SigmaOptimizer is a End-to-End Sigma rule generation and optimization tool that automatically creates, tests, and improves Sigma rules based on real-world
The post SigmaOptimizer: End-to-End LLM Tool for Automated Sigma Rule Generation and Testing appeared first on Penetration Testing Tools.
The APT-C-60 group, previously linked to targeted attacks against Japanese organizations, continues to employ its signature methods—blending proven
The post APT-C-60 Returns: New SpyGlace Malware Hides in Fake Resume VHDX Attachments appeared first on Penetration Testing Tools.
The uutils team has unveiled Rust Coreutils 0.4.0 — a new release of the system utilities written in
The post Rust Coreutils 0.4.0 Released: 85.8% GNU Compatibility & Major Performance Boosts appeared first on Penetration Testing Tools.
A new iteration of the RondoDox botnet has been uncovered, exhibiting a dramatic escalation in both scale and
The post RondoDox Botnet V2 Escalates: 75+ Exploits Target IoT and Enterprise Systems appeared first on Penetration Testing Tools.
U.S. authorities are reportedly preparing to ban the sale of routers and other network equipment manufactured by TP-Link
The post US Ban on TP-Link Routers Imminent Over China Ties and Cyber-Espionage Fears appeared first on Penetration Testing Tools.
The Taiwanese company QNAP has released updates for its systems addressing seven zero-day vulnerabilities unveiled by participants at
The post Critical RCE Zero-Days Patched: QNAP Fixes 7 Flaws Exposed at Pwn2Own 2025 appeared first on Penetration Testing Tools.
Independent researcher and cybersecurity specialist Lukasz Olejnik has detailed in his blog the intricacies of a forthcoming legislative
The post The End of Cookie Banners? EU Draft Law Puts Consent Control in Your Browser appeared first on Penetration Testing Tools.
关于侵害用户权益行为的APP(SDK)通报
(2025年第6批,总第51批)
根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期,经组织第三方检测机构进行抽查,共发现42款APP及SDK存在侵害用户权益行为(详见附件),现予以通报。
来源:工信微报
根据工业和信息化部最新发布的2025年第6批(总第51批)通报,检测发现有42款APP及SDK存在侵害用户权益行为,涉及多个主流应用类别,涵盖生活服务、电商购物、教育学习、娱乐直播、实用工具、金融借贷及交通出行等多个行业领域。这一广泛分布态势表明,无论应用属于何种行业,用户数据安全与合规管理都应成为企业运营的基本准则与核心责任。
从违规行为类型来看,突出问题主要集中在以下几个方面:违规或超范围收集个人信息、频繁过度索取系统权限、用户界面干扰与误导(如弹窗乱跳转、无法关闭等)、产品透明度不足(包括隐私政策默认同意、SDK信息公示不到位),以及频繁自启动及关联启动等后台行为失控。这些行为不仅直接违反《个人信息保护法》《网络安全法》等法律法规,也严重侵蚀用户信任,影响行业生态的健康发展。
在当前监管趋严、用户意识提升的背景下,企业应从根本上重视合规建设,将“设计即合规”理念融入产品全生命周期,建立健全个人信息保护机制,切实履行主体责任,以实现可持续、可信赖的数字化转型。
梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验,系统性搭建了专业的移动应用合规检测框架,通过覆盖应用全生命周期的自动化检测与深度分析,精准识别隐私合规性问题并输出风险评估报告及整改建议,助力企业高效构建合规防线。
梆梆安全移动应用合规检测框架
在移动应用程序敏捷开发环境下,仅依赖自动化工具或纯人工检测均难以有效应对合规风险。梆梆安全提供采用“工具检测+人工验证”相结合的方式,在保障检测准确性的同时提升效率,切实满足快速迭代中的合规要求。
Hackers have released what appears to be the largest data breach in the history of Chinese cybersecurity —
The post Global Targets & Secret Tools: Massive Leak Exposes China’s Knownsec Cyber-Intelligence appeared first on Penetration Testing Tools.
Microsoft has revealed a new side-channel attack targeting remote large language models, allowing a passive adversary who merely
The post Microsoft revealed Whisper Leak: Attack Inferred Encrypted AI Chat Topics with 98% Accuracy appeared first on Penetration Testing Tools.
2025年10月28日,第十四届全国人民代表大会常务委员会第十八次会议表决通过关于修改《中华人民共和国网络安全法》的决定,新修订的法律将于2026年1月1日起正式施行。
(图片来源中国人大网)
本次修订标志着我国网络安全监管体系从建立基本框架的初期阶段,进入到强化执行、细化分类、促进发展的新阶段。对于各类网络运营者而言,这既是要严格遵循的合规要求,更是重构安全体系、建立持续竞争优势的重要契机。梆梆安全从法律文本与产业实践出发,深度剖析此次修法的核心变化与实施路径。
一、2025修订的四大核心变化
在人工智能技术快速发展、数据要素价值日益凸显、网络攻击手段不断演进的背景下,本次修订针对当前网络安全领域的薄弱环节和新兴风险,主要体现在四个方面的深刻变化:
变化1:治理定位的升级——安全成为战略问题
新增第三条,“网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。”
这一修订将网络安全工作的定位从技术和管理层面,提升到维护国家主权、安全和发展利益的战略高度。企业在进行网络安全建设时,需要将其置于国家整体安全框架下进行考量。未来的安全体系建设不仅要防范数据泄露和服务中断等传统风险,更要评估其对国家关键信息基础设施、社会公共利益和网络空间秩序的潜在影响。
变化2:监管视野的拓展——移动生态和AI成为新焦点
本次修订在两个关键维度上扩展了监管范围:
一方面,将多处罚则中的“关闭网站”修改为“关闭网站或者应用程序”,明确了移动应用的法律地位;另一方面,首次将人工智能的发展与安全纳入法律框架,并对其发展与管理作出规定。
增加一条,作为第二十条:“国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。
“国家支持创新网络安全管理方式,运用人工智能等新技术,提升网络安全保护水平。”
这些修订意味着监管范围实现了重要拓展:移动应用(包括APP、小程序、H5、SDK等)被明确纳入监管体系,其运营者需要承担与网站运营者同等的法律责任;同时,对人工智能领域确立了发展与规制并重的原则,在支持其技术研发与基础设施建设的同时,着力完善伦理规范并加强风险监测与安全监管,并鼓励利用AI提升网络安全防护水平。
变化3:责任体系的精细化——分级分类精准追责
对原第五十九条(新第六十一条)等重要条款进行了实质性修改,建立了基于运营者类型、违法情节和后果影响的差异化责任体系。
具体来说:对于一般网络运营者,法律明确了"一般违法"与"严重后果"的界限,并引入从轻、减轻处罚的柔性条款(新增第七十三条),体现了过罚相当的立法原则;对于关键信息基础设施运营者,则设定了更为严格的责任标准,特别对导致关键信息基础设施"丧失主要功能"的行为,设定了最高一千万元的罚款额度;对供应链各方:新增第六十三条对供应链安全责任作出规定,对销售或提供未经安全认证、检测的网络关键设备和网络安全专用产品的行为设定了明确罚则,实现了责任链条的延伸。
变化4:法律协同的强化——告别"孤岛式"合规
在第四十二条增加规定,“网络运营者处理个人信息,应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。”
这一修订明确了《网络安全法》与《数据安全法》、《个人信息保护法》共同构成的治理体系需要协同实施。企业需要建立统一的治理框架,同时满足网络安全、数据安全和个人信息保护的多重要求,改变过去分别满足不同法律要求的做法。
二、三大重点领域的安全建设要求
移动安全:建立全生命周期防护体系
随着"应用程序"被明确定义为监管对象,移动安全建设需要实现全面升级:
在责任界定方面,无论是APP开发者、运营者,还是小程序平台、SDK提供商,都需要对自身代码及集成组件的安全性负责,改变了以往责任边界模糊的状况;
在防护要求方面,监管范围从应用上架前的安全检测延伸到运营中的持续监测、应急响应乃至下架后的数据处置,要求建立覆盖全生命周期的安全管理体系。
数据安全与个人信息保护:实现深度合规
法律协同性的增强,要求数据安全治理必须与业务流程深度融合:企业需要为每一项数据处理活动确立明确的法律依据,建立完善的数据资产地图和处理活动清单;在技术实施层面,传统的加密、脱敏等技术措施必须与数据分类分级制度、权限管控策略、操作审计流程等管理要求紧密结合,形成完整防护体系;同时,需要特别关注数据跨境传输的合规要求,关键信息基础设施运营者要严格执行安全评估规定,一般运营者也需密切关注重要数据目录的动态调整。
人工智能安全:构建治理先行机制
人工智能纳入法律规制范畴,要求企业在发展技术的同时同步建立安全机制:算法歧视、信息茧房、深度伪造等伦理风险成为具体监管内容,需要在研发初期就建立伦理评估机制;从训练数据源的合规性,到数据投喂过程的防污染,再到模型的抗攻击能力,以及生成内容的安全性,构成了全新的全生命周期风险管控链条;在自动化决策等应用场景中,企业还需要建立算法的可解释机制,能够向用户和监管机构清晰说明决策逻辑。
三、构建面向未来的安全治理体系
基于对新修订法律的深入理解,梆梆安全建议企业从三个层面系统推进安全治理体系建设:
首先,开展合规基线重构工作。立即基于新法要求进行差距分析,重点覆盖移动应用清单、数据流转图谱、AI应用风险等领域,系统性更新内部管理制度,建立常态化的合规风险评估机制。
其次,建立数据与移动安全双核驱动机制。构建一体化的数据安全管控体系,实现数据全生命周期防护;同时建立移动应用的一体化防护架构,形成纵深防御能力,确保技术措施与管理要求的有效衔接。
第三,深度嵌入AI治理机制。设立跨部门的AI安全治理组织,制定伦理准则和审批流程,构建覆盖数据安全、模型安全、应用安全、合规审计的AI安全能力矩阵,建立可追溯、可审计的AI系统运行机制。
在推进实施过程中,需要特别注意避免以下认知误区:
避免重网站轻应用的倾向,要充分认识移动应用安全的重要性;
避免重技术轻管理的做法,要注重技术措施与管理制度的协同;
避免重建设轻运营的思路,要建立持续改进的安全运营机制。
《网络安全法》的2025修订,是我国数字经济迈向高质量发展的重要标志。对企业而言,这意味着需要将安全治理从被动的成本投入,转变为创造业务价值的关键能力。建立在坚实安全与合规基础上的业务体系,不仅能够有效防范法律风险,更能在数字经济竞争中获得持续优势。作为网络安全领域的实践者,我们应当以建设性的态度迎接这次变革,将合规要求转化为发展动力,共同推动行业建设水平的全面提升。