要聞速覽

1、中央網(wǎng)信辦等四部門印發(fā)《2025年提升全民數(shù)字素養(yǎng)與技能工作要點》

2、中國互聯(lián)網(wǎng)協(xié)會發(fā)布《人工智能賦能教育發(fā)展研究報告》

3、"銀狐"木馬病毒攻擊再度來襲

4、史上最大規(guī)模僵尸網(wǎng)絡(luò)攻擊出現(xiàn)：133萬設(shè)備同時發(fā)起DDoS襲擊

5、全球能源巨頭成為目標：揭秘"電力寄生蟲"多語言釣魚攻擊

6、新型越獄攻擊可突破ChatGPT、DeepSeek等主流AI服務(wù)防護

一周政策要

中央網(wǎng)信辦等四部門印發(fā)《2025年提升全民數(shù)字素養(yǎng)與技能工作要點》

近日，中央網(wǎng)信辦、教育部、工業(yè)和信息化部、人力資源社會保障部聯(lián)合印發(fā)《2025年提升全民數(shù)字素養(yǎng)與技能工作要點》（以下簡稱《工作要點》）。

《工作要點》部署了6個方面16項重點任務(wù)。一是健全數(shù)字人才培育體系，包括培養(yǎng)復(fù)合型人工智能人才、完善高水平人才培育體系、壯大應(yīng)用型技能人才隊伍、增強勞動者數(shù)字工作能力。二是拓展數(shù)字經(jīng)濟增長空間，包括釋放數(shù)字消費潛力、激發(fā)企業(yè)數(shù)字動能。三是構(gòu)建普惠包容數(shù)字社會，包括推進數(shù)字助老助殘行動、促進教學(xué)資源開放共享、實施數(shù)字公益志愿項目。四是打造智慧便捷數(shù)字生活，包括強化人工智能應(yīng)用賦能、豐富新型數(shù)字應(yīng)用場景。五是營造安全有序數(shù)字環(huán)境，包括健全人工智能治理機制、強化法治道德規(guī)范意識、筑牢網(wǎng)絡(luò)安全防護屏障。六是完善協(xié)同聯(lián)動工作格局，包括深化多方協(xié)作機制、加強國際交流合作。

信息來源：中央網(wǎng)絡(luò)安全和信息化委員辦公室 https://www.cac.gov.cn/2025-04/27/c_1747459876424202.htm

中國互聯(lián)網(wǎng)協(xié)會發(fā)布《人工智能賦能教育發(fā)展研究報告》

近日，中國互聯(lián)網(wǎng)協(xié)會發(fā)布了由協(xié)會智慧教育工作委員會組織，中國信息通信研究院技術(shù)與標準研究所聯(lián)合中國移動等相關(guān)單位編制的《人工智能賦能教育發(fā)展研究報告》。

報告分析了人工智能+教育的整體發(fā)展態(tài)勢，詳細研究了關(guān)鍵技術(shù)、應(yīng)用實踐和產(chǎn)業(yè)生態(tài)等最新進展。在發(fā)展態(tài)勢方面，梳理了我國和美、英、德等國家推進人工智能賦能教育建設(shè)的情況。在關(guān)鍵技術(shù)方面，研究了人工智能+教育技術(shù)架構(gòu)，跟蹤了用于教育領(lǐng)域的大模型、知識圖譜、計算機視覺等關(guān)鍵技術(shù)最新進展。在應(yīng)用實踐方面，總結(jié)了人工智能賦能“教、學(xué)、研、評、管”等教育關(guān)鍵環(huán)節(jié)的典型應(yīng)用場景及功能效果，展示了當(dāng)前用于多學(xué)段的代表性應(yīng)用案例。在產(chǎn)業(yè)生態(tài)方面，分析了熱門的教育大模型、AI學(xué)習(xí)機、AI智慧學(xué)伴等人工智能+教育產(chǎn)品發(fā)展現(xiàn)狀和企業(yè)布局情況。在報告最后，還展望了未來發(fā)展趨勢，提煉了面臨的挑戰(zhàn)并提出發(fā)展建議。

消息來源：中國互聯(lián)網(wǎng)協(xié)會 https://www.isc.org.cn/article/24648518487633920.html

業(yè)內(nèi)新聞速覽

"銀狐"木馬病毒攻擊再度來襲

近日，國家計算機病毒應(yīng)急處理中心和計算機病毒防治技術(shù)國家工程實驗室通過國家計算機病毒協(xié)同分析平臺捕獲一系列針對我國網(wǎng)絡(luò)用戶的木馬病毒，特別是針對財務(wù)和稅務(wù)工作人員。這些木馬病毒以"稅務(wù)稽查"、"所得稅匯算清繳"、"放假安排"等誘餌主題命名，均為"銀狐"（又名"游蛇"、"谷墮大盜"）家族木馬變種，針對Windows平臺用戶，主要通過社交媒體中轉(zhuǎn)發(fā)的釣魚鏈接傳播”。

這些木馬病毒具有明顯特征：釣魚主題高度貼合季節(jié)性事件，如"企業(yè)所得稅"、"第一季度"、"稅務(wù)稽查"等；文件格式多為RAR、ZIP壓縮包，解壓后釋放同名或相仿的EXE或DLL文件；技術(shù)上采用大體積文件、多層加載、反調(diào)試等逃避檢測技術(shù)，復(fù)雜度較高。

一旦用戶運行這些惡意程序，攻擊者可實施遠程控制、竊密、挖礦等惡意操作，甚至將受害主機作為實施電信網(wǎng)絡(luò)詐騙的"跳板"。特別值得注意的是，攻擊者還會根據(jù)受害主機配置，針對性投送惡意"挖礦"病毒，盜用高性能計算機的算力挖掘加密貨幣。

國家計算機病毒應(yīng)急處理中心建議用戶：不輕信社交媒體傳播的所謂政府通知；將可疑文件上傳至國家計算機病毒協(xié)同分析平臺檢測；保持防病毒軟件和系統(tǒng)更新；遇到系統(tǒng)異常應(yīng)立即斷網(wǎng)并備份重要數(shù)據(jù)。

消息來源：國家計算機病毒應(yīng)急處理中心 https://mp.weixin.qq.com/s/R67SexfJ6ONRzdch91vINQ

史上最大規(guī)模僵尸網(wǎng)絡(luò)攻擊出現(xiàn)：133萬設(shè)備同時發(fā)起DDoS襲擊

網(wǎng)絡(luò)安全公司Qrator Labs近日披露，2025年3月26日，一場創(chuàng)紀錄的分布式拒絕服務(wù)(DDoS)攻擊瞄準了一家未具名的博彩平臺。這次攻擊由迄今為止規(guī)模最大的僵尸網(wǎng)絡(luò)發(fā)起，涉及133萬臺被入侵設(shè)備，比2024年記錄的最大僵尸網(wǎng)絡(luò)(22.7萬設(shè)備)大近六倍。

此次攻擊持續(xù)約2.5小時，主要由位于巴西(51.1%)的設(shè)備發(fā)起，其他主要貢獻國包括阿根廷(6.1%)、俄羅斯(4.6%)、伊拉克(3.2%)和墨西哥(2.4%)。盡管攻擊源地理分布集中，但專家警告簡單的地理封鎖無效，因為"僵尸網(wǎng)絡(luò)運營商能夠迅速通過其他地區(qū)的IP重新路由攻擊"。

Qrator Labs的數(shù)據(jù)顯示，2025年第一季度DDoS攻擊同比增長110%，延續(xù)了2024年50%的增長趨勢。在網(wǎng)絡(luò)層(L3)和傳輸層(L4)，最常被攻擊的行業(yè)包括IT和電信(26.8%)、金融科技(22.3%)和電子商務(wù)(21.5%)。而在應(yīng)用層(L7)，金融科技單獨承受了54%的攻擊。專家指出，僵尸網(wǎng)絡(luò)規(guī)模擴大主要歸因于發(fā)展中國家大量過時且不受保護的設(shè)備，特別是預(yù)裝惡意軟件且缺乏基本安全功能的低成本Android設(shè)備。

消息來源：安全牛 https://mp.weixin.qq.com/s/jOkq1EgwFLW-7UJUjr2xAg

全球能源巨頭成為目標：揭秘"電力寄生蟲"多語言釣魚攻擊

近日發(fā)布的一份全面威脅報告顯示，復(fù)雜釣魚活動"Power Parasites"（電力寄生蟲）自2024年以來一直活躍。這一持續(xù)的攻擊活動主要利用西門子能源、施耐德電氣、法國電力集團、雷普索爾和森科能源等知名能源公司的名稱和品牌，通過精心設(shè)計的投資詐騙和虛假工作機會進行欺詐。攻擊者建立了一個由超過150個活躍域名組成的龐大網(wǎng)絡(luò)，這些域名被設(shè)計用來冒充合法公司，主要針對孟加拉國、尼泊爾和印度等亞洲國家的個人。攻擊者通過欺騙性網(wǎng)站、社交媒體群組和Telegram頻道出擊受害者，并使用本地化內(nèi)容以提高有效性。Silent Push研究人員發(fā)現(xiàn)，威脅行為者采用"廣撒網(wǎng)"方法，同時濫用多個品牌名稱并部署眾多網(wǎng)站以最大化受害者覆蓋范圍。

感染途徑主要涉及兩種不同的社會工程學(xué)方法：投資詐騙變體通過假冒能源公司支持的虛假投資平臺，誘使受害者提供敏感的個人和財務(wù)信息；而就業(yè)詐騙變體則以知名企業(yè)的虛假就業(yè)機會吸引受害者，要求申請人在"入職"過程中提供銀行賬戶詳細信息、身份證件和空白支票。

消息來源：FREEBUF https://blog.csdn.net/FreeBuf_/article/details/147549979

新型越獄攻擊可突破ChatGPT、DeepSeek等主流AI服務(wù)防護

研究人員最新發(fā)現(xiàn)的兩項越獄技術(shù)暴露了當(dāng)前主流生成式AI服務(wù)的安全防護存在系統(tǒng)性漏洞，受影響平臺包括OpenAI的ChatGPT、谷歌的Gemini、微軟的Copilot、深度求索（DeepSeek）、Anthropic的Claude、X平臺的Grok、MetaAI以及MistralAI。

這些越獄攻擊可通過幾乎相同的提示詞在不同平臺上執(zhí)行，使攻擊者能夠繞過內(nèi)置的內(nèi)容審核和安全協(xié)議，生成非法或危險內(nèi)容。其中名為"Inception"的技術(shù)利用嵌套虛構(gòu)場景侵蝕AI的倫理邊界，另一種技術(shù)則誘導(dǎo)AI透露其禁止響應(yīng)內(nèi)容后轉(zhuǎn)向非法請求。

事件曝光后，受影響的廠商迅速行動起來，紛紛采取措施應(yīng)對危機：深度求索（DeepSeek）承認報告但表示這屬于傳統(tǒng)越獄而非架構(gòu)缺陷，稱AI提及的"內(nèi)部參數(shù)"和"系統(tǒng)提示"屬于幻覺而非真實信息泄露。其他廠商雖未公開聲明，但據(jù)稱正在進行內(nèi)部調(diào)查和更新。

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！