安全热点周报:Claude Code源码泄露、CareCloud被黑

1、三部门发布《2026年个人信息保护系列专项行动公告》

4月2日，中央网信办、工信部、公安部联合发布公告，明确2026年将围绕七大重点问题开展专项行动，涵盖互联网广告、教育、交通、卫生健康、金融等五大领域违法违规收集使用个人信息，常见类型App及SDK违规问题，以及侵犯个人信息违法犯罪活动，着力提升群众满意度与获得感。

2、工信部印发《普惠算力赋能中小企业发展专项行动通知》

4月2日，工信部印发通知，提出5大行动16项重点任务。其中”赋能金融中小企业安全高效用算”任务聚焦金融科技、供应链金融、小微金融等领域，推动算力与风控、智能投顾、信用评估、监管合规等场景深度融合；针对金融业数据合规要求高、核心数据出网难等痛点，支持企业在数据不出域前提下开展本地化算力部署。

3、《网络安全标准实践指南——工业企业数据安全能力成熟度模型》发布

3月31日，全国网安标委秘书处发布该指南，构建了工业企业数据安全能力成熟度模型，规定数据全生命周期安全与通用安全的成熟度等级要求，适用于指导企业开展数据安全能力建设及等级评估。

4、《网络安全标准实践指南——OpenClaw类智能体部署使用安全指引》公开征求意见

3月31日，全国网安标委秘书处就上述征求意见稿面向社会公开征集意见。文件针对个人使用者及组织内部人员部署使用OpenClaw类智能体，分别给出安全指引与管理措施，不适用于商业化智能体安全防护场景。

5、九部门联合印发《推动物联网产业创新发展行动方案（2026—2028年）》

3月31日，工信部等九部门联合印发方案，提出16项工作任务。安全方面重点包括：推动网络安全标识管理与国内外互认；基于区块链构建物联网设备分布式身份认证机制；打造”一物一码一号一数据”管理体系；鼓励微内核、虚拟化等技术研发，打造安全可裁剪的物联网操作系统；指导企业落实数据分类分级、安全防护、风险评估等责任义务。

6、四部门联合印发《智能航运2030行动计划》

3月30日，交通运输部等四部门联合印发该计划，共6章，多处涉及网络安全。主要要求包括：加快感知、决策、控制、通信及网信安全等装备系统测试技术研究；加快网络安全等急需技术标准制定；加强数据交互的信道与信源安全保障，提升传输加密与抗干扰能力，强化网络和数据安全风险预警防控。

1、Claude Code源代码因人为失误泄露，GitHub下架8100余个侵权仓库

3月31日，安全研究员Chaofan Shou披露，Anthropic旗下Claude Code源代码因npm注册表中一个约57MB的映射文件（cli.js.map）意外泄露，涉及4756个源文件，架构设计、system prompt、工具调用逻辑等核心实现细节全部暴露。代码在数小时内迅速扩散至GitHub，Anthropic随即发出DMCA侵权请求，当天下架8100余个相关仓库。Anthropic发言人表示，此次事件未涉及任何客户敏感数据或凭证，属打包发布环节的人为失误，并非安全漏洞，公司正采取措施防止类似事件重演。

2、美国医疗软件上市公司CareCloud遭入侵，患者数据被非法访问逾8小时

3月31日，CareCloud向SEC披露，3月16日公司存储患者电子健康记录的六个环境之一遭未授权访问，攻击者持续在线超8小时。公司当日恢复系统后确认黑客已离网，并聘请网络安全公司展开调查，但目前尚未确认数据是否被窃取及影响规模。CareCloud服务覆盖4.5万家医疗服务商、数千家医疗机构，潜在影响范围广泛。公司认定该事件已达重大性标准，依法向投资者发出风险提示，但预计不会对财务状况造成重大影响。

1、Google Chrome Dawn释放后重用漏洞（CVE-2026-5281）

4月1日，奇安信CERT监测到Google发布公告，Chrome Dawn图形组件存在释放后重用漏洞，因内存释放后未清空指针导致已释放内存被重复访问。攻击者可诱导用户点击恶意链接，进而获取敏感信息或执行任意代码。该漏洞已发现在野利用，建议尽快自查并完成版本更新。

2、Vim代码执行漏洞（CVE-2026-34982） 

4月1日，奇安信CERT监测到官方修复该漏洞。漏洞源于complete、guitabtooltip、printheader三个选项缺少P_MLE安全标志，导致脚本表达式可被用于注册任意命令。攻击者可诱导用户打开特制文件以执行任意代码，造成数据泄露或系统破坏。目前PoC已公开，建议尽快自查防护。

3、Vim代码执行漏洞（CVE-2026-34714） 

3月31日，奇安信CERT监测到官方修复该漏洞。漏洞源于tabpanel选项缺少P_MLE安全标志，导致tabline脚本中的表达式可被用于注册任意命令，攻击者同样可通过特制文件实现任意代码执行，后果与上述漏洞类似。目前PoC已公开，建议尽快自查防护。

本周的安全热点涵盖政策法规、安全事件、漏洞风险通告等多个方面。从三部门联合部署个人信息保护专项行动，到九部门推动物联网产业创新发展，政策监管力度持续加强；从Claude Code源码意外泄露到CareCloud患者数据遭非法访问，从以色列摄像头遭伊朗黑客入侵到英国合作社集团因攻击亏损逾11亿元，安全事件接连发生，网络安全形势不容乐观。无论是企业还是个人，都应高度重视网络安全问题，及时了解最新动态，采取有效防范措施。

对于企业而言，应加强内部安全管理，重视发布流程与数据出域管控，防范人为失误引发的信息泄露风险；定期开展安全漏洞扫描与修复，尤其关注Chrome、Vim等本周披露的高危漏洞，及时完成版本更新。对于个人用户，应及时更新设备系统与软件，避免点击不明链接，开启必要的安全防护功能。同时，相关部门也应持续加强监管，加大对网络犯罪的打击力度，共同营造安全可信的网络环境。