本週 ChatGPT 隱私再出包、瀏覽器與開發工具漏洞頻傳、AI 駭客攻擊來勢洶洶,中國駭客更跨國橫行!三星、羅技、Nikkei 爆外洩事件,供應鏈也被盯上。
⭕️ 資安趨勢部落格精選
- Vision One™ 整合 NVIDIA BlueField DPU,將防護嵌入資料中心層級,賦予 AI 工廠安全、加速與合規
- 健保退款詐騙爆發!搭上普發現金熱潮,這週最強詐團出招了
- AI 深偽影片為何在英國引發環境與倫理憂慮?
- 機票詐騙升級報到、託運後…竟在登機門被攔!
- 【上週資安週報】羅浮宮31億珠寶被盜:保全密碼竟是「Louvre」,揭資安管理漏洞
⭕️本週資安新聞重點
全球科技巨頭 & 重大漏洞
- ChatGPT 又爆隱私漏洞:用戶提問疑似被拿去 Google 搜尋,官方已修復。(經理人)
- Chrome V8 引擎重大漏洞:Google 緊急推更新,要求用戶立即升級。(科技新報)
- Windows 10「續命更新」推出:修補 63 項漏洞,部分已遭利用。(自由時報)
- React Native CLI 高危漏洞:數百萬開發者恐面臨遠端攻擊風險。(資安人)
- runC 三大漏洞:可讓駭客逃出 Docker 容器、入侵主機。(資安人)
- Fortinet WAF 重大漏洞:業者透露一個月前已被攻擊利用。(iThome)
- ASUS DSL 路由器漏洞:無需認證即可遠端登入,官方緊急修補。(資安人)
- SimpleHelp 遠端管理工具漏洞遭利用:英國企業遭 Medusa、DragonForce 勒索。(iThome)
- Oracle 零時差漏洞波及羅技:疑竊走 1.8TB 資料。(iThome)
AI 驅動攻擊 & 惡意軟體新趨勢
- AI 自動駭攻成形? Google 示警可自我重寫程式碼的惡意軟體。(資安人)
- Whisper Leak 攻擊:可從加密流量推測 AI 對話。(資安人)
- AI 驅動惡意攻擊被濫用:中國駭客可用 Claude 自動化 80% 攻擊。(TechOrange)
- AI 生成惡意 VS Code 擴充套件:內含勒索功能。(資安人)
- 惡意 NPM 套件濫用雲端 Adspect:企圖逃避分析。(iThome)
- 0.00016% 資料汙染即可讓 LLM「中毒」,AI 模型易被植入惡指令。(科技報橘)
中國駭客攻勢(本週最密集)
- Google 控告中國詐騙平台 Lighthouse 竊資全球用戶。(中央社)
- 中國駭客利用 AI 發動自動化入侵,僅需簡單指令。(中央社)
- 中國資安公司資料外洩,波及 80 國機構。(新唐人)
- 滲透意圖影響美國國際政策的 NGO,利用防毒元件載入惡意程式。(iThome)
- 從 Log4j 到 IIS:中國駭客將舊漏洞化為全球間諜工具。(資安人)
- 滲透澳洲關鍵基礎建設,當局示警。(中央社)
勒索軟體、外洩、供應鏈攻擊
- 飯店業遭 ClickFix 大規模釣魚攻擊:散布 PureRAT。(資安人)
- 三星遭駭:駭客稱利用約聘員工憑證外洩公司資料。(iThome)
- 美國國會預算辦公室遭駭:疑國家級攻擊。(iThome)
- Nikkei 被駭:Slack 認證遭竊,1.7 萬人資料外洩。(資安人)
- 南韓多家企業因外包商遭駭而外洩。(電子時報)
- Medusa 勒索軟體利用 SimpleHelp 漏洞入侵英國企業。(iThome)
- 勒索軟體 Akira 將攻擊擴張至 Nutanix 虛擬機器。(iThome)
台灣資安生態 & 防詐消息
- 英國 Cifas × 趨勢科技合作:共同打擊身分與網路詐騙。(新聞稿)
- 2025 社群冒名詐騙報告:偽冒「貸款申請」最猖獗。(iThome)
- 全支付重大盜刷案:金管會要求 17 日前提報告。(公視)
- 政院拍板防詐條例修正:新增「禁奢條款」。 (自由時報)
- 資安院指出:企業仍需強化弱點掃描。(中央社)
- 台灣企業資安困境分析:供應鏈攻擊成最大破口。(科技報橘)
- 兩大資安專家分析:製造業需情資驅動防護策略。(網路資訊雜誌
科技產業 & AI 生態發展
- OpenAI 推 GPT-5.1:ChatGPT 新增八種對話性格。(科技新報)
- AI 工廠資安挑戰再升級:趨勢科技 × NVIDIA 合作守護。(台灣新生報)
- GMI CLOUD × NVIDIA 建置 5 億美元 AI 資料中心,2026 啟用。(工商時報)
- Pwn2Own Automotive 2026:Tesla、Alpitronic 成為冠名贊助。(車觀點、史塔夫)
⭕️ 媒體資安新聞一覽
ChatGPT 又爆隱私漏洞:用戶的提問直接被拿去 Google 搜尋?官方稱已修復 經理人月刊
Google控告中國詐騙平台Lighthouse全球竊資 中央通訊社
AI 驅動惡意軟體時代來臨!Google 揭露可自我重寫程式碼的新型威脅 資安人
高危漏洞來襲!Google 緊急推送 Chrome 瀏覽器 V8 引擎修補程式 科技新報網
Android 用戶注意!新一波 NFC 竊資手法直接清空你的銀行帳戶 科技新報網
微軟揭露Whisper Leak攻擊:可從加密流量推測AI對話主題 資安人
Windows 10首個續命更新來了!修復63項漏洞、微軟警告駭客已利用 自由時報電子報
中國駭客利用AI發動網攻 美媒:僅需簡單指令即可自主侵入系統 中央通訊社
中國資安公司萬筆資料外洩 全球80多國機構淪陷 新唐人電視台
中國駭客滲透意圖左右美國國際政策的非營利組織,濫用防毒元件載入惡意程式 iThome
從 Log4j 到 IIS:中國駭客將舊漏洞轉為全球間諜工具 資安人
【科技早餐】AI 自動駭攻成形?中國駭客用美國模型發動攻擊 科技報橘
Anthropic 指控中國駭客用 Claude 自動化超過 80% 攻擊,資安專家卻提出兩大質疑 TechOrange 科技報橘
中國駭客滲透澳洲關鍵基礎設施 情報首長示警 中央通訊社
飯店業成駭客新目標!大規模ClickFix釣魚攻擊散佈PureRAT惡意軟體 資安人
駭客宣稱利用約聘人員存取憑證 竊取三星公司機密資料 iThome
駭客不攻你,攻你的供應商——資安還有個大破口在企業外 科技報橘
GlassWorm惡意軟體重返OpenVSX平台,三款VSCode擴充套件下載量破萬 資安人
React Native CLI 重大漏洞,數百萬開發者面臨遠端攻擊風險 資安人
SAP修補SQL Anywhere Monitor與Solution Manager近滿分漏洞 iThome
美國國會預算辦公室遭駭,原因指向國家駭客 iThome
英國防騙組織Cifas 與趨勢科技攜手打擊身份與網路詐騙 新聞稿自助吧
《網路詐騙通報查詢網》升級 攜手趨勢、Gogolook擴大情資來源 工商時報電子報
2025社群冒名詐騙報告書出爐,偽冒「貸款申請」情境最嚴峻 iThome
網購詐騙猖獗!收「原價演唱會門票」遭詐10萬 刑事局破6件逮7嫌 鏡傳媒
全支付盜刷案已通報重大偶發 金管會要求17日前提出報告 公視新聞網
政院拍板修正防詐條例 增訂詐欺犯「禁奢條款」 自由時報電子報
普發1萬助攻!黑五狂購節熱度超越雙11?揭三大消費趨勢 三立新聞網
runC容器執行環境爆三大漏洞,駭客可逃脫Docker容器並存取主機系統 資安人
遠端管理工具SimpleHelp已知漏洞遭利用,駭客於英國部署勒索軟體Medusa與DragonForce iThome
【資安日報】11月14日,勒索軟體駭客Akira將目標擴張到Nutanix虛擬化平臺 iThome
勒索軟體Akira將加密資料的範圍延伸到Nutanix虛擬機器 iThome
【投書】台灣企業資安:駭客烈焰中的易燃柴薪 天下雜誌網
資安院:資安防護仍須強化 應透過弱點掃描強化管理 中央通訊社
Fortinet公告網頁應用程式防火牆存在重大漏洞,有多家資安業者透露一個月前就被用於攻擊行動 iThome
美國企業重大資安事件連環爆,羅技、DoorDash 遭駭客攻擊 科技新報網
ASUS 緊急修補 DSL 路由器重大漏洞,駭客可無需驗證遠端登入 資安人
日本媒體 Nikkei 遭駭!駭客竊取 Slack 認證資料,1.7 萬人資訊外洩 資安人
美國司法部打擊北韓駭客加密貨幣詐騙網路,追回逾 1,500 萬美元資金 鏈新聞
【資安日報】11月18日,惡意NPM套件濫用雲端資安防護服務,意圖過濾資安研究員 iThome
AI 生成的惡意 VS Code 擴充程式內含勒索軟體功能 資安人
惡意NPM套件濫用雲端服務Adspect企圖躲過研究人員調查 iThome
羅技傳因Oracle零時差漏洞攻擊資料遭竊 疑外流1.8TB資料 iThome
資安院孫偉哲主任:情資驅動的防護策略,製造業面對資安威脅的治理新模式 網路資訊雜誌
台灣駭客協會理事王仁甫:AI 驅動下的製造業資安戰線,從內部治理到外部攻擊的全方位防禦 網路資訊雜誌
OpenAI 新推出 GPT-5.1 模型,ChatGPT 擁有八種對話性格 科技新報網
AI 模型好容易被「下毒」?0.00016% 的資料汙染就能讓 LLM 破防 科技報橘
日立子公司GlobalLogic、英國衛福部的Oracle EBS系統也遭駭 iThome
趨勢科技攜手NVIDIA 守護新世代AI工廠 台灣新生報
攜手輝達 GMI CLOUD落腳台灣 建造5億美元AI資料中心,採用最新BLACKWELL GB300晶片,預計2026年3月啟用 工商時報
Tesla和Alpitronic成為Pwn2Own Automotive 2026冠名贊助商,共同推動全球連網車與電動車充電網路安全 小七車觀點
聚焦電動車安全!VicOne攜手ZDI舉辦Pwn2Own Automotive 2026,首度納入Level 3高功率充電樁漏洞發掘! 史塔夫科技事務所
ChatGPT 又爆隱私漏洞:用戶的提問直接被拿去 Google 搜尋?官方稱已修復 經理人月刊
你是否也曾向 ChatGPT 詢問私密的感情建議,或用它來草擬敏感的商業計畫?多數使用者可能認為這些對話是私密的,但近期事件顯示,這些內容或許並不如大眾想像的那麼安全。
Google控告中國詐騙平台Lighthouse全球竊資 中央通訊社
Google今天在美國聯邦法院提起訴訟,控告位於中國的詐騙集團利用一個名為Lighthouse的新型態網路釣魚即服務(PhaaS)平台,向美國民眾發送大量詐騙簡訊,並在一定時間內對全球121個國家發動詐騙攻擊。
AI 驅動惡意軟體時代來臨!Google 揭露可自我重寫程式碼的新型威脅 資安人
Google 威脅情報小組(GTIG)最新報告指出,網路攻擊者已開始部署整合大型語言模型(LLM)的全新惡意軟體家族。這些惡意程式能在執行過程中動態生成惡意腳本、混淆自身程式碼以規避偵測,並即時建立惡意功能,展現傳統惡意軟體難以企及的靈活性。
高危漏洞來襲!Google 緊急推送 Chrome 瀏覽器 V8 引擎修補程式 科技新報網
漏洞稱之為「V8 的類型混淆」,Google 威脅分析小組(TAG)成員 Clément Lecigne 12 日發現。由於嚴重性高,修補程式迅速推出。Chrome 瀏覽器會自動下載更新,但需重啟瀏覽器以確保修補生效。須注意一般分頁會重新載入,但無痕模式分頁不會,建議保存未完成工作。
Android 用戶注意!新一波 NFC 竊資手法直接清空你的銀行帳戶 科技新報網
行動裝置的攻擊手法日新月異,有些甚至利用舊技術與新概念的融合,打造出新型整合攻擊。近期波蘭電腦緊急應變小組(CERT Polska)就發現一種名為 NGate 的攻擊手法,透過惡意軟體感染 Android 手機以取得用戶金融卡卡號和密碼,即便用戶的金融卡沒有被偷走,駭客也能透過 ATM 隨意取走受害者銀行帳戶裡的錢。
微軟揭露Whisper Leak攻擊:可從加密流量推測AI對話主題 資安人
微軟近日揭露名為 Whisper Leak 的新型側通道攻擊(side-channel attack)。這種攻擊手法讓駭客能透過觀察加密網路流量,即使通訊已透過 TLS(Transport Layer Security)進行端對端加密保護,仍能推測使用者與語言模型對話的主題。
Windows 10首個續命更新來了!修復63項漏洞、微軟警告駭客已利用 自由時報電子報
微軟自10月14日起正式淘汰Windows 10,無法升級至Windows 11或暫時不打算更換新電腦的用戶,若擔心電腦暴露在資安風險中,可選擇加入官方推出的「擴充安全更新(簡稱ESU)」計畫,個人用戶可透過免費或付費方式來獲得延長1年的安全更新支援(企業用戶最長3年)。
中國駭客利用AI發動網攻 美媒:僅需簡單指令即可自主侵入系統 中央通訊社
「華爾街日報」報導,中國資助的駭客組織9月使用美國AI業者Anthropic技術,侵入企業與政府網路。駭客僅需下達「持續前進」、「暫停」等簡單指令,即可讓AI自主攻入系統竊取數據資料。
中國資安公司萬筆資料外洩 全球80多國機構淪陷 新唐人電視台
據多家媒體披露,中共最大的網絡安全公司「知道創宇」最近發生內部材料外洩事件,超過12,000份敏感機密文件被流出,內容包含:中共網路攻擊武器資料、跨平台滲透工具、遠端控制框架及全球攻擊目標清單等機密資訊。事件爆光後引發國際情報圈震驚。
中國駭客滲透意圖左右美國國際政策的非營利組織,濫用防毒元件載入惡意程式 iThome
今年4月積極影響美國政府國際政策的非營利組織,遭到中國駭客入侵,揭露此事的資安業者賽門鐵克表示,攻擊者濫用合法防毒軟體Vipre AV元件側載惡意DLL檔案,而成為他們認定攻擊者來源的依據。
從 Log4j 到 IIS:中國駭客將舊漏洞轉為全球間諜工具 資安人
根據 Broadcom 旗下 Symantec 與 Carbon Black 團隊的報告,一個與中國相關的威脅行為者在 2025 年 4 月鎖定一家美國非營利組織,試圖在其網路中建立長期存取權限。該組織致力於影響美國政府的國際政策。
【科技早餐】AI 自動駭攻成形?中國駭客用美國模型發動攻擊 科技報橘
《華爾街日報》報導,美國 AI 公司 Anthropic 在 9 月偵測到中國官方資助的駭客,直接使用其模型發動攻擊,且整個流程已高度自動化。研究人員指出,攻擊者只需下達「持續前進」、「暫停」這類指令,AI 就會自行掃描系統、找漏洞、擷取資料,並自動串接後續步驟,整體流程能自動完成八到九成,代表傳統需高度技術的人為操作,正被模型邏輯全面取代。
Anthropic 指控中國駭客用 Claude 自動化超過 80% 攻擊,資安專家卻提出兩大質疑 TechOrange 科技報橘
美國 AI 公司 Anthropic 近期發出警示,稱在今年 9 月中旬偵測到駭客嘗試利用旗下 AI 模型 Claude 發動網路攻擊,至於攻擊者的身份, Anthropic 有「高度信心」認為是疑似中國國家支持的駭客組織,並命名為 GTG-1002。
中國駭客滲透澳洲關鍵基礎設施 情報首長示警 中央通訊社
澳洲安全情報組織(ASIO)總監勃吉斯(Mike Burgess)警告,替中國政府和軍方工作的駭客曾入侵澳洲的電信網路及關鍵基礎設施,若發生破壞性攻擊,可能對經濟造成嚴重干擾。
飯店業成駭客新目標!大規模ClickFix釣魚攻擊散佈PureRAT惡意軟體 資安人
資安業者 Sekoia 揭露一起針對飯店業的大規模釣魚攻擊。駭客運用 ClickFix 社交工程手法,誘騙飯店管理人員安裝 PureRAT 惡意軟體,藉此竊取訂房平台的登入憑證。這波攻擊最早可追溯至 2025 年 4 月,至今仍持續進行。
駭客宣稱利用約聘人員存取憑證 竊取三星公司機密資料 iThome
資安媒體Cybernews報導,一名駭客上周在駭客論壇兜售宣稱竊自三星公司多種機密資訊。帳號名GOD的駭客說他是利用一名約聘人員的存取憑證,駭入多家公司系統,其中一家是三星。
駭客不攻你,攻你的供應商——資安還有個大破口在企業外 科技報橘
過去的企業通常會將資安問題視為內部的防護要點,但最新的數據顯示,第三方供應商已成為客戶資料外洩的高風險來源,這也表示企業必須改變對資訊安全架構傳統的管理思維。
GlassWorm惡意軟體重返OpenVSX平台,三款VSCode擴充套件下載量破萬 資安人
10 月衝擊 OpenVSX 與 Visual Studio Code 擴充套件的 GlassWorm 惡意軟體攻擊行動再度捲土重來。攻擊者發布了三款新的 VSCode 擴充套件,下載次數已超過 1 萬次。
React Native CLI 重大漏洞,數百萬開發者面臨遠端攻擊風險 資安人
資安研究人員揭露熱門 npm 套件「@react-native-community/cli」的重大安全漏洞。該漏洞已修補,但在特定條件下,攻擊者可利用它在受害者系統上執行惡意作業系統指令。
SAP修補SQL Anywhere Monitor與Solution Manager近滿分漏洞 iThome
11月11日SAP發布本月例行更新(Security Patch Day),發布18份資安公告,更新兩份已發布的公告內容,最受到矚目的部分,是兩項CVSS評分接近滿分的資安漏洞,分別是:CVE-2025-42890與CVE-2025-42887。
美國國會預算辦公室遭駭,原因指向國家駭客 iThome
在華盛頓郵報報導可能是國家駭客攻擊後,眾議院預算委員會主席Jodey Arrington發出聲明證實。一個高明的外國攻擊者對CBO發動網路攻擊。目前眾議員委員會正和CBO、眾議院資訊長辦公室等單位合作監控情況,確保事件排除,並緩解入侵造成的任何不良影響。
英國防騙組織Cifas 與趨勢科技攜手打擊身份與網絡詐騙 新聞稿自助吧
根據統計,欺詐案件約佔英格蘭與威爾斯所有罪行數量的 44%,每年對英國經濟造成約 2,190 億英鎊損失。而僅網絡詐騙部分,英國消費者今年估計已損失 100 億英鎊。Cifas 國家資料(Cifas National Database)是英國最大、最多樣性的欺詐風險資料源,可讓各機構即時共享與存取資料,根據Cifas 資料顯示,身份詐騙是最常被報告的欺詐類型(佔 59%),並持續對英國消費者構成重大威脅。
《網路詐騙通報查詢網》升級 攜手趨勢、Gogolook擴大情資來源 工商時報電子報
數發部12日宣布《網路詐騙通報查詢網》升級3.0版,新版重點在於擴大情資來源,審查加快下架也更即時,同時優化使用介面。除既有公部門、民眾通報外,納入第三方聯防機構與地方政府接入,也增加名人與企業專屬通報機制,目前已包含趨勢科技、Gogolook、台灣數位安全發展協會、事實查核等8個單位領域一起合作。
2025社群冒名詐騙報告書出爐,偽冒「貸款申請」情境最嚴峻 iThome
冒名詐騙問題層出不窮,尤其是網路社群平臺,對於2025年的威脅態勢,台灣數位信任協會、電腦稽核協會與Gogolook於11月共同發布《2025社群冒名詐騙報告》,解析社群冒名貼文的三大情境、七種類型,並提醒企業正視品牌被冒用的風險與責任,尤其是金融業。
網購詐騙猖獗!收「原價演唱會門票」遭詐10萬 刑事局破6件逮7嫌 鏡傳媒
警方指出,45歲林姓男子與36歲郭姓共犯專門鎖定急於收票入場的粉絲,在臉書社團刊登周杰倫、BLACKPINK及2NE1等熱門演唱會門票,聲稱「原價轉讓」或「現場票有限」,要求被害人提前匯款。
全支付盜刷案已通報重大偶發 金管會要求17日前提出報告 公視新聞網
全聯旗下的「全支付」有674萬的用戶,在電子支付是排名第3,但近起傳出多起的盜刷事件,雖然全支付強調沒有資料外洩,但金管會要求17日前要提書面報告,同時提醒大家避免點開釣魚郵件、輸入OTP一次性密碼;專家也建議,綁定時用信用卡比較安全,若被盜刷還能掛失。
政院拍板修正防詐條例 增訂詐欺犯「禁奢條款」 自由時報電子報
行政院會今天通過修正「詐欺犯罪危害防制條例」,除嚴懲高額詐欺犯罪、提高詐騙刑責,並增訂「禁奢條款」,詐騙被告也須在自首、自白後6個月內支付被害人調解金或和解金後,法院才會斟酌裁量是否減輕或免除刑責。草案同時針對金融防詐訂定4機制,包含建立疑似詐欺被害人保護、金融業提供虛擬資產服務的事業或人員(VASP)跨業照會、跨機構科技分析平台,以及異業聯防通報等。
普發1萬助攻!黑五狂購節熱度超越雙11?揭三大消費趨勢 三立新聞網
今年的黑五購物節即將登場,你知道黑五的熱搜度竟然去年就超越雙11了嗎?智慧視聽品牌 OVO分享「黑五狂購節」三大趨勢:黑五熱度追上雙11、跨界創新商品熱銷、黑五熱門搶購項目從3C家電延伸到生活用品。
runC容器執行環境爆三大漏洞,駭客可逃脫Docker容器並存取主機系統 資安人
這三個漏洞編號分別為 CVE-2025-31133、CVE-2025-52565 與 CVE-2025-52881,由 SUSE 軟體工程師暨開放容器倡議(Open Container Initiative, OCI)董事會成員 Aleksa Sarai 發現並揭露。攻擊者一旦成功利用這些漏洞,即可以 root 權限對底層容器主機取得寫入存取權限。
遠端管理工具SimpleHelp已知漏洞遭利用,駭客於英國部署勒索軟體Medusa與DragonForce iThome
勒索軟體Medusa與DragonForce於今年上半攻擊英國企業組織的事故不時傳出,資安業者Zensec指出,這些駭客通常會針對存在特定漏洞的遠端管理平臺SimpleHelp下手,從而對代管服務業者(MSP)下游的客戶從事攻擊。
【資安日報】11月14日,勒索軟體駭客Akira將目標擴張到Nutanix虛擬化平臺 iThome
美國網路安全暨基礎設施安全局(CISA)更新勒索軟體Akira的攻擊手法與流程的分析,其中提及這些駭客加密受害組織檔案的範圍出現變化,已擴張到對新的虛擬化平臺下手,因而引起外界高度關注。
勒索軟體Akira將加密資料的範圍延伸到Nutanix虛擬機器 iThome
本週美國網路安全暨基礎設施安全局(CISA)對於勒索軟體Akira的威脅態勢提出最新說明,其中最引起外界關注的地方在於,這些駭客已開始加密Nutanix虛擬化平臺AHV的虛擬機器(VM),這也是國家級資安機構首度揭露勒索軟體將魔掌伸向Nutanix虛擬化環境的實例。
【投書】台灣企業資安:駭客烈焰中的易燃柴薪 天下雜誌網
一位周姓治療師盜用同事帳號,於公務電腦擅自安裝ngrok代理伺服器及RaiDrive雲端掛載程式,開啟未經授權、無密碼的遠端連線通道。內部稽核及資安團隊雖未發現病患個資外洩證據,但警方與資安專家警示,此行為等同於為駭客開啟後門,反映機構資安管控機制嚴重不足,網路環境易被入侵。涉事治療師已被解僱,院方則全面加強帳號權限管理、限制外部連線及強化防火牆與異常監控。
資安院:資安防護仍須強化 應透過弱點掃描強化管理 中央通訊社
14年度公務機關暨特定非公務機關資安事件原因統計近日公布,資安院指出,今年截至10月底,兩類機關於資安事件型態呈現明顯差異,反映防護需求不同,但在系統防護上均仍有改善空間,建議應透過弱點掃描強化管理。
Fortinet公告網頁應用程式防火牆存在重大漏洞,有多家資安業者透露一個月前就被用於攻擊行動 iThome
1月14日資安業者Fortinet發布資安公告,指出旗下的網頁應用程式防火牆(WAF)系統FortiWeb,存在重大層級的資安漏洞CVE-2025-64446,該弱點出現於圖形使用者介面(GUI),為路徑遍歷漏洞,未經授權的攻擊者能透過特製的HTTP或HTTPS請求,於目標系統執行管理命令,CVSS風險為9.1分(但該漏洞在美國國家漏洞資料庫登記為9.8分)。
美國企業重大資安事件連環爆,羅技、DoorDash 遭駭客攻擊 科技新報網
美國參議院今年7月通過決議,要求網路安全暨基礎設施安全局(CISA)公開一份2022年的電信業資安報告,揭露美國通訊產業的漏洞與防護缺口。然而,該報告至今仍未發布,引發國會強烈不滿。
ASUS 緊急修補 DSL 路由器重大漏洞,駭客可無需驗證遠端登入 資安人
華碩(ASUS)近日發布緊急安全公告,修補旗下多款 DSL 系列路由器存在的重大身份驗證繞過漏洞。該漏洞編號為 CVE-2025-59367,攻擊者可在無需任何身份驗證的情況下,透過遠端方式登入暴露於網際網路上的受影響設備,且攻擊複雜度低、無需使用者互動,對家用與企業網路安全構成嚴重威脅。
日本媒體 Nikkei 遭駭!駭客竊取 Slack 認證資料,1.7 萬人資訊外洩 資安人
日本媒體集團《日本經濟新聞( Nikkei)》 於 11 月 12 日公開披露一起資安事件。駭客透過惡意軟體竊取員工登入憑證,成功入侵該公司的 Slack 內部通訊系統,導致超過 1 萬 7 千名員工與合作夥伴的個人資料與聊天記錄可能遭到外洩。
美國司法部打擊北韓駭客加密貨幣詐騙網路,追回逾 1,500 萬美元資金 鏈新聞
美國司法部近日宣布一系列針對北韓非法籌資活動的重大執法行動,包括五起罪名認罪與超過 1,500 萬美元的民事沒收行動。這些案件涉及北韓政府透過遠端資訊科技(IT)工作與虛擬貨幣竊盜,違反國際制裁,資助其武器發展與其他政權運作。
【資安日報】11月18日,惡意NPM套件濫用雲端資安防護服務,意圖過濾資安研究員 iThome
駭客為了防範資安研究人員進行調查而東窗事發,令人訝異的是,竟然透過合法的資安雲端服務來過濾受害對象,只對一般的使用者下手,若非目標對象,就會顯示無害內容。最近在惡意NPM套件活動裡,攻擊者採用名為Adspect的合法服務來達到目的,這樣的手法不僅罕見,由於濫用合法服務,也使得被導向無害網站的研究人員不易察覺異狀。此外,為了避免有「漏網之魚」,他們也對被導向詐騙網站的受害者,停用瀏覽器的開發工具。
AI 生成的惡意 VS Code 擴充程式內含勒索軟體功能 資安人
研究人員 John Tuckner 標記了這款名為「susvsex」的擴充程式,指出它並未試圖隱藏其惡意功能。該擴充程式於 2025 年 11 月 5 日由使用者「suspublisher18」上傳,描述為「Just testing」,並使用「donotsupport@example[.]com」作為聯絡信箱。
惡意NPM套件濫用雲端服務Adspect企圖躲過研究人員調查 iThome
歹徒過濾攻擊目標出現新手法,資安業者Socket揭露最新的NPM惡意套件攻擊活動,攻擊者透過名為Adspect的雲端服務,意圖區隔一般開發人員與資安研究人員,以防研究員介入調查。
羅技傳因Oracle零時差漏洞攻擊資料遭竊 疑外流1.8TB資料 iThome
在CI0p勒索軟體駭客組織上周單方面宣稱後,瑞士科技業者羅技(Logitech)上周證實Oracle E-Business Suite (EBS) 漏洞遭駭,致使員工、消費者個資、客戶及供應商資料洩露。
南韓大企業接連遭到駭客攻擊。近期,樂金電子(LG Electronics)因合作廠商爆出資訊外洩問題,醫療設備公司三星Medison(Samsung Medison)、造船大廠HD現代(HD Hyundai;原現代重工業)內部資料疑似也在網路上被販售。
資安院孫偉哲主任:情資驅動的防護策略,製造業面對資安威脅的治理新模式 網路資訊雜誌
智安佈局・零信不疑《2025 NMT 資安即未來論壇-新竹場》第一場專題演講,由國家資通安全研究院通報應變中心/台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 主任孫偉哲主講,從全球風險到在地產業現況,孫偉哲主任以最新研究與通報實務,勾勒出企業在下一個會計年度應優先補強的治理環節:備份與復原的可驗證性、 IT/OT 整合下的邊界控管、情資導入節奏化,以及在生成式 AI 浪潮下的 AI 治理與評測。
台灣駭客協會理事王仁甫:AI 驅動下的製造業資安戰線,從內部治理到外部攻擊的全方位防禦 網路資訊雜誌
王仁甫博士開場即點出當前產業的矛盾處境:「兩個禮拜前大家還在喊『AI 上車囉』,這禮拜口號已經換了。本來以為導入 AI 是匆匆忙忙,結果隔一週就發現導入 AI 的漏洞很多。」他指出,不導入 AI 有競爭力落後的風險,但導入 AI 後的資安風險更大,企業面臨兩難。
OpenAI 新推出 GPT-5.1 模型,ChatGPT 擁有八種對話性格 科技新報網
新版本包含 GPT-5.1 Instant 與 GPT-5.1 Thinking 兩款模型,OpenAI 稱由於採用與推理模型相同的技術堆疊,針對事實以及解決複雜問題的表現優於 GPT-5,同時語氣更自然、對話更流暢。GPT-5.1 Instant 可用於立即回答,GPT-5.1 Thinking 則會思考較長時間以取得更好的回答。
AI 模型好容易被「下毒」?0.00016% 的資料汙染就能讓 LLM 破防 科技報橘
大型語言模型(LLM)已成為當代 AI 應用的主要核心,從聊天機器人到資料分析系統,基本上都依賴 LLM 於幕後運作。然而,人工智慧新創公司 Anthropic 近日卻發出警告,指出只要準備 250 份惡意文件,不同參數規模的模型皆觀察到影響,即便是訓練參數達到 130 億的 LLM 也不例外。
日立子公司GlobalLogic、英國衛福部的Oracle EBS系統也遭駭 iThome
Oracle E-Business Suite(EBS)資料外洩事故持續擴大。日立集團旗下數位工程服務供應商GlobalLogic本周通報上萬員工資料外洩。另外,英國國家健康服務局(National Health Service,NHS)則是駭客宣稱已成功駭入。
趨勢科技攜手NVIDIA 守護新世代AI工廠 台灣新生報
趨勢科技平台暨業務長金敬秀表示:「代理式AI將開啟生產力、效率與商業敏捷性的全新時代,但前提是必須建立在安全的基礎上。這正是趨勢科技致力於透過零信任執行機制與AI原生威脅偵測創新,推動AI資安發展的原因。我們與NVIDIA的整合方案,將為高效能AI部署建立全新的市場標準。」
攜手輝達 GMI CLOUD落腳台灣 建造5億美元AI資料中心,採用最新BLACKWELL GB300晶片,預計2026年3月啟用 工商時報
GMI Cloud表示,這座資料中心將採用輝達最新Blackwell GB300晶片,預計2026年3月就開始啟用;此外該資料中心還配置約7,000顆圖形處理器(GPU),放置在96座高密度機櫃,每秒可處理近200萬個詞元(token),專門應對快速成長的AI推理需求。
Tesla和Alpitronic成為Pwn2Own Automotive 2026冠名贊助商,共同推動全球連網車與電動車充電網路安全 小七車觀點
今年的競賽由Tesla和Alpitronic冠名贊助,充分顯示網路安全不僅與軟體定義車輛(SDV)高度相關,與支撐全球電動車運行的充電基礎設施同樣密不可分。Tesla是電動車領導廠商,Alpitronic更是充電樁龍頭、目前歐洲最大的DC充電樁供應商,以其一體式、高功率充電樁擁有高市佔率。
聚焦電動車安全!VicOne攜手ZDI舉辦Pwn2Own Automotive 2026,首度納入Level 3高功率充電樁漏洞發掘! 史塔夫科技事務所
全球車用資安領導廠商 VicOne 宣布,將再次與趨勢科技 Zero Day Initiative (ZDI) 共同舉辦第三屆 Pwn2Own Automotive 2026 汽車零日漏洞發掘競賽。競賽將於 2026 年 1 月 21 日至 23 日在日本東京的 Automotive World 全球汽車技術展覽會內舉行。
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊 不想成為下一個受害者嗎?立即訂閱,搶先一步防範
