Aggregator

事件回溯：一份假政策击穿行业的神经

2026年3月，一篇题为《七部门重磅发布AI安全治理三年行动计划》的文章在社交媒体广泛传播。文章声称：2026年3月10日，工业和信息化部等七部门联合印发《人工智能安全治理三年行动计划(2026-2028年)》，并一本正经地特意标出“全行业合规范围已界定清楚，这些要求直接影响每一家AI企业。”

这则信息具备高仿真度的一切特征：权威的部门组合、精确的时间节点、专业的政策术语、紧迫的行业影响。然而，经主管部门核查，工业和信息化部等部门从未发布过该文件。中国互联网联合辟谣平台迅速辟谣，确认这是一起利用AI技术炮制的虚假政策信息事件。

这不是孤例。2025年6月，一则《7月1日起老年人坐火车可打折》的虚假信息在社交平台流传，该谣言通过AI技术伪造铁路部门新政，甚至附上仿冒官方文件的排版和措辞。2024年，《济南大妈路边摆摊被监管部门罚款145万》等虚假文章均由AI工具生成，引发大范围传播。

这些事件共同指向一个危险信号：AI生成的虚假信息正在从“内容污染”升级为“认知层攻击”，它们不再只是博眼球的段子，而是精准击中社会焦虑、影响企业决策、扰乱公共秩序的高危信息武器。

嘶吼认为：传统谣言是人编人传，AI谣言是机器量产+精准投放。据相关地方公安机关查处的案例显示，MCN机构利用AI工具一天能生成4000至7000篇假新闻，关联账号800余个。这种工业化生产能力，让谣言从偶发事件变成了常态威胁。更危险的是，这次虚假政策针对的是AI监管本身，用AI生成假政策来讨论AI监管，这种“自我指涉”的讽刺性恰恰说明，技术已经跑在了治理前面。

焦虑放大器：为什么人们会相信假政策

虚假AI监管政策之所以能快速传播，根源在于它精准击中了当前社会的双重集体焦虑。

第一重是对监管不确定性的焦虑。自2023年《生成式人工智能服务管理暂行办法》实施以来，AI行业一直处于政策密集调整期。2025年9月1日，《人工智能生成合成内容标识办法》正式施行，要求所有AI生成内容添加显式与隐式标识。企业面对合规压力，对任何政策风向都高度敏感，这种敏感性被虚假信息精准利用。

第二重是对技术失控的焦虑。北京大学新闻与传播学院教授胡泳指出，当AI生成的内容与人类创作的内容交织在一起时，会出现“衔尾蛇”模式，最终数据合并后，分不清哪些是人类创造、哪些是AI生成，从而引发严重后果。特别是当公众高估AI系统的智力并对其产生过度信任时，一旦AI系统出现错误或被恶意利用，后果相当危险。

这双重焦虑构成了，从焦虑到传播的闭环，AI焦虑降低了公众的批判性思考能力，而虚假信息的传播又进一步加剧了AI焦虑。在这种情绪共振中，辟谣成本远高于造谣成本，据央视调查，AI造谣可以一键生成，但辟谣需经历锁定信源、核查证据、多部门联动等复杂流程，当虚假内容被证伪时，往往已造成不可逆的社会影响。

焦虑会成为认知安全最容易被突破的弱点。 传统辟谣逻辑是：事实核查+权威发布，但在AI时代，情绪比事实传播得更快。当企业看到“七部门”三个字时，第一反应不是核实真伪，而是担心“万一这是真的，我没跟上怎么办”。这种紧张的心理，让理性判断让位于本能反应。嘶吼认为，未来做好认知安全，不能只靠删帖、封号这种事后处理方式，更要提前做好政策发布的预期引导，减少出现没人说话、信息空白的阶段，让真实信息比谣言传播得更快。

技术真相：为什么平台识别不了假政策

虚假政策信息能突破平台审核防线，源于AI生成技术的三重升级。

首先是内容仿真度的质变。江西公安机关查处的一起MCN机构使用AI工具造谣案中，涉案人员利用人工智能工具批量生成不实文章，最高峰一天能生成4000至7000篇假新闻，关联账号达800余个。这些文章不再是粗糙的标题党，而是具备完整叙事逻辑、专业术语运用、甚至仿冒公文格式的高拟真内容。

其次是传播链条的智能化。不法分子已形成：需求分析—内容生产—精准投放的完整链条。通过AI分析社交平台热词，就关注度高的话题批量生成谣言，再通过算法定向推送，实现定制化生成、精准化传播、智能化扩散。

第三是平台识别的技术滞后。尽管《标识办法》要求服务提供者对AI生成内容添加显式标识（文字、声音、图形）和隐式标识（元数据嵌入），但在实际执行中，不少平台对AI生成信息要么没有提示，要么字体极小，有的审核机制滞后甚至先发后审，给谣言传播留下了较大空间。更关键的是，标识制度针对的是“已知AI内容”，而虚假信息往往刻意规避标识，冒充人工创作。

平台面临的困境是：当AI生成的虚假政策文件在格式、措辞、逻辑上都与真实文件高度相似时，传统的关键词过滤和模式识别已难以奏效。这不仅是技术对抗，更是认知层面的真假难辨危机。

嘶吼认为：真正有效的办法可能不是“证明AI内容本身”，而是让真实政策文件具备不可伪造的数字签名。建立官方政策文件的区块链存证系统，公众可以通过扫码或链接直接验证文件真伪。技术的问题，需要技术来解决，而不是靠人或AI批量审核，去跟机器批量生成的内容硬刚。

本质跃迁：从信息污染到认知层攻击

虚假AI监管政策事件标志着网络谣言已发生本质性跃迁，从传统的“信息失真”升级为“认知层攻击”。

传统谣言依赖人类的编造能力和传播意愿，而AI谣言实现了认知污染的规模化生产。中国人民大学学者指出，如果说以前的认知攻防主要靠媒体讲故事和引导舆论，那么数智时代将彻底改写这套逻辑，大数据和人工智能技术把认知竞争从粗放影响升级为精准塑造，从依赖人工策划转向算法驱动的智能操控。

这种攻击的影响远超传统谣言。对企业而言，虚假政策信息可能导致战略误判、资源错配甚至合规风险。对行业而言，频繁的假政策事件会稀释公众对真实监管政策的信任，形成“狼来了”效应。对国家安全而言，这是认知域安全的直接威胁，当公众无法区分真假政策时，政府的公信力和治理权威将被系统性削弱。

正如对外经济贸易大学学者戴长征所言，认知攻击的识别与系统性认知防御体系的构建，已成为数智时代维护国家安全与社会稳定的关键议题。

嘶吼认为：“认知层攻击”最可怕的地方在于无痕。 传统的网络攻击会留下日志、痕迹，可以被追踪溯源。但认知攻击它不改变系统代码，只改变人的想法；它不窃取数据，只窃取信任。当假政策被辟谣后，伤害并没有结束，公众会记住“哦，AI监管又要收紧了”，这种印象会持续影响决策。

范式转移：认知安全成为网络安全的新维度

虚假AI监管政策刷屏事件，最终指向一个核心结论：认知安全正在从网络安全的“子议题”升级为“新维度”。

传统网络安全聚焦于技术层面的攻防，防火墙、入侵检测、数据加密。但在AI时代，攻击目标已从系统漏洞转向认知漏洞。攻击者只需通过生成式AI制造假新闻，就能影响公众决策、扰乱市场秩序、威胁社会稳定。2025年中央网信办“清朗”系列专项行动将整治AI技术滥用乱象列为八大重点之一，正是对这一趋势的回应。

未来的网络安全体系，必须将“人的认知”纳入防御边界。这不仅意味着更先进的技术检测工具，更意味着重建公众的信息素养、完善平台的责任机制、强化政府的响应速度。正如《标识办法》所昭示的，标识不仅是对内容的标记，更是对信任的重建，在真假难辨的信息洪流中，为公众提供可锚定的确定性坐标。

认知安全作为网络安全的新维度，其终极目标是确保：当下一则"七部门重磅发布"的消息出现时，公众的第一反应不是盲目转发，而是审视标识、核查信源、冷静判断。这或许是我们在AI时代能为自己构筑的最坚实防线。

结语：

认知安全的最高境界是让谎言失去市场，而不是让谎言无法传播。 再强的技术过滤也挡不住所有假信息，但一个具备批判性思维的公众可以。未来的教育应该从小抓起，培养AI素养，不是教孩子用AI画图写作文，而是教他们质疑、验证、溯源。当整个社会形成“默认怀疑到主动验证”的认知习惯时，假新闻自然就刷屏不了了。这需要时间，但必须从现在开始。

参考文献：

https://cj.sina.com.cn/articles/view/5953189932/162d6782c06703y2io?froms=ggmp

https://www.news.cn/government/20250718/4bb18b6b51954cfc8c37b10d07da1459/c.html

https://m.thepaper.cn/newsDetail_forward_29916398

https://paper.people.com.cn/rmrb/pc/content/202508/18/content_30096699.html

https://www.piyao.org.cn/20250310/f818ce7d3c274a5ca97c3f8c4bf08244/c.html

https://t.cj.sina.com.cn/articles/view/7986487113/1dc081f4900101p0ic

https://paper.people.com.cn/rmrb/pc/content/202508/18/content_30096699.html

http://theory.people.com.cn/n1/2025/1212/c40531-40622751.html

漏洞扫描工具Trivy近期遭到名为TeamPCP的威胁组织实施的供应链攻击，该组织通过官方发布渠道与GitHub Actions分发窃密恶意软件。

Trivy是一款主流安全扫描工具，可检测容器、Kubernetes集群环境、代码仓库及云基础设施中存在的安全漏洞、配置错误与泄露密钥。由于该工具被广大开发者与安全团队普遍使用，因此成为攻击者窃取敏感认证凭证的高价值目标。

安全研究员称Trivy 0.69.4版本已被植入后门，带有恶意程序的容器镜像与GitHub官方安装包已推送至普通用户端。

随后，安全厂商Socket及Wiz先后展开深度溯源分析，最终确认本次攻击波及多款GitHub Actions组件，几乎篡改了trivy-action代码仓库内的所有版本标签。 

研究人员调查发现，威胁攻击者入侵篡改了Trivy的GitHub构建流程：一方面将GitHub Actions中的入口脚本entrypoint.sh替换为恶意版本，另一方面在Trivy v0.69.4官方发布包中植入木马化可执行程序。上述两类恶意程序均具备窃密功能，可渗透主扫描工具及关联GitHub Actions组件，涵盖trivy-action、setup-trivy等常用工具。 

攻击者盗用了一组具备仓库写入权限的泄露凭证，借此权限发布恶意安装包。经查证，这批泄露凭证源自今年3月初的上一轮安全事件，当时凭证已从Trivy运维环境中被窃取，且安全团队未完成彻底溯源封堵。 

威胁攻击者在Aqua Security旗下trivy-action代码仓库中，强制推送篡改了76个版本标签中的75个，将所有标签跳转指向恶意代码提交记录。

这直接导致所有外部开发工作流，只要调用受篡改影响的版本标签，便会在执行正规Trivy安全扫描前自动运行恶意代码，极大提升了本次入侵攻击的检测难度。

据Socket安全团队监测报告显示，此次窃密恶意软件会先收集系统侦察数据，再全盘扫描目标设备中各类存储凭证与认证密钥的文件及路径，窃取内容具体包括： 

·系统侦察数据

主机名、用户身份信息、系统内核信息、网络配置参数、环境变量

·安全密钥类

SSH公私密钥及配套配置文件

·云与基础设施配置

Git仓库、亚马逊云（AWS）、谷歌云（GCP）、微软Azure云、Kubernetes集群、Docker容器认证凭证

·环境配置文件

.env环境变量文件及各类衍生变体文件

·数据库凭证

PostgreSQL、MySQL/MariaDB、MongoDB、Redis数据库配置密钥

·通用凭证文件

包管理工具、密钥保险箱相关认证令牌

·持续集成部署配置

Terraform、Jenkins、GitLab CI等流水线配置文件

·其他敏感文件

TLS传输层安全私钥、VPN虚拟专用网络配置、Slack与Discord平台Webhook令牌、终端命令历史记录、/etc/passwd与/etc/shadow系统用户文件、身份认证日志、加密货币钱包数据

信息窃取程序正在收集凭据、SSH密钥和环境文件

该恶意脚本还会扫描GitHub Actions运行进程的内存区域，精准匹配特定JSON格式密钥字符串，“

”，而在开发者本地设备中，植入木马的Trivy可执行程序会执行同类窃密操作：采集系统环境变量、扫描本地文件窃取密钥、枚举读取全网网卡接口信息。 

所有窃取到的敏感数据会先被加密打包为tpcp.tar.gz压缩文件，随后外传至仿冒域名指挥控制服务器scan.aquasecurtiy[.]org。

若数据外传失败，恶意软件会在受害者GitHub账号内新建名为tpcp-docs的公开仓库，将窃取数据强制上传留存。 

为实现恶意程序持久驻留，该软件还会在目标设备路径~/.config/systemd/user/下投放Python恶意载荷文件sysmon.py，并注册为系统常驻服务。该载荷会持续轮询远程服务器，按需下载投放更多恶意程序，确保攻击者长期稳定控制入侵设备。

安全判定本次攻击与TeamPCP威胁组织有关，核心证据为攻击所用窃密载荷的Python脚本末尾，存在“TeamPCP云窃密程序”专属注释标识。

这款恶意窃密程序在内置文件密钥采集模块的Python脚本最后一行，主动标注了TeamPCP云窃密程序身份。TeamPCP组织也被追踪命名为DeadCatx3、PCPcat及ShellForce，是业内已收录的云原生定向威胁组织，惯于利用配置错误的Docker应用程序接口、Kubernetes集群、Ray监控面板及Redis服务器发起入侵攻击。

评论显示该脚本名为TeamPCP Cloud Stealer

Trivy所属厂商Aqua Security已正式确认本次安全事件，称攻击者盗用了上一轮未彻底封堵泄露事件中的残留凭证。据了解，当时虽批量轮换重置了密钥与令牌，但重置操作并非原子一次性完成，攻击者大概率同步窃取了更新后的全新令牌。”

本次恶意篡改的Trivy v0.69.4版本在线存活时长约3小时，而遭篡改的GitHub Actions版本标签有效恶意运行时长最长达12小时。 

攻击者还恶意篡改删除了项目官方仓库，所有在事件存续期间使用过受篡改版本的企业机构，需判定自身运维环境是否已完全失陷。 

应急处置需全面批量轮换所有密钥凭证，涵盖云平台凭证、SSH密钥、应用程序接口令牌、数据库密码等核心数据，同时全盘深度扫描设备系统，排查是否存在其他潜伏入侵后门。

衍生后续攻击：新型蠕虫CanisterWorm通过npm供应链扩散

安全研究员还确认同一TeamPCP威胁组织发起衍生后续攻击，投放一款名为“CanisterWorm”的新型自主扩散蠕虫程序，定向入侵npm开源包生态。 

该蠕虫程序可恶意篡改开源包、通过系统常驻服务植入持久后门，随后盗用窃取到的npm认证令牌，向其他开源包推送恶意更新版本实现全域扩散。 

这款自主扩散蠕虫通过deploy.js脚本盗取npm令牌、解析用户账号、枚举所有可发布开源包、自动迭代补丁版本号，最终批量全域投放恶意载荷，最快60秒内可入侵28个开源包。”

该恶意软件采用去中心化指挥控制机制，依托互联网计算机（ICP）智能容器构建数据中转节点，为恶意程序提供后续载荷下载地址解析服务。 

借助ICP智能容器特性，本次攻击极难被溯源关停，仅容器管控者有权限删除节点，若要全网阻断攻击，必须发起治理提案并完成全网节点投票审批。 

蠕虫程序同时具备密钥采集能力，可从配置文件与环境变量中窃取npm认证令牌，进而快速渗透扩散至开发者本地环境与持续集成部署流水线。 

目前，部分二级恶意载荷基础设施已停止活跃或配置无害内容，但研究员表示，攻击者可随时修改配置重启高危攻击，所以人们仍需时刻保持警惕。

嘶吼安全动态

【国内新闻】

国家数据局：我国AI日均Token调用量破140万亿，需强化安全治理

摘要：国家发展改革委党组成员、国家数据局局长刘烈宏表示，到今年3月，我国日均Token的调用量，已经超过了140万亿。充分表明中国的人工智能发展进入了快速增长阶段。

原文链接：https://baijiahao.baidu.com/s?id=1860520427200415004&wfr=spider&for=pc

中关村论坛AI主题日开幕，聚焦安全合规

摘要：围绕大模型监管、数据安全、伦理治理展开研讨，推动AI创新与风险防控协同发展。

原文链接：https://baijiahao.baidu.com/s?id=1860415956913300130&wfr=spider&for=pc

启明星辰天清汉马USG AI智能防火墙首家通过信通院标准检验

摘要：启明星辰天清汉马USG AI智能防火墙首家通过中国信息通信研究院的检验，正式获得AI防火墙能力检验证书。

原文链接：https://cj.sina.cn/article/norm_detail?url=http%3A%2F%2Ffinance.sina.cn%2F2026-03-24%2Fdetail-inhscnuk1434793.d.html&autocallup=no&isfromsina=yes

2026网络通信安全融合生态大会在宁召开，发布大模型安全检测平台

摘要：公安部三所首发大模型安全动态检测平台，覆盖全流程评估；紫金山实验室等共建安全测评体系。

原文链接：https://baijiahao.baidu.com/s?id=1860523950690071053&wfr=spider&for=pc

中央网信办部署“E 法同行”网络普法，强化数据安全治理

摘要：全国网络法治宣传启动，聚焦数据安全、个人信息保护，强化企业合规与反诈能力建设。

原文链接：https://www.cac.gov.cn/2026-03/24/c_1776090626480691.htm

【国外新闻】

美国FCC全面禁止进口外国消费级路由器

摘要：以网络安全为由实施禁令，引发本土设备涨价与囤货，凸显全球供应链安全博弈加剧。

原文链接：http://m.toutiao.com/group/7620826663509606927/

微软发布AI智能体全域安全战略

摘要：微软将AI智能体视为新安全核心，涵盖智能体治理、身份保护、数据安全以及云和端点防护，并辅以新的AI驱动的安全运营能力。

原文链接：https://baijiahao.baidu.com/s?id=1860458762735399114&wfr=spider&for=pc

AI工具LiteLLM遭供应链投毒，数千企业面临数据泄露风险

摘要：3月24日消息，AI基础设施工具LiteLLM遭遇供应链投毒事件，此次攻击的技术手段表现出高隐蔽性，波及大量AI与后端项目，建议开发者立即核查查杀。

原文链接：https://www.d1ev.com/newsflash/292849

开源扫描工具Trivy遭遇供应链攻击，影响上万个下游SaaS环境

摘要：知名开源容器安全扫描工具Trivy被发现存在恶意版本。黑客通过GitHub Actions篡改了工具逻辑，目前已识别出超1000个受灾的SaaS环境，潜在受影响的下游机构或达万余家。

原文链接：https://cyberscoop.com/trivy-supply-chain-attack-aqua-downstream-extortion-fallout/

动漫巨头Crunchyroll遭黑客组织攻击，680万用户信息面临泄露

摘要：流媒体平台Crunchyroll正在调查一起大规模泄密事件。黑客声称通过获取内部支持人员的Okta凭据，访问了Zendesk等管理系统，掌握了680万用户的IP地址及部分个人敏感信息。

原文链接：https://www.bleepingcomputer.com/news/security/crunchyroll-probes-breach-after-hacker-claims-to-steal-68m-users-data/

A sophisticated supply chain attack targeting Aqua Security’s widely used open-source vulnerability scanner, Trivy. A threat actor leveraged compromised credentials to distribute malicious releases, turning a trusted security tool into a mechanism for large-scale credential theft across CI/CD pipelines. The incident remains an ongoing and evolving investigation, with attackers actively weaponizing stolen credentials across the […]

The post Aqua Security’s Trivy Scanner Compromised in Supply Chain Attack appeared first on Cyber Security News.