2025年网络犯罪损失将破10万亿美元，AI成双刃剑；虚假低俗视频借AI扩散，制作者落网 | 牛览

新闻速览

• 2025年网络犯罪损失将破10万亿美元，AI成双刃剑

• 虚假低俗视频借AI扩散，制作者落网

• 迪士尼控告Google AI大规模侵权

• 美多部门联合预警：警惕“蛮力式”OT入侵

• 德国落地NIS2法案：4,300家机构纳入强监管

• 超万镜像泄密！Docker Hub成AI密钥“泄露重灾区”

• CTERA推AI驱动勒索防护方案，准确率超97%

• Gladinet产品硬编码密钥漏洞遭利用:已有9家机构受影响

• 美国2026财年网络安全预算呈现“军升民降”反差

• NSA联合多国发布AI-OT集成安全原则,强调人机协同与故障安全

热点观察

2025年网络犯罪损失将破10万亿美元，AI成双刃剑

据Cybersecurity Ventures最新发布的《2025年网络安全年鉴》，全球网络犯罪造成的经济损失预计将在2025年达到10.5万亿美元，较2021年翻倍。报告指出，勒索软件、AI驱动的攻击和供应链漏洞是三大主要威胁。其中，勒索软件攻击频率每11秒发生一次，而AI被滥用于生成深度伪造（deepfake）和自动化钓鱼攻击，显著提升了攻击效率。此外，全球网络安全人才缺口仍高达340万人，加剧了防御难度。报告强调，企业需加强零信任架构部署，并加大对威胁情报与自动化响应系统的投入。

https://cybersecurityventures.com/cybersecurity-almanac-2025/

美多部门联合预警：警惕“蛮力式”OT入侵

2025年12月9日，FBI、CISA与NSA联合发布网络安全公告，警告亲俄黑客组织正利用暴露在公网的虚拟网络计算（VNC）连接，对全球水处理、能源及食品生产等关键基础设施发动低技术但高破坏性的攻击。这些组织如Cyber Army of Russia Reborn（CARR）、NoName057(16)、Z-Pentest和Sector16，虽缺乏高级持续性威胁（APT）的精密手段，却通过弱密码的工业人机界面（HMI）随意篡改设备参数、关闭警报，造成“失视”状态，引发不可控物理后果。美网络安全机构强调，首要防御措施是减少运营技术（OT）资产对公网的暴露，并强化认证机制与离线逻辑备份。

https://securityonline.info/fbi-cisa-warn-pro-russia-hacktivists-target-critical-infrastructure-via-unsecured-vnc-hmis/

AI攻击推高运营成本，小企业陷“安全—生存”两难

根据Infosecurity Magazine 2025年12月11日报道，美国Identity Theft Resource Center（ITRC）最新《2025商业影响报告》显示，81%的员工少于500人的中小企业在过去一年遭遇数据或安全 breaches。其中38%的企业因此提高产品或服务价格，形成所谓“网络税”（cyber tax）。ITRC总裁James Lee指出，这种隐性成本正加剧通胀，并对资源有限的小企业造成不成比例的负担。在攻击手法方面，41%的受害者归因于AI驱动攻击，如深度伪造音视频、高仿真钓鱼邮件和自动化侦察；其余则来自外部威胁者（43%）和恶意内部人员（42%）。尽管企业对自身网络安全准备度的信心下降，多因素认证（MFA）部署率却从34%降至27%，安全工具投入亦减少15%。ITRC建议聚焦“人员、流程与技术”三位一体防御：加强识别AI生成内容的培训、实施敏感操作的带外验证、部署基于行为分析的AI防护系统。

https://www.infosecurity-magazine.com/news/twofifths-smbs-raise-prices-after/

超万镜像泄密！Docker Hub成AI密钥“泄露重灾区”

网络安全公司Flare于2025年12月10日发布报告称，其在11月对Docker Hub的扫描发现10456个容器镜像泄露敏感密钥，涉及101家企业，包括一家财富500强及十余家金融机构。泄露内容中，AI平台访问令牌（如OpenAI、HuggingFace、Anthropic）占比最高，达4000个；42%的问题镜像包含五个以上密钥，可能使攻击者获得云环境、代码库及支付系统的完全控制权。主要泄露原因包括将.env文件或硬编码的API密钥直接嵌入镜像，且多源于未受监管的“影子IT”账户。更严重的是，75%的案例在删除密钥后未执行撤销操作，导致凭证仍可被长期滥用。

https://mp.weixin.qq.com/s/SdAA8iQM0dxnUQ3aJGctOw

美国2026财年网络安全预算呈现“军升民降”反差

美国2026财年国防授权法案呈现“军升民降”网络安全预算格局。国防部申请网络空间活动预算151亿美元，同比增长4.1%，其中网络安全91亿、网络空间作战54亿、网络研发6.119亿美元。重点投向零信任架构、密码现代化、国防工业基础安全、人工智能赋能的网络作战及联合网络作战架构（JCWA）。与此同时，特朗普政府提议削减民事机构网络安全支出12.3亿美元，降幅达10%，形成鲜明对比。法案还要求加强高级官员移动通信安全、制定AI/ML安全政策、建立AI沙箱环境，并规范商业间谍软件使用。

https://www.secrss.com/articles/85963

安全事件

迪士尼控告Google AI大规模侵权

Disney于周三向Google发出停止侵权函,指控这家科技巨头"大规模"侵犯其版权。根据Variety获得的信函内容,Disney声称Google利用AI模型和服务,在商业规模上未经授权分发其角色图像和视频。

信函指出,Google的运作如同"虚拟自动贩卖机",能够大规模复制、渲染和分发Disney宝贵的版权角色库。更严重的是,许多由Google AI服务生成的侵权图像带有Gemini标识,误导公众认为这种对Disney知识产权的利用已获授权。

涉及的版权内容包括《冰雪奇缘》《狮子王》《海洋奇缘》《小美人鱼》《死侍》等作品角色。Google发言人表示将与Disney"接洽",强调双方有着长期互利关系,并称Google使用公开网络数据训练AI,已建立Google-extended和YouTube Content ID等版权控制工具。

值得注意的是,同日Disney与OpenAI签署了为期三年、总额10亿美元的协议,将其标志性角色引入Sora AI视频生成器。

https://techcrunch.com/2025/12/11/disney-hits-google-with-cease-and-desist-claiming-massive-copyright-infringement/

虚假低俗视频借AI扩散，制作者落网

2025年12月11日，北京市公安机关通报一起利用AI生成并传播虚假低俗视频案件。违法人员李某（男，36岁）为炫耀技术，使用AI工具伪造某汽车品牌车展展台背景的低俗视频，并在社交平台发布，引发大量传播，造成恶劣社会影响。经查，该视频系完全由AI生成，内容不实且具有明显低俗导向。李某对其违法行为供认不讳，已被依法处以行政拘留10日。警方强调，网络空间不是法外之地，对利用AI编造、传播虚假信息扰乱社会秩序的行为将依法严惩。

https://mp.weixin.qq.com/s/MGQl0JyUH1tAQWg_K-p0Wg

Gladinet产品硬编码密钥漏洞遭利用:已有9家机构受影响

Huntress安全公司警告,Gladinet旗下CentreStack和Triofox产品存在一个正被积极利用的漏洞,源于硬编码加密密钥的使用,目前已影响9家机构。

漏洞的核心问题出在"GladCtrl64.dll"中的"GenerateSecKey()"函数,该函数用于生成加密访问票据所需的密钥。由于该函数始终返回相同的100字节文本字符串来派生加密密钥,攻击者可利用这些不变的密钥解密或伪造访问票据,进而访问web.config等敏感文件,最终通过ViewState反序列化实现远程代码执行。

攻击采用特制URL请求"/storage/filesvr.dn"端点的形式。攻击者将用户名和密码字段留空,使应用回退到IIS应用程序池身份,并将时间戳设置为9999,创建永不过期的票据以反复下载服务器配置。

截至12月10日,攻击源自IP地址147.124.216[.]205,攻击者试图将此新漏洞与先前披露的CVE-2025-11371结合使用。受影响机构涵盖医疗和科技等多个行业。

Gladinet已于2025年12月8日发布修复版本16.12.10420.56791。用户应立即更新,检查日志中是否存在字符串"vghpI7EToZUDIZDdprSubL3mTZ2",并在IIS管理器中轮换机器密钥。这是今年以来该产品第三个遭在野利用的漏洞。

https://thehackernews.com/2025/12/hard-coded-gladinet-keys-let-attackers.html

产业动态

德国落地NIS2法案：4,300家机构纳入强监管

德国于2025年12月5日正式通过《NIS2实施法案》（NIS-2-Umsetzungsgesetz），将欧盟《NIS2指令》转化为国内法，大幅扩展关键实体覆盖范围。新法适用于能源、交通、卫生、数字基础设施等13个核心领域，以及制造、食品、邮政等6个重要领域，预计影响约4,300家组织。与旧版NIS相比，NIS2显著强化监管：要求企业建立网络安全治理架构、72小时内上报重大事件，并授权联邦信息安全办公室（BSI）对违规者处以最高达全球年营业额2%或1,000万欧元的罚款。法案还引入“主动网络防御”机制，允许BSI在紧急情况下直接干预受攻击系统。该法将于2026年全面生效，标志着德国网络安全监管进入更严格、更主动的新阶段。

https://cyble.com/blog/nis-2-implementation-act-germany/

NSA联合多国发布AI-OT集成安全原则,强调人机协同与故障安全

美国国家安全局(NSA)联合网络安全和基础设施安全局(CISA)、澳大利亚信号局网络安全中心(ASD's ACSC)等机构发布《人工智能安全集成运营技术原则》网络安全信息表。该文件针对AI与运营技术(OT)系统集成带来的新兴风险,提出四大核心原则:理解AI特性、评估OT领域应用场景、建立治理保障框架、嵌入安全实践机制。

报告强调关键缓解措施包括:明确AI独特风险,仅在收益大于风险时集成;必要时将OT数据推送至独立AI系统;建立包含测试监控的清晰治理;保持人工干预机制;实施故障安全机制限制最坏场景后果。

业界专家意见分歧明显。Bugcrowd强调渐进式部署与认知偏差防范;ColorTokens批评文件缺乏受损AI系统遏制指导,主张采用零信任架构作为基础原则,因为OT环境平均潜伏期达237天,投毒训练数据或提示注入攻击可能数月不被发现。Darktrace Federal支持行为分析与异常检测的动态监督思路,认可对大语言模型在OT安全决策中的谨慎态度。Qualys和Pax8则肯定AI在威胁可视化、响应加速方面的价值,呼吁加快AI应用以应对APT挑战。

https://www.manufacturing.net/cybersecurity/blog/22956600/guidance-for-ai-in-ot

CTERA推AI驱动勒索防护方案，准确率超97%

CTERA近日推出基于AI的新型勒索软件防护方案Ransom Protect，通过实时行为分析与异常检测，有效识别并阻断如REvil、LockBit等主流勒索攻击。在Govdocs1测试集中，该方案成功拦截24.5万次攻击，准确率达97.72%，误报率仅2.28%。Synergy7作为其英国合作伙伴，已部署该技术用于政府及企业客户，实现数据备份与主动防御一体化。CTERA表示，Ransom Protect不仅能快速隔离受感染文件，还可自动恢复业务系统，显著提升灾备效率。

https://net.zhiding.cn/network_security_zone/2025/1211/3175070.shtml