本週資安重點整理：

一、詐騙與釣魚攻擊警訊

• 不小心點到詐騙網址 / 釣魚網站怎麼辦？
  立即停止輸入個資、密碼與 OTP，清除瀏覽記錄並掃描裝置，並撥打 165 查證。
• 收到「iCloud 儲存空間已滿」通知，該不該點？
  小心詐騙釣魚頁！勿直接點擊，建議從手機設定內進行確認。
• 未來社交工程怎麼騙？AI 寫劇本、A/B 測試選目標
  AI 強化社交工程手法
  

---

二、AI 防護與企業韌性

• 代理式 AI ＋ 數位分身（Digital Twins）提升資安韌性
  模擬真實環境、提前演練攻擊情境，是未來資安部署重點趨勢。
• 趨勢科技與 NVIDIA 推出 Agentic AI 安全藍圖
  強化企業 AI 工廠防護力，防止 AI 系統被入侵或誤用。

---

三、APT 攻擊與國安威脅

• Earth Ammit 對台發動聯合攻擊
  矛頭直指台灣無人機供應鏈，企圖破壞國安關鍵產業。
• Earth Kasha 攻擊升級，鎖定台日目標
  鎖定政府與研究機構，攻擊更隱密、手法更多元。

---

四、資安新聞焦點精選

• OpenPGP.js 高風險漏洞曝光
  可繞過訊息簽章驗證，恐導致資料完整性失守。
• 假 DeepSeek-R1 廣告內藏 BrowserVenom 木馬
  假冒熱門 AI 模型廣告，引誘下載惡意程式。
• Myth Stealer 鎖定 Chrome 與 Firefox
  假冒遊戲網站散布，竊取瀏覽器憑證與帳密。
• Microsoft Copilot 驚現零點擊漏洞
  用戶無操作仍可能被植入惡意指令，風險高。

---

五、勒索攻擊與漏洞警訊

• Anubis 勒索軟體加入「資料抹除」功能
  受害者若不付贖金，資料直接刪除，無法救回。
• Qilin 勒索團體利用 Fortinet 漏洞攻擊
  已影響全球 310 家機構，包含多家大型企業。
• HPE StoreOnce、Insyde UEFI 發現重大漏洞
  可繞過認證或安全開機機制，急需更新修補。
• Microsoft Office、Outlook、DHCP 多項漏洞
  6 月 Patch Tuesday 更新中，出現重大不相容與安全風險，建議儘速檢查與升級。

---

六、詐騙熱點與防護建議

• OTP 盜刷再進化：AiTM 中間人攻擊大增
  攻擊手法更擬真，需提高警覺性。
• Meta 吃罰單後高層即將訪台，展現反詐重視
  數發部也表示歡迎企業共同防詐。

繼續閱讀

【資安新聞週報】本週AI治理與資料使用爭議升溫，從《AI基本法》分歧到Reddit控告Anthropic，再到OpenAI揭露中國利用ChatGPT進行秘密活動，都顯示AI發展下的安全與倫理挑戰。
全球重大資安漏洞與攻擊事件頻傳，包括微軟WebDAV零時差漏洞遭利用、多個瀏覽器及應用程式爆出高風險漏洞，以及新型勒索軟體蠢蠢欲動。行動裝置資安風險亦不容小覷，銀行木馬與針對iOS/macOS的攻擊不斷。
中國駭客攻擊與網路戰升級，利用ChatGPT滲透、iMessage零點擊漏洞攻擊歐美要員，並懸賞通緝台灣資通電軍人員，顯示網路攻防情勢日益緊張。
個資與隱私爭議持續發酵，從法國色情網站實名制到自然人憑證遭詐騙濫用，凸顯個資保護的嚴峻挑戰。同時，詐騙手法創新，LINE Pay、求職與投資詐騙日益複雜，促使社群平台與金融機構加強防堵。
在防禦端，數位身份與驗證走向新趨勢，如Worldcoin虹膜掃描與Google通行金鑰。然而，憑證信任危機因中華電信憑證事件發酵，影響瀏覽器安全。

⭕️ 資安新聞重點摘要：

1. AI治理與資料使用爭議

• 《AI基本法》草案多版本分歧未解，引發監理與倫理焦點。
• Reddit控告Anthropic抓資料訓練模型。
• OpenAI報告中國利用ChatGPT從事秘密活動。
• Thales報告：AI技術快速發展造成近70%企業感受到安全風險。

---

2. 重大資安漏洞與攻擊事件

• 微軟 WebDAV 零時差漏洞已遭利用。
• Outlook 目錄遍歷、OneDrive 權限問題、Roundcube 高風險漏洞。
• Chrome高風險漏洞與憑證信任危機。
• 新型勒索軟體（如Lyrix、Qilin）針對已知漏洞發動攻擊。

---

3. 行動裝置與應用資安風險

• Android銀行木馬「鱷魚」、AMOS針對macOS/iOS攻擊。
• Google Android 16強化資安功能。
• 蘋果用戶遭ClickFix網釣、iMessage零點擊漏洞攻擊。

---

4. 中國駭客攻擊與網路戰升級

• 利用ChatGPT進行滲透、iMessage漏洞攻擊歐美重要人物。
• Earth Lamia攻擊企業SQL Server與ERP系統。
• 中國大規模資料外洩，40億筆個資曝光。
• 中國首次懸賞通緝台灣資通電軍人員。

---

5. 個資與隱私爭議升溫

• 法國推行色情網站實名制，Pornhub強烈反彈。
• 好市多爆「中國拍照處理」風波。
• 自然人憑證遭詐騙濫用，多家銀行暫停線上開戶。
  

繼續閱讀

【資安新聞週報】資安世界正歷經一場翻天覆地的洗牌──趨勢科技技術長陳怡樺直言：「AI 將帶來資安產業大洗牌」，攻防模式已全面升級。生成式 AI 與大型語言模型（LLM）不只用於預測風險，更能主動出擊、提前阻止攻擊，實現「制敵機先」的資安願景。

然而，駭客也沒閒著，本週資安重點新聞——

生成式 AI 正在重塑資安防線，但也同時成為駭客的最佳幫手──從「點擊修復」的抖音惡意影片，到用 假冒官方簡訊的詐騙手法，讓人防不勝防。不只如此，殭屍網路 AyySSHush 入侵數千台華碩路由器、高風險漏洞讓 Chrome 用戶風險大增，中華電信憑證被 Chrome 撤除更引爆信任危機。

本週其他資安重點：提醒您還沒升級就太危險了！蘋果警告：iPhone漏洞、超過 1.84 億筆帳號資料疑似外洩，Apple、Google、Instagram 等主流平台全數受波及

本週十大資安熱門新聞：

1. 研究：看不見的資產容易成為企業資安風險隱憂
   未受管理的資產（如過時設備、閒置帳號）成為資安漏洞，研究指出，若資產暴露未被妥善管理，企業將面臨多重風險，包括營運中斷（42%）、市場競爭力下滑等。
2. 駭客利用抖音影片搭配「點擊修復」手法散布惡意程式
   駭客透過抖音影片引導用戶執行「點擊修復」操作，實際上安裝竊密木馬，影片疑似為AI生成，觀看次數逼近50萬。
3. 開發者質疑 DeepSeek 或以 Google Gemini 輸出訓練模型
   DeepSeek 推出強化數理與編程能力的 R1-0528 模型，雖以低成本訓練效果驚艷業界，卻因未公開訓練資料，再度引發外界質疑其模型來源。有開發者懷疑 DeepSeek 是透過「模型蒸餾」的方式，模仿其他大型語言模型（LLM）輸出訓練而來。
4. 趨勢觀察／生成式AI + LLM 主動式防駭制敵機先
   趨勢科技指出，結合生成式AI與大型語言模型（LLM），可提前辨識潛在威脅，實現主動式資安防禦，提升企業資安韌性。
5. 網路犯罪迎來三大變革，代理式AI成資安關鍵
   生成式AI助長「網路犯罪即代理」模式，駭客以AI代理人自動化攻擊流程，企業需強化AI風險預測與主動防禦能力。
   
6. Chrome爆出高風險漏洞！Google建議盡速完成版本更新
   Google發現Chrome瀏覽器存在CVE-2025-5419零日漏洞，已遭駭客利用，建議用戶立即更新至最新版本以防範攻擊。
7. Google悄悄測試能下載AI模型到手機執行的AI Edge Gallery App
   Google推出實驗性App「AI Edge Gallery」，允許用戶從Hugging Face下載生成式AI模型，直接在Android及iOS裝置上執行AI應用。
8. 中華電憑證遭Chrome移除，資安專家：恐削弱用戶警覺
   Google Chrome將移除對中華電信新憑證的預設信任，資安專家警告，這可能削弱用戶對安全警告的敏感度，增加資安風險。
9. 蘋果WWDC25大動作！iOS、macOS等六大系統將改以年份命名，iOS 26預備登場？
   蘋果預計在WWDC 2025上宣布將iOS等作業系統改以年份命名，iOS 18將跳至iOS 26，並進行重大UI改版。
10. iPhone安全破口曝！蘋果籲升級iOS 18.5防駭客攻擊
    蘋果發現iOS存在安全漏洞，已遭駭客利用，呼籲用戶盡速升級至iOS 18.5以防範攻擊。

繼續閱讀

本週資安新聞週報精選熱議事件

在本週的資安新聞週報中，我們看見國際駭客組織動作頻繁，俄羅斯駭客針對歐美政府的間諜行動，同時，AI 在資安領域的應用持續深化，趨勢科技於 Computex 展出多項數位孿生與身分防護技術，並攜手內政部啟動「全民防詐守護戰」，展現公私協力的新模式。除此之外，各類詐騙手法層出不窮，從假親友聲音詐騙到惡意「會議連結」，提醒大眾在數位時代下，資安意識已是生活日常不可或缺的一環。

國際資安威脅與惡意攻擊

• 俄中駭客與勒索行動：
  • 俄羅斯駭客持續針對歐美展開間諜行動
  • 駭客 DragonForce 利用 SimpleHelp 漏洞，攻擊 MSP 與客戶。
  • Agenda 勒索病毒升級武器庫。
  • LockBit 遭反駭，中國駭客入侵製造業、銀行等多產業。
• 公部門受害：
  • 川普幕僚使用通訊軟體遭駭，影響 60 名政府人員。

軟體與系統漏洞

• 漏洞利用與惡意軟體：
  • Node.js Samlify 函式庫漏洞可讓攻擊者冒充管理員。
  • Windows、VMware、Linux 核心皆被揭露重大漏洞。
  • 偽裝為 VPN 或 AI 工具的惡意軟體（ValleyRAT、Kling AI）頻繁出現。

AI 資安應用與產業合作

• 趨勢科技與 AI 資安佈局：
  • 趨勢科技攜手內政部警政署，啟動公私聯防「全民防詐」。
  • Computex 展示 AI 資安新方向與數位孿生應用。
  • 攜手 NVIDIA 建構 AI 資安藍圖。
  • Anthropic Claude 4 強化深度即時思考。

資安產業與供應鏈動態

• 供應鏈與企業防禦：
  • 中國駭客 Earth Ammit、MirrorFace 針對台灣無人機與政府供應鏈發動攻擊。
  • Computex 2025 展出多種硬體資安防護方案，強化身分與端點安全。
  • AI Agent 與開源模型帶來商業與資安雙重挑戰。

詐騙與社交工程

• 詐騙手法整理與防詐行動：
  • 假冒親屬聲音、試藥詐騙、證件領藥詐騙。
  • 台灣 7 天內被騙 20 億元，詐騙手法朝「驗證金流」、「帳戶審查」發展。
  • 假會議連結為新型加密詐騙工具。

資安趨勢部落格精選

• 中俄地下網路勢力連線中！俄羅斯網路犯罪市場如何全面滲透？
• 連「洗腦」都能外包？網路犯罪的黑暗新商機
• Agenda 勒索病毒擴充武器庫，新增 SmokeLoader 和 NETXLOADER強化攻擊能力
• 俄羅斯網路基礎架構成北韓網路犯罪關鍵角色
• LockBit被反駭、中國駭客攻製造業、迪士尼被駭、銀行被罰、微軟急修漏洞！一週資安新聞速報
• 「佯裝女兒感冒聲」、「騙長輩試藥領獎金」、「有人拿你證件領藥」，本週最新詐騙手法整理

繼續閱讀

當黃仁勳在COMPUTEX 2025宣告「NVIDIA已經不再是一家科技公司」，而是專注於打造「AI工廠」的新時代基礎建設時，我們正見證著一場前所未有的科技革命。台灣不僅成為Blackwell晶片的重要生產基地，更被定位為全球AI發展中心，這份榮耀背後卻也隱藏著巨大的資安風險。

從趨勢科技與NVIDIA Enterprise AI Factory的深度整合，到總統宣示籌組AI企業國家隊，台灣正全力擁抱AI時代的到來。然而，當我們沉浸在AI帶來的無限可能時，網路犯罪份子也在利用同樣的技術升級他們的攻擊手段。Chrome高危險漏洞遭駭客利用、Gmail 20億用戶面臨釣魚威脅，這些事件提醒我們：AI不僅「賦能」了創新，也降低了詐騙與攻擊的技術門檻。

在這個AI與資安交織的關鍵時刻，企業與個人都必須重新思考數位安全策略。當北韓駭客透過俄羅斯發動攻擊、中國駭客鎖定台灣無人機製造商，地緣政治的緊張關係正延伸到網路空間。同時，從Steam 8900萬組帳號數據外流到iPhone嚴重資安漏洞，我們的數位生活正面臨前所未有的威脅。

如何在擁抱AI創新的同時，建構堅固的資安防線？這不僅是技術問題，更是攸關國家競爭力與個人隱私的重大課題。

資安趨勢部落格精選

• 趨勢科技與 NVIDIA 一同保護 AI 基礎架構安全
• 趨勢科技提供企業 AI 防護平台守護雲端和地端資料

⭕️ 本週資安新聞重點預覽：

• 【AI 與 COMPUTEX 趨勢】
• 【資安攻擊與防禦（APT、漏洞、惡意程式等）】
• 【AI資安風險與詐騙議題】
• 【人物動態與產業觀察】
• 【國際局勢與地緣駭客活動】

---

【AI 與 COMPUTEX 】

（黃仁勳 / NVIDIA / AI 工廠 /AI與資安 ）

繼續閱讀