本週資安快訊聚焦中國 App 個資風險、微軟與 Google 多項高危漏洞、AI 與惡意程式的新型攻擊,以及全球駭客組織活躍行動。小紅書因涉及上千件詐騙案件遭暫行封鎖,抖音、微信等 App 也被點名可能外洩資料;微軟與 Google 多項漏洞引發警示,企業與使用者需立即更新防護;同時,AI 攻擊、React2Shell 漏洞及多起勒索軟體事件凸顯資安威脅日益升級。從社交工程詐騙到國際電商與金融服務個資外洩,本週新聞提醒企業與民眾,資安防護已非選項,而是刻不容緩的必備措施。
⭕️ 資安趨勢部落格精選
- 竊個資木馬 Lumma Stealer 再進化:利用瀏覽器指紋識別技術提升偵測難度
- 資料安全不只靠 DLP(資料外洩防護)!企業必懂的現代資料防護新趨勢
- 雲端風險管理是什麼?企業必懂的風險可視化與應對三要素
- 雲端防護再升級:趨勢科技 × AWS 雙強聯手,一鍵啟動 IPS 入侵防護
- 資料安全不只靠 DLP(資料外洩防護)!企業必懂的現代資料防護新趨勢
- 「AI 攻擊工業化!」趨勢科技曝 2026 三大資安趨勢:攻擊自動化、鎖定多雲/供應鏈、治理成破口
- 「是詐騙老梗嗎?」一通陌生來電找回走失十年愛貓;另一通竟是20萬善意循環
- 什麼是網路釣魚?超擬真 AI 詐騙的三大危險訊號
- AI 巨頭連環爆:OpenAI、Google、Nvidia 同週爆出資安漏洞,AI 產業安全再受考驗
- 從假求救影片到假安全通知,AI 深偽詐騙全面擴散
⭕️十大推薦新聞
- 數位發展部警示:抖音、微信、小紅書等 5 款 App 高風險
可能將使用者個資洩漏至中國,提醒民眾留意。(iThome)
◎相關新聞
數發部:抖音、微信、小紅書等5款App存在高資安風險,可能洩露資料至中國 iThome - 小紅書涉 1706 件詐欺案,內政部暫行封鎖 1 年
網路詐騙媒介前 8 名中包含小紅書,引發 VPN 合法性討論。(中央通訊社、壹蘋新聞網)
◎相關新聞
小紅書涉1706件詐欺案 內政部命令暫行封鎖1年 中央通訊社 - 微軟悄修 8 年 Windows 捷徑檔漏洞
曾被多國駭客長期利用,Win11 高危漏洞默默修復,Teams 記憶體占用問題 2026 才修復。(iThome、宅中地、JUKSY)
◎相關新聞
多國駭客組織長期利用!微軟悄悄修補存在8年的Windows捷徑檔漏洞 資安人 - Google Chrome、Pixel 及 Android 更新修補多項高風險漏洞
包含 V8 引擎與零時差漏洞,CISA 下達最後通牒;AI 瀏覽器漏洞可能清空 Google Drive。(iThome、科技新報網)
◎相關新聞
Google發布Chrome 143,修補V8引擎高風險漏洞 iThome
Google發布12月安卓例行更新,修補2項零時差漏洞 iThome
Google 發布 Pixel 緊急更新!兩大安全漏洞爆出,CISA 下最後通牒 科技新報網
AI 瀏覽器漏洞警報:「零點擊清除器」會清光你的 Google Drive 檔案 科技新報網
假會議濫用Calendly平臺,駭客冒充知名品牌誘騙Google與Facebook廣告管理員帳號 iThome - AI 資安威脅升級:攻擊者將 LLM 整合至惡意程式
趨勢科技指出 AI 攻擊日益真實,企業資安治理需從補漏洞轉向韌性治理。(資安人、數位時代、科技新報網)
◎相關新聞
攻擊者將LLM整合至惡意程式 以動態逃避偵測 資安人 - React2Shell 與多個零時差漏洞遭中國駭客積極利用
全球數萬臺主機可能受影響,駭客利用 Discord API 當 C2 通訊管道。(iThome)
◎相關新聞
多家資安業者與機構警告React2Shell已遭積極利用,全球恐有數萬臺React主機尚未修補 iThome - 日本 17 歲學生駭入最大連鎖網咖,盜取 725 萬會員個資
展示青少年也能利用 AI 工具與漏洞進行大規模資安攻擊。(風傳媒)
◎相關新聞
騙過ChatGPT幫他編寫惡意程式!日本17歲高中生成功駭入最大連鎖網咖,偷走725萬份會員個資 風傳媒 - 多起勒索軟體與殭屍網路攻擊
臺灣 6 家業者受影響,汽車業成為新目標,Dragon Breath、Vidar 2.0 等惡意軟體升級。(iThome、科技新報網、網管人)
◎相關新聞
駭客組織Dragon Breath透過多階段載入工具RoningLoader,意圖散佈RAT木馬Gh0st RAT iThome - 社交工程與詐騙手法升級
假冒高層建立 LINE 群組、假警察詐騙、LINE 下架逾 7 萬詐騙帳號,台電公佈電費簡訊詐騙防範。(iThome、民視新聞網、中天新聞網、新頭殼)
◎相關新聞
假冒高層要求建立 LINE 群組的社交工程詐騙,手法解析與防範建議 iThome
台電公佈電費相關詐騙手法!收到簡訊2招辨識真偽 新頭殼 - 南韓最大電商酷澎與美國金融 IT 服務商 SitusAMC 個資外洩
中國駭客與外部攻擊者被指為主因,引發資安與供應鏈安全關注。(新頭殼、中央通訊社、iThome)
◎相關新聞
南韓最大電商酷澎驚傳個資大量外洩 數發部回應了! 新頭殼
韓國酷澎個資外洩陷爭議 被爆招募大量中國員工 中央通訊社
⭕️ 媒體資安新聞一覽
數發部:抖音、微信、小紅書等5款App存在高資安風險,可能洩露資料至中國 iThome
小紅書封鎖延燒!VPN能不能用、會不會違法一次看懂 壹蘋新聞網
小紅書因詐騙被封? 數發部揭網路詐騙媒介前8名是它們 壹蘋新聞網
小紅書涉1706件詐欺案 內政部命令暫行封鎖1年 中央通訊社
輝達、微軟撐腰!傳Anthropic最快明年IPO 與OpenAI競相上市 自由時報電子報
多國駭客組織長期利用!微軟悄悄修補存在8年的Windows捷徑檔漏洞 資安人
Microsoft數位防禦報告:逾半數網路攻擊與敲詐及勒索軟體威脅有關 網管人
Win11高危漏洞被微軟「默默修復」 曾稱其風險不高 宅中地
微軟無公告調整遭攻擊者多年濫用的Windows捷徑UI漏洞 iThome
Microsoft Teams 不啟用也吃 1GB 記憶體!微軟坦承 2026 才會修復! JUKSY
微軟遭控非法存放以軍監控資料 愛爾蘭監管機關受理投訴 中央廣播電臺
Google發布Chrome 143,修補V8引擎高風險漏洞 iThome
Google發布12月安卓例行更新,修補2項零時差漏洞 iThome
Google 發布 Pixel 緊急更新!兩大安全漏洞爆出,CISA 下最後通牒 科技新報網
AI 瀏覽器漏洞警報:「零點擊清除器」會清光你的 Google Drive 檔案 科技新報網
假會議濫用Calendly平臺,駭客冒充知名品牌誘騙Google與Facebook廣告管理員帳號 iThome
Mac 惡意程式激增之際,蘋果卻下調漏洞獎金 科技新報網
騙過ChatGPT幫他編寫惡意程式!日本17歲高中生成功駭入最大連鎖網咖,偷走725萬份會員個資 風傳媒
冒牌ChatGPT Atlas瀏覽器網站鎖定macOS用戶而來,意圖竊取帳密資料 iThome
第二個DeepSeek?郭正亮揭「這家中國AI公司」震撼科技圈:市場估值有噴發潛能 風傳媒
【資安週報】1201~1205,臺灣有6家業者分別傳出遭勒索軟體攻擊的消息 iThome
資安威脅報告:超級殭屍網路大爆發,汽車業成為新熱門目標 科技新報網
駭客組織Dragon Breath透過多階段載入工具RoningLoader,意圖散佈RAT木馬Gh0st RAT iThome
老牌駭客竊資軟體大升級 Vidar 2.0竄起亂資安 網管人
太逼真!勝男險被假警察騙光積蓄 《好運來》揭露最新詐騙手法全解析 民視新聞網
LINE下架逾7萬詐騙帳號 打詐指揮中心:有示範效果 中天新聞網
南韓「反跟蹤App」將登場!新科技保護機制為女性安全再添保險 自由時報電子報
【資安日報】12月9日,AI開發工具與程式助理廣泛存在一系列資安漏洞,可串連形成攻擊鏈IDEsaster iThome
氛圍編碼讓工程師陷 Debug 深淵,Deductive 用 AI 代理幾分鐘抓錯、年省上千工時 科技報橘
Battering RAM硬體攻擊可繞過Intel與AMD機密運算,威脅公有雲資料安全 iThome
韓國酷澎個資外洩陷爭議 被爆招募大量中國員工 中央通訊社
Asahi遭駭後續追蹤:190萬筆個資疑外洩,物流全面復原恐延至2月 一飲樂酒誌
美加警告:中國駭客植後門 長期潛伏政府網路圖破壞 中央通訊社
中國駭客利用Brickstorm對VMware虛擬化平臺下手,從事網路間諜活動 iThome
中國駭客加入利用WSUS漏洞行列,散佈惡意軟體ShadowPad iThome
【資安日報】12月5日,React滿分資安漏洞已有多組中國駭客加入利用行列 iThome
【資安日報】12月8日,殭屍網路及中國駭客傳出已實際利用滿分資安漏洞React2Shell iThome
多家資安業者與機構警告React2Shell已遭積極利用,全球恐有數萬臺React主機尚未修補 iThome
中國駭客UNC5174濫用Discord的API,目的是充當C2通訊管道以迴避偵測 iThome
Canva又壞掉!Cloudflare 全球當機再現,多國網站大亂 CaVa
惡意Rust套件偽裝以太坊工具,鎖定Web3開發者發動跨平台攻擊 資安人
美國房地產融資暨IT服務供應商SitusAMC遭駭,主要銀行客戶資料恐外流 iThome
俄羅斯駭客利用MSC EvilTwin漏洞結合被入侵的網站,企圖散佈惡意程式 iThome
蠕蟲程式GlassWorm出現第三波大規模攻擊,鎖定熱門工具與開發框架而來 iThome
2025 TAS:VPN 漏洞成入侵主要管道 供應鏈攻擊案例倍增 CIO IT經理人
React 19伺服端元件出現RCE零驗證漏洞,波及Next.js等多個框架 iThome
全新 LINE Pay Money 正式上線!首波四大功能、四大優惠一次看 今周刊
假冒高層要求建立 LINE 群組的社交工程詐騙,手法解析與防範建議 iThome
鳳凰城大學遭遇Oracle EBS零時差漏洞攻擊 iThome
客服系統拉警報!Zendesk 遭網釣攻擊,駭客揚言發動連續攻勢 網路資訊雜誌
華碩遭駭時間點引人事聯想 內部人士:完全無關 壹蘋新聞網
【資安日報】12月4日,華碩傳出供應商遭駭,外流手機相機軟體開發資料 iThome
政院打詐中心會LINE高層 遭停權帳號研議加警示、調升帳號創設門檻 聯合新聞網
Array Networks旗下VPN設備資安漏洞遭利用,攻擊者以此植入Web Shell iThome
AI 驅動資安大轉向:企業從補破洞走向韌性治理新時代 科技新報網
F5 最新報告:亞太區 API 安全缺口日益擴大,立即強化治理與韌性當務之急 iThome
用 AI 杜絕詐騙、病毒!「AI 防詐達人 + PC-cillin 雲端防毒」完整解析,2026 年跨裝置防護必備 電腦王阿達
「AI攻擊是真實的事!」趨勢科技曝3大資安趨勢:Vibe Coding可能成為「新內鬼」 數位時代
趨勢科技「詐騙預警雷達」首曝!攜手刑事局打破資訊孤島 科技島
台美韓專家論AI風險治理 防詐新科技偵測合成聲音 中央通訊社
用掃毒軟體測AI爭議 刑事局:兩階段檢測工具混談 中央通訊社
土銀高檢署簽MOU 強化AI識詐模型 經濟日報
台灣資安主管聯盟會員大會順利召開 CISO DAY 產官學研共聚一堂 CIO IT經理人
【陳厚銘專欄】台灣品牌全球化的瓶頸與解方 CNEWS匯流新聞網
早上全球網路威脅分析師高峰會才開幕 傍晚華碩驚傳遭國際駭客勒索 LineToday
數發部:抖音、微信、小紅書等5款App存在高資安風險,可能洩露資料至中國 iThome
數發部資安署公布,法務部調查局、刑事局根據資安署公布的檢測標準,檢測抖音、微博、微信、小紅書、百度硬盤5款App,具有蒐集敏感性資訊、讀取儲存空間、逾越使用權限、握掌生物特徵、擷取系統資訊、數據回傳與分享等6類資安風險。
小紅書封鎖延燒!VPN能不能用、會不會違法一次看懂 壹蘋新聞網
小紅書遭政府依《詐欺犯罪危害防制條例》第42條啟動「停止解析、限制接取」後,台灣用戶陸續出現無法登入、內容載不出來等狀況,也讓「VPN能不能用?會不會被抓?」成為搜尋熱詞。VPN並非特殊工具,而是一項全球常用的網路加密技術,主要功能是建立安全連線、保護資料傳輸安全,並讓裝置看起來像是從其他國家連線,因此常被用於遠端辦公、保護公共Wi-Fi、企業內部系統存取或跨區觀看影音內容。
小紅書因詐騙被封? 數發部揭網路詐騙媒介前8名是它們 壹蘋新聞網
刑事局今天宣布,中國App《小紅書》從去年至今,涉入1706件詐騙案,造成財損2億4768萬餘元,內政部依法將對小紅書發布網路停止解析及限制接取命令,暫定期間1年。然而數發部網路詐騙通報查詢網數據顯示,小紅書根本排不進詐騙媒介榜單內。
小紅書涉1706件詐欺案 內政部命令暫行封鎖1年 中央通訊社
行政院打擊詐欺指揮中心指揮官馬士元今天表示,小紅書APP資安檢測不合格,近2年涉詐案1706件,因發函已讀不回,即起發布網際網路停止解析及限制接取的命令,暫定1年。
輝達、微軟撐腰!傳Anthropic最快明年IPO 與OpenAI競相上市 自由時報電子報
知情人士表示,AI新創Anthropic已開始準備首次公開發行(IPO),最快可能在2026年實現,聊天機器人Claude的製造商正在與對手OpenAI展開上市競賽。
多國駭客組織長期利用!微軟悄悄修補存在8年的Windows捷徑檔漏洞 資安人
微軟在 2025 年 11 月的例行更新中,悄悄修補了一個自 2017 年起就被多個威脅組織持續利用的 Windows 安全漏洞。這個編號為 CVE-2025-9491 的 Windows 捷徑檔(LNK)漏洞,CVSS 評分達 7.8 分。攻擊者可利用此漏洞在捷徑檔中隱藏惡意命令。即使使用者檢查檔案屬性,也無法察覺異常。
Microsoft數位防禦報告:逾半數網路攻擊與敲詐及勒索軟體威脅有關 網管人
根據微軟資安長Igor Tsyganskiy共同撰寫的最新《Microsoft數位防禦報告 Microsoft Digital Defense Report》指出,已知動機的網路攻擊中,有超過一半(52%)出於牟利,並透過敲詐或勒索軟體等方式進行;單純以間諜活動為目的的攻擊僅占4%。儘管國家/地區級威脅仍是長期且嚴峻的挑戰,但當前組織最常面對的即時風險,多半來自尋求快速獲利的機會型網路犯罪分子。
Win11高危漏洞被微軟「默默修復」 曾稱其風險不高 宅中地
據BornCity今日報道,微軟已通過未公開說明的更新,修復了Windows 11系統中編號為CVE-2025-9491的LNK文件高危漏洞。該漏洞最早可追溯至2025年3月,於同年8月底被公開披露,攻擊者可利用其遠程執行任意代碼,危害性被零日計劃(ZDI)評為CVSS 7.0分。
微軟無公告調整遭攻擊者多年濫用的Windows捷徑UI漏洞 iThome
根據第三方修補服務商0patch在最新技術分析中指出,微軟雖然對外維持不構成漏洞立場,實際上已在今年默默調整Windows捷徑屬性視窗的顯示行為,修正多年來遭攻擊者濫用的UI設計缺陷。該漏洞會讓使用者在檢查捷徑屬性時,看見的目標指令與實際執行內容不完全相同,已被編號為CVE-2025-9491。
Microsoft Teams 不啟用也吃 1GB 記憶體!微軟坦承 2026 才會修復! JUKSY
你的電腦跑很慢、記憶體莫名飆高?可能不是電腦規格的問題,而是微軟自家的程式出包了。微軟近日罕見地公開承認,Windows 系統內建的通訊軟體 Teams 是隱藏版的記憶體怪獸,即使完全沒有啟用、電腦處於閒置狀態,也會悄悄吃掉近 1GB 的記憶體。這個問題在企業 IT 圈已經被詬病多年,終於讓微軟鬆口認錯,並承諾在 2026 年 1 月起逐步推送更新,預計 2 月完成全面發布。
微軟遭控非法存放以軍監控資料 愛爾蘭監管機關受理投訴 中央廣播電臺
提出投訴的組織Eko,是一個以人民和地球為優先考量的非營利組織,它指控微軟違反歐盟「一般資料保護規則」(GDPR),稱其「非法處理巴勒斯坦人與歐盟公民個資,使以色列軍方能進行監控與鎖定目標」。
Google發布Chrome 143,修補V8引擎高風險漏洞 iThome
根據Google官方公告,本次更新修補4項高風險漏洞,分別是:V8 JavaScript/WebAssembly引擎的類型混淆漏洞(CVE-2025-13630),Google Updater的不當實作漏洞(CVE-2025-13631)、DevTools的不當實作漏洞(CVE-2025-13632),以及Digital Credentials元件的使用後釋放漏洞(CVE-2025-13633),除了CVE-2025-13632,其他三個高風險漏洞的CVSS風險分數均為8.8分。另外也修補3項中度風險漏洞,涉及Downloads、Loader與V8引擎。
Google發布12月安卓例行更新,修補2項零時差漏洞 iThome
這兩個漏洞是CVE-2025-48572與CVE-2025-48633,其中,CVE-2025-48572出現在系統框架,為高風險層級的權限提升漏洞(EoP),影響13至16版安卓作業系統;另一個漏洞CVE-2025-48633,也是位於系統框架的高風險漏洞,可被用於資訊洩露(Information Disclosure,ID),同樣影響安卓作業系統13至16版。
Google 發布 Pixel 緊急更新!兩大安全漏洞爆出,CISA 下最後通牒 科技新報網
Google 今天發布針對所有 Pixel 用戶的緊急更新,以應對 Android 系統存在的嚴重安全漏洞。美國網路安全暨基礎設施安全局(CISA)同步發出警告,要求聯邦員工於 12 月 23 日前完成手機更新,否則停止使用相關裝置。此次更新涵蓋 Pixel 6 至 Pixel 10 系列多款機型,屬於 Android 16 QPR2 版本(版本號如 BP4A.251205.006 等)。
AI 瀏覽器漏洞警報:「零點擊清除器」會清光你的 Google Drive 檔案 科技新報網
最新安全警告,研究員揭露「零點擊清除器」AI 瀏覽器漏洞,以簡單請求大規模刪除 Google Drive 檔案。此由 Straiker STAR Labs 資深安全研究員 Amanda Rousseau 上週公布,Perplexity Comet 瀏覽器為受害者,駭客發送看似無害信件下指令刪除檔案。
假會議濫用Calendly平臺,駭客冒充知名品牌誘騙Google與Facebook廣告管理員帳號 iThome
最近兩年,網路釣魚攻擊手法多半以ClickFix為主,不過也有駭客利用會議安排為由,進行對手中間人攻擊(AiTM),意圖竊取Google Workspace和Facebook商業廣告管理帳號,過程裡他們假冒知名企業,並濫用名為Calendly的線上會議排程工具。
Mac 惡意程式激增之際,蘋果卻下調漏洞獎金 科技新報網
在 Mac 惡意軟體持續攀升的當下,蘋果近期調整 macOS 漏洞回報獎金的做法,引發全球資安社群高度關注。多名研究人員指出,蘋果已大幅降低多項 macOS 相關漏洞的獎金,其中部分獎金從過去的 3.05 萬美元降到僅剩 5 千美元,降幅之大與公司多年強調的隱私與安全形象形成強烈反差。
騙過ChatGPT幫他編寫惡意程式!日本17歲高中生成功駭入最大連鎖網咖,偷走725萬份會員個資 風傳媒
日本國內最大連鎖網咖「快活CLUB」遭到駭客入侵,伺服器內超過700萬組會員個資外流,根據警方調查發現,幕後黑手竟然是一名年僅17歲、來自大阪的高二男生,而且從小對編寫程式頗有心得的他,甚至能騙過ChatGPT既有限制,幫他完成一套惡意程式,成功入侵大企業伺服器。
冒牌ChatGPT Atlas瀏覽器網站鎖定macOS用戶而來,意圖竊取帳密資料 iThome
研究人員發現一個冒充OpenAI ChatGPT Atlas瀏覽器網站的惡意網站,結合神似正版的網站和指令使用者執行命令,得以繞過端點安全防護軟體,騙取使用者密碼和憑證。
第二個DeepSeek?郭正亮揭「這家中國AI公司」震撼科技圈:市場估值有噴發潛能 風傳媒
美國近來對人工智慧(AI)晶片是否應出售到中國的爭論持續激烈,然而,前立委郭正亮指出,中國科技發展速度已讓英國媒體《經濟學人》感到無比焦慮,最新一期的《經濟學人》報導稱,中國晶片產業在2026年會大放異彩,會讓全世界感到吃驚,即便美國對中國做種種限制,可是中國仍不斷創新。
【資安週報】1201~1205,臺灣有6家業者分別傳出遭勒索軟體攻擊的消息 iThome
在2025年12月第一星期資安新聞中,最多人關注的是勒索軟體針對臺灣產業攻擊的狀況,有6家業者遭入侵;韓國金融業前陣子亦遭受勒索軟體Qilin襲擊,如今指出是當地MSP業者GJTec遭駭成為入侵管道,此供應鏈攻擊導致超過20家資產管理公司的資料遭竊,研判是北韓國家級駭客發動。
資安威脅報告:超級殭屍網路大爆發,汽車業成為新熱門目標 科技新報網
根據 Cloudflare 統計,2025 年第三季最龐大的攻擊來源,是快速成長的殭屍網路 Aisuru,在全球已經感染力約 4 百萬個裝置,它甚至規律地發動每秒超過 1 terabits 的超巨量 DDoS (分散式阻斷服務)攻擊,比前一季增加了 54%,換算下來,幾乎是每天發動 14 次這種超巨量攻擊,其中規模最大的甚至達到 29.7 Tbps 和 14.1 Bpps(billion packets per second)。
駭客組織Dragon Breath透過多階段載入工具RoningLoader,意圖散佈RAT木馬Gh0st RAT iThome
為了讓攻擊活動順利進行,最近幾年駭客都會試圖癱瘓端點防毒軟體或EDR的運作,其中最常見的做法,是自行攜帶存在弱點的合法驅動程式(BYOVD),不過,現在有人直接濫用作業系統內建的防護機制,來達到目的。
老牌駭客竊資軟體大升級 Vidar 2.0竄起亂資安 網管人
新版本的Vidar Stealer 2.0從原本的C++改成只用C語言全部重寫,據稱效能和效率都獲得提升。此版本的推出正值Lumma Stealer相關活動衰退之際,這似乎意味著它旗下的駭客集團正在探索Vidar和StealC等作為替代方案。
太逼真!勝男險被假警察騙光積蓄 《好運來》揭露最新詐騙手法全解析 民視新聞網
劇中,勝男接到自稱「警察」的來電,聲稱兒子文斌出車禍、急需匯款協助和解。好運及時搶過手機怒斥詐騙,並一步步拆穿手法:從假藉南部醫院位置、到要求匯款的可疑流程,讓勝男驚覺險些受騙。
LINE下架逾7萬詐騙帳號 打詐指揮中心:有示範效果 中天新聞網
行政院打擊詐欺指揮中心昨天上午與LINE的日韓高層會面並進行意見交流,打詐指揮中心晚間透過新聞稿指出,4日會面是延續今年1月雙方會面的合作脈絡,針對詐騙手法演變以及平台治理需求深入討論,並逐項檢視前次溝通以來的推動進展,包括帳號管理、通報流程與資料調閱時限縮短等面向,希望在全民高度依賴的通訊環境下,強化平台與政府協作的效率與防護力。
南韓「反跟蹤App」將登場!新科技保護機制為女性安全再添保險 自由時報電子報
南韓社會近年來跟蹤騷擾犯罪頻傳,引發公眾對婦女安全的高度憂慮。為加強保護受害者,南韓法務部週三(11日)宣布將修改電子監控法規並開發專屬手機App,允許跟蹤騷擾受害者能即時在地圖上追蹤加害者的準確位置,一旦對方接近,受害者便可迅速逃離魔抓。
Google 威脅情報小組(GTIG)11 月發布的分析報告揭露了 5 款整合 LLM 技術的惡意程式。攻擊者利用 Google Gemini 和 Hugging Face 等 AI 服務,讓惡意程式能改寫自身原始碼或產生執行指令。
【資安日報】12月9日,AI開發工具與程式助理廣泛存在一系列資安漏洞,可串連形成攻擊鏈IDEsaster iThome
一項針對AI開發工具的研究揭露,多款主流AI IDE與程式助理存在超過30項安全漏洞,可能被用來竊取專案資料,甚至在開發者電腦上執行任意程式碼。資安研究人員Ari Marzuk將這類問題統稱為IDEsaster,指出受測的AI IDE與整合式程式助理中,所有都可被此攻擊鏈濫用,涉及GitHub Copilot、Cursor、Windsurf、Kiro.dev、Zed.dev、Roo Code、Junie、Cline、Gemini CLI與Claude Code等多款產品,目前已有24項漏洞取得CVE編號,AWS甚至發布安全公告AWS-2025-019回應。
氛圍編碼讓工程師陷 Debug 深淵,Deductive 用 AI 代理幾分鐘抓錯、年省上千工時 科技報橘
隨著軟體系統變得日益複雜,加上 AI 工具生成程式碼的速度飛快,工程師們似乎開始被淹沒於「除錯」(Debugging)任務之中,導致他們必須耗費近一半的工作時間尋找 Bug 源頭,而非專注於開發新產品。
Battering RAM硬體攻擊可繞過Intel與AMD機密運算,威脅公有雲資料安全 iThome
資安研究人員發表論文揭露Battering RAM攻擊,示範只要一塊成本約50美元的客製記憶體介面板,就能在Intel Scalable SGX與AMD SEV-SNP這兩種主流機密運算技術上,繞過記憶體加密與開機驗證,在SGX上取得受保護記憶體的任意明文讀寫能力,並在SEV-SNP上破壞驗證機制(Attestation),直接動搖公有雲機密運算宣稱連雲端營運商都看不到資料內容的安全前提。研究團隊更指出,這類攻擊無法靠軟體或韌體更新輕易修補。
根據韓媒報導,該事件疑涉及離職中國籍員工不當取得資料,外洩內容包含:姓名、電話、地址、電郵與購物紀錄,引發隱私與詐騙風險疑慮。針對酷澎個資外洩事件,數產署平台經濟組長林青嶔表示,我國於11月底已掌握相關情資,並立即透過既有聯繫管道與酷澎瞭解情況。根據酷澎向我方的回報,這次個資外洩的影響主要發生於韓國境內用戶,目前尚未發現台灣用戶有個資外洩跡象。
韓國酷澎個資外洩陷爭議 被爆招募大量中國員工 中央通訊社
韓國酷澎近期爆發大規模個資外流事件,此次事件的嫌疑人被指為中國籍前員工,今天也有韓國媒體報導,韓國酷澎內部因成本、經營系統等原因,大量招募中國籍開發人員。
Asahi遭駭後續追蹤:190萬筆個資疑外洩,物流全面復原恐延至2月 一飲樂酒誌
日本三大啤酒龍頭之一的朝日啤酒Asahi,在9/29的時候遭到了「勒索軟體」攻擊伺服器,導致生產、訂單、物流全面停擺遲遲無法出貨,也使得居酒屋、便利商店等商家紛紛斷貨,甚至牽連到其他的啤酒商,包括KIRIN、三得利紛紛提前終止歳暮商品販售。
美加警告:中國駭客植後門 長期潛伏政府網路圖破壞 中央通訊社
美國和加拿大網路安全機構今天表示,與中國有關的駭客使用高度複雜的惡意軟體,滲透並長期取得若干未公開名稱的政府和資訊技術機構的存取權。
中國駭客利用Brickstorm對VMware虛擬化平臺下手,從事網路間諜活動 iThome
美國與加拿大針對中國駭客利用後門程式Brickstorm從事網路間諜活動提出警告,指出這些駭客將其用於攻擊VMware虛擬化平臺,複製虛擬機器(VM)的快照,然後從中挖掘憑證資料,以便從事後續活動。
中國駭客加入利用WSUS漏洞行列,散佈惡意軟體ShadowPad iThome
一個月前發布緊急更新的Windows Server Update Services(WSUS)重大漏洞再傳攻擊行動,有中國APT駭客搭配公用程式curl及certutil,於Windows Server植入惡意程式ShadowPad。
【資安日報】12月5日,React滿分資安漏洞已有多組中國駭客加入利用行列 iThome
本週React公布的滿分漏洞CVE-2025-55182(React2Shell),AWS提出警告,已出現多組中國駭客積極利用的情況,其中兩組人馬是Earth Lamia、Jackpot Panda。
【資安日報】12月8日,殭屍網路及中國駭客傳出已實際利用滿分資安漏洞React2Shell iThome
繼上週AWS警告多組中國駭客開始利用React滿分漏洞CVE-2025-55182(React2Shell),威脅情報業者GreyNoise、資安業者Palo Alto Networks,以及Shadowserver基金會都針對相關威脅態勢提出警告;再者,雲端服務業者Cloudflare出現服務異常,傳出也是與緩解此漏洞有關。
多家資安業者與機構警告React2Shell已遭積極利用,全球恐有數萬臺React主機尚未修補 iThome
繼AWS警告React滿分漏洞CVE-2025-55182(React2Shell)已遭多組中國國家級駭客用於實際攻擊,威脅情報業者GreyNoise與資安業者Palo Alto Networks也發現相關漏洞利用活動。
中國駭客UNC5174濫用Discord的API,目的是充當C2通訊管道以迴避偵測 iThome
資安業者AhnLab針對中國駭客UNC5174活動提出警告,指出駭客濫用Discord的API進行C2通訊,並以開源程式庫DiscordGo打造後門程式,使得櫝關活動難以察覺。
Canva又壞掉!Cloudflare 全球當機再現,多國網站大亂 CaVa
全球知名網路基礎架構服務商 Cloudflare 再度於 12 月 5 日傍晚發生大規模異常,不少國際網站連線受阻,包括設計平台 Canva 等服務皆跳出「HTTP 500 Internal Server Error」或被誤判為封鎖。由於官方仍未公布明確事故原因,外界推測可能是維護作業或系統更新出包,再度引發外界對 Cloudflare 高度依賴性的討論。
惡意Rust套件偽裝以太坊工具,鎖定Web3開發者發動跨平台攻擊 資安人
資安研究人員近期揭露一起針對 Web3 開發者的供應鏈攻擊事件。駭客組織將惡意 Rust 套件(crate)偽裝成以太坊虛擬機(EVM)工具,在開發者系統上秘密植入惡意程式,並根據作業系統類型執行不同的攻擊載荷。
美國房地產融資暨IT服務供應商SitusAMC遭駭,主要銀行客戶資料恐外流 iThome
上週末美國房地產融資暨科技服務業者SitusAMC發布公告,指出他們遭到網路攻擊,導致部分資料外洩,其中可能包含他們用戶的客戶資料,紐約時報取得銀行業界人士的說法,並透露美國聯邦調查局(FBI)已介入調查。
俄羅斯駭客利用MSC EvilTwin漏洞結合被入侵的網站,企圖散佈惡意程式 iThome
俄羅斯駭客組織Water Gamayun(EncryptHub、Larva-208)發起新一波攻擊行動,過程中利用微軟管理主控臺(MMC)漏洞CVE-2025-26633(MSC EvilTwin),並透過遭滲透的網站將用戶導向惡意網域。
蠕蟲程式GlassWorm出現第三波大規模攻擊,鎖定熱門工具與開發框架而來 iThome
資安業者Secure Annex偵測到新一波蠕蟲程式GlassWorm活動,這次攻擊者一口氣上架23個惡意VS Code延伸套件,鎖定知名開發工具的用戶而來。
2025 TAS:VPN 漏洞成入侵主要管道 供應鏈攻擊案例倍增 CIO IT經理人
回顧 2025 年整體資安態勢,從年初的 CrazyHunter 事件、APT 組織利用 VPN 設備漏洞發動猛烈攻擊,到近期全球知名啤酒大廠遭駭導致生產線全面停擺,一連串重大資安事件接連發生、餘波盪漾。這些案例凸顯出,即使企業整體資安意識已有所提升,防禦體系仍存在缺口,才使攻擊者有機可乘,應及早補強,防範於未然。
React 19伺服端元件出現RCE零驗證漏洞,波及Next.js等多個框架 iThome
React 19伺服器端元件爆發CVSS 10分RCE漏洞,攻擊者僅需特製HTTP請求即可在伺服器執行特權程式碼,Next.js等預設啟用RSC的框架全受影響,官方敦促立即更新。
鳳凰城大學遭遇Oracle EBS零時差漏洞攻擊 iThome
一如達特茅斯學院、賓州大學等學校,鳳凰城大學在甲骨文公司公告EBS漏洞後進行調查,因而發現資安事件,有未授權第三方人士濫用了Oracle EBS先前未知的漏洞以外洩特定資料。校方立即安裝了官方釋出修補程式。
客服系統拉警報!Zendesk 遭網釣攻擊,駭客揚言發動連續攻勢 網路資訊雜誌
ReliaQuest 研究人員發現,過去六個月來他們發現了 40 多個錯字 (typosquatted) 及假冒網域,像是 znedesk.com 、 vpn-zendesk.com 等來冒充 Zendesk 入口網站。有些網域提供假的單一簽入 (Single sign-on, SSO) 網頁來騙取帳號密碼,有的則寄發假工單給技術支援中心員工。
華碩遭駭時間點引人事聯想 內部人士:完全無關 壹蘋新聞網
華碩昨(3日)午後傳出遭駭客入侵,且就在華碩員工、中配錢麗因臉書粉專宣揚武統,遭註銷台灣身分、戶籍,並廢止依親居留許可,並於前天(2日)「在華碩人資監視下打包離開」後丟了工作的隔日遭駭,格外引發產業關注。華碩昨晚指出事件源自「合作供應商系統遭攻擊」,並非公司核心系統失效,目前也沒有跡象顯示旗下產品、用戶個資或內部關鍵資料受影響。公司已啟動資安應變措施,並同步加強供應鏈安全稽核與監控。
【資安日報】12月4日,華碩傳出供應商遭駭,外流手機相機軟體開發資料 iThome
勒索軟體Everest近日聲稱,他們竊得華碩的內部機密資料,而引起全球高度關注,對此,華碩表示遭到攻擊的其實是供應商,華碩旗下產品、公司內部系統,以及用戶隱私,皆未受到影響。
政院打詐中心會LINE高層 遭停權帳號研議加警示、調升帳號創設門檻 聯合新聞網
行政院打擊詐欺指揮中心今天與社群軟體LINE日韓高層會面,雙方針對詐騙手法演變以及平台治理需求深入討論。會中逐項檢視前次溝通以來的推動進展,包括帳號管理、通報流程與資料調閱時限縮短等面向,希望在全民高度依賴的通訊環境下,強化平台與政府協作的效率與防護力。
台電臉書粉絲專頁「台電電力粉絲團」發文指出,民眾若收到電費提醒簡訊,一定要注意兩大重點,真正的電費簡訊不會附上任何網址,而且發訊號碼一定是「111」。至於郵件與電話,也有明確辨識方式,提醒民眾避免上當導致荷包受損。
Array Networks旗下VPN設備資安漏洞遭利用,攻擊者以此植入Web Shell iThome
日本電腦網路危機處理暨協調中心(JPCERT/CC)警告,日本有多家企業Array AG系列SSL VPN設備遭到攻擊,這些設備皆存在一項安瑞科技(Array Networks)已於5月完成修補的資安漏洞(未登記CVE編號),呼籲企業應儘速採取行動。
AI 驅動資安大轉向:企業從補破洞走向韌性治理新時代 科技新報網
《科技新報》於 5 日舉辦「資安先機,韌性決勝 | AI 資安新防線」研討會,會中邀請了安瑞科技、如梭世代、安華聯網科技(德凱集團)、DEVCORE,以及集邦科技分析師等產學研界專家開講,聚焦在 AI 時代下,如何協助企業掌握全球資安發展脈動,建構兼具韌性與前瞻性的數位安全體系。
F5 最新報告:亞太區 API 安全缺口日益擴大,立即強化治理與韌性當務之急 iThome
隨著代理式人工智慧(Agentic AI)在亞太地區的快速普及,API安全正出現重大盲點。根據F5(納斯達克代碼:FFIV)最新發布的《2025 年策略要務報告:亞太區代理式 AI 時代保護 API 安全》(2025 Strategic Imperatives: Securing APIs for the Age of Agentic AI in APAC),AI 的快速採用正在重塑 API 威脅態勢,而 API 持續驅動著該地區的數位體驗。
法人表示,炎洲在塑膠包材上應用,隨著主要市場在通膨上、庫存調整逐步結束,明 (2026) 年大環境需求可望逐步回升。包括新能源事業,於第 4 季迎接太陽能發電工程完工認列營收,預期對集團整體獲利帶來挹注。
用 AI 杜絕詐騙、病毒!「AI 防詐達人 + PC-cillin 雲端防毒」完整解析,2026 年跨裝置防護必備 電腦王阿達
面對 2026 年這種「手機 AI 詐騙」和「電腦 AI 病毒」的雙重威脅,單靠自己辨識或基礎的防毒明顯不足,需要更強大的跨裝置 AI 防護才行,而趨勢科技的「AI 防詐達人 + PC-cillin 雲端防毒」,就是非常不錯的組合。
「AI攻擊是真實的事!」趨勢科技曝3大資安趨勢:Vibe Coding可能成為「新內鬼」 數位時代
趨勢科技總經理洪偉淦舉例,AI讓駭客更容易攻擊,過去駭客要手工把惡意程式寫出來,現在可以用AI做到半自動甚至是全自動的操作,或是透過大型語言模型生成可信度極高的釣魚郵件和程式。
趨勢科技「詐騙預警雷達」首曝!攜手刑事局打破資訊孤島 科技島
全球網路資安領導廠商趨勢科技(Trend Micro)為強化全民防詐能力,今(4)日與內政部警政署刑事警察局正式簽署「合作意向書」,啟動公私部門聯防機制,共同打擊日益複雜的詐騙行為。
台美韓專家論AI風險治理 防詐新科技偵測合成聲音 中央通訊社
台灣師範大學今天舉辦AI風險治理國際論壇,美國、韓國等國專家一同參與。學者提醒AI易用於偽造聲音、影片,對弱勢族群的威脅更大,而偵測合成聲音的技術,也已用於防範詐騙中。
假冒高層要求建立 LINE 群組的社交工程詐騙,手法解析與防範建議 iThome
近年來,企業持續遭遇以「公司高層名義」發動的社交工程攻擊。在今年第四季,中華數位科技與 ASRC 研究中心發現有這種攻擊手法有大量氾濫的趨勢,主要是透過電子郵件要求員工加入指定的 LINE 群組。
全新 LINE Pay Money 正式上線!首波四大功能、四大優惠一次看 今周刊
LINE Pay Money服務上線不到70小時,開通會員數已突破100萬,更創下台灣電子支付最快突破百萬會員的紀錄。LINE Pay Money上線推出好康優惠活動,其中「前100萬名3年合作銀行提領0手續費」更是讓許多人搶破頭,也讓LINE Pay Money上線第一天就流量暴增產生暫時性延遲等問題。
用掃毒軟體測AI爭議 刑事局:兩階段檢測工具混談 中央通訊社
報載立法院人士稱,刑事局「用掃毒軟體檢測生成式AI」是亂測。刑事局今晚澄清說,報導所稱「用掃毒軟體測AI」是將兩階段檢測工具混為一談,顯有誤解,特此說明以正視聽。
土銀高檢署簽MOU 強化AI識詐模型 經濟日報
土地銀行董事長何英明日前攜手臺灣高等檢察署檢察長張斗輝,共同代表簽署「可疑交易分析機制專案」合作意向書(MOU),透過共享詐騙集團交易模式與參數資料強化土地銀行AI識詐模型,鞏固金融安全防線。
台灣資安主管聯盟會員大會順利召開 CISO DAY 產官學研共聚一堂 CIO IT經理人
台灣資安主管聯盟(台灣 CISO 聯盟)於 12 月 5 日舉辦「2025 會員大會暨 CISO DAY」邀請產官學研資安專家群分享台美資安政策、國家資通安全政策與資安法之修訂等議題。行政院副院長鄭麗君親臨現場致詞以表支持,外交部、前國安會諮詢委員李漢銘亦發表台美資安政策的變化與趨勢。
【陳厚銘專欄】台灣品牌全球化的瓶頸與解方 CNEWS匯流新聞網
『2025年台灣25大國際品牌』榜單即將揭曉,25大總體品牌價值預計將突破150億美元大關。這項數據顯示,自2020年榜單名額擴增至25名以來,台灣品牌整體價值呈現穩健上升趨勢,反映出品牌能量正逐步累積與提升。
早上全球網路威脅分析師高峰會才開幕 傍晚華碩驚傳遭國際駭客勒索 LineToday
20 多個國家,超過 200 位資安產業專家12月3日出現在台北茹曦酒店參加「2025 TAS(Threat Analyst Summit)威脅分析師高峰會」,這是網路安全界的盛大聚會,不只是論壇,即便中場休息時間大家談論的話題具焦在駭客、勒索軟體、網路攻擊、後門、伺服器,沒想到,早上峰會盛大開幕,傍晚國際媒體就報導華碩遭國際駭客勒索,1TB相機原始碼外流!
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊 不想成為下一個受害者嗎?立即訂閱,搶先一步防範
