本週的資安新聞資訊量非常龐大,而且有一個極為核心的趨勢:AI 已經正式從「概念討論」進入到「資安攻防的實戰核心」。不論是駭客自動化攻擊、大模型挖掘零時差漏洞,還是企業內部的 Shadow AI(影子 AI)風險,都成為這週的焦點。
⭕️ 資安趨勢部落格精選
複製指令就中招?深入剖析假冒 Claude Code 的 InstallFix 攻擊鏈
從 Canvas 大規模外洩事件,看教育產業的供應鏈資安風險
打詐週報|假檢警詐騙結合「來電轉接」與「金融盜刷」、假退稅通知湧現、《皮克敏 》遊戲客服成詐騙目標
1. AI 正式進入「攻防實戰階段」
2. 零時差漏洞與基礎設施風暴擴大
1. AI 正式進入「攻防實戰階段」
AI 不再只是輔助工具,而是開始參與漏洞研究與攻擊模擬,包括:
- AI 自動挖漏洞、串聯攻擊鏈
- Claude Mythos、OpenAI Daybreak、微軟 MDASH 等投入資安分析
- 企業開始用 AI 做弱點修補與紅隊測試
相關新聞:
- AI開始進入漏洞研究與通報生態,Mozilla、微軟、GitHub與Curl案例受關注 iThome
- Claude Mythos實力嚇壞開發者 憂駭客利用 新模型抓漏洞能力太強 雙面刃引發開放論爭 今周刊
- OpenAI 推出 Daybreak 平台!對標 Anthropic,GPT-5.5 聯手 Codex 主動修補軟體漏洞 T客邦
- Cloudflare測試Claude Mythos,能串聯多個低風險漏洞形成攻擊鏈 iThome
2. 零時差漏洞與基礎設施風暴擴大
多個核心系統爆出嚴重漏洞:
- Windows、Linux、Exchange、Nginx、VMware
- Dirty Frag、MiniPlasma 等權限提升漏洞
- Pwn2Own Berlin 揭露 47 個零時差漏洞
相關新聞:
- Windows存在零時差漏洞MiniPlasma,攻擊者可取得SYSTEM權限 iThome
- Linux高危漏洞Dirty Frag拉警報!OpenAI搶進AI資安防線新戰場 商傳媒
- Nginx重大漏洞已被用於攻擊 iThome
- F5修補存在18年的Nginx重大漏洞 iThome
- Pwn2Own Berlin 2026 揭露 47 個零時差漏洞,TrendAI 與 ZDI 推動廠商加速修補 次標題 三嘻行動哇
3. 供應鏈攻擊 + AI 生態系成新戰場
攻擊不只打系統,而是打「軟體與AI供應鏈」:
- PyPI、RubyGems、TanStack、Mistral 套件遭入侵
- Ollama、OpenClaw 出現模型與AI工具漏洞
- AI 模型與 Agent 本身開始被植入後門
相關新聞:
- OpenAI遭受TanStack供應鏈攻擊波及 iThome
- Mistral AI的PyPI套件遭遇供應鏈攻擊 iThome
- OpenClaw存在漏洞攻擊鏈Claw Chain,攻擊者可用於竄改組態並植入後門 iThome
- Ollama重大漏洞影響自架LLM部署,特製GGUF模型檔恐外洩提示詞與API金鑰 iThome
4. 身分驗證與M365攻擊全面升級
針對企業帳號的攻擊明顯增加:
- Device Code phishing(裝置碼釣魚)
- M365 權杖竊取與 MFA 繞過
- EvilTokens、Tycoon 2FA 攻擊架構
相關新聞:
Ollama重大漏洞影響自架LLM部署,特製GGUF模型檔恐外洩提示詞與API金鑰 iThome裝置Tycoon 2FA被用於裝置驗證碼網釣,駭客搭配Trustifi追蹤器挾持M365帳號 iThome
新駭客基礎架構出現,加速裝置碼釣魚、竊取Microsoft 365權杖 iThome
資安院示警:駭客藉 EvilTokens 平台濫用裝置代碼機制,MFA 防護成虛設 資安人
微軟修改Edge瀏覽器密碼管理機制,避免開機即載入明文密碼 iThome
5. AI 驅動的詐騙與企業風險同步上升
除了企業漏洞,民眾端風險也同步升高:
- 深偽詐騙、AI 投資詐騙快速增加
- 台灣 75% 民眾使用 AI,但僅 26% 有信心辨識詐騙
- 報稅季、銀行驗證成主要釣魚熱點
- Shadow AI(未授權AI使用)成企業新風險
相關新聞:
- 台灣人用AI處理人生大事比例高達75%!趨勢科技示警:深偽、假投資詐騙更難辨識,僅26%民眾有信心識破 雅虎奇摩
- 近 40% 員工把敏感資訊丟進未授權 AI:Shadow AI 如何讓企業失去資料、權限與 Agent 行為掌控? 科技報橘網
- 5月報稅季成詐團突破口 這類關鍵字全都有詭 壹蘋新聞網
- Gmail用戶注意!下載檔案看到「這幾字」別信 恐一鍵中毒 tvbs新聞網
