2025年網絡犯罪損失將破10萬億美元，AI成雙刃劍；虛假低俗視頻借AI擴散，制作者落網 | 牛覽

新聞速覽

• 2025年網絡犯罪損失將破10萬億美元，AI成雙刃劍

• 虛假低俗視頻借AI擴散，制作者落網

• 迪士尼控告Google AI大規模侵權

• 美多部門聯合預警：警惕“蠻力式”OT入侵

• 德國落地NIS2法案：4,300家機構納入強監管

• 超萬鏡像泄密！Docker Hub成AI密鑰“泄露重災區”

• CTERA推AI驅動勒索防護方案，準確率超97%

• Gladinet產品硬編碼密鑰漏洞遭利用:已有9家機構受影響

• 美國2026財年網絡安全預算呈現“軍升民降”反差

• NSA聯合多國發布AI-OT集成安全原則,強調人機協同與故障安全

熱點觀察

2025年網絡犯罪損失將破10萬億美元，AI成雙刃劍

據Cybersecurity Ventures最新發布的《2025年網絡安全年鑒》，全球網絡犯罪造成的經濟損失預計將在2025年達到10.5萬億美元，較2021年翻倍。報告指出，勒索軟件、AI驅動的攻擊和供應鏈漏洞是三大主要威脅。其中，勒索軟件攻擊頻率每11秒發生一次，而AI被濫用于生成深度偽造（deepfake）和自動化釣魚攻擊，顯著提升了攻擊效率。此外，全球網絡安全人才缺口仍高達340萬人，加劇了防御難度。報告強調，企業需加強零信任架構部署，并加大對威脅情報與自動化響應系統的投入。

https://cybersecurityventures.com/cybersecurity-almanac-2025/

美多部門聯合預警：警惕“蠻力式”OT入侵

2025年12月9日，FBI、CISA與NSA聯合發布網絡安全公告，警告親俄黑客組織正利用暴露在公網的虛擬網絡計算（VNC）連接，對全球水處理、能源及食品生產等關鍵基礎設施發動低技術但高破壞性的攻擊。這些組織如Cyber Army of Russia Reborn（CARR）、NoName057(16)、Z-Pentest和Sector16，雖缺乏高級持續性威脅（APT）的精密手段，卻通過弱密碼的工業人機界面（HMI）隨意篡改設備參數、關閉警報，造成“失視”狀態，引發不可控物理后果。美網絡安全機構強調，首要防御措施是減少運營技術（OT）資產對公網的暴露，并強化認證機制與離線邏輯備份。

https://securityonline.info/fbi-cisa-warn-pro-russia-hacktivists-target-critical-infrastructure-via-unsecured-vnc-hmis/

AI攻擊推高運營成本，小企業陷“安全—生存”兩難

根據Infosecurity Magazine 2025年12月11日報道，美國Identity Theft Resource Center（ITRC）最新《2025商業影響報告》顯示，81%的員工少于500人的中小企業在過去一年遭遇數據或安全 breaches。其中38%的企業因此提高產品或服務價格，形成所謂“網絡稅”（cyber tax）。ITRC總裁James Lee指出，這種隱性成本正加劇通脹，并對資源有限的小企業造成不成比例的負擔。在攻擊手法方面，41%的受害者歸因于AI驅動攻擊，如深度偽造音視頻、高仿真釣魚郵件和自動化偵察；其余則來自外部威脅者（43%）和惡意內部人員（42%）。盡管企業對自身網絡安全準備度的信心下降，多因素認證（MFA）部署率卻從34%降至27%，安全工具投入亦減少15%。ITRC建議聚焦“人員、流程與技術”三位一體防御：加強識別AI生成內容的培訓、實施敏感操作的帶外驗證、部署基于行為分析的AI防護系統。

https://www.infosecurity-magazine.com/news/twofifths-smbs-raise-prices-after/

超萬鏡像泄密！Docker Hub成AI密鑰“泄露重災區”

網絡安全公司Flare于2025年12月10日發布報告稱，其在11月對Docker Hub的掃描發現10456個容器鏡像泄露敏感密鑰，涉及101家企業，包括一家財富500強及十余家金融機構。泄露內容中，AI平臺訪問令牌（如OpenAI、HuggingFace、Anthropic）占比最高，達4000個；42%的問題鏡像包含五個以上密鑰，可能使攻擊者獲得云環境、代碼庫及支付系統的完全控制權。主要泄露原因包括將.env文件或硬編碼的API密鑰直接嵌入鏡像，且多源于未受監管的“影子IT”賬戶。更嚴重的是，75%的案例在刪除密鑰后未執行撤銷操作，導致憑證仍可被長期濫用。

https://mp.weixin.qq.com/s/SdAA8iQM0dxnUQ3aJGctOw

美國2026財年網絡安全預算呈現“軍升民降”反差

美國2026財年國防授權法案呈現“軍升民降”網絡安全預算格局。國防部申請網絡空間活動預算151億美元，同比增長4.1%，其中網絡安全91億、網絡空間作戰54億、網絡研發6.119億美元。重點投向零信任架構、密碼現代化、國防工業基礎安全、人工智能賦能的網絡作戰及聯合網絡作戰架構（JCWA）。與此同時，特朗普政府提議削減民事機構網絡安全支出12.3億美元，降幅達10%，形成鮮明對比。法案還要求加強高級官員移動通信安全、制定AI/ML安全政策、建立AI沙箱環境，并規范商業間諜軟件使用。

https://www.secrss.com/articles/85963

安全事件

迪士尼控告Google AI大規模侵權

Disney于周三向Google發出停止侵權函,指控這家科技巨頭"大規模"侵犯其版權。根據Variety獲得的信函內容,Disney聲稱Google利用AI模型和服務,在商業規模上未經授權分發其角色圖像和視頻。

信函指出,Google的運作如同"虛擬自動販賣機",能夠大規模復制、渲染和分發Disney寶貴的版權角色庫。更嚴重的是,許多由Google AI服務生成的侵權圖像帶有Gemini標識,誤導公眾認為這種對Disney知識產權的利用已獲授權。

涉及的版權內容包括《冰雪奇緣》《獅子王》《海洋奇緣》《小美人魚》《死侍》等作品角色。Google發言人表示將與Disney"接洽",強調雙方有著長期互利關系,并稱Google使用公開網絡數據訓練AI,已建立Google-extended和YouTube Content ID等版權控制工具。

值得注意的是,同日Disney與OpenAI簽署了為期三年、總額10億美元的協議,將其標志性角色引入Sora AI視頻生成器。

https://techcrunch.com/2025/12/11/disney-hits-google-with-cease-and-desist-claiming-massive-copyright-infringement/

虛假低俗視頻借AI擴散，制作者落網

2025年12月11日，北京市公安機關通報一起利用AI生成并傳播虛假低俗視頻案件。違法人員李某（男，36歲）為炫耀技術，使用AI工具偽造某汽車品牌車展展臺背景的低俗視頻，并在社交平臺發布，引發大量傳播，造成惡劣社會影響。經查，該視頻系完全由AI生成，內容不實且具有明顯低俗導向。李某對其違法行為供認不諱，已被依法處以行政拘留10日。警方強調，網絡空間不是法外之地，對利用AI編造、傳播虛假信息擾亂社會秩序的行為將依法嚴懲。

https://mp.weixin.qq.com/s/MGQl0JyUH1tAQWg_K-p0Wg

Gladinet產品硬編碼密鑰漏洞遭利用:已有9家機構受影響

Huntress安全公司警告,Gladinet旗下CentreStack和Triofox產品存在一個正被積極利用的漏洞,源于硬編碼加密密鑰的使用,目前已影響9家機構。

漏洞的核心問題出在"GladCtrl64.dll"中的"GenerateSecKey()"函數,該函數用于生成加密訪問票據所需的密鑰。由于該函數始終返回相同的100字節文本字符串來派生加密密鑰,攻擊者可利用這些不變的密鑰解密或偽造訪問票據,進而訪問web.config等敏感文件,最終通過ViewState反序列化實現遠程代碼執行。

攻擊采用特制URL請求"/storage/filesvr.dn"端點的形式。攻擊者將用戶名和密碼字段留空,使應用回退到IIS應用程序池身份,并將時間戳設置為9999,創建永不過期的票據以反復下載服務器配置。

截至12月10日,攻擊源自IP地址147.124.216[.]205,攻擊者試圖將此新漏洞與先前披露的CVE-2025-11371結合使用。受影響機構涵蓋醫療和科技等多個行業。

Gladinet已于2025年12月8日發布修復版本16.12.10420.56791。用戶應立即更新,檢查日志中是否存在字符串"vghpI7EToZUDIZDdprSubL3mTZ2",并在IIS管理器中輪換機器密鑰。這是今年以來該產品第三個遭在野利用的漏洞。

https://thehackernews.com/2025/12/hard-coded-gladinet-keys-let-attackers.html

產業動態

德國落地NIS2法案：4,300家機構納入強監管

德國于2025年12月5日正式通過《NIS2實施法案》（NIS-2-Umsetzungsgesetz），將歐盟《NIS2指令》轉化為國內法，大幅擴展關鍵實體覆蓋范圍。新法適用于能源、交通、衛生、數字基礎設施等13個核心領域，以及制造、食品、郵政等6個重要領域，預計影響約4,300家組織。與舊版NIS相比，NIS2顯著強化監管：要求企業建立網絡安全治理架構、72小時內上報重大事件，并授權聯邦信息安全辦公室（BSI）對違規者處以最高達全球年營業額2%或1,000萬歐元的罰款。法案還引入“主動網絡防御”機制，允許BSI在緊急情況下直接干預受攻擊系統。該法將于2026年全面生效，標志著德國網絡安全監管進入更嚴格、更主動的新階段。

https://cyble.com/blog/nis-2-implementation-act-germany/

NSA聯合多國發布AI-OT集成安全原則,強調人機協同與故障安全

美國國家安全局(NSA)聯合網絡安全和基礎設施安全局(CISA)、澳大利亞信號局網絡安全中心(ASD's ACSC)等機構發布《人工智能安全集成運營技術原則》網絡安全信息表。該文件針對AI與運營技術(OT)系統集成帶來的新興風險,提出四大核心原則:理解AI特性、評估OT領域應用場景、建立治理保障框架、嵌入安全實踐機制。

報告強調關鍵緩解措施包括:明確AI獨特風險,僅在收益大于風險時集成;必要時將OT數據推送至獨立AI系統;建立包含測試監控的清晰治理;保持人工干預機制;實施故障安全機制限制最壞場景后果。

業界專家意見分歧明顯。Bugcrowd強調漸進式部署與認知偏差防范;ColorTokens批評文件缺乏受損AI系統遏制指導,主張采用零信任架構作為基礎原則,因為OT環境平均潛伏期達237天,投毒訓練數據或提示注入攻擊可能數月不被發現。Darktrace Federal支持行為分析與異常檢測的動態監督思路,認可對大語言模型在OT安全決策中的謹慎態度。Qualys和Pax8則肯定AI在威脅可視化、響應加速方面的價值,呼吁加快AI應用以應對APT挑戰。

https://www.manufacturing.net/cybersecurity/blog/22956600/guidance-for-ai-in-ot

CTERA推AI驅動勒索防護方案，準確率超97%

CTERA近日推出基于AI的新型勒索軟件防護方案Ransom Protect，通過實時行為分析與異常檢測，有效識別并阻斷如REvil、LockBit等主流勒索攻擊。在Govdocs1測試集中，該方案成功攔截24.5萬次攻擊，準確率達97.72%，誤報率僅2.28%。Synergy7作為其英國合作伙伴，已部署該技術用于政府及企業客戶，實現數據備份與主動防御一體化。CTERA表示，Ransom Protect不僅能快速隔離受感染文件，還可自動恢復業務系統，顯著提升災備效率。

https://net.zhiding.cn/network_security_zone/2025/1211/3175070.shtml