29日举办的“脑机接口创新发展论坛”上，工信部总工程师赵志国称，在产业界共同努力下，我国已经形成覆盖基础层、技术层与应用层的脑机接口全产业链，并在医疗、教育、工业、娱乐等领域应用落地。他提出，一是增强脑机接口产业的创新能力；二是完善脑机接口的产业生态；三是夯实脑机接口的产业基础。他表示，工信部将把脑机接口作为培育未来产业发展的重要方向，加强脑机接口应用场景的探索，加速推动脑机接口产业蓬勃发展。

近期，英国竞争和市场管理局在一份声明中表示，Meta已承诺不会在其Facebook Marketplace在线分类广告服务中使用竞争对手的广告数据，以解决市场对竞争的担忧。管理局的初步看法是，Meta的提议解决了其竞争问题。如果承诺被接受，竞争的广告商可以选择不让Meta使用他们的广告数据。其他提议的变化包括Meta限制在英国产品开发中使用的广告数据。目前，管理局尚未发现任何违反竞争法的行为。

29日，微信安全中心发布了关于个人帐号发布违禁品营销信息的治理公告。自 2023 年 1 月截至目前，共计对 7236 个发布“违禁品”营销信息的微信帐号，1871 个微信群聊进行限制功能使用或限制登录等阶梯式处罚。此前，微信安全中心也发布了公众号运营者相关治理公告，公告表示，公众号运营者需对发布内容进行严格审查，满足合规性要求。通过各种形式推销商品或者服务，并附加购物链接等购买方式的，应当显著标明“广告”字样。

据外媒报道，一种新型”浏览器文件压缩包 “钓鱼工具被试验出可滥用ZIP域名，在浏览器中显示虚假的WinRAR或Windows文件资源管理器窗口，以诱导用户启动恶意文件。ZIP域名是本月由谷歌推出的8个新高级域名（TLD）之一，用户可用于托管网站或电子邮件地址。研究人员表示，该工具包可用于在打开 .zip 域时直接在浏览器中嵌入一个伪造的 WinRar 窗口，使用户看起来就像打开了一个 ZIP 压缩包，可被用于凭证盗窃或传播恶意软件等。

Python 第三方套件存储库 PyPI近期在其官方博客中宣布，为了提高平台的安全性，维护在 PyPI 上的任何项目或组织的账户都必须启用 2FA。这项强制要求将在 2023 年底前生效，在未来所有软件发布者都需启用这项登录验证，否则将无法登录该账号。PyPI 团队表示：“对所有账户强制执行 2FA 是增强平台安全性长期承诺的一部分，它可以防止凭据和 API 令牌泄露，并减少恶意软件的数量。”

据外媒报道，近日，JPCERT CC已确认攻击者在2月左右利用恶意软件感染了部分日本Linux路由器。攻击者首先针对一个WEBUI对外开放的路由器，利用漏洞执行脚本，最终感染GobRAT。Loader Script作为加载器，包含生成各种脚本、下载GobRAT等功能。假定用于后门的SSH公钥硬编码在脚本中。此脚本以文件名apached执行 GobRAT ，使其看起来像是一个合法进程。目前，研究还在继续。

近日，GitLab发布紧急安全更新版本16.0.1，以解决CVE-2023-2825最高严重性路径遍历缺陷。据悉，该漏洞源于一个路径遍历问题，当附件存在于嵌套在至少五个组中的公共项目中时，未经身份验证的攻击者可以读取服务器上的任意文件，包括专有软件代码、用户凭据、令牌、文件和其他私人信息等。GitLab在公告中强调了及时进行应用最新安全更新的重要性，建议 GitLab 16.0.0 的所有用户尽快更新到版本 16.0.1 以降低风险。

28日，2023中关村论坛中关村国际技术交易大会第七届中国网信产业前锋汇在京举办，会上，联盟牵头，安全419、中知数通作为支撑单位联合发布《2023网络安全行业科技能力报告》。据悉，该报告系统调研国内520家工商登记注册主体，报告统计有效专利15709件，有效专利总估值超过106亿元人民币。报告还基于调研成果发布了“网络安全行业科技能力榜单”——企业科技能力百强、有效专利数量百强、高价值专利数量百强、人才建设能力百强。

近期，上海警方捣毁了一个黑客工具“产、供、销”团伙。2022年9月，长宁分局网安支队发现某互联网技术论坛中热议一款名为“某A助手”的软件，经排摸，该软件存在利用手机系统漏洞、非法突破安全防护措施等情况。据悉，该犯罪团伙自诩为《西游记》师徒四人，主犯乔某某为“师父”， “大师兄”张某负责编写软件，“猪八戒”郭某和“沙和尚”王某某负责编译封装。目前长宁分局网安支队已将该团伙捉拿归案，事件还在进一步调查中。

工信部、国家发改委、教育部等十部门近日联合印发《科技成果赋智中小企业专项行动（2023—2025年）》，提出，到2025年，健全成果项目库和企业需求库，完善赋智对接平台体系，遴选一批优质的科技成果评价和转移转化机构，推动一批先进适用科技成果到中小企业落地转化；开展不少于30场赋智“深度行”活动，有效促进科技成果转化应用，实现产学研用深度合作；围绕培育更多专精特新中小企业，实现成果价值和经济效益持续增长。

日前，青岛海牛足球俱乐部官方微博发布情况说明，5月23日下午，俱乐部开售青岛海牛vs山东泰山票务，票务系统一经上线，便瘫痪无法使用，大量球迷无法进入。经与票务公司技术人员核查，该场票务系统遭受黑客攻击，票务公司技术人员紧急修复后，再次遭受不同地区ip黑客攻击。目前，技术人员正在加急处理。该俱乐部表示，将同票务公司一同努力，尽快恢复购票系统，并表示俱乐部对一切黄牛票贩组织、行为零容忍。

近日，中国银联技术管理委员会发布《开放银行数据保护与合规实践案例报告》，报告指出开放银行的主旨和核心在于数据和服务的开放共享，是商业银行数字化转型的重要组成部分。该报告作为2021年发布的《开放银行数据保护与合规研究报告》续篇，收集了9家商业银行10个具有典型意义并取得积极成效的开放银行数据保护实践案例，据现状提出政策、标准、技术研究的完善建议，进一步有效推进开放银行生态建设。

媒体5月27日报道，研究人员发现新一轮QBot攻击活动。该活动利用了Windows 10写字板中的DLL劫持漏洞感染计算机，并利用合法程序绕过安全软件的检测。受害者点击链接之后，会从远程主机下载一个随机命名的 ZIP 压缩文件。该文档中包含 document.exe 和名为 edputil.dll 的 DLL 文件（用于 DLL 劫持）。安全专家目前已经确认 Black Basta，Egregor 和 Prolock 等勒索软件团伙，使用该恶意软件，对多家企业网络发起勒索攻击。

据外媒报道，OneMain Financial Group被纽约金融服务部(DFS)罚款425万美元。DFS在一份声明中表示，OneMain未能有效地管理第三方服务提供商的风险、管理访问权限以及使用正式的应用安全开发方法，大大增加了该公司面对网络安全事件的脆弱性。例如，OneMain使用了其内部开发的非正规项目管理框架等。但该公司表示，早就解决了调查中发现的问题，此次调查所审查的是其2017年至2020年初的政策。

近日，Akamai 安全研究员在一份报告中指出，Dark Frost 僵尸网络以 Gafgyt、QBot、Mirai 和其它恶意软件为模型，针对游戏公司、游戏服务器托管提供商、在线流媒体、游戏社区成员等目标服务器发起DDoS 攻击。截至 2023 年 2 月，Dark Frost 僵尸网络包括 414 台运行各种指令集架构的机器，例如 ARMv4、x86、MIPSEL、MIPS 和 ARM7等。

据英国《卫报》近日报道，一名举报者向德国《商报》泄露了100GB的特斯拉数据，泄露的文件包括超过10万名前现任员工的信息、客户的银行详细信息，甚至是马斯克的社保号码以及私人邮箱和电话等。目前荷兰数据保护局已经就此展开调查，若确定特斯拉存在违规行为，该公司恐被处以高达其年销售额4%的罚款，即35亿美元。

据外媒报道，佐治亚理工学院、密歇根大学和波鸿鲁尔大学的一组研究人员开发了一种名为“Hot Pixels”的新型攻击，可以从目标浏览器中显示的内容中检索像素并推断导航历史。该攻击利用现代片上系统(SoC)和图形处理单元(GPU)上的数据相关计算时间，从Chrome和Safari上访问过的网页中提取信息。研究人员表示，这种方法可以通过内部传感器测量来检测并根据设备类型，辨别在目标设备上查看的内容，准确度高达94%。

据外媒报道，Zyxel近日表示，其数款防火墙和VPN产品中存在两个严重漏洞CVE-2023-33009和CVE-2023-33010，攻击者无需身份验证即可利用这些漏洞，。这两个安全问题都是缓冲区溢出，并可能允许在易受攻击的设备上执行拒绝服务(DoS)和远程代码。据悉，去年CISA就发布了关于黑客利用Zyxel防火墙和VPN设备中远程代码执行缺陷的警告。目前，Zyxel已经发布了最新补丁，并建议用户尽快完成安全更新。

Mandiant近日表示，研究发现了一种新型操作系统(OT)恶意软件，主要攻击电力系统设备。这种恶意软件被称为“CosmicEnergy”，它通过与电力系统自动化设备(如远程终端单元)交互，造成破坏，该恶意软件可以远程连接目标的Microsoft SQL服务器，向远程终端单元发出命令，指示远程系统打开或关闭。研究人员表示，虽然面向OT的恶意软件主要为特定目标环境构建，但通过对OT协议的修改，可以针对多个受害者。

据AhnLab安全应急响应中心近日表示，朝鲜黑客组织Lazarus Group正在针对微软的IIS服务器发起攻击。据悉，该组织使用DLL旁加载来运行任意有效负载，并利用一个名为NukeSped的恶意软件家族，窃取敏感数据和加密货币。该恶意软件家族包括一个后门程序和一个木马程序，可以执行远程命令、上传和下载文件、收集系统信息、截屏、记录键盘输入等恶意行为。