ChatGPT代理人「零點擊竊資」漏洞、到 Google Chrome 零時差攻擊,再到 中國防火長城600GB原始碼外洩,本週資安世界幾乎天天都有驚爆點。
不僅 微軟Win10停更讓 4 億台電腦暴露危機,LLM 驅動惡意程式更預示「人類 vs. AI」的駭客時代正式開打!
同時,精品大牌 LV 與 Tiffany 客戶資料外洩,駭客甚至 假冒FBI與監理服務網進行釣魚詐騙,讓個人與企業都陷入前所未有的挑戰。
這些事件提醒我們:不論是日常生活、國際局勢,甚至全球網路基礎設施,都可能成為資安攻擊的戰場。
⭕️ 本週十大資安焦點新聞
1. 你的Gmail會被看光光?ChatGPT代理人爆出「零點擊」竊資漏洞
AI熱潮背後的資安隱憂浮現!有研究發現,四大ChatGPT AI代理程式存在「Shadow Leak」零點擊漏洞,駭客無需使用者點擊任何連結,就能透過這個漏洞竊取Google Mail等敏感資料。這項發現讓AI代理的安全性受到前所未有的質疑,許多人擔心未來AI在自動化處理任務時,可能成為駭客入侵的幫兇。
研究人員示範了一種提示注入攻擊:攻擊者把惡意指令以白色文字隱藏在白底中,夾帶在寄給 Gmail 的郵件內。當使用者用 ChatGPT 讀取該郵件(例如請 ChatGPT 做「Deep Research」摘要)時,隱藏的白色文字會被模型處理,指令會要求查找 HR 郵件與個人資料,進而在使用者不知情的情況下將敏感資訊洩漏給駭客。
- ChatGPT 代理人爆漏洞 Gmail 敏感資料恐遭「Shadow Leak」竊取 網路資訊雜誌
- 四大ChatGPT AI代理資安風險 電子工程專輯
- ShadowLeak零點擊攻擊可致ChatGPT深入研究功能外洩Gmail資料 iThome
- 趨勢科技研究:新ChatGPT AI代理的四大資安風險 網管人
2. 駭客從Drift竊取15億筆Salesforce資料?史上最大宗外洩事件曝光
駭客組織ShinyHunters宣稱,已透過雲端客戶通訊平台Drift的駭入事件,竊取高達15億筆的Salesforce用戶資料,其中包括大量客戶個資。這起號稱史上最大規模的資料外洩案,不僅對企業信譽造成嚴重打擊,也讓供應鏈攻擊的威脅再度浮上檯面,提醒企業應加強對第三方合作夥伴的資安審查。
繼續閱讀