ChatGPT代理人「零點擊竊資」漏洞、到 Google Chrome 零時差攻擊,再到 中國防火長城600GB原始碼外洩,本週資安世界幾乎天天都有驚爆點。
不僅 微軟Win10停更讓 4 億台電腦暴露危機,LLM 驅動惡意程式更預示「人類 vs. AI」的駭客時代正式開打!
同時,精品大牌 LV 與 Tiffany 客戶資料外洩,駭客甚至 假冒FBI與監理服務網進行釣魚詐騙,讓個人與企業都陷入前所未有的挑戰。
這些事件提醒我們:不論是日常生活、國際局勢,甚至全球網路基礎設施,都可能成為資安攻擊的戰場。
⭕️ 本週十大資安焦點新聞
1. 你的Gmail會被看光光?ChatGPT代理人爆出「零點擊」竊資漏洞
AI熱潮背後的資安隱憂浮現!有研究發現,四大ChatGPT AI代理程式存在「Shadow Leak」零點擊漏洞,駭客無需使用者點擊任何連結,就能透過這個漏洞竊取Google Mail等敏感資料。這項發現讓AI代理的安全性受到前所未有的質疑,許多人擔心未來AI在自動化處理任務時,可能成為駭客入侵的幫兇。
研究人員示範了一種提示注入攻擊:攻擊者把惡意指令以白色文字隱藏在白底中,夾帶在寄給 Gmail 的郵件內。當使用者用 ChatGPT 讀取該郵件(例如請 ChatGPT 做「Deep Research」摘要)時,隱藏的白色文字會被模型處理,指令會要求查找 HR 郵件與個人資料,進而在使用者不知情的情況下將敏感資訊洩漏給駭客。
- ChatGPT 代理人爆漏洞 Gmail 敏感資料恐遭「Shadow Leak」竊取 網路資訊雜誌
- 四大ChatGPT AI代理資安風險 電子工程專輯
- ShadowLeak零點擊攻擊可致ChatGPT深入研究功能外洩Gmail資料 iThome
- 趨勢科技研究:新ChatGPT AI代理的四大資安風險 網管人
2. 駭客從Drift竊取15億筆Salesforce資料?史上最大宗外洩事件曝光
駭客組織ShinyHunters宣稱,已透過雲端客戶通訊平台Drift的駭入事件,竊取高達15億筆的Salesforce用戶資料,其中包括大量客戶個資。這起號稱史上最大規模的資料外洩案,不僅對企業信譽造成嚴重打擊,也讓供應鏈攻擊的威脅再度浮上檯面,提醒企業應加強對第三方合作夥伴的資安審查。
3. Google緊急警告!Chrome瀏覽器爆「零時差漏洞」,恐成駭客攻擊新破口
Google緊急發布Chrome更新,呼籲用戶立即安裝,因為有駭客利用其V8引擎的零時差(Zero-Day)漏洞,鎖定加密貨幣錢包等敏感資訊進行攻擊。這項漏洞的危害性極高,用戶只要瀏覽惡意網站,駭客就有機會植入竊資惡意程式,顯示即便是主流瀏覽器也難以倖免於難,用戶必須隨時保持警覺。
4. 蘋果公開點名「Chrome隱私漏洞百出」!iPhone用戶別再用了?
蘋果與Google之間的隱私戰火延燒。蘋果近期公開點名Google Chrome的隱私保護能力不足,並在Safari瀏覽器中推出新功能作為反制。這場科技巨頭間的隱私戰,讓用戶開始重新思考自己使用的工具是否真的安全。
5. 停止更新等於「資安裸奔」?微軟Win10退役,4億電腦恐成駭客搖錢樹
微軟停止支援Windows 10的更新,外媒預估將有4億台電腦暴露在資安風險中。當作業系統不再獲得安全修補程式時,任何新發現的漏洞都可能成為駭客攻擊的目標。這項新聞引起廣泛關注,特別是企業和個人用戶,都必須思考是否要升級,以避免成為資安漏洞下的犧牲品。
- 微軟Win10將停止更新 外媒籲「延長」:4億電腦恐曝資安危機 ETtoday新聞雲
6. 史上首款LLM惡意程式現蹤?當AI駭客化,資安防禦將迎來革命
資安業者揭露了疑似全球第一款由大型語言模型(LLM)驅動的惡意程式MalTerminal。這代表駭客不再僅僅是利用AI來提升攻擊效率,而是直接將AI本身作為攻擊武器。這項發展讓業界相當震撼,也預示著未來資安防禦將進入一個全新的「人對抗AI」時代。
7. 駭客冒充FBI網路犯罪中心?別點擊!新型詐騙手法讓你錢財兩失
資安研究人員發現,駭客正在冒用美國FBI網路犯罪投訴中心的身份進行詐騙。他們利用假冒的電子郵件或網站,誘騙受害者提供個人資訊或匯款。這類利用公家機關名義進行的攻擊日益猖獗,提醒民眾在收到任何要求提供敏感資料的訊息時,務必提高警覺。
- 太歲頭上動土,駭客假冒FBI網路犯罪投訴中心 iThome
8. 「一罰單未繳」詐騙新招!假監理服務網站騙光你的錢
詐騙集團手法不斷翻新!近期有駭客發送假冒的「監理服務網」電子郵件,以「交通罰單未繳」為由,引誘民眾點擊惡意連結。許多人因一時不察,在假網站上輸入了信用卡資訊,導致金錢被盜刷。這類以日常生活為主題的詐騙,往往讓人防不勝防。
9. 驚!精品業也難逃駭客魔掌,LV、Tiffany客戶資料全外洩!
駭客攻擊範圍持續擴大,就連知名精品品牌也成為目標。繼LV後,珠寶品牌Tiffany的客戶資料也被證實外洩。這類攻擊不僅對品牌聲譽造成重創,也讓消費者感到恐慌。由於許多精品愛好者的消費力高,這類攻擊的潛在損失也相當巨大。
- 不只LV!大牌精品也遭入侵「客戶個資全外洩」被盜項目快看 tvbs新聞網
10. 國安級資安警報!中國防火長城原始碼外洩,內部文件曝光
一起重大的資安事件撼動國際,中國「防火長城」的內部原始碼與文件遭到外洩,高達600GB的資料在暗網流傳。由於防火長城是中國監控網路的關鍵基礎設施,這次外洩不僅揭露了其運作細節,也可能對全球資安局勢造成影響。
- 中國防火長城資料外洩,近600 GB原始碼與內部文件曝光 iThome
⭕️ 媒體資安新聞
ChatGPT 代理人爆漏洞 Gmail 敏感資料恐遭「Shadow Leak」竊取 網路資訊雜誌
四大ChatGPT AI代理資安風險 電子工程專輯
ShadowLeak零點擊攻擊可致ChatGPT深入研究功能外洩Gmail資料 iThome
趨勢科技研究:新ChatGPT AI代理的四大資安風險 網管人
ShinyHunters宣稱從Drift駭入事件竊得15億筆Salesforce資料 iThome
正遭 Zero Day 攻擊 Google 緊急呼籲盡快更新 Chrome 流動日報
Google試算表導入「客戶端加密」功能 讓企業自己掌握加密金鑰保障資安 TechNice 科技島
Chrome V8引擎爆零時差漏洞 駭客藉惡意軟體鎖定加密錢包 科技島
蘋果警告Chrome有隱私風險 推Safari新功能反制 CTWant
Google被嗆爆!蘋果公開點名Chrome隱私漏洞百出:iPhone用戶別再用了 三立新聞網
微軟Win10將停止更新 外媒籲「延長」:4億電腦恐曝資安危機 ETtoday新聞雲
Microsoft Entra ID重大漏洞曝光 駭客可劫持全球企業租戶 資安人
反 AI 造假新標準暗藏隱私陷阱?科技巨頭推 C2PA 遭質疑建立「數據監控網」 科技新報網
歐盟出手!蘋果、Google、微軟面臨金融詐騙監管調查 鉅亨網
「Gentlemen」勒索軟體利用漏洞驅動程式癱瘓資安防護 資安人
駭客升級 Docker API 攻擊工具 恐建構大型殭屍網路 資安人
當機器人擁有自主思考能力──解析具身AI的資安臨界點 iThome
【資安日報】9月23日,協作平臺Notion導入AI代理,攻擊者可透過惡意PDF檔洩露資料 iThome
AI 滲透資安戰線,無人化攻擊企業如何應對? CIO IT 經理人
供應鏈攻擊兩天內急速擴散!逾500個NPM套件被植入具大量散播能力的蠕蟲 iThome
不只LV!大牌精品也遭入侵「客戶個資全外洩」被盜項目快看 tvbs新聞網
英國 MI6 推暗網入口招募全球間諜,目標為取得俄羅斯、中國、伊朗、北韓情資 科技新報網
【資安日報】9月22日,歐洲多座機場因登機系統遭到網路攻擊而影響營運 iThome
資安業者揭露疑似全球最早的LLM驅動惡意程式MalTerminal iThome
勒索集團WarLock攻擊次數激增 躋身全球前20大勒索攻擊者 CTWant
Notion 3.0 AI Agents恐遭間接提示注入攻擊洩露機敏資料 iThome
Tiffany被駭外洩2600名客戶資料 iThome
太歲頭上動土,駭客假冒FBI網路犯罪投訴中心 iThome
公務機關帳號遭入侵 資安院:勿用有規則性弱密碼 中央通訊社
遭遇駭客入侵用戶個資外洩 加密貨幣交易所卻「隱匿不報」 CTWant
韓國現任與前任總統個資遭駭外洩 引發國安疑慮 中央通訊社
密碼管理服務業者LastPass遭冒名,駭客設置GitHub儲存庫散佈竊資軟體 iThome
宣稱手上有2TB個資!巴西爆重大資安警報 軍警醫療紀錄疑似外洩 CTWant
中國DeepSeek還有這陰招? 涉敏感議題程式碼暗藏漏洞 自由時報網
中國防火長城資料外洩,近600 GB原始碼與內部文件曝光 iThome
SonicWall防火牆雲端設定檔備份外洩,要求用戶立即更換憑證 iThome
NPM平台遭供應鏈攻擊!趨勢科技提醒開發人員五大應對措施 資安人
打假防詐系列二》Threads納管惹言論自由爭議?數發部:平台營運者的社會責任 盼「站在好人一方」 新頭殼
全民普發現金1萬假網站瘋傳 財政部急警告:是詐騙!勿輸信用卡 三立新聞網
普發現金防詐 鎖定假網頁釣魚信件Line騙個資 中央通訊社
網路「神藥」恐是陷阱 慎防醫藥投資詐騙 自由時報網
又有網路詐騙新招!點進1廣告慘了「一堆長輩都被騙」,連醫生藝人也受害,警政署教5招徹底防詐 風傳媒
有罰單未繳?假監理服務網email「長這樣」,點了錢立刻騙走!真假怎麼辨認?哪些管道能查罰單 今周刊
台灣每年被詐騙500億、人均損失是日本近20倍!韓媒:已成詐團「試驗場」 經濟日報網
AI假租屋廣告猖獗 瑞士詐騙受害者倍增 中央通訊社
詐騙升級AI造假!白家綺、葉家妤也是受害者 揭詐騙慣用手法 壹蘋新聞網
國安人士:中國AI深偽新例 變造賴總統講話帶風向 中央通訊社
行政院澄清:韓媒誤報台灣詐騙損失數據,混淆總額與單項比較 今大條新聞網
輝達入股英特爾 挑戰台積獨霸格局 斥資50億美元 攜手昔日勁敵開發PC與客製化資料中心晶片,震撼半導體產業 工商時報
上半年資安險保費收入2.29億 半導體投保占比居冠 中央通訊社
GitHub導入後量子密碼學SSH防護 為量子威脅做好準備 資安人
Menlo Security以瀏覽器為核心構築零信任防線 CIO IT經理人
資安署25年8月資安月報:《資通安全管理法》修正案三讀通過;工控設備遭入侵連線殭屍網路 資安人
亞洲科技產業爆發高成長動能,AI與研發投資推升新一代贏家 CMoney投資網誌
Deepseek被爆遇敏感詞給劣質程式碼 網諷:不塞後門還叫中國嗎? 自由時報網
國安諮委李育傑:台美聯繫合作 因應中國駭客威脅 中央通訊社
系微宣佈跨足資安市場;今年營收可望創高 MoneyDJ 理財網
資安採購全解析 Team+如何成為企業護城河 三立新聞網
駭客利用合法Oracle資料庫功能 繞過資安防護植入勒索軟體 科技島
ChatGPT 代理人爆漏洞 Gmail 敏感資料恐遭「Shadow Leak」竊取 網路資訊雜誌
Radware 研究人員就利用這點,設計了提示注入攻擊,讓代理人為攻擊者為虎作倀。他們測試利用 Deep Research 代理人的 Connector 串連 Gmail 或其他應用程式的攻擊手法,並稱之為 Shadow Leak 。 Shadow Leak 應用相當多元,包括偽造同儕審查、執行詐騙或控制智慧家庭裝置。而且攻擊往往發生在使用者眼皮底下,他們卻無法察覺異常。
例如一種提示注入攻擊中,可以將攻擊指令藏在白色背景的白色文字中。 Radware 研究人員示範在寄給 Gmail 郵件中注入指令,而在用戶以 ChatGPT 讀取信件時發生互動。當用戶以 ChatGPT Deep Research 摘要信件時,會接收隱藏的白色文字指令,該指令要求它搜尋 HR 郵件及個人資料,再將資訊神不知鬼不覺送給駭客。
四大ChatGPT AI代理資安風險 電子工程專輯
趨勢科技(Trend Micro)發佈最新研究報告,呼籲企業應做好準備以應對新ChatGPT AI代理所帶來的資安風險。這份研究報告針對OpenAI推出的新ChatGPT AI代理進行功能分析,將新功能與過去的AI助理進行比較,並指出其自主性的轉變所帶來的資安風險。
ShadowLeak零點擊攻擊可致ChatGPT深入研究功能外洩Gmail資料 iThome
資安公司Radware揭露ShadowLeak零點擊攻擊,透過特製郵件可在ChatGPT深入研究功能中隱藏指令,直接由雲端外洩Gmail等敏感資料,OpenAI已於8月完成修補並驗證無法重現。
趨勢科技研究:新ChatGPT AI代理的四大資安風險 網管人
趨勢科技發布最新研究報告,呼籲企業應做好準備以應對新ChatGPT AI代理所帶來的資安風險。這份研究報告針對OpenAI推出的新ChatGPT AI代理進行功能分析,將新功能與過去的AI助理進行比較,並指出其自主性的轉變所帶來的資安風險。
ShinyHunters宣稱從Drift駭入事件竊得15億筆Salesforce資料 iThome
今年8月起,陸續有思科、安聯人壽公告遭不明人士竊走客戶資料,當時僅有Google說明是客戶關係管理(CRM)系統Salesforce遭駭。Google自家資安團隊及服務部門Mandiant公告調查結果,攻擊者自8月8日至8月18日期間,濫用整合Salesforce的Salesloft Drift OAuth權杖登入其CRM系統,並竊走客戶資料及其他內部系統資料。
正遭 Zero Day 攻擊 Google 緊急呼籲盡快更新 Chrome 流動日報
Google 緊急向用戶發出警告,指 Chrome 正遭受攻擊,必須立即更新以防止漏洞被利用。Google 警告,目前已發現代號 CVE-2025-10585 的漏洞在野外被利用。該漏洞屬於 V8 引擎中的 Type Confusion 缺陷,V8 是支撐 Chrome 的 Java 執行核心。攻擊者可以藉此讓瀏覽器或系統不穩定,甚至直接執行惡意程式碼,風險極高。這項威脅是近日由 Google Threat Analysis Group 通報,顯示情況非常緊急。
Google試算表導入「客戶端加密」功能 讓企業自己掌握加密金鑰保障資安 TechNice 科技島
Google正式宣布,旗下Google試算表(Google Sheets)已全面開放「用戶端加密」(Client-Side Encryption, CSE)功能。這項重大升級賦予企業組織對加密金鑰的直接控制權,並大幅提升Google Workspace內部資料的機密性。這項服務的推出,代表Google試算表現在也具備了頂級的安全性,確保企業的機敏資料 Google本身而言,也是無法讀取的。這項新功能不僅滿足了企業客戶嚴格的合規性要求,也解決了資料可攜性的關鍵需求。
Chrome V8引擎爆零時差漏洞 駭客藉惡意軟體鎖定加密錢包 科技島
Google Chrome的V8 JavaScript引擎近日爆出「型別混淆」(Type Confusion)零時差漏洞,漏洞編號為CVE-2025-10585。這是今年發現的第六個已被大規模利用的Chrome零時差漏洞,漏洞的CVSS評分高達8.8,駭客能透過複雜的記憶體破壞手法,繞過Chrome的沙箱保護機制,進而達到「遠端程式碼執行」(RCE)的目的。
蘋果警告Chrome有隱私風險 推Safari新功能反制 CTWant
蘋果最近明確警告,用戶應避免在iPhone上使用Google Chrome,理由是Chrome在隱私保護上存在缺陷。蘋果還強調,Safari不僅可阻擋跨站追蹤,還能隱藏IP位址、保護免受惡意擴充功能影響,並已在最新iOS系統中全面啟用「進階追蹤與指紋防護」功能,強調Safari才是更安全的選擇。
Google被嗆爆!蘋果公開點名Chrome隱私漏洞百出:iPhone用戶別再用了 三立新聞網
隨著科技日新月異,手機已成為現代人不可或缺的日常用品,許多人遇到不懂的資訊,也常透過Google搜尋解惑。不過,蘋果近日發出警告,建議用戶避免在iPhone上使用Google chrome,理由是Chrome在隱私保護方面存在缺陷。蘋果強調,自家的Safari瀏覽器不僅可有效阻擋跨站追蹤,還能隱藏IP位址、避免惡意擴充功能影響,且在最新的iOS系統中,已全面啟用「進階追蹤與指紋防護」功能,強調Safari才是更安全的選擇。
微軟Win10將停止更新 外媒籲「延長」:4億電腦恐曝資安危機 ETtoday新聞雲
微軟日前發布通知,Windows 10(下簡稱Win 10)企業、個人用戶版本將在10月14後停止技術支援,意即停止版本更新,但根據國外研調統計,目前仍有46.2%的用戶使用Win 10系統,其中約有2-4億的電腦因為硬體缺乏無法升級到Win 11,此舉將會使電腦在停止技術更新後,暴露在資安攻擊的危險下,讓美國消費者權益組織「要求微軟延長Win10免費更新的期限」,再次受到消費者討論。
Microsoft Entra ID重大漏洞曝光 駭客可劫持全球企業租戶 資安人
資安研究人員近日揭露Microsoft Entra ID(前身為Azure Active Directory)存在嚴重漏洞,攻擊者可利用此漏洞冒充任何企業租戶的全域管理員,獲得完整系統控制權。這個編號為CVE-2025-55241的漏洞已獲得CVSS 10.0滿分,突顯極端嚴重性。微軟已修補,且目前無證據顯示此漏洞遭到實際攻擊利用。
反 AI 造假新標準暗藏隱私陷阱?科技巨頭推 C2PA 遭質疑建立「數據監控網」 科技新報網
Google最近宣布,其新款Pixel 10手機將支援「內容來源與真實性聯盟」(C2PA)標準,這一標準由Google、Adobe、微軟、亞馬遜、OpenAI、Meta和BBC等科技巨頭共同推動。C2PA的核心是「內容憑證」,這是一種數位標籤,能夠顯示媒體的創作者、製作過程及是否涉及AI技術。C2PA標準採用加密簽名與後設資料(metadata)結合,支持不同平台間的資訊共享與驗證,並具備防篡改的技術基礎。
歐盟出手!蘋果、Google、微軟面臨金融詐騙監管調查 鉅亨網
根據《金融時報》周二 (23 日) 報導,歐盟將調查蘋果 (AAPL-US)、Google(GOOGL-US)、微軟(MSFT-US) 是否未能有效防範網路金融詐騙,這是歐盟加強監管大型科技公司網路營運的一環。
「Gentlemen」勒索軟體利用漏洞驅動程式癱瘓資安防護 資安人
趨勢科技研究人員指出,新興勒索軟體集團「Gentlemen」正在利用漏洞驅動程式及其他技術來突破企業的資安防護產品。該集團於今年夏季首次現身,其特點是能有效逃避偵測並成功關閉目標網路中的資安產品。
駭客升級 Docker API 攻擊工具 恐建構大型殭屍網路 資安人
資安研究人員發現,一名駭客正針對暴露在網路上的 Docker API 進行大規模攻擊,並已大幅升級其惡意工具功能,加入更具威脅性的能力,為建立複雜殭屍網路架構奠定基礎。
當機器人擁有自主思考能力──解析具身AI的資安臨界點 iThome
臺北市政府有意引進中國宇樹科技巡檢機器狗做人行道巡檢,引發疑慮,事實上,AI機器人與機器狗發展日趨成熟,當機器人與機器狗移動載具加上聰明的具身AI大腦模型,可透過感測器學習並與外界互動,能力越來越強,我們需要充分認識與持續改良AI機器人,才能使它既便利又安全。
【資安日報】9月23日,協作平臺Notion導入AI代理,攻擊者可透過惡意PDF檔洩露資料 iThome
應用程式導入人工智慧的情況越來越普遍,但同時也可能使得應用程式存在AI相關的資安弱點。例如,最近發布大改版的協作平臺Notion,開發團隊導入了AI代理程式,號稱能自動完成建立文件、更新資料庫、跨工具檢索與多步驟工作流程,但資安業者CodeIntegrity發現,此代理程式有可能被惡意內容操控,使得攻擊者有機會透過內建的網頁搜尋工具外洩資料。
AI 滲透資安戰線,無人化攻擊企業如何應對? CIO IT 經理人
資安領域正因人工智慧(AI)的廣泛應用而經歷根本性轉變。Anthropic 公司近期揭露的「生成式 AI 自主攻擊,無需人類參與」案例,證實了 AI 已從輔助工具演變為主動操作者,驅動著新型態資安威脅。此發展要求企業重新評估防禦策略,以應對這場「無人化」的資安挑戰。
供應鏈攻擊兩天內急速擴散!逾500個NPM套件被植入具大量散播能力的蠕蟲 iThome
軟體供應鏈攻擊的威脅加劇,近期有許多軟體套件發布平臺NPM的套件開發者遭到攻擊,導致他們維護的套件遭到植入惡意軟體的情況,但如今有資安業者也受害,而受到各界關注。
不只LV!大牌精品也遭入侵「客戶個資全外洩」被盜項目快看 tvbs新聞網
台灣Louis Vuitton7月2日發現內部系統遭第三方未授權進入,客戶個資疑似外洩,引發資安疑慮。近期,另一精品「Tiffany & Co.」發聲明指出特定系統發生資安事件,顧客受影響的資訊可能包括姓名、郵寄地址、電子郵件地址、電話號碼、銷售數據、內部顧客編號,不過截至目前尚未發現有任何證據顯示本次事件所涉及的受影響資料遭到不當使用或因此造成損害。
英國 MI6 推暗網入口招募全球間諜,目標為取得俄羅斯、中國、伊朗、北韓情資 科技新報網
Silent Courier 利用暗網匿名性,讓世界各地有與恐怖主義或敵對情報活動敏感資訊的人士,安全聯絡英國。外交大臣 Yvette Cooper 表示,世界變化和威脅增加,英國必須確保始終領先對手一步,新技術可協助 MI6 在俄羅斯和世界各地招募新間諜。
【資安日報】9月22日,歐洲多座機場因登機系統遭到網路攻擊而影響營運 iThome
這個週末最受到關注的資安新聞,莫過於歐洲有多個機場因登機系統遭網攻而出現運作中斷的現象,且有部分航班因此被迫取消,這些機場是:柏林機場、布魯塞爾機場,以及位於倫敦的希思羅機場,他們皆透露事故發生的原因,在於Collins Aerospace公司打造的登機系統遭到網路攻擊。近期要前往歐洲的民眾要特別留意航班資訊,並採用其他登機方式(如線上登機)來避免受到影響。
資安業者揭露疑似全球最早的LLM驅動惡意程式MalTerminal iThome
美國資安業者SentinelOne上周五(9/19)揭露一個整合了大型語言模型(LLM)的惡意程式MalTerminal,並說它在2023年就現身,很可能是全球首個LLM惡意程式,早於今年6月出現的LameHug,以及8月現身的PromptLock。
勒索集團WarLock攻擊次數激增 躋身全球前20大勒索攻擊者 CTWant
勒索軟體集團WarLock曾於7月被指與Microsoft SharePoint零日漏洞攻擊有關,現已由英國網路安全公司Sophos研究團隊以代號GOLDSALEM追蹤。而Sophos日前提出警告,該集團近期攻擊行動急速升溫,展現出結合傳統手法與新技術的模式。
Notion 3.0 AI Agents恐遭間接提示注入攻擊洩露機敏資料 iThome
受廣泛使用的協作平臺Notion在甫推出的3.0版本,增加了AI Agents作為主打功能,讓代理能在工作區裡自動完成建立文件、更新資料庫、跨工具檢索與多步驟工作流程。該更新凸顯了SaaS平臺向人工智慧驅動自動化邁進的趨勢,不過資安公司CodeIntegrity研究人員也發現其存在間接提示注入風險,代理可被惡意內容操控,藉由內建的Web Search工具,將工作區內的敏感資料外洩到攻擊者控制的伺服器。
Tiffany被駭外洩2600名客戶資料 iThome
Tiffany上周向美國緬因州檢察官辦公室通報此事,並且向受影響的人發送電子郵件通知。今年5月12日這家珠寶業者數個系統遭到未授權存取。他們在外部專家協助下展開調查,並在9月9日確認,駭客取得了和Tiffany禮物卡相關資訊。
太歲頭上動土,駭客假冒FBI網路犯罪投訴中心 iThome
FBI並未公布駭客用來假冒IC3的網址,僅說駭客通常藉由稍微改變合法網域名稱的特徵來建立詐騙網站,以蒐集使用者所輸入的個人資訊,包括姓名、家庭地址、電話號碼、電子郵件位址與銀行資訊等。
公務機關帳號遭入侵 資安院:勿用有規則性弱密碼 中央通訊社
資安院最新資安週報指出,有機關公務相關帳號遭異常登入、使用或新增,疑因使用具規則性的弱密碼遭破解所致。資安院提醒,鍵盤順序、常見模式,或常見詞彙字符轉換均屬有規則性的弱密碼,易被攻擊者快速猜測破解。
遭遇駭客入侵用戶個資外洩 加密貨幣交易所卻「隱匿不報」 CTWant
加密貨幣交易所Crypto.com近期被曝光曾遭駭客攻擊,導致部分用戶個資外洩,但Crypto.com卻隱匿此事沒有曝光。整起事件發生於2023年3月之前,但當時公司並未公開說明,直到近日才在媒體的報導下才全部曝光。
韓國現任與前任總統個資遭駭外洩 引發國安疑慮 中央通訊社
韓國「東亞日報」今天報導,韓國現任總統李在明與前總統尹錫悅的手機號碼等個資,在全球駭客共享訊息網站上被公開,令人擔憂駭客已對國安構成威脅。
密碼管理服務業者LastPass遭冒名,駭客設置GitHub儲存庫散佈竊資軟體 iThome
密碼管理解決方案業者LastPass提出警告,有人假冒他們的名號,聲稱提供macOS用戶應用程式,但實際上的目的,是打算藉此要求用戶複製惡意指令並貼上終端機,從而在受害電腦植入竊資軟體Atomic Stealer。
宣稱手上有2TB個資!巴西爆重大資安警報 軍警醫療紀錄疑似外洩 CTWant
目前有消息指出,一名不知名的駭客在一個地下論壇聲稱,已成功入侵巴西健康資訊公司Maida.health,竊取大批資料,內容涵蓋心臟科、神經科、婦科的診斷與治療紀錄,還包括醫療服務發票、臨床病患數據、行政文件及監管證書。由於目前沒有數據樣本可供驗證,雖然有媒體向該公司求證,截至目前仍未獲回應。
中國DeepSeek還有這陰招? 涉敏感議題程式碼暗藏漏洞 自由時報網
美國資安公司測試發現,中國開源人工智慧(AI)模型「深度求索」(DeepSeek),在用戶請求協助寫程式時,若涉及中國政府視為敏感的議題或對象,會提供有安全漏洞的程式碼。與植入後門方式相比,刻意提供不安全的程式碼,更不易被察覺,但是同樣可讓駭客易於入侵。
中國防火長城資料外洩,近600 GB原始碼與內部文件曝光 iThome
中國網路審查系統防火長城技術團隊發生資料外洩,9月11日公開的檔案總量接近600 GB,包含原始碼、內部通訊、工作紀錄與打包鏡像(Mirror),顯示其研發與營運細節前所未見。外洩來源為防火長城研發的核心技術團隊,包括積至(Geedge Networks)與中國科學院資訊工程研究所IIE旗下的MESA實驗室。
SonicWall防火牆雲端設定檔備份外洩,要求用戶立即更換憑證 iThome
SonicWall通知其用戶在MySonicWall帳號中儲存的防火牆雲端設定檔備份,曾遭未經授權的存取,這些檔案包含密碼、金鑰與其他敏感資訊,要是落入攻擊者手中,可能降低滲透防火牆的難度。SonicWall表示,事件發現後已關閉未授權的存取點,並與國際執法及資安單位展開調查,同時要求受影響的使用者立即執行隔離與憑證重設。
NPM平台遭供應鏈攻擊!趨勢科技提醒開發人員五大應對措施 資安人
趨勢科技發佈 Node Package Manager(NPM)平台發生供應鏈攻擊示警,其部落格文章中指出2025 年 9 月 15 日起,Node Package Manager(NPM)平台發生供應鏈攻擊,攻擊者透過精準的網路釣魚手法入侵某些 NPM 套件維護者的帳號,而後把惡意程式碼注入 JavaScript 套件中,這些套件受到廣泛使用、下載總量每週超過數十億次,影響範圍涵蓋應用程式開發及加密技術相關模組,對軟體供應鏈安全構成重大風險。
AI有助於網路防禦方以全新的方式搶先對抗敵人,透過提升可視性與加快回應速度,在威脅被利用前即主動化解風險並補強資安缺口。然而,AI也帶來更高的風險。AI已經成為駭客主要的目標,也正被駭客利用於越來越多的用途,發動更大規模、更精密的攻擊。
打假防詐系列二》Threads納管惹言論自由爭議?數發部:平台營運者的社會責任 盼「站在好人一方」 新頭殼
數位發展部長林宜敬曾表示,在柬埔寨、緬甸已出現一整片的詐騙園區,但這些詐騙人士的線上曝光源頭已從主流社群平台Facebook、Instagram轉向新興的Threads,新的犯罪模式多半隨著高度的政治討論與互動,趁機讓假訊息擴散。
全民普發現金1萬假網站瘋傳 財政部急警告:是詐騙!勿輸信用卡 三立新聞網
近期網路上瘋傳「中央存款保險公司網頁輸入信用卡資訊,即可申請全民普發現金1萬元」的假訊息,引發不少民眾誤信點擊。財政部18日嚴正澄清,該網站為詐騙手法,普發現金1萬元方案尚未啟動,提醒大家「勿點擊、勿填輸、勿轉傳」,避免落入詐騙陷阱。
普發現金防詐 鎖定假網頁釣魚信件Line騙個資 中央通訊社
普發現金倒數,防詐作為也陸續布線。行政院打詐指揮中心指揮官馬士元示警,詐騙集團主要不是騙民眾的新台幣1萬元,而是要以普發現金為誘因,透過假網頁、假電子信件以及透過Line資訊騙取個資,因此已找Google、Line等業者溝通,盼利用AI辨識過濾詐騙資訊與信件。
網路「神藥」恐是陷阱 慎防醫藥投資詐騙 自由時報網
網路上流竄各種號稱包治百病的「神藥」、抗癌新藥資訊,看似專業卻多半是詐騙陷阱!民眾千萬別輕信這些來路不明的廣告,更不要貿然投資研發新藥,以免血本無歸。
又有網路詐騙新招!點進1廣告慘了「一堆長輩都被騙」,連醫生藝人也受害,警政署教5招徹底防詐 風傳媒
近年台灣越AI技術詐騙層出不窮,不少明星藝人常會被不肖人士冒名盜用照片、聲音來進行詐騙,知名女星陳美鳳長年深受詐騙集團盜用肖像之苦,而近日又遭受到全新的詐騙手法,使她無奈在社群平台中動怒,表示現今雖然科技發達又方便,詐騙手罰仍然層出不窮,使她無奈地說道,「聲音都能做假」,並提醒家中有長輩的朋友也請多加叮嚀家人避免受騙。
有罰單未繳?假監理服務網email「長這樣」,點了錢立刻騙走!真假怎麼辨認?哪些管道能查罰單 今周刊
詐騙手法不斷翻新,民眾若收到可疑簡訊、email,或是接到疑似詐騙電話,記得先掛斷,再撥打165查證!日前就有網友收到「監理服務網」發來的email,內容為交通罰單未繳訊息,並附上連結,網友覺得怪怪的並未照做。
台灣每年被詐騙500億、人均損失是日本近20倍!韓媒:已成詐團「試驗場」 經濟日報網
南韓媒體報導,台灣每年因語音和簡訊等釣魚詐欺而損失的金額遠超日、韓,使台灣在國際社會被冠上「詐騙之島」稱號。而且台灣也已成為詐騙集團的試驗場,一旦新詐騙手法在台灣測試成功,就會散播到亞洲和世界各地。
AI假租屋廣告猖獗 瑞士詐騙受害者倍增 中央通訊社
根據瑞士聯邦網路安全局(BACS)統計,過去兩年,針對假房市廣告而受騙的通報數量增加近兩倍,2024年達232件。許多受害者因羞於承認受騙,未向警方報案,實際案件數可能遠高於此。
詐騙升級AI造假!白家綺、葉家妤也是受害者 揭詐騙慣用手法 壹蘋新聞網
陳美鳳昨在臉書震怒,表示自己的肖像、聲音遭到AI變造,販賣非代言商品,提醒粉絲要注意,藝人白家綺和姐姐葉家妤也是受害者,今(19)日兩人出席公視台語台節目《光榮島轉來PLUS》記者會,直言真的很困擾,即使到警察局備案也得不到期待的回應,白家綺嚴肅說:「有備案,但警方說太難抓了,大多都是海外戶頭,到最後都抓不到人。」葉家妤也透露不肖業者還會先封鎖她們帳號,被盜用了,連她們自己的查不到。
國安人士:中國AI深偽新例 變造賴總統講話帶風向 中央通訊社
安人士今天表示,過去3個月來,從美國國務卿盧比歐遭冒名進行外交詐騙,到最新發現總統賴清德再次被製作深偽影片挾帶虛偽風向,同樣都是透過人工智慧(AI)深偽技術,相關證據顯示,北京持續且惡意的針對民主國家進行系統性攻擊。
行政院澄清:韓媒誤報台灣詐騙損失數據,混淆總額與單項比較 今大條新聞網
指揮中心表示,韓媒錯誤地將台灣所有詐騙類型的總損失額(502億元)與韓國及日本僅限於語音電話和簡訊詐騙的單項損失進行比較。若僅計算台灣語音及簡訊等釣魚詐騙損失,實際數額不到75億元,遠低於報導中的數字。
輝達入股英特爾 挑戰台積獨霸格局 斥資50億美元 攜手昔日勁敵開發PC與客製化資料中心晶片,震撼半導體產業 工商時報
兩家公司宣布,輝達以每股23.28美元價格取得英特爾普通股,並以NVLink技術為核心串聯兩家公司的架構優勢,成市場最大贏家。在資料中心領域,英特爾將為輝達量身打造客製化的x86處理器,由輝達整合至AI基礎設施平台。PC領域英特爾則會推出整合RTX GPU chiplets的全新x86系統單晶片(SoC),為市場提供「CPU+GPU」強力組合。
上半年資安險保費收入2.29億 半導體投保占比居冠 中央通訊社
近期勒索軟體攻擊、供應鏈資安事件與日俱增,強化資安成為企業重要任務。金管會表示,今年上半年資安險整體保費收入達新台幣2.29億元,其中以半導體業占比37.65%最高、保費約8636萬元,其次為金融保險業約4462萬元,再來是電腦及週邊設備業2908萬元。
GitHub導入後量子密碼學SSH防護 為量子威脅做好準備 資安人
GitHub團隊表示:「我們正在SSH端點中新增一種後量子安全的SSH金鑰交換演算法,該演算法稱為sntrup761x25519-sha512或sntrup761x25519-sha512@openssh.com,用於存取Git資料。此變更僅影響SSH存取方式,不會對HTTPS存取造成任何影響。」
Menlo Security以瀏覽器為核心構築零信任防線 CIO IT經理人
在 AI 與雲端深度融合的時代,工作模式轉型,企業日益依賴瀏覽器與 SaaS 服務,導致資安挑戰加劇,AI 更成攻擊利器。面對此變局,Menlo Security 以「瀏覽器即防線」策略,打造零信任安全工作空間,助企業抵禦威脅、強化資料與應用保護。
資安署25年8月資安月報:《資通安全管理法》修正案三讀通過;工控設備遭入侵連線殭屍網路 資安人
據資通安全署(簡稱資安署)最新發布的資通安全網路月報,本月蒐整政府機關資安聯防情資共8萬9,438件,較上月減少2,776件。立法院於8月29日三讀通過《資通安全管理法》修正草案,標誌我國資安防護體系重大升級。
亞洲科技產業爆發高成長動能,AI與研發投資推升新一代贏家 CMoney投資網誌
根據財報綜合分析,中國深圳H&T Intelligent Control Co.Ltd(SZSE:002402)正以年複合營收成長率21.6%、淨利年增逾54.9%的速度,領先同業進一步擴大市場份額。該公司憑藉在智慧控制器產品的深厚技術投入,引領行業創新,未來三年獲利預計將持續以32%速度增長,反映其在產業演變及全球化布局下的高度競爭力。
Deepseek被爆遇敏感詞給劣質程式碼 網諷:不塞後門還叫中國嗎? 自由時報網
外媒報導指出,有美國資安公司發現,中國的AI人工智慧軟體Deepseek,在針對涉及中國政府視為敏感的議題或對象,會提供有安全漏洞的程式碼,涉及台灣的請求也較常得到低品質的程式碼。對此內華達大學拉斯維加斯分校(UNLV)政治系助理教授王宏恩發文直呼「還有這招?」,網友也紛紛諷刺「這種差別待遇大概也只對台灣有了」、「他不塞系統後門,他還叫中國嗎?」。
國安諮委李育傑:台美聯繫合作 因應中國駭客威脅 中央通訊社
國安會諮詢委員李育杰今出席紐約Concordia峰會後受訪指出,面對中國駭客鹽颱風、伏特颱風,台灣已意識到威脅並做出非常多努力,基礎設施如台電、中油與中華電信等都要求強化資安防範,也與美方有很好的聯繫合作。
系微宣佈跨足資安市場;今年營收可望創高 MoneyDJ 理財網
BIOS業者系微(6231)今(22)日首度宣布跨足資安領域,自主研發的弱點掃描與風險管理平台 AdmynCVE,通過數位發展部的產品認證,入列國內資安能量登錄清單,公司除既有的Firmware業務外,開始未來也會在資安領域重點布局,使其成為另一大營運主軸,董事長王志高(附圖)表示,五年內系微的資安營收比重目標提升至20%。而針對後市展望,第三季營收將優於第二季,第四季則估與第三季相當,全年營收可望改寫歷史新高,台幣營收則挑戰接近高點。
台灣喊了多年要打造自己的軟體品牌,但除少數公司外,多數仍困在專案導向,難以形成國際級軟體巨擘。近期,數發部部長人事更迭,政策主軸延續,但針對產業發展,新任部長林宜敬期盼讓台灣軟體業能迅速擴大,直言關鍵在於「做產品」,這一席話可謂一針見血。
資安採購全解析 Team+如何成為企業護城河 三立新聞網
隨著網路及疫情催化全雲端工作樣態,全球資安議題日趨受到國內外政府、企業重視,加之勒索軟體攻擊急遽增加,資安產業開創出龐大商機;Gartner預測,全球資安市場預計從2023年的1,850億美元增長到2027年2,870億美元,年複合成長率(CAGR)為11%,其中雲端安全、資料安全與隱私、關鍵基礎設施資安防護、應用程式安全等推動下,全球資安市場規模呈現持續成長。
駭客利用合法Oracle資料庫功能 繞過資安防護植入勒索軟體 科技島
最近幾週,資安研究人員觀察到,駭客利用Oracle資料庫排程(Oracle Database Scheduler)中的「外部工作」(External Jobs)功能,在Windows伺服器上執行任意指令,成功繞過企業的周邊防禦系統。
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊 不想成為下一個受害者嗎?立即訂閱,搶先一步防範
