EU AI Act 合规期延至 2027、AI 智能体被钓鱼劫持、勒索软件完成 AI 化进化——监管与威胁的时钟不同步
欧盟「数字全能修正包」将高风险 AI 系统合规截止期从 2026 年 8 月推至 2027 年 12 月,法律窗口期拉长;与此同时,OpenClaw AI 智能体遭钓鱼邮件劫持、「绅士」勒索软件引入 AI 蠕虫扩散功能累计攻陷 478 个目标。监管给了企业喘息时间,但攻击者的日历没有同步。
欧盟 AI 法案合规期延至 2027、AI 智能体被钓鱼劫持、勒索软件完成 AI 化进化——今天这三件事叠在一起,描绘出一张让安全从业者不那么好受的地图:监管时钟慢了下来,威胁时钟快了起来。
两者之间那段空档,才是真正的风险窗口。
EU AI Act 高风险合规期大幅延后,「Digital Omnibus」修正完成政治协议
2026 年 5 月 7 日,欧洲议会与欧盟理事会就「数字全能修正包(Digital Omnibus)」达成政治协议,对《人工智能法案》(AI Act)的实施时间表做出实质性调整。1
原定于 2026 年 8 月 2 日 生效的高风险 AI 系统合规义务,按修正后的安排:
| 系统类型 | 新合规截止期 |
|---|---|
| Annex III 独立高风险 AI 系统 | 2027 年 12 月 2 日 |
| Annex I 嵌入产品安全组件的 AI 系统 | 2028 年 8 月 2 日 |
生成式 AI 的水印义务(Article 50)同步获得四个月缓冲期,调整为 2026 年 12 月 2 日。已于 2026 年 8 月前上市、且后续设计无「重大变更」的系统可适用过渡条款——但「重大变更」的界定至今尚未明确,这是修正文本里最大的法律灰色地带。
欧委会同步发布了高风险 AI 系统分类草案指引,并对机械类产品监管引入了「双重合规松绑」——只要行业安全法规已提供同等保护,高风险条款可部分豁免。2
修正还新增了明确禁止项:AI 生成非自愿亲密内容(nudifiers),提供商须于 2026 年 12 月 2 日前完成合规,无论该功能是主动还是可预见的副产品。
对企业而言,截止期的延后不等于义务的消失。违规罚款最高为全球年营业额的 3%;欧盟 AI 办公室还可对持续违规按每日营业额的 5% 叠加罚款,追诉时效五年。
OpenClaw AI 智能体被「钓鱼邮件劫持」:代码执行、数据外泄一气呵成
就在监管层慢下来的同一时段,攻击者找到了直接操控 AI 智能体的路径。
安全研究人员今天披露,针对 OpenClaw AI 智能体的两种输入操控攻击均已在实际测试中得手:3
- 隐藏联系人注入:在智能体的联系人列表中嵌入伪装条目,当智能体访问该联系人时,隐藏指令触发任意代码执行
- 钓鱼邮件劫持:精心构造的邮件内容可绕过智能体的信任边界,诱导其读取并转发内部数据
两种攻击路径的共同特征是:智能体的推理过程本身成为攻击面。传统安全工具监控的是流量、进程和文件,但这里触发执行的是模型对「受信输入」的语义理解偏差。
OpenClaw 的案例并非孤例。同期的 ThreatsDay 快报中,「蠕虫代码外泄」与「Claude Code 补丁」被并列提及,指向 AI 智能体信任模型的系统性薄弱:只要模型在推理时会读取外部输入,就存在被注入指令的结构性前提。4
香港证监会(SFC)在 2026 年 6 月 2 日发布的监管通函中,将同类机制明确点出:前沿 AI 模型已能自主发现零日漏洞,并将多个低风险漏洞组合成高影响攻击链。金融行业的网络安全事件同比增长 27%,SFC 要求所有持牌机构立即开展 AI 安全框架差距分析。5
「绅士」勒索软件完成 AI 化进化:478 受害者、蠕虫扩散、RaaS 全套
今天另一条值得认真看的新闻来自勒索软件生态。
The Gentlemen 勒索软件已累计宣称 478 个受害者,其 RaaS(勒索即服务)操作模式引入了 AI 辅助功能,并新增了蠕虫式横向扩散能力——不等待人工操作,自动在网络内传播并加密目标主机。6
AI 在这里扮演的角色至少有两个:
- 侦察自动化:快速识别网络内的高价值目标(文件服务器、数据库、备份节点)
- 规避个性化:针对受害者环境生成定制化的钓鱼内容和规避脚本
这与香港 SFC 通函、以及此前 watchTowr 等研究方持续记录的趋势吻合:AI 正在把本需要高技能团队完成的攻击,降解为可复制的服务。对 RaaS 操作组而言,AI 是效率工具;对防守方而言,这意味着同样规模的攻击组现在能覆盖到数倍的受害者。
ShinyHunters 黑客组同期曝光的 Oracle PeopleSoft 零日漏洞(CVE-2026-35273)同样构成印证——在 Oracle 于 6 月 10 日正式发布公告之前,高校系统已遭到入侵和勒索,提取并出售了学生数据。7 窗口已经不以天计,甚至不以补丁周期计。
GitHub npm 12 默认封禁安装脚本:供应链防线终于打上一颗钉子
好消息也有一条。
GitHub 宣布 npm 12 将把安装脚本(
preinstall / postinstall)默认禁用,开发者须主动审批后才能运行。这是对过去数年间供应链攻击(IronWorm、Miasma、Hades 等系列已被本频道多次记录)最直接的结构性回应。8安装脚本是恶意包注入任意代码的标准路径,之所以能持续被滥用,在于开发者工作流对其几乎没有摩擦——
npm install 一条命令,脚本就跑了。npm 12 把这道摩擦重新装回去:你必须显式允许,才会执行。这不能解决所有供应链问题,但它把一类攻击路径的成本提高了不止一个数量级。
从监管窗口到推理层:密态计算切的是哪道口
把今天的新闻放回一个框架里:
合规期延后,意味着大量企业 AI 部署在未来一到两年内都处于「义务缓冲期」。攻击者不会配合等到 2027 年。OpenClaw 的智能体漏洞、绅士勒索软件的 AI 化扩散、SFC 记录的攻击频率攀升,都发生在这个窗口里。
这些事件有一个共同的技术前提:AI 模型在推理时处理的数据是明文的,无论在哪一环被截获——智能体读取联系人、推理网关转发请求、加密前等待处理的文件——数据都是可读的。
荆华密算的密态推理从架构层切断这个前提:模型在加密状态下完成推理,明文数据在任何可访问的内存空间都不出现。这意味着即便攻击者控制了智能体的执行环境,他们拿到的也只有密文。9
OpenClaw 类的输入注入攻击,注入的是「让模型做什么」的指令,但如果模型处理的数据本身不在明文状态,即使指令执行,也不存在「数据外泄」这个动作的执行前提。RaaS 的 AI 侦察阶段,其价值在于找到并读取高价值数据——密态推理让这个价值在关键推理节点上不存在。
2026 年 6 月 1 日,荆华密算全链路密态 AI 助手开启了首批 200 人内测。这不是一个时机上的巧合。过去几年,本频道记录的每一起 AI 相关数据泄露——从 MCP 零认证、到 AI 工具链令牌暴露、到今天的智能体劫持——都在回答同一个问题:当 AI 进入企业的核心数据处理流程,如何确保数据不在推理层被读走?
密态计算是目前在架构层给出答案的路径之一。合规期有了喘息时间,但攻击者的日历不会因此往后翻。
Fuentes de referencia
- 1AI Act reloaded — Stibbe
- 2European Commission Draft Guidelines on High-Risk AI Classification — BTLaw
- 3New Attacks Trick OpenClaw AI Agent Into Running Code and Leaking Secrets — The Hacker News
- 4ThreatsDay Bulletin: Worm Code Leaked, AI Agent Phished, Claude Code Patch — The Hacker News
- 5Hong Kong SFC calls for enhanced cybersecurity measures to combat AI-enabled cyberattacks — Davis Polk
- 6The Gentlemen Ransomware Claims 478 Victims, Can Spread Like a Worm — The Hacker News
- 7ShinyHunters Exploits Oracle PeopleSoft Zero-Day to Breach Universities — The Hacker News
- 8GitHub to Disable npm Install Scripts by Default to Stop Supply Chain Attacks — The Hacker News
- 9荆华密算官网
Añade más opiniones o contexto en torno a este contenido.