俄罗斯官员就网络安全合作向美国喊话的同一天，中国国家安全部发布公开警告，称境外组织正通过伪装成“开发工具”的恶意程序，窃取公民敏感信息并威胁国家安全。

国家安全部在12月2日发布重要提示，指出境外组织正利用嵌入各类应用软件的恶意SDK，非法收集用户敏感信息并远程传输至境外服务器。

这种行为严重侵犯公民隐私，更可能使用户画像和行业数据等关键信息被境外掌控，对国家构成现实威胁。

01 今日安全热点

今日全球网络安全领域呈现内外双重态势。国际方面，俄罗斯联邦安全会议副秘书赫拉莫夫12月1日表示，如果美国方面持积极态度，俄罗斯愿意恢复与美国的网络安全合作。

赫拉莫夫指出，西方国家出于政治动机，大多忽视俄方提出的合作倡议。他认为，当前国际关系中的主流做法是各国专业机构围绕打击网络犯罪的刑事司法问题展开协作。

国内安全领域，国家安全部同日发布重要提示，警告境外组织正通过恶意SDK窃取敏感信息。

另外，近期中国-东盟数据安全产业创新合作论坛在广西南宁举办，旨在促进数据安全领域协同合作。

02 SDK：数字时代的“特洛伊木马”

SDK全称为“软件开发工具包”，是一套为特定软件框架、硬件平台或操作系统提供的开发工具集合。它就像一个数字时代的“百宝箱”，为软件开发者提供构建应用程序所需的半成品、工具和说明。

近年来，随着移动应用生态的蓬勃发展，SDK被广泛应用于各类软件中，其背后潜藏的失泄密风险日益凸显。

恶意SDK的主要危险在于其隐蔽性。普通用户甚至应用开发者往往难以察觉其中预置的后门程序。境外黑客组织或敌对势力可能利用第三方SDK的安全漏洞或恶意代码进行攻击。

更隐蔽的威胁是，攻击者可能直接利用SDK开发预置后门，或利用未公开的漏洞，对使用该SDK开发的应用进行深度渗透。

一旦用户安装了集成恶意SDK的应用，攻击者便可远程操控其设备，窃取更多重要敏感信息。

03 层层渗透的窃密链条

恶意SDK的威胁呈现多层次特点。首先是隐蔽“后门”的风险。境外组织利用SDK的安全漏洞或恶意代码进行攻击，有时甚至直接预置后门。

其次是 “侵犯权限的私自搜掠” 。国家安全机关指出，部分SDK存在违规收集使用个人信息行为，这些信息可能被用于精准用户画像与分析，进而推断出更多深层信息。

令人担忧的是，个别境外SDK服务商甚至通过付费方式诱使开发者使用其服务，形成隐蔽的数据获取链条。

第三个层面是 “积羽沉舟的内生隐患” 。随着使用第三方SDK开发的应用软件数量增加，其潜在攻击面呈几何级扩大。

如某个通用SDK存在漏洞时，所有集成该组件的应用都将面临连锁式安全威胁，最终可能扩散至整个移动生态，构成系统性风险。

04 国际案例警示

韩国近日发生了一起重大数据泄露事件，其电商巨头Coupang超过3300万客户的数据遭到泄露。

令人震惊的是，该公司在五个月内都没有发现这起数据泄露事件。泄露范围包括客户姓名、电子邮件地址、电话号码、收货地址和部分订单历史。

韩国总统已下令迅速采取行动，惩罚相关责任人，并呼吁“加强罚款，使惩罚性赔偿成为现实”。

韩国警方目前正在追踪计算机IP地址，并考虑进行国际协作调查。警方警告，这起数据泄露事件可能“威胁到每个公民的日常生活和安全”。

韩国是世界上网络化程度最高的国家之一，但也一直是其竞争对手朝鲜黑客攻击的目标。去年，警方宣布朝鲜黑客入侵了韩国法院计算机网络，窃取了包括个人财务记录在内的敏感数据。

05 防御恶意SDK的全面建议

针对恶意SDK威胁，国家安全机关为不同群体提供了具体防范建议。

对于普通用户，应从官方应用商店等正规渠道下载安装应用，切勿点击来历不明的广告链接或随意安装弹窗推送的软件。

安装后，应审慎管理应用权限，尽量关闭与应用核心服务无关的访问权限，特别是涉及位置、通讯录、相册等敏感信息或资费功能。

对于应用程序开发企业，应建立SDK全生命周期安全管理机制，优先选用备案SDK，严格评估功能独立性，避免无关模块捆绑。

在使用过程中应持续监测、定期更新、及时修补漏洞。对集成的SDK进行来源确认和完整性校验，并持续监测SDK是否有异常行为。

对于App平台供应商，应向大众准确告知SDK接入情况、权限范围、隐私政策等情况。

运营期内应主动提示运营者及时改进行为。合作结束后，供应商应督促本应用软件的SDK运营者退出授权，依法删除或匿名化处理用户数据。

06 中国-东盟携手应对安全挑战

在区域合作方面，2025年中国-东盟数据安全产业创新合作论坛于11月7日在广西南宁圆满举办。

论坛旨在贯彻落实《中华人民共和国数据安全法》《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》等重要文件精神。

论坛集中展示了中国数据安全产业在技术创新、场景应用、生态构建等方面的阶段性成果，聚焦产业高质量发展痛点与机遇，为深化数据安全领域协同合作提供了高端对话平台。

论坛期间还举行了第三届“数信杯”数据安全大赛启动仪式，以及数据安全产业能力共享与综合验证公共服务平台项目启动仪式。