此类风险绝非理论假设——未加密流量极易被截获，数据可能用于用户画像分析、钓鱼攻击等定向攻击。建议立即卸载存在不安全调用的扩展程序，直至开发者完成修复。”该事件揭示关键教训：安装量或品牌知名度无法等同于安全实践水平，用户需严格审查扩展程序的协议类型与数据共享行为。

图：示意图

02

科技巨头隐秘监视数十亿Android用户，滥用系统漏洞跨端追踪

近日，一项由西班牙 IMDEA 软件研究所牵头的学术研究引发全球安全圈关注。研究指出，全球两大科技巨头——美国的 Meta 和俄罗斯的 Yandex，借助安卓平台的本地通信机制，绕过系统权限控制与用户隐私防护，悄然实现了网页与 App 之间的 ID 跨端绑定与行为数据融合采集。这一机制已持续多年，影响或涉及全球数十亿 Android 设备用户。

在未经过用户授权、未告知、甚至未被浏览器或系统检测的情况下，这一机制可实现网页访问行为与 App 数据的绑定，使平台可以精准识别用户身份、构建完整画像。更严重的是，一旦该机制被恶意应用程序利用，可能造成浏览记录、用户行为等敏感数据的系统性泄露。

01、滥用 localhost 通信：绕过隐私边界的跨端追踪

技术原理简述

研究显示，Meta 和 Yandex 分别在其网页追踪脚本（Meta Pixel 与 Yandex Metrica）中引入了“web-to-native”桥接机制。这一机制通过监听 Android 设备上的 localhost 本地端口，在不需额外系统权限的情况下，将网页端 Cookie、追踪 ID 或用户行为信息，通过 HTTP 或 WebRTC 通信通道发送至本地 App，再由 App 将信息上传至服务器。

图：示意图

在 Android 平台中，应用之间本应被严格隔离，浏览器与本地应用也默认处于沙箱环境，无法直接通信。但这两家厂商利用 Android 浏览器默认允许发送 localhost 请求的机制，构建了一个隐蔽的 ID 同步与行为收集通道。

研究人员指出，这一技术绕开了 Android 广告 ID 重置机制、浏览器隐私模式、Cookie 清除策略、App 间权限沙箱等一系列设计初衷为保护用户隐私的机制，形同“绕过所有防线的隐秘通道”。

攻击面外溢

更严重的问题是，一旦攻击者开发了监听相同端口的恶意 Android 应用，即便用户未安装 Yandex 或 Meta App，也能复用该通信机制，监听用户浏览记录。

换言之，只需安装一个权限极低的恶意 App，即可在用户毫无察觉的情况下，劫持来自数百万网站的访问记录数据。

目前，研究团队已在 Chrome、Firefox、Edge 等主流 Android 浏览器中验证了这一监听行为确实发生，且在正常和隐私浏览模式下均无法阻断。只有 Brave 默认阻断 localhost 请求完全免疫该机制，DuckDuckGo 浏览器因封锁部分 Yandex Metrica 数据流，影响较轻。

02、全球影响范围广泛：数十亿用户暴露在隐蔽追踪之下

网站部署情况

根据研究者对BuiltWith与HTTP Archive数据的分析，全球大约有580万网站嵌入了Meta Pixel，另有近300万个网站集成了Yandex Metrica。通过遍历前10万热门网站的爬虫测试，研究者发现：

Meta Pixel在欧盟和美国站点中分别有15,677和17,223个在加载页面时主动尝试与本地端口通信，即使用户未点击“同意Cookie”，仍有11,890（EU）和13,468（US）个站点默认执行该操作。

Yandex相关行为的触发频率略低，但在EU与US站点中仍达到了1,064和1,095个的“无同意通信”事件。

图：统计数据

这说明，在用户毫不知情的情况下，大量主流网站已被用于实施这种“隐形跟踪”机制。

App责任缺位

报告指出，Meta 与 Yandex 均未在其公开文档或开发者资料中披露该跨端通信机制，许多网站接入者在发现本地监听行为后曾向 Meta 支持询问，但得到的仅是泛泛回应，未作明确说明。

Meta 的跨端监听行为据推测始于 2023 年 9 月，已确认在 2025 年 6 月 3 日完全移除了相关代码，并称正在就政策解释问题与 Google 进行沟通。

Yandex 的该机制则最早可追溯至 2017 年初，彼时即已通过 HTTP 请求与其 App 建立通信通道。Yandex 在回应中称“该机制仅用于改善 App 个性化推荐，不涉及敏感数据，也不会去标识用户身份”，但承诺将停止相关行为。

图：统计数据

尽管两家公司均表示已终止使用该机制，但这一“隐形通道”长达 8 年的存在周期与未披露使用意图，已足以引发全球对跨端追踪边界与系统隐私机制有效性的深层担忧。

03、Android平台机制性缺陷，首次遭到大规模“战术化利用”

研究人员指出，这种追踪方式最核心的问题在于绕过了Android平台原有的沙箱隔离、权限控制、隐私提示与用户授权机制，造成以下安全困境：

浏览器与App间数据壁垒失效：Web 与 App 本应数据隔离，但通过 localhost 端口连接后，浏览器中的行为被“泄露”给后台应用。

现有隐私控制机制无效：无痕模式、cookie 清除、广告ID重置、未登录状态等均无法阻止此类追踪。

平台政策与技术空白：Google直到2025年5月才在Android Chrome中引入临时防护措施，目前尚未有全面系统性修复。

值得注意的是，研究人员尚未在 iOS 平台发现同类行为，但指出由于 iOS 亦支持 WebKit 本地通信，在技术上也并非不可实现，未来或存变数。

04、监管与治理：应对“本地通道滥用”刻不容缓

尽管 Meta 与 Yandex 在研究发布后宣布“停用相关功能”，但此次事件暴露出平台方与监管体系的多重盲区：

技术合规的灰色地带：行为发生在本地设备之间，通信无出网，未被当前 cookie、隐私政策覆盖，合规监管亟需更新定义；

平台责任机制缺失：App 开发者对 SDK 行为无感知，用户也无法察觉，厂商与平台需提供更加细致的权限说明与提示机制；

防御能力依赖单一浏览器厂商：目前仅 Google 和 Brave 推出部分防护措施，其他 Chromium 浏览器与国产浏览器尚未覆盖。

研究团队建议，未来需推动：

Android 系统加强本地通信访问权限控制；

浏览器加强 localhost 通信透明化与用户提示机制；

平台引入用户可控的“本地监听”权限项，并纳入隐私沙箱与广告ID治理框架中；

对跨平台ID桥接行为建立行业合规评估体系，强化开发者与平台透明度责任。

本次披露的研究表明，传统意义上的“App权限边界”与“浏览器隔离机制”正在被绕过，新一代的跨应用、跨平台用户追踪技术正在崛起。这一趋势挑战了当前隐私防护模型的边界，也对Android生态系统、浏览器厂商、网站运营者乃至监管机构提出了更高要求。

在全球日益重视数据主权与平台透明的背景下，Meta与Yandex的案例为业界敲响了警钟：隐私保护不能仅依赖“用户设置”，更需平台、技术标准与监管措施的全面升级。

03

思科警告 ISE 和 CCP 存在公开漏洞代码

思科发布了补丁,以解决其身份服务引擎(ISE)和客户协作平台(CCP)解决方案中公共利用代码的三个漏洞。

最严重的是CVE-2025-20286,由GMO Cybersecurity的Kentaro Kawane在Cisco ISE中发现。这种基于身份的策略执行软件在企业环境中提供端点访问控制和网络设备管理。

该漏洞是由于在云平台上部署 Cisco ISE 时生成的凭据不正确,导致跨不同部署共享凭据。

未经身份验证的攻击者可以通过从 Cisco ISE 云部署中提取用户凭据并使用它们访问其他云环境中的安装来利用它。然而,正如Cisco所解释的那样,只有当主管理节点部署在云中时,威胁行为者才能成功利用此漏洞。

“Cisco Identity Services Engine (ISE)的Amazon Web Services(AWS),Microsoft Azure和Oracle Cloud Infrastructure(OCI)云部署中的漏洞可能允许未经身份验证的远程攻击者访问敏感数据,执行有限的管理操作,修改系统配置或破坏受影响系统内的服务。

“Cisco PSIRT 知道概念验证漏洞漏洞可用于本咨询中描述的漏洞。

思科补充说,以下ISE部署不容易受到攻击:

①所有本地部署,具有从 Cisco Software Download Center (ISO 或 OVA)安装工件的任何外形因素。这包括具有不同外形尺寸的电器和虚拟机。

②Azure VMware 解决方案 (AVS)

③Google Cloud VMware 引擎

④AWS 中的 VMware 云上的 ISE

⑤ISE 混合部署,所有 ISE 管理员角色(主要和次要管理)在内部部署,以及云中的其他角色。

该公司建议仍在等待修补程序的管理员,或者无法立即应用今天发布的修补程序在Primay Administration persona clushous节点上运行应用程序重置-config ise命令,以将用户密码重置为新值。

但是,管理员也应该意识到此命令将Cisco ISE重置为出厂配置,并且恢复备份也将恢复原始凭据。

今天修补的概念验证漏洞漏洞的另外两个安全漏洞是思科ISE中的任意文件上传(CVE-2025-20130)和思科客户协作平台(前身为思科SocialMiner)中的信息披露(CVE-2025-20129)。

今年9月,思科修补了另一个ISE漏洞,这是一个带有公共漏洞代码的命令注入漏洞,可以让攻击者升级特权以在未修补的系统上生根。

图：示意图

04

恶意RubyGems冒充Fastlane窃取Telegram API数据

两个恶意的RubyGems包伪装成流行的Fastlane CI/CD插件，将Telegram API请求重定向到攻击者控制的服务器，以拦截和窃取数据。

RubyGems是Ruby编程语言的官方包管理器，用于分发、安装和管理Ruby库（gems），类似于JavaScript的npm和Python的PyPI。

这些软件包拦截敏感数据，包括聊天id和消息内容、附加文件、代理凭证，甚至可用于劫持Telegram机器人的bot令牌。

供应链攻击是由Socket研究人员发现的，他们通过一份报告警告了Ruby开发者社区这一风险。

这两个包在RubyGems上仍然存在，它们的名字如下：

·fastlane-plugin-telegram-proxy：发布于2025年5月30日，有287次下载

·fastlane-plugin-proxy_teleram：发布于2025年5月24日，有133次下载

窃取数据的捷径

Fastlane是一个合法的开源插件，可以作为移动应用开发者的自动化工具。它用于代码签名、编译构建、应用商店上传、通知传递和元数据管理。

“Fastlane -plugin- Telegram”是一个合法的插件，允许Fastlane通过Telegram发送通知，使用在指定频道上发布的Telegram bot。

这对需要实时更新Telegram工作空间中的CI/CD管道的开发人员很有帮助，允许他们跟踪关键事件而不必检查仪表板。

图：在RubyGems上搜索Fastlane时出现恶意信息

Socket发现的恶意gem几乎与合法插件相同，具有相同的公共API、自述文件、文档和核心功能。唯一的区别（尽管是至关重要的区别）是将合法的Telegram API端点（https://api.telegram.org/）与攻击者的代理控制端点（粗糙微风-0c37[.]buidanhnam95[.]workers[.]dev）交换，以便截获（并且很可能收集）敏感信息。

图：来自项目描述

被盗数据包括bot令牌、消息数据、任何上传的文件以及配置好的代理凭证。攻击者有充分的机会进行利用和持久化，因为Telegram bot令牌在受害者手动撤销之前一直有效。

Socket注意到gems的登陆页面提到代理“不会存储或修改您的bot令牌”，然而，没有办法验证这一说法。Socket解释说：“Cloudflare Worker脚本是不公开可见的，威胁者保留了记录、检查或修改传输中的任何数据的全部能力。”

使用这个代理，再加上受信任的Fastlane插件的typposquatting，清楚地表明了在正常CI行为的幌子下窃取令牌和消息数据的意图。此外，威胁者没有公布Worker的源代码，使其实现完全不透明。

安全研究人员建议安装了这两个恶意gem的开发人员应该立即删除它们，并重新构建安装日期之后生成的任何移动二进制文件。此外，所有与Fastlane一起使用的bot令牌都应该被旋转，因为它们已被破坏。

05

npm发现系统级后门包，可一键抹除服务器数据

安全研究人员最近识别出两个 npm 软件包，其行为远超表面声明。它们伪装成系统监控与数据同步工具，实则暗藏破坏性后门，一旦触发，可远程擦除开发者整个应用的所有文件。

图：示意图

据安全公司 Socket 威胁研究团队披露，这两个恶意软件包分别是 express-api-sync 和 system-health-sync-api，均由 npm 账户“botsailer”发布。尽管名称听上去毫无威胁，背后隐藏的代码却揭示了极具危险的意图。

根据该公司向 Hackread.com 分享的技术报告，express-api-sync 表面上是一个用于数据库同步的工具，实际上却会在任何引入它的 Express 应用中注入一个隐藏的 HTTP POST 接口 /api/this/that。该接口在接收到预设密钥 “DEFAULT_123” 时，会立即执行 Unix 命令 rm -rf *，直接删除当前目录下的所有文件，包括源代码、配置文件、用户上传内容及本地数据库等。

这一攻击过程完全静默，无日志、无控制台输出，并且由于使用了空的错误处理逻辑，即使路由注册失败也不会有任何提示。绝大多数开发者在系统被彻底破坏之前可能毫无察觉。

相比之下，system-health-sync-api 的破坏力更强。它构建得更像一个真正的系统监控工具，拥有完整的健康检查机制、SMTP 邮件功能，甚至支持 Express、Fastify 和原生 HTTP 服务。但在背后，它会收集服务器信息（包括主机名、IP、进程ID和环境摘要），并通过电子邮件发送至一个硬编码地址：anupm019@gmailcom。与此同时，它还会记录后端 URL 地址，帮助攻击者绘制服务器架构图。

该包还实现了跨平台的文件删除能力：对于 Unix 系统执行 rm -rf *，对于 Windows 系统则执行 rd /s /q .，这一命令不仅删除文件，还会清空当前目录。更令人担忧的是，该后门可通过两个 POST 接口（//system/health 与 //sys/maintenance）远程触发，均需配合密钥 “HelloWorld”。表面上这些配置是可自定义的，但默认值保证了攻击者即使开发者未作任何修改也能顺利控制。

邮件服务同时作为远程指令通道：SMTP 凭证虽然被 Base64 编码隐藏在程序中，但极易解码。一旦系统启动，恶意包会尝试连接邮件服务器，验证攻击者控制通道是否在线。

攻击流程在后台悄然展开：首先是通过 GET 请求侦察接口 /_/system/health 返回系统信息；随后可选进行“试运行”，以测试目标是否可控；紧接着是破坏性执行，即 POST 请求加密钥触发全盘删除；最后将详细的服务器指纹信息和后端路径通过邮件发回攻击者。该恶意包甚至会根据密钥是否正确返回不同提示，协助攻击者确认是否成功控制目标。

图：描述

不同于传统的供应链攻击通常以数据窃取或挖矿为目标，这两个 npm 包更倾向于彻底破坏，说明攻击者的动机从经济利益转向破坏系统、收集基础设施情报、甚至可能用于行业破坏或地缘竞争行为。他们构建的工具可以长时间潜伏，静默收集信息，在毫无预警的情况下发起攻击。

中间件机制的使用进一步加剧了风险。中间件代码在每次请求中都会运行，通常拥有应用内部的全部访问权限。这些恶意包正是利用这一点，悄然嵌入具备完全摧毁能力的路由，极具欺骗性。

Saviynt 公司首席信任官 Jim Routh 就此发表评论称：“这是一起典型的软件供应链攻击，攻击者精心设计伪装，将恶意后门嵌入看似正常的工具中。一旦这些代码被嵌入企业系统，恶意功能即可远程激活。企业应优先提升对软件构建流程的身份访问管理，包括对所有员工与承包方的权限控制。“

06

BadBox 2.0 僵尸网络席卷全球，数百万物联网设备遭入侵

近日，美国联邦调查局（FBI）发布重要公告，向全球民众发出警告：名为 BadBox 2.0 的恶意软件已在全球范围内肆虐，感染了数以百万计的物联网设备，形成了一个庞大的僵尸网络，正被网络犯罪分子用于各类恶意活动 ，网络安全形势岌岌可危。

图：示意图

BadBox 2.0 是 2024 年被部分遏制的 BadBox 恶意行动的 “进化版”，其攻击手段更加多样化和隐蔽 。它主要瞄准 Android 系统的物联网设备，感染途径既包括在设备制造环节就预埋恶意软件，也会在消费者购买后的使用过程中，通过用户下载含有恶意代码或后门程序的应用程序来实现入侵。

据悉，在 BadBox 2.0 背后，至少有 SalesTracker、MoYu、Lemon 和 LongTV 这四个相互关联的团体在运作。他们分工明确，从恶意软件的分发，到利用被感染设备窃取数据并从中非法牟利，形成了一条完整的 “黑色产业链” 。一旦设备被 BadBox 2.0 成功感染，就会沦为僵尸网络的一员，被犯罪分子当作住宅代理使用。他们借助这些被感染的设备，将非法网络活动伪装成正常的家庭网络行为，以此隐藏真实身份，进而实施广告欺诈、DDoS 攻击、劫持在线账户、拦截一次性密码进行金融欺诈等违法犯罪活动 。

FBI 在公告中特别指出，大部分被感染的物联网设备由中国生产 。这一说法背后，有着复杂的行业背景。中国作为全球最大的物联网设备制造基地，凭借完备的产业链、成熟的制造工艺和庞大的产能，每年向全球输送海量设备 。从智能家居到智能穿戴，从工业监控到商业显示，中国造设备几乎无处不在。但也正因为供应链的复杂性，部分环节可能存在监管漏洞，让不法分子有机可乘 。一些小品牌或山寨厂商为压缩成本，在设备安全认证上投入不足，导致产品存在安全隐患，容易被恶意软件入侵 。但将所有责任都归咎于中国设备，显然是不合理的。全球物联网设备产业链紧密相连，任何一个环节的疏忽都可能引发安全问题，不能以偏概全。

对于普通用户来说，如何才能及时发现设备是否被 BadBox 2.0 感染呢？FBI 给出了一些判断依据 。如果设备出现异常，比如在下载应用时，出现一些从未见过的、界面粗糙简陋的应用商店；或者设备在正常使用时，突然出现不明原因的过热，电量消耗异常快；又或者网络设置莫名其妙地被更改，出现陌生的网络连接，这些都可能是设备被感染的信号 。此外，若设备在没有进行任何操作时，莫名弹出要求关闭 Google Play 保护设置的提示，也需格外小心，这很可能是 BadBox 2.0 试图突破设备安全防线的举动 。

一旦怀疑设备被感染，用户应立即将其从网络中断开，避免其成为僵尸网络的 “帮凶”，进一步泄露个人信息或参与非法网络活动 。同时，仔细检查设备上是否有未经授权安装的应用程序，查看设备的后台进程，看是否有异常的程序在运行 。如果情况严重，执行设备的恢复出厂设置是一个较为彻底的解决办法，但在操作前，务必备份好重要数据。

07

谷歌账户恢复漏洞致攻击者可获取任意用户手机号

根据BruteCat安全研究人员本周披露的报告，谷歌账户恢复系统中存在一个高危漏洞，攻击者可通过精心设计的暴力破解攻击获取任意谷歌用户的手机号码。该漏洞现已被修复，其利用谷歌的无JavaScript（No-JS）用户名恢复表单绕过安全防护机制，窃取敏感个人信息。

漏洞原理分析

该漏洞存在于谷歌遗留的无JavaScript用户名恢复系统中。研究人员发现，这个被遗忘的接口可被操纵来验证特定手机号是否与特定显示名称相关联，从而为系统化的手机号枚举创造了条件。

图：示意图

攻击实施步骤

攻击方法包含三个关键环节：

通过Looker Studio转移文档所有权获取目标谷歌账户显示名称（无需受害者任何交互）

发起谷歌密码找回流程获取部分掩码处理的手机号提示（仅显示末尾几位数字）

使用名为”gpb”的自定义工具，根据已知显示名对完整手机号进行暴力破解

绕过防护机制的技术手段

研究人员通过两项关键技术突破谷歌的速率限制防护：

利用IPv6地址范围提供超过18万亿个唯一IP地址，实现每次请求切换不同IP，有效规避谷歌反滥用机制

发现JavaScript表单的botguard令牌可复用于无JS版本，从而规避验证码挑战

攻击效率与影响范围

该攻击效率惊人，研究人员使用每小时0.3美元的低配服务器即可实现每秒约4万次验证尝试。根据国家代码不同，完整手机号获取时间从新加坡等小国的数秒到美国约20分钟不等。

漏洞修复与响应

谷歌于2025年4月14日收到漏洞报告后迅速响应：

立即实施临时缓解措施

2025年6月6日完全弃用存在漏洞的无JS用户名恢复表单

初始奖励337美元，经研究人员申诉后提升至5000美元（基于该攻击无前置条件且难以检测的特性）

此事件凸显了遗留系统带来的持续安全挑战，以及对所有服务端点（包括看似过时或极少使用的接口）进行全面安全审计的重要性。

08

Microsoft Outlook 曝高危漏洞，仅需低权限就能实施攻击

2025年6月10日，Microsoft Outlook 被曝出 CVE-2025-47176 高危漏洞，攻击者可借此远程执行任意代码。

此漏洞编号为 CVE-2025-47176，被评定为 “重要” 级别，CVSS 评分高达 7.8 分，属于高风险漏洞范畴。该漏洞使得攻击者即使自身身处远程，也具备了在用户电脑上执行任意代码的危险能力，且关键点在于，仅需低权限就能实施攻击。

从技术层面剖析，这一漏洞的根源在于 Microsoft Outlook 存在着路径遍历问题，涉及 “…/…//” 这样的特殊序列。研究人员通过深入研究发现，攻击者可以巧妙地利用这些序列，玩弄文件路径于股掌之间。如此一来，攻击者就能在目标系统上实现本地代码执行。虽说从分类上看，这属于本地攻击向量，但微软官方严肃指出，这实则构成了远程代码执行（RCE）漏洞，因为 “远程” 关键词指向的是攻击者的所在位置，而非执行手段。

深入探究其影响范围，可谓覆盖了信息安全的三大核心支柱 —— 保密性、完整性和可用性，且这三项在 CVSS 评估里均被判定为 “高” 级别。试想，若攻击者成功得逞，他们将如入无人之境般获取电脑内的各类敏感数据，重要文件、隐私信息等都可能被一网打尽，这是对保密性的严重破坏；系统配置也会被其随意篡改，完整性荡然无存；更甚者，攻击者还极有可能让电脑陷入瘫痪，无法正常使用，直接损害了可用性。

回溯这一漏洞的发现之旅，是 Morphisec 团队里的 Shmuel Uzan、Michael Gorelik、Arnold Osipov 这几位安全专家，在日常严谨的网络安全研究中捕获了这个隐患。他们秉持着负责任的态度，采取了协调披露的方式，及时将漏洞信息告知了微软，为后续的漏洞修复争取了宝贵时间。

说到攻击方式，虽然官方将攻击向量定为本地（AV:L），但现实场景里，攻击者完全能搭建起远程代码执行的桥梁。不过，有一点值得稍微安心，微软已明确说明，该漏洞的攻击途径不包括预览窗格，这一定程度上限制了一些惯常依赖被动内容渲染的攻击场景。

在威胁情报层面，目前好消息是，暂未有迹象表明此漏洞在官方公告前已被公开披露，也未曾监测到在真实网络环境中被大规模利用，但微软对其可被利用性评估为 “不太可能”，谁也无法保证不法分子不会后续开发出针对性的攻击手段。

图：示意图 

0
2

数据安全情报

01

美国报业巨头遭勒索攻击，近4万社保号泄露

美国地方报业巨头Lee Enterprises披露，2月遭遇的网络攻击导致近4万人的社保号码泄露。该公司于5月28日确认敏感信息外泄后，于本周三向缅因州监管机构提交通报。

2月3日发现的网络攻击使Lee Enterprises耗费数周时间恢复。后续调查证实，黑客窃取了39,779人的敏感信息。该公司在致受害者信函中表示已向美国联邦调查局（FBI）报案，承诺“配合调查并采取必要措施追究攻击者责任”，同时为受影响人群提供一年期免费信用监测服务。

发动攻击的麒麟（Qilin）勒索软件团伙宣称窃取该公司350GB数据。该俄罗斯黑客组织以攻击英国医疗系统等恶性事件闻名，本次攻击导致Lee旗下《圣路易斯邮报》《亚利桑那每日星报》《布法罗新闻》等多家报纸印刷及数字业务瘫痪。

Lee Enterprises向美国证交会提交的文件证实，黑客不仅窃取文件，还加密了影响产品分发、账单处理及供应商付款的“关键应用程序”。“事件对公司财务状况可能产生实质性影响”，公司2月向监管机构表示，“取证分析仍在评估潜在损失”。

上月财报电话会议上，CEO凯文·莫布雷透露事件恢复成本达200万美元，并指出报纸长期停刊导致广告收入受损。为此公司债权人已豁免其3月及4月的利息与租金支付。

图：示意图

02

美国电话电报公司（AT&T）再次遭遇大规模身份数据泄露事件

研究人员周三表示,黑客发布了8600万份AT&T记录,其中包含解密的社会安全号码和个人数据,详细到足以为欺诈和身份盗窃建立完整的身份档案。

据Hackread报道,泄漏包括近4400万个社会安全号码,全名,物理地址和出生日期,以及其他构成严重隐私风险的个人身份信息。据报道,黑客组织ShinyHunters窃取的数据宝库于周二重新上传到一个受欢迎的俄罗斯网络犯罪论坛,并首次发布。《连线》在2024年7月报道称,AT&T向一名黑客支付了约27万美元,以删除数据。

AT&T发言人在周四的一封电子邮件中表示,“网络犯罪分子重新包装先前披露的数据以获取经济利益并不罕见。这位发言人说,这家电信巨头“刚刚了解到AT&T数据正在暗网论坛上出售的说法,我们正在进行全面调查。

网络安全专家表示,这种规模的违规行为通常源于多种根源和层叠的安全故障。根据研究人员的说法,最新泄漏背后的威胁行为者声称,出生日期和社会安全号码一旦加密,现在已经以纯文本形式暴露,使AT&T客户面临更高的剥削风险。

最初违反敏感的AT&T记录已经引起了客户的担忧,但现在它对他们的身份构成严重威胁,应用程序安全公司Black Duck的基础设施安全实践总监Thomas Richards说。

“随着出生日期和SSN的泄露,恶意行为者拥有进行欺诈和冒充AT&T客户所需的所有信息,”理查兹在发给信息安全媒体集团的一份声明中说。

目前尚不清楚最新泄密背后的威胁行为者是否与ShinyHunters黑客组织有关。研究人员表示,2024年4月发布的数据库是一个“结构不良的混乱”,数据结构松散,而新曝光的记录“结构良好,格式清晰,直接分为三个CSV文件,因此很容易理解每个字段代表什么。

ShinyHunters被描述为一个“多产的网络犯罪集团”,与2021年对流行的电子商务和约会网站的重大违规行为有关,并在2020年暴露了超过5.5亿用户记录(见:数据泄露:ShinyHunters的统治仍在继续)。

Bugcrowd的CISO Trey Ford将违规行为的消息视为一个机会,为不基于社会安全号码的个人识别新系统进行传教。静态标识符相当于身份盗窃的邀请,他争辩说。“现在是时候将SSN视为公共记录的一部分,就像你的名字,地址和电话号码一样,并建立一个中央和联合技术控制系统,以验证和授权使用身份记录,”他说。

图：示意图

03

英国税务机关遭钓鱼攻击，损失 4700 万英镑

英国税务海关总署（HMRC）近日披露，犯罪团伙通过钓鱼手段盗用超过10万个纳税人账户，并利用这些账户向政府提交虚假退税申请，导致4700万英镑（约合6400万美元）资金被非法提取。

HMRC首席执行官约翰-保罗·马克斯6月4日向议会财政委员会表示，该事件源于攻击者通过钓鱼活动或外部数据泄露获取个人信息，而非HMRC系统遭到入侵。

受影响的纳税人将在三周内收到通知信函，其账户已被临时锁定并清除异常登录信息。马克斯强调，所有受影响的纳税人不会因此承担经济损失，HMRC已从税务记录中删除错误申报信息。数据显示，HMRC去年成功拦截了犯罪分子试图窃取的19亿英镑资金，实际损失金额仅占攻击总额的2.5%。

HMRC副首席执行官安吉拉·麦克唐纳指出，诈骗者利用被盗身份信息创建或劫持在线账户，通过高度组织化的犯罪网络实施欺诈。尽管当局未透露具体攻击手法，但网络安全专家推测这可能涉及信息窃取软件感染或社工攻击。目前相关刑事调查仍在进行，部分嫌疑人已于去年被逮捕。

税务部门发言人重申，此次事件属于“利用外部获取的个人信息实施欺诈”，并非针对HMRC系统的网络攻击。该机构正与执法部门合作追回被盗资金，并建议纳税人警惕可疑邮件、短信及电话，避免在非官方渠道提交敏感信息。

图：示意图

04

美国税务解决公司遭勒索攻击，69GB 客户数据泄露

美国税务解决方案公司Optima Tax Relief遭遇Chaos勒索软件攻击，攻击者现已泄露窃取的公司数据。作为知名税务服务机构，该公司专为个人及企业解决联邦与州税问题，自称全美领先税务解决商，累计为客户处理超30亿美元税务债务。

近日，Chaos勒索团伙将Optima Tax Relief列入其数据泄露网站，宣称窃取69GB数据。泄露内容包含公司内部数据与客户案件档案，其中税单通常载有社会安全号码、电话号码、家庭住址等敏感信息，可能被其他威胁组织用于恶意活动或身份盗窃。

知情人士向BleepingComputer透露，此次攻击采用双重勒索模式：攻击者不仅窃取数据，同时加密了公司服务器。Chaos是2025年3月新出现的勒索组织，其数据泄露网站首批公布了五名受害者。需注意该团伙不同于2021年出现的Chaos勒索软件生成器——后者常被用于网络钓鱼和恶意软件活动。

该团伙上周还宣称攻陷慈善组织救世军，但未获对方回应。BleepingComputer已就事件细节联系Optima Tax Relief，尚未获得回复。

图：示意图

0
3

网络安全监管动态

01

国家互联网信息办公室公开《中国网络法治发展报告（2024年）》全文

2025年4月27日，国家互联网信息办公室组织召开发布会，公开发布《中国网络法治发展报告（2024年）》。

该报告深入贯彻习近平法治思想，特别是习近平总书记关于网络法治的重要论述，全面展现网络法治发展成果，深入总结网络法治工作经验，更好凝聚网络法治理念共识，着力为全面展示我国网络法治建设发展的最新实践成果打造权威品牌。

《中国网络法治发展报告（2024年）》是首部国家部门层面发布的网络法治综合性年度报告，既是《中国网络法治三十年》报告的续篇，也是中国网络法治发展年度报告的开篇，对于充分展现网络法治建设新进展新成效，奋力谱写网络法治建设新篇章具有重要意义。

图：示意图

02

2025年5月全国受理网络违法和不良信息举报1829.6万件

2025年5月，中央网信办举报中心指导全国各级网信举报工作部门、主要网站平台受理网民举报色情、赌博、侵权、谣言等违法和不良信息1829.6万件，环比增长1.7%、同比下降9.4%。

其中，中央网信办举报中心受理举报44万件，环比增长7.2%、同比增长17.6%；各地网信举报工作部门受理举报59.7万件，环比下降3.5%、同比下降51.8%；全国主要网站平台受理举报1725.9万件，环比增长1.7%、同比下降7.1%。

在全国主要网站平台受理的举报中，主要商业网站平台受理量1583.1万件，占91.7%。

目前全国各主要网站平台不断畅通举报渠道、受理处置网民举报。欢迎广大网民积极参与网络综合治理，共同维护清朗网络空间。

图：图示

0
4

网络安全研究报告

01

曾毅：人工智能可以兼得高水平的能力与安全

“现在没有一个人工智能系统是绝对安全的。”6月5日上午，北京前瞻人工智能安全与治理研究院院长、联合国人工智能高层顾问机构专家曾毅在2025全球数字经济大会数字安全主论坛暨北京网络安全大会开幕峰会上发表主旨演讲时指出，诸如隐私侵犯、虚假信息等关键性、基础性人工智能安全风险依然存在。

在曾毅看来，这主要是因为伴随人工智能技术的发展，大模型安全攻击方法的持续进化，人工智能安全趋势也随之复杂化。他以2020年至2025年的大模型安全攻击方法举例，2020年仅是简单提示注入等简单威胁，2023年已经出现多模态攻击，2024年出现智能对抗攻击，今年则出现了组合复杂攻击。

“人工智能大模型能力的提升，其安全性并没有变得更高。”曾毅认为，基于灵御人工智能安全攻防平台对49种主流大模型的测试佐证了自己的观点。

从对主流大模型的测试结果来看，有两个非常突出的现象。

一是最新的大模型也没有带来更强大的安全防护能力。例如，今年春节后国内外发布的几个典型大模型，模型能力实现了跃迁，但安全风险防范并没有做得更好。

二是国产人工智能大模型的安全性相对较好，但并非世界领先。接受测试的大模型的攻击成功率在0.7%-30%左右，其中国产大模型的攻击成功率相对偏低，表明安全性相对较好，但表现最好的模型（攻击成功率在5%左右）也没有做到全球领先。

“但是人工智能可以兼得高水平的能力与安全，也就是鱼和熊掌是可以兼得的。”曾毅在演讲中对人工智能安全持相对乐观的看法，并不认为人工智能的安全与性能是相互掣肘的关系，现有的主流大模型的表现并不代表提升人工智能安全性是一道无解题。

曾毅的乐观同样基于最新的研究测试结果。他向与会者透露，基于人工智能模型安全越狱解毒剂计算原理，通过引入越狱解读机的机制到不同的人工智能大模型中，对人工智能模型的能力在没有负面影响的情况下，模型安全性可以提升20%-40%，而且需要付出的计算能耗非常有限。

“安全与治理是人工智能的核心能力，将加速人工智能稳健发展与应用。”在演讲最后，曾毅再次呼吁要重视人工智能的安全性，加强人工智能安全治理。

图：专家曾毅发言

02

以网络安全保险为抓手，构建供应链安全治理新范式

近年来，随着中国数字经济的快速发展，供应链安全已成为国家战略安全的重要一环。《网络安全法》《数据安全法》等法规，将链主企业对供应链上下游的网络安全管理从自律提升为法定义务，要求其动态考核供应商并承担更大责任。

图：示意图

2023年，美国Clorox公司因供应链第三方系统漏洞遭遇勒索软件攻击，造成超3.5亿美元销售损失，并影响下游零售巨头。这一事件凸显了即便行业龙头也难以独善其身，供应链安全已关乎整个产业生态的韧性和稳定。Clorox案例警示链主企业必须强化对供应商的安全管控，也暴露了传统治理模式在面对复杂威胁时的不足。

本文将系统梳理我国供应链网络安全治理的政策环境和主要挑战，分析网络安全保险的创新优势，并通过国际案例的分析，提出“链主主导—保险协同—科技平台支撑”的新治理模式，为企业和行业提供可落地的解决思路和建议。

一、传统供应链网络安全治理的局限与困境

在实际操作中，传统供应链网络安全治理模式仍面临一系列结构性困境，主要体现在以下四个方面：

1. 复杂的安全技术标准难以转化为可操作、可信赖的判断工具。

当前，供应链网络安全治理面临技术标准体系繁杂的问题。链主企业需统筹全链条的数据流转与安全保护，但面对高度复杂的技术规范和检查方案，既难以确保全覆盖，又难以形成统一、易于操作和具有可信度的评估机制。传统的打分制和合规检查往往“挂一漏万”，表面通过审核的供应商并不代表具备真正有效的网络安全防护能力，链主企业也难以对供应商的真实防护水平做出科学判定。

1. 缺乏财务风险缓释机制，链主企业难以有效落实供应商经济责任。

在现实供应链治理中，链主企业往往难以将网络安全责任实质性压实到供应商身上。即使合同中尝试约定安全事故的经济责任，一旦真的发生重大损失，很多中小供应商很难具备足够的财务偿付能力，链主企业担心“追责即破产”，导致追偿机制流于形式。结果就是，供应商面对网络安全事件没有真正的财务压力和激励，责任落实名存实亡，链主企业被动承担全链条的重大风险，生态内的激励与约束机制严重失衡。

1. 静态合规检查缺乏持续监控，难以应对动态威胁和能力提升需求。

供应链安全治理普遍依赖合规准入和年度评估等“静态体检”，而在供应商准入后的过程管理和能力提升上存在明显空白。由于缺乏持续的动态监控和突发事件响应机制，供应商往往审核后即缺乏后续投入，导致“纸面合规”“形式主义”长期存在。面对持续演化的网络威胁，这一静态治理手段难以有效防范和应对。

1. 高昂的监管与检查成本难以全链条共担，生态治理失衡。

链主企业和头部企业虽有能力自建安全团队，但要覆盖全链条、成百上千家供应商的持续检查，投入成本极其高昂，远超企业自身防护预算。若将安全检查外包或让供应商自付费用，既可能产生利益冲突和形式化应付，也难以真正提升安全水平。缺少合理的全链条成本共担和激励机制，导致生态各方诉求难以平衡，负面影响逐步累积。

这些结构性局限使得传统供应链安全治理难以适应数字化与网络威胁的快速演进，难以平衡各方诉求与成本，行业亟需引入能实现责任闭环、风险量化和动态协同的新工具，推动治理模式的升级与创新。

二、网络安全保险对供应链治理困境的破解

网络安全保险以结果负责、风险补偿和协同分摊为核心特性，为供应链安全治理带来结构性变革。

首先，保险合同确保网络安全事件发生后由保险公司实际赔付，实现“结果负责”，倒逼链主与供应商落实安全责任。其次，保险机制具备天然的风险补偿功能，显著提升企业和供应链应对极端事件的韧性，为企业快速恢复运营和重建信任提供保障。同时，保险通过保险资金池和科学定价，将原本难以承受的巨大损失分摊到全链条成员，降低单一企业负担。最后，保险公司为降低赔付风险，会主动为客户引入风险评估、漏洞扫描、应急响应等增值服务，实现事前预防、事中干预和事后补偿的闭环管理。

在此基础上，网络安全保险针对传统治理的四大困境，提供了系统性的破解方案：

1. 保险机制推动标准量化和公正评估

保险公司出于自身风险控制需求，必须建立一套体系化、量化、易于理解的风险评估体系。无论是通过自研模型还是引入第三方安全评估机构，保险公司都会对被保险企业和供应商进行统一、透明的安全能力评级。整个承保流程相当于一次全链条的“能力筛查”，评估结果直接影响能否承保以及保险费率，极大提升了评估的科学性和可信度。链主企业可借助保险公司这一第三方“裁判”，获得实事求是、标准化的供应商网络安全判定依据，直接以供应商提供正规有效保单作为合规依据即可。

1. 保险机制帮助供应商转移财务风险，助力链主企业落实经济责任

网络安全保险为供应商提供了财务风险转移与保障能力。通过保险合同，链主企业可以明确要求供应商必须投保足额的网络安全保险，将其因网络安全事件产生的赔偿责任以保险为“兜底”实现转移。这样，即便发生重大安全事故，相关赔偿和经济责任由保险公司承担，供应商有能力履行合同责任，链主企业也无需担心“追责即破产”的两难困境。保险机制消除了链主企业落实经济责任的顾虑，反向促进了合同中对供应商责任的明确约定和有效执行，从根本上提升了责任落实的可操作性与供应链治理的健康度。

1. 保险公司驱动动态监控与能力服务闭环

保险公司出于降低赔付概率的内在动力，会在承保后持续对被保险企业和供应商进行风险监控和动态管理。例如，保险公司会定期组织漏洞扫描、安全培训等活动，并根据威胁形势变化及时调整服务内容和风险预警级别。遇到安全事件时，保险公司还会第一时间介入应急响应和事故处置。这种“服务+监管”模式，不仅让供应链安全能力获得持续提升，也让动态威胁能够被及时感知和应对，实现了从静态合规到动态防控的治理跃迁。

1. 保险机制实现全链条成本分摊与协同治理

保险公司通过保费资金池化和科学定价，将风险在全体被保险成员中实现资金共享，通过资金池负担服务过程中的成本，形成成本分摊。每家企业只需为自身风险和责任支付相应保费，就可以将沉重负担转移出去，同时享受了统一的安全服务和理赔保障。保险公司主导的标准化评估、统一服务和理赔流程，有效避免了“外包检查被供应商绑架”或“合规走形式”等问题，推动整个供应链形成成本共担、激励协同和持续提升的良性生态。

通过以上四种方式，网络安全保险通过结果导向、风险补偿、成本共担与动态服务，系统性破解了传统供应链安全治理在标准、责任、能力和成本四大核心环节的困境。它为行业提供了既专业又高效的外部动力，推动供应链安全治理从静态合规走向结果负责、协同共赢的可持续新范式。

三、标杆案例剖析：网络安全保险驱动下的供应链治理创新

根据NIST公开的案例分享，以思科（Cisco）为代表的全球科技企业，已经将网络安全保险机制深度嵌入供应链治理体系，形成了典型的行业范式。其经验对于中国企业探索新治理路径具有重要借鉴意义。

1. 全面细致的供应商安全标准

思科制定了覆盖11大安全领域、180项细致要求的供应链安全规范，涵盖安全治理、制造与运营、资产管理、事件管理、服务连续性、物流安全、物理与环境安全、人员安全、信息保护、安全工程与架构、第三方合作伙伴等。所有供应商必须遵守这一主规范，并通过合规性审查和动态监控，确保安全能力持续达标。思科采用NIST框架、ISO 20243等国际标准，确保供应链安全要求全球统一、可量化、可执行。

1. 强制保险与合同嵌入，形成风险闭环

思科要求所有关键供应商必须购买网络安全责任保险，最低保额为500万美元，且供应商需将思科列为共同被保险人。保险凭证是供应商获得业务准入的必要条件，且需定期更新，保险失效即暂停合作。合同中还约定了保险优先权、自付额、自保险等细节，确保保险责任明确、执行有力。

1. 保险公司深度参与供应商管理

保险公司不仅承担风险，还以第三方身份参与供应商承保前的风险评估和动态安全监控。供应商为获得好的承保条件和持续合作，必须提升安全能力，接受保险公司的安全合规审查和整改建议。保险公司依据评估结果调整保费和承保条款，动态反映供应商风险状况。

1. 激励机制与能力提升，形成正向循环

供应商为获得思科合作、降低保险成本，需不断提升安全措施，如多因素认证、定期漏洞扫描、获得国际安全认证等。保险公司则通过定期风险评估、激励性保费，推动供应商持续改进。思科还与保险公司合作，对合同制造商实施高保护风险（HPR）状态，要求其采取物理与电子双重安全措施，提升整体业务连续性。

1. 行业标准引领与协同创新

思科将保险机制与行业标准、技术平台深度融合，推动供应商获得NIST、Cyber Essentials等认证。保险公司通过外部审计验证合规性，形成“链主主导——保险第三方监管——供应商持续改进”的闭环。思科还与保险公司（如Allianz、Aon）合作，为采用其安全产品的客户和供应商提供更低的保险费率，强化产业协同。

思科案例表明，只有将“高标准安全要求+强制保险挂钩+第三方激励监管+合同机制嵌入+能力持续提升”有机结合，才能真正实现供应链安全治理的闭环和持续优化。保险公司作为不可收买的第三方，有效推动了供应商能力提升和行业标准统一。链主企业通过保险机制实现风险可控、损失可赔付、能力可持续提升，形成了行业韧性新标杆。这一模式为国内企业提供了可复制的治理蓝本：一是链主企业要以标准化、全球化的思维对待供应链安全；二是将保险与供应商管理深度融合，用保险公司第三方监管激励供应商持续合规；三是联合保险公司、第三方评估机构和安全服务商，形成多元协同创新的生态，共同支撑治理模式的持续演进。

四、以网络安全保险为抓手的供应链安全治理新范式

中国供应链网络安全治理正处于重大转型关口。新范式应充分借鉴国际领先经验，结合本土政策与产业实际，构建“链主企业主导—保险公司配合—保险科技平台支撑”的闭环生态。

1. 链主企业牵头，构建治理体系框架

链主企业需将网络安全保险纳入供应链管理顶层设计，建立全面的供应商安全标准，并进行分级管理与动态评估：

制定供应商网络安全保险框架标准，强制要求所有供应商投保网络安全险，链主企业列为共同被保险人，高风险供应商同步提高保险金额；

在合同中明确保险责任、违约后果、理赔流程等核心条款，供应商必须提供网络安全保险凭证，方可执行供应商合同，从而确保供应商达标，同时实现风险转移；

定期联合保险公司和第三方对供应商能力复评，评估结果与保险额度、合作深度挂钩，动态淘汰不达标供应商。

1. 保险公司深度参与，风险转移与增值服务并重

保险公司基于分级风险评估结果，制定差异化保险产品和动态定价机制，联合安全科技公司开发量化模型，对高风险供应商实施动态核保。保险合同中约定“安全服务包”，包括安全评估、威胁监测、应急响应等，提升供应链整体防护能力。理赔流程数字化、专业化，覆盖数据恢复、业务中断、第三方索赔等多种场景。

1. 保险科技平台支撑，打通数据、技术与服务闭环

保险科技平台作为落实供应链安全治理范式的关键引擎。保险科技平台通过AI、大数据、区块链、威胁情报、SaaS服务等技术，打通链主企业、保险公司、供应商、安全公司等多方接口，实现合同签订、风险评估、核保、理赔、安服等全流程的数字化、标准化和自动化。对于中小供应商，平台可根据其数字画像和风险特征，推荐低成本保险产品和定制化安全服务包，降低准入门槛，提升全链条的整体安全韧性和协同防御能力。

该范式强调“链主主导——保险配合——科技支撑——生态共建”。链主企业确保标准统一和资源高效配置，保险公司实现风险分摊和价值创造，平台提升透明度和自动化水平。政策层面，2023年工信部、金融监管总局《关于促进网络安全保险规范健康发展的意见》为新范式实施提供了坚实保障。应关注本土特色，灵活设计产品和分层服务，推动中小企业积极参与，打破“木桶效应”，实现与国际做法接轨并提升全球竞争力。

五、行动建议

结合政策导向和行业趋势，建议行业各方采取如下：

链主企业：将网络安全保险纳入供应链战略规划，制定供应商网络安全保险框架方案（supplier’s program）,强制要求所有供应商投保网络安全险，并将链主企业列为共同被保险人，将保险条款和责任分担嵌入合同，建立动态评估与整改机制，联合保险公司和第三方定期安全复核。

保险公司：与具有安全背景的保险科技公司合作，开发面向不同风险等级的保险产品，完善承保、核保、理赔全流程，联合科技公司开发动态风险评估和增值服务，提升产品综合竞争力。

保险科技平台：整合链主、供应商、保险公司与第三方资源，实现全流程数字化，汇聚行业数据，支持政策创新和标准完善，为中小企业提供专业服务。

保险科技平台作为新范式的核心枢纽，集成AI、大数据、威胁情报和区块链等技术，实现供应链安全风险实时监测、智能评估和高效理赔，助力链主、保险公司与供应商协同防控风险，推动供应链安全治理智能化与主动化。

图：示意图

部分文章依据互联网公开信息收录整理，若有侵权请联系我们。

扫描二维码

关注我们

了解更多精彩