本週全球資安事件持續升級,從國際博物館密碼疏漏到 AI 系統安全漏洞,從金融與企業系統被入侵到國家級駭客行動,提醒我們資安不再只是技術問題,而是跨國、跨領域的生存挑戰。
⭕️ 資安趨勢部落格精選
國際與重大事件
- 羅浮宮保全密碼竟是 Louvre!31 億珠寶被偷,監控系統爛到爆(聯合新聞網)
全球震撼的資安笑話:世界頂級博物館居然用館名當密碼,曝露了「人是資安最薄弱環節」的現實。
- 瑞典 Miljödata 外洩勒索案,150 萬筆公部門個資流入暗網(iThome)
北歐再傳勒索攻擊,政府數據治理與雲端外包風險再度浮上檯面。
- Sandworm 鎖定俄羅斯軍事單位,利用 OpenSSH 後門與 Tor 活動(iThome)
國家級駭攻持續升溫,APT 行動越來越難追蹤。
⭕️ 關鍵金句:
連羅浮宮都守不住,證明「最貴的安全漏洞,往往是最便宜的密碼」。
金融與支付安全
- 全支付盜刷事件延燒:從釣魚詐騙到金管會介入調查(iThome/工商時報/中央社)
偽冒簡訊釣魚導致用戶綁定帳戶被盜刷,金管會強調「電支綁帳戶與綁卡安全保障一致」。
全支付強調將追查假訊息,並保留法律追訴權。
- 健保署提醒:健保退款簡訊勿點選連結(中央社)
詐騙分子冒用「@nhi.gov.tw」郵件域名釣魚,民眾需注意真假差異。
⭕️ 關鍵金句:
金融安全不是科技問題,是信任的管理問題。
企業與 AI 資安
- 辦公室詐騙風暴:AI 深偽報帳出現,企業需建立「AI 對 AI」防詐機制(科技報橘)
- 趨勢科技 × NVIDIA:從晶片到雲端共建 AI 安全生態(新頭殼)
- 趨勢科技獲 IDC 評選為「全球消費者數位生活防護」領導者(IOIOTIMES)
- CEH 協助企業培育 AI 資安新世代人才(iThome)
⭕️ 關鍵金句:
在 AI 時代,企業的對手不只是駭客,還有假冒成員工的「AI 幽靈」。
消費者防詐與數位防護
- 「AI 防詐達人」推出來電阻擋功能,免費防堵詐騙來電(資安人)
- 英國防詐組織與趨勢科技合作推出「JustMe」App,提供身分驗證防護(科技新報網)
- 政院警告「統戰 APP」恐為詐騙或認知作戰工具(中央社)
⭕️ 關鍵金句:
防詐工具再進化,AI 不只是詐騙幫兇,也能成為你的守門員。
AI × 資安技術動態
- ChatGPT 爆七項資安弱點,零點擊與安全檢查繞過成隱憂(iThome)
- Google 揭露五款 AI 勒索病毒「雷聲大雨點小」(科技新報)
- AI 代理人恐遭駭客利用,成為新型威脅向量(中央社)
- AI 瀏覽器可繞過付費牆,媒體業者恐受衝擊(經濟日報)
- Gemini Deep Research 能讀取 Gmail 與雲端內容,引發隱私疑慮(INSIDE)
- Sam Altman 表示:若 OpenAI 不是首家 AI 執行長公司,我會覺得羞愧(科技報橘)
⭕️ 關鍵金句:
AI 安全不是未來式,而是當下進行式。
漏洞與惡意攻擊
- SleepyDuck 木馬藉 VS Code 延伸套件攻擊 AI 編輯器(iThome)
- Android 重大 RCE 漏洞曝光,攻擊者無需互動即可植入程式(網路資訊雜誌)
- runC 高風險漏洞恐讓攻擊者逃脫容器(iThome)
- 中國駭客利用思科防火牆漏洞攻擊全球政府機構(iThome)
- 北韓 Konni 組織濫用 Google 裝置追蹤工具發動安卓破壞攻擊(iThome)
- Google 發布安卓 11 月安全更新,修補零點擊漏洞(iThome)
- 俄駭客利用 Hyper-V 與 WSL 混淆偵測系統(iThome)
- 新寄生攻擊手法利用 Windows 原生 AI 堆疊隱藏惡意程式(資安人)
⭕️ 關鍵金句:
駭客不休息,漏洞永遠在更新。
⭕️ 媒體資安新聞一覽
羅浮宮保全密碼竟是…Louvre!31億珠寶被偷 監控系統爛到爆 聯合新聞網
【全支付盜刷事件】你需要知道:偽冒釣魚如何發生、該如何判斷與應對 iThome
全支付盜刷爭議 金管會:電支綁帳戶或綁信用卡安全保障一致 工商時報電子報
【辦公室詐騙風暴】報帳也能深偽?企業需建立 AI 對 AI 治理戰線 科技報橘
從晶片到雲端!趨勢科技靠NVIDIA共建AI安全生態 新頭殼
趨勢科技獲IDC MarketScape評選為全球消費者數位生活防護(Worldwide Consumer Digital Life Protection)領導者 IOIOTIMES
「AI防詐達人」免費提供詐騙來電阻擋功能 資安人
英防詐組織攜手趨勢科技,推「JustMe」App 供消費者身分驗證防護 科技新報網
每日150億則!路透曝 Meta估去年靠詐騙廣告刊登費賺5000億元 聯合新聞網
【科技早餐】Sam Altman:若 OpenAI 不是首家 AI 執行長公司,我會覺得羞愧! 科技報橘
Gemini 再進化,Deep Research 可直接讀取 Gmail、Chat 與雲端硬碟內容 INSIDE
ChatGPT爆七項資安弱點,零點擊與安全檢查繞過成隱憂 iThome
AI 勒索病毒沒那麼神?Google 揭五款「雷聲大雨點小」的惡意樣本 科技新報網
AI代理人恐遭駭客利用 資安漏洞成威脅新課題 中央社
暢行無阻?AI 瀏覽器竟可攻破付費牆 媒體業者剉咧等 經濟日報網
木馬程式SleepyDuck透過VS Code延伸套件散佈,鎖定AI編輯器Cursor與Windsurf用戶而來 iThome
遭爆暗網售個資 全支付:對不實言論保留法律告訴權 中央通訊社
Sandworm鎖定俄羅斯軍事單位下手,透過OpenSSH後門程式與Tor網路活動 iThome
【資安日報】11月6日,Google發布安卓11月例行更新,修補零點擊漏洞受到高度關注 iThome
俄駭客利用Windows內建Hyper-V躲避資安偵測,私建輕量Linux VM偽裝WSL混淆系統監控 iThome
新寄生攻擊手法!利用Windows原生AI堆疊隱藏惡意軟體 資安人
Android 現重大 RCE 漏洞 攻擊者無需互動即可竊資或植入惡意程式 網路資訊雜誌
中國駭客鎖定思科防火牆漏洞,對全球政府機關發動攻擊 iThome
Google裝置追蹤工具遭濫用,北韓駭客Konni從事安卓裝置資料破壞攻擊 iThome
runC存在高風險弱點,攻擊者恐藉此逃脫容器 iThome
健保署:健保帳戶審核簡訊 詐騙勿點選 中央通訊社
網傳統戰APP 政院:恐是認知作戰或詐騙 中央通訊社
資安院公佈資安漏洞獵捕活動設備廠商參與情形,11家廠商報名並提供700萬元漏洞懸賞獎金 iThome
瑞典隱私保護局調查Miljödata外洩勒索案,涉150萬筆公部門個資流入暗網 iThome
AI資安新世代,CEH協助企業防堵威脅 iThome
羅浮宮保全密碼竟是…Louvre!31億珠寶被偷 監控系統爛到爆 聯合新聞網
法國羅浮宮上個月發生價值8800萬歐元(約台幣31億元)的珠寶竊案,震驚全球。近日揭露其監控系統密碼竟為「Louvre」,另一由國防承包商Thales負責的系統密碼則為「Thales」。部分安保設備直到最近仍使用已停更的Windows 2000與Windows Server 2003。專家早在2014年就警告,簡易密碼與老舊系統讓警報、門禁與監控網路極易遭入侵,但館方顯未積極改善。
<回到新聞條列重點>
【全支付盜刷事件】你需要知道:偽冒釣魚如何發生、該如何判斷與應對 iThome
近期出現多起偽冒「全支付(PXPay Plus)」的釣魚郵件與隨之而來的盜刷事件。攻擊者利用高度擬真的郵件與多重跳轉的假網站,誘導使用者完成手機驗證(OTP),繼而竊取帳號並執行不當交易。
<回到新聞條列重點>
全支付盜刷爭議 金管會:電支綁帳戶或綁信用卡安全保障一致 工商時報電子報
全支付日前傳出綁帳戶連結遭扣款,以及釣魚信件取得個資等相關盜刷事件。金管會銀行局副局長王允中表示,全支付已於11月6日通報重大偶發事件,最晚需在11月17日前提交書面報告報送金管會,同時亦呼籲民眾提高警覺,金額不符應立即即檢視,勿點可疑連結。此外,他也指出,綁定帳戶扣款或綁定信用卡,安全保障原則一致。
<回到新聞條列重點>
【辦公室詐騙風暴】報帳也能深偽?企業需建立 AI 對 AI 治理戰線 科技報橘
隨著生成式 AI 的發展,企業財務審核流程正遭遇新型詐騙威脅。多個費用管理平台最新調查顯示,AI 生成的高仿真收據正大量流入企業報帳系統。這不僅考驗財務審核的準確性,也為企業內控與風險管理帶來全新挑戰。」
<回到新聞條列重點>
從晶片到雲端!趨勢科技靠NVIDIA共建AI安全生態 新頭殼
趨勢科技宣佈與NVIDIA BlueField展開全新整合,將防護直接嵌入數據中心層面,為人工智能工廠提供更安全且具擴展性的防護。此全新方案讓企業能更快部署人工智能,同時降低多租戶人工智能雲環境中的風險,並符合嚴格的合規要求。
<回到新聞條列重點>
趨勢科技獲IDC MarketScape評選為全球消費者數位生活防護(Worldwide Consumer Digital Life Protection)領導者 IOIOTIMES
報告指出:「趨勢科技是全球資安領域的知名企業之一,專注於保護數位生活,確保連網裝置與線上活動中的資訊交換安全。趨勢科技的主要優勢,是透過先進技術與長期深耕的威脅研究能力來提供資安防護。」
<回到新聞條列重點>
「AI防詐達人」免費提供詐騙來電阻擋功能 資安人
詐騙威脅廣泛地從電話、簡訊、社群等管道,透過文字、語音、圖片、影像等方式滲透全民生活中;近期更因AI技術發展,詐騙持續攀升且越趨難以辨識真假。為協助民眾降低詐騙風險,趨勢科技宣布旗下「AI防詐達人」免費提供來電顯示、來電阻擋、手動搜尋電話功能。當陌生電話來電,AI防詐達人會顯示來電,甚至主動阻擋詐騙、騷擾及國際電話,防堵電話詐騙事件發生,民眾可零成本提升防詐力!
<回到新聞條列重點>
英防詐組織攜手趨勢科技,推「JustMe」App 供消費者身分驗證防護 科技新報網
據統計,詐欺案件約占英格蘭與威爾斯所有犯罪紀錄的 44%,每年對英國經濟造成約 2,190 億英鎊的損失。而僅網路詐騙部分,英國消費者今年估計已損失百億英鎊。
<回到新聞條列重點>
每日150億則!路透曝 Meta估去年靠詐騙廣告刊登費賺5000億元 聯合新聞網
路透6日引述社群媒體巨頭Meta 內部文件發布長篇特別報導指出,該公司在2024年底的內部預測中估計,約有10%的年度總收入、約160億美元(約台幣5000億元),來自替詐騙 活動與違禁商品刊登的廣告 。
<回到新聞條列重點>
【科技早餐】Sam Altman:若 OpenAI 不是首家 AI 執行長公司,我會覺得羞愧! 科技報橘
NVIDIA 執行長黃仁勳警告,美國在人工智慧領域的領先優勢正快速縮小。他直言:「中國的 AI 只落後美國幾奈秒」,強調中國在晶片、模型與算力的投入速度驚人,美國若不加速前進,差距恐在一兩年內被追上。
<回到新聞條列重點>
Gemini 再進化,Deep Research 可直接讀取 Gmail、Chat 與雲端硬碟內容 INSIDE
Google 的 AI 助理 Gemini 再度升級!繼五月新增 PDF 檔案支援後,Gemini 的 Deep Research 功能如今能直接讀取使用者的 Gmail 信件、Google Chat 對話內容與 Google 雲端硬碟中的檔案,讓研究與分析的過程更加自動化與個人化。這項更新代表 Google 正在推動其 AI 產品更深層地融入 Workspace 生態系。
<回到新聞條列重點>
ChatGPT爆七項資安弱點,零點擊與安全檢查繞過成隱憂 iThome
資安公司Tenable Research發表最新研究,揭露ChatGPT存在七項可被連鎖利用的弱點,涵蓋提示詞注入、對話與記憶竄改,以及URL安全檢查繞過。研究人員透過多個概念驗證,示範攻擊者可在使用者不知情的情況下,竊取聊天內容或個人資料,風險場景包括一般提問、總結文章或點擊連結等日常操作。Tenable已通報OpenAI,部分問題仍在修補。
<回到新聞條列重點>
AI 勒索病毒沒那麼神?Google 揭五款「雷聲大雨點小」的惡意樣本 科技新報網
在最新的報告中,Google 揭示了五種使用生成式人工智慧(AI)開發的惡意軟體樣本,這些樣本的效果遠低於專業的惡意軟體開發標準,顯示出這些新興技術在惡意軟體開發上的應用仍然存在顯著的局限性。
<回到新聞條列重點>
AI代理人恐遭駭客利用 資安漏洞成威脅新課題 中央社
美國資安專家警告,廣受期待將引領生成式AI革命下一波發展的人工智慧代理程式(AI agent),很有可能遭到駭客操控,淪為犯罪的幫凶。
<回到新聞條列重點>
暢行無阻?AI 瀏覽器竟可攻破付費牆 媒體業者剉咧等 經濟日報網
人工智慧(AI)瀏覽器市場百家爭鳴,OpenAI在10月下旬釋出自家的AI瀏覽器Atlas,與Perplexity旗下的Comet,以及微軟Edge的Copilot模式,搶食這個競爭愈來愈激烈的市場。
<回到新聞條列重點>
木馬程式SleepyDuck透過VS Code延伸套件散佈,鎖定AI編輯器Cursor與Windsurf用戶而來 iThome
資安業者Secure Annex揭露上架於OpenVSX市集的惡意軟體SleepyDuck,並指出這些套件鎖定的目標,就是採用AI整合式開發環境(IDE)Cursor與Windsurf的用戶。
<回到新聞條列重點>
遭爆暗網售個資 全支付:對不實言論保留法律告訴權 中央通訊社
有網友在社群平台發文指暗網有在販售全聯、全支付使用者資料庫,前立委高嘉瑜也關切此事。全支付嚴正聲明,請民眾注意近期網路各種詐騙行為,全支付消費者資料安全無虞,針對部分社群不實言論將保留法律告訴權。
<回到新聞條列重點>
Sandworm鎖定俄羅斯軍事單位下手,透過OpenSSH後門程式與Tor網路活動 iThome
資安業者Seqrite與Cyble揭露鎖定俄羅斯與白俄羅斯軍事單位的攻擊行動Operation SkyCloak.駭客透過洋蔥網路(Tor Network)與OpenSSH後門隱匿行蹤,推測攻擊者的身分,有可能就是俄羅斯駭客組織Sandworm(或稱APT44、UAC-0125)。
<回到新聞條列重點>
【資安日報】11月6日,Google發布安卓11月例行更新,修補零點擊漏洞受到高度關注 iThome
本週Google針對安卓作業系統發布11月例行更新,其中修補風險層級最高(重大)的零點擊漏洞CVE-2025-48593,受到外界高度關注,值得留意的是,該漏洞的影響範圍,涵蓋13至16版安卓作業系統,相當廣泛。
<回到新聞條列重點>
俄駭客利用Windows內建Hyper-V躲避資安偵測,私建輕量Linux VM偽裝WSL混淆系統監控 iThome
濫用Linux環境迴避EDR系統偵測的情況再度傳出,資安業者Bitdefender揭露最新一波俄羅斯駭客組織Curly COMrades攻擊行動,駭客於受害電腦啟用Hyper-V虛擬化環境,並建置Alpine Linux虛擬機器(VM)來部署惡意程式。
<回到新聞條列重點>
新寄生攻擊手法!利用Windows原生AI堆疊隱藏惡意軟體 資安人
資安研究人員 hxr1 發現,攻擊者可透過 Windows 原生 AI 堆疊,將惡意程式隱藏在受信任的 AI 資料檔中,藉此繞過現有的資安防護工具。這項概念驗證(PoC)攻擊利用 Open Neural Network Exchange(ONNX)檔案,執行 Living-off-the-Land(LotL,寄生攻擊)手法。
<回到新聞條列重點>
Android 現重大 RCE 漏洞 攻擊者無需互動即可竊資或植入惡意程式 網路資訊雜誌
本月安全公告最重要的是 CVE-2025-48593,它是一個系統元件的遠端程式碼執行 (RCE) 漏洞。本漏洞出在系統層程序處理不當,允許攻擊者在例行性運作如 App 啟動或背景同步時執行任意程式。安全研究人員指出,雖然問題何在尚不清楚,也暫免被廣泛濫用,但和 Android 過往因記憶體毁損造成權限升級的漏洞很像。
<回到新聞條列重點>
中國駭客鎖定思科防火牆漏洞,對全球政府機關發動攻擊 iThome
針對近期針對思科防火牆CVE-2025-20333及CVE-2025-20362的漏洞攻擊行動,當時該公司透露攻擊者身分很可能就是中國駭客Storm-1849(UAT4356),如今這樣的說法得到資安業者Palo Alto Networks證實,他們看到這些駭客對全球15國政府機關下手。
<回到新聞條列重點>
Google裝置追蹤工具遭濫用,北韓駭客Konni從事安卓裝置資料破壞攻擊 iThome
原本提供用戶尋找手機與行動裝置的功能,竟成為攻擊者抹除受害裝置資料的管道!韓國資安業者Genians在北韓駭客Konni的攻擊活動裡,發現駭客濫用Google Find Hub服務,遠端將受害者的安卓裝置恢復原廠設定,目的是在受害者外出的過程,濫用電腦版即時通訊軟體散布惡意檔案。
<回到新聞條列重點>
runC存在高風險弱點,攻擊者恐藉此逃脫容器 iThome
Docker近日修補通用容器執行環境runC高風險資安漏洞CVE-2025-31133、CVE-2025-52565,以及CVE-2025-52881,有資安業者進一步透露,若不處理,攻擊者有機會藉由不受信任的容器映像檔及Dockerfile,得到主機系統root權限。
<回到新聞條列重點>
健保署:健保帳戶審核簡訊 詐騙勿點選 中央通訊社
有民眾向健保署反映,近日出現「健保署成立30週年,對會員帳戶審核」簡訊。健保署今天發布聲明,這是詐騙手法,民眾若接獲可疑簡訊及連結網頁,直接刪除簡訊,勿點選連結。
<回到新聞條列重點>
網傳統戰APP 政院:恐是認知作戰或詐騙 中央通訊社
網傳中國一款「歸家」APP,讓台灣民眾、軍人一鍵「登記投誠」。行政院今天表示,目前已搜尋不到「歸家」APP,這種意義不明的APP可能是認知作戰,也可能為詐騙民眾個資所設計。
<回到新聞條列重點>
資安院公佈資安漏洞獵捕活動設備廠商參與情形,11家廠商報名並提供700萬元漏洞懸賞獎金 iThome
國家資通安全研究院(資安院)即將於12月舉行的產品資安漏洞獵捕活動,現在進入紅隊隊伍的報名階段,本週他們公布產品設備廠商參與的情況,有11家廠商報名,並打算提供超過新臺幣700萬元的獎勵來懸賞漏洞。
<回到新聞條列重點>
瑞典隱私保護局調查Miljödata外洩勒索案,涉150萬筆公部門個資流入暗網 iThome
瑞典隱私保護局針對Miljödata遭駭外洩案展開GDPR稽核,外流逾150萬人個資,多數資料現於暗網,調查縮訂Miljödata及部分使用其系統的地方政府,檢視個資處理安全措施與防護是否符合規範。
<回到新聞條列重點>
AI資安新世代,CEH協助企業防堵威脅 iThome
2025年,全球資安情勢持續升溫,駭客攻擊手法因AI技術進步而更加隱匿與高效,從語音網釣、假訊息到生成式AI惡意程式,企業及個人安全面臨前所未有的挑戰。
<回到新聞條列重點>
