周刊 | 网安大事回顾（2025.2.17-2025.2.23）

13 天前作者：GoUpSec

政策法规：北京市场监管总局发布网络平台交易新规；中央网信办发布2025年“清朗”系列专项行动整治重点…

热点新闻：因网络安全合规造假，这家军品供应商被罚超8000万元；美国会拟立法：将太空系统作为关基设施进行保护…

融资动态：Sophos斥资8.59亿美元成功收购Secureworks；FTAPI宣布完成6500万美元股权融资…

网络攻击：ChatGPT Operator遭提示注入攻击，可导致用户敏感信息泄露；9万个WordPress站点面临本地文件包含漏洞攻击…为更好督促和引导网络交易平台经营者落实合规管理主体责任，保障平台内小微经营者和消费者合法权益，市市场监管局制定了《网络交易平台经营者服务协议与交易规则合规指引》《网络交易平台经营者信息公示与披露合规指引》《网络交易平台经营者禁限售商品管理合规指引》，现予发布。

一周网安风云回顾，GoUpSec带你安全看世界。

政策法规

关键词：网络平台交易清朗

北京市场监管总局发布网络平台交易新规！

为更好督促和引导网络交易平台经营者落实合规管理主体责任，保障平台内小微经营者和消费者合法权益，市市场监管局制定了《网络交易平台经营者服务协议与交易规则合规指引》《网络交易平台经营者信息公示与披露合规指引》《网络交易平台经营者禁限售商品管理合规指引》，现予发布。

中央网信办发布2025年“清朗”系列专项行动整治重点

近年来，中央网信办持续部署开展“清朗”系列专项行动，集中时间、集中力量打击网上各类乱象问题，从严处置违规平台和账号，取得积极成效，形成有力震慑。2025年，“清朗”系列专项行动将进一步巩固提升治理成效，聚焦人民群众反映强烈的突出问题，在破解难点瓶颈方面下功夫，强化源头管理和基础管理；在治理创新方面下功夫，针对性细化每个专项打法举措；在维护网民权益方面下功夫，严厉打击各类侵权违法行为，营造更加清朗有序的网络环境。

热点新闻

关键词：合规关基美国

因网络安全合规造假，这家军品供应商被罚超8000万元

2月19日，一家为美国军方医疗系统提供支持的联邦承包商，因谎称符合联邦网络安全标准，将向政府支付超1100万美元（约合人民币8008万元），以了结相关指控。这笔罚款是美国政府于2021年启动的打击网络欺诈行动以来，对承包商开出的最新罚单。

美国会拟立法：将太空系统作为关基设施进行保护

美国国会共和党议员肯·卡尔弗特提出了一项法案，将太空系统、服务和技术列为美国关键基础设施的一部分。该法案名为《太空基础设施法案》（H.R. 1154），旨在确保太空资产的安全性与韧性。该法案由民主党议员刘云平（Ted Lieu）、萨鲁德·卡尔巴哈尔和共和党议员布赖恩·菲茨帕特里克共同发起。卡尔弗特和刘云平是国会航天小组的共同主席。

融资动态

关键词：Secureworks FTAPI

Sophos斥资8.59亿美元成功收购 Secureworks

由Thoma Bravo支持的网络安全公司Sophos周一完成了对Secureworks的收购，这是一笔价值 8.59亿美元的全现金交易。Sophos表示，对 Secureworks的收购使其成为全球最大的托管检测与响应服务纯业务提供商，拥有全球2.8万个组织的客户群。该协议还扩充了以Sophos X-Ops 之名运作的Sophos威胁情报能力，纳入了 Secureworks反威胁部门以及其他安全运营和咨询服务。

FTAPI宣布完成6500万美元股权融资

投资方：Armira和Tikehau Capital，FTAPI是一个安全数据工作流平台，旨在简化和灵活地实施、集中化和自动化敏感数据工作流。FTAPI提供了数字数据交换过程的安全标准——无论是自动化的还是手动的——这是每个组织所需要的。通过它，我们可以快速、安全、轻松地连接人、数据和系统。自2010年以来，已有超过1,200家公司和超过一百万活跃用户信任我们的产品——无论是发送或接收数据、结构化数据入站、共享机密信息，还是安全地自动化流程。在欧洲领先的成长资本投资者支持下，我们致力于让数据共享变得简单且安全。

网络攻击

关键词：防火墙信息泄露 ChatGPT

Palo Alto防火墙又被黑：最新漏洞披露后第二天就遭利用

安全内参2月17日消息，据美国威胁情报公司GreyNoise报告，影响Palo Alto Networks防火墙的身份验证绕过漏洞（CVE-2025-0108）在公开披露后，短短1天内便遭到攻击者利用。Palo Alto Networks于2月12日发布了针对CVE-2025-0108的补丁和缓解措施。该漏洞允许未经身份验证的攻击者访问防火墙管理界面并执行特定的PHP脚本。

ChatGPT Operator遭提示注入攻击，可导致用户敏感信息泄露

近日，OpenAI旗下的ChatGPT Operator因存在提示注入漏洞而引发广泛关注。作为一款专为ChatGPT Pro用户设计的尖端研究工具，ChatGPT Operator具备强大的网页浏览和推理能力，能够帮助用户完成诸如研究主题、预订旅行以及与网站互动等任务。然而，最新研究显示，该工具可能被恶意利用，从而导致用户敏感信息泄露。

9万个WordPress站点面临本地文件包含漏洞攻击

WordPress的Jupiter X Core插件存在严重安全漏洞，使得超过9万个网站面临本地文件包含（LFI）和远程代码执行（RCE）攻击的风险。该漏洞被追踪为CVE-2025-0366，CVSS评分为8.8（高危），允许具有贡献者权限的攻击者上传恶意的SVG文件并在受影响的服务器上执行任意代码。