剪映与即梦AI遭网信办从严查处

AI生成内容标识合规进入强监管时代

麦格劳-希尔超1350万条记录泄露

云配置错误沦为勒索组织“提款机”

据知名科技媒体《The Register》4月16日报道，全球教育出版巨头麦格劳-希尔（McGraw Hill）确认发生严重数据泄露事件。事件的根源在于其Salesforce Experience Cloud的配置错误，导致外部访客被赋予过度权限。臭名昭著的黑客组织ShinyHunters在勒索赎金未果后，于4月14日最后期限在暗网公开了超100GB的核心数据。此次泄露波及全球1350万名学生及教育工作者，泄露字段包含姓名、电话、电子邮箱及家庭住址等敏感信息。该事件再次证明，SaaS环境下的配置疏忽往往比底层架构漏洞带来更直接的毁灭性后果。

Kimi被曝误发他人真实简历
AI数据“串台”引发隐私泄露担忧

4月21日，DoNews等媒体报道，月之暗面旗下AI助手Kimi被曝疑似误将他人真实简历返回给用户。爆料用户称，自己在使用Kimi处理图片/翻译任务时，系统先输出无关内容，随后返回了一份包含姓名、电话、邮箱和工作经历等敏感信息的陌生人简历。4月23日，《每日经济新闻》进一步报道称，记者向简历当事人确认了事件属实，该用户确曾将个人简历提交给Kimi处理。南都大数据研究院4月27日采访专家指出，该事件不属于典型AI幻觉，或与用户数据隔离、脱敏处理不足等问题有关。事件暴露出大模型应用在处理简历、合同等高敏文件时，仍需强化会话隔离、权限控制和输出审查机制。

欧洲健身巨头Basic-Fit遭网络攻击

超百万用户个人敏感数据流入暗网

据路透社（Reuters）4月18日报道，欧洲最大健身连锁品牌Basic-Fit遭遇了严重的网络安全攻击。尽管企业安全团队在4月中旬检测到黑客入侵行为后，于数分钟内迅速完成了网络隔离与系统阻断，但仍未能完全阻止核心业务数据外泄。经安全机构初步统计，超过一百万名平台会员的敏感数据被黑客成功窃取。此次攻击事件不仅对该品牌的信誉造成重大打击，也警示了在高度数字化的本地生活服务领域，即便是拥有极快应急响应速度的团队，也无法完全弥补事前数据加密与纵深防御策略的不足。

国家通报中心发布开源供应链投毒预警

API工具及AI依赖库成黑客攻击重灾区

据国家网络安全通报中心微信公众号4月10日发布的重要警示，近期集中爆发多起供应链投毒攻击事件，攻击目标包括API研发工具Apifox、Python开发库LiteLLM以及JavaScript HTTP库Axios，涉及开源软件仓库和商用工具两大核心场景。通报指出，Axios投毒事件因OpenClaw等大量AI应用及插件生态直接依赖该库，风险通过依赖链向终端用户进一步蔓延。此类攻击隐蔽性强、影响面广、传播速度快，可能造成凭据窃取、远程代码执行和敏感数据泄露。

Booking.com数千用户预订信息泄露

第三方合作伙伴端成黑客突破口

据网络安全权威媒体《Malwarebytes》4月16日报道，全球知名在线预订平台Booking.com于4月13日确认发生数据泄露事件。黑客并未直接攻击平台核心数据库，而是通过向酒店合作伙伴部署XWorm和VenomRAT等恶意软件，获取了未授权访问权限。此次泄露波及数千名用户，泄露数据包括姓名、电子邮箱、详细预订记录以及与住宿方的通信内容。黑客随后利用这些极具欺骗性的真实预订信息，冒充酒店向用户发送钓鱼链接要求“验证支付”，彻底暴露了第三方供应商和业务合作伙伴环节的巨大安全隐患。

台湾高铁通信系统遭非法干扰

四列列车一度紧急停车

据BleepingComputer和《Taipei Times》最新报道，台湾一名23岁大学生涉嫌在4月5日非法干扰台湾高铁通信系统，通过软件无线电和手持电台发送高优先级“General Alarm”信号，导致四列高铁列车一度暂停运行。报道称，列车因此延误约48分钟，嫌疑人于4月28日被逮捕。调查显示，相关人员曾分析并破解高铁TETRA无线通信参数，再将参数写入无线电设备模拟合法信标。事件暴露出轨道交通通信系统长期参数未轮换、无线侧接入验证不足等安全隐患。

美妆巨头Rituals会员数据遭窃

全球零售业面临持续性数据勒索威胁

据全球知名网络安全媒体Kaseya在4月22日发布的报道，荷兰美妆巨头Rituals确认发生重大会员数据泄露事件，其全球数据库遭黑客非法入侵并全量下载。该公司安全团队于4月上旬便发现了系统入侵异常，并于4月22日正式向全球超4100万名注册会员下发了紧急数据泄露通知。被黑客窃取的数据集涵盖了用户的个人身份信息、联系方式、消费购买记录及账户敏感数据。网络安全专家警告称，拥有海量高价值客户画像的零售与快消企业，正日益成为黑客组织实施数据勒索的首选目标。

Vercel遭第三方AI工具牵连

OAuth供应链风险击穿开发平台边界

4月19日，BleepingComputer报道称，云开发平台Vercel披露安全事件，攻击者声称正在出售被盗数据。Vercel随后说明，事件源于第三方AI工具Context.ai被攻破，攻击者借由OAuth权限接管一名员工的Google Workspace账户，并进一步进入Vercel环境。Vercel官方公告称，攻击者枚举并解密了部分未标记为敏感的环境变量，公司建议客户审查并轮换环境变量、API密钥和令牌。此次事件凸显“影子AI”、OAuth授权泛滥与开发平台密钥治理交织后的新型供应链风险。

国家安全部披露产业链供应链窃密案例

人员安全意识与数据保密防线亟待强化

4月23日，国家安全部披露多起产业链供应链安全典型案例，央视新闻、人民网等权威媒体同步报道。案例显示，国内某半导体企业前工程师张某离职后违反保密义务，向境外组织非法提供核心生产工艺等商业秘密；国内某公司通过技术手段寄生在某电商平台系统内，日均盗取超百万条经营数据，非法牟利数千万元；境外某有色金属公司还通过中方雇员利诱国内某稀土公司副总经理成某，非法获取我国稀土收储品类、数量、价格等7项机密级国家秘密。该事件虽非传统黑客入侵，但集中暴露出人员安全意识、保密纪律和权限管控薄弱带来的信息安全风险。对掌握核心技术、经营数据和战略资源信息的企业而言，信息安全不只是技术部门的职责，更需要将保密教育、涉外接触管理、关键岗位审查、离岗离职管控和敏感数据最小权限访问纳入常态化治理。

安全专业分析

从2026年4月十大网络安全事件可以看出，网络安全风险正在从传统的系统入侵和漏洞利用，快速扩展至AI应用合规、云端数据治理、第三方信任链、关键基础设施通信安全以及人员保密管理等更复杂的场景。企业面临的攻击面不再局限于自有网络边界，而是贯穿模型服务、SaaS平台、合作伙伴、开源依赖、员工账号和产业链上下游。

  在AI安全与合规治理层面，剪映、即梦AI被监管部门从严查处，标志着AI生成内容标识已经从倡导性规范进入强制性监管阶段。平台不仅要关注模型能力和用户增长，更要落实显式标识、隐式标识、内容审核和责任追溯机制。Kimi被曝误发他人真实简历，则从数据安全角度暴露出大模型应用在处理简历、合同、证照等高敏文件时的隐私保护短板。对AI平台而言，模型输出安全、用户数据隔离、会话权限控制和敏感文件脱敏，已经成为基础安全能力，而非可选项。

  在云配置与SaaS数据安全层面，麦格劳-希尔超1350万条记录泄露再次说明，云环境的最大风险往往不一定来自高深漏洞，而可能来自一次错误的权限配置。Salesforce Experience Cloud等SaaS平台承载着大量客户、学生、员工和业务数据，一旦外部访客权限、数据访问策略或API接口暴露，攻击者即可快速批量获取高价值数据。企业在上云过程中必须持续开展云安全态势管理、最小权限审查、外部访问面梳理和敏感数据分级防护，不能把安全责任完全转嫁给云服务商。

  在第三方供应链与信任边界层面，Booking.com、Vercel以及国家通报中心发布的供应链投毒预警共同表明，攻击者正在绕开企业正面防线，转而利用合作伙伴、OAuth授权、AI工具、开源组件和开发依赖实施间接突破。Booking.com事件显示，酒店合作伙伴终端失守也可能反向危及平台用户；Vercel事件说明，第三方AI工具一旦获得员工账号授权，就可能成为进入企业内部系统的新入口；Apifox、LiteLLM、Axios等供应链投毒预警则提醒企业，开发工具链本身已经成为攻击目标。未来企业必须将供应商、SaaS授权、开源依赖和API密钥纳入统一的零信任治理框架。

  在个人数据与会员数据保护层面，Basic-Fit、Rituals等事件显示，拥有大量用户画像的消费服务企业正成为黑客组织重点关注对象。健身、美妆、旅游等行业看似不属于传统高危行业，但其掌握的姓名、电话、邮箱、地址、消费偏好、预订记录和会员行为数据，足以支撑精准钓鱼、诈骗引流、身份冒用和二次勒索。企业不能只关注支付信息和密码是否泄露，也必须认识到普通个人信息在黑灰产链条中的高价值属性。

  在关键基础设施与无线通信安全层面，台湾高铁通信系统遭非法干扰事件具有重要警示意义。该事件说明，轨道交通、电力、水务、能源等关键基础设施不仅要防范传统IT系统入侵，也要重视无线通信、调度信号、终端认证和参数轮换等长期被忽视的安全环节。随着SDR等低成本无线电技术降低攻击门槛，关键基础设施运营方必须加强异常接入检测、通信加密升级、密钥定期轮换和应急演练，避免通信侧弱点演变为现实世界安全风险。

  在产业链供应链保密与人员安全层面，国家安全部披露的典型案例表明，信息安全风险并不总是来自外部黑客，也可能来自内部人员违规、离职员工泄密、利益诱惑策反和权限滥用。半导体工艺、电商经营数据、稀土收储信息等都属于高价值敏感资产，一旦被非法获取，不仅影响企业竞争力，更可能危及产业链供应链安全。企业应把安全意识教育、保密培训、关键岗位背景审查、离职离岗管控、涉外接触管理和敏感数据最小权限访问作为常态化管理要求。

总体来看，2026年4月的网络安全事件呈现出五个关键词：AI合规化、数据高价值化、供应链复杂化、云配置脆弱化和人员风险显性化。企业要应对这些风险，不能只依赖防火墙、杀毒软件和事后应急，而应建立覆盖“人、账号、数据、应用、供应商、云平台和AI工具”的综合安全治理体系。只有将安全能力前置到产品设计、数据流转、第三方接入和员工行为管理全过程，才能在不断扩大的数字化攻击面前保持真正的安全韧性。