這週資安十大新聞顯示,風險已從單一漏洞,全面擴散到 AI、金融與平台治理。重大事件包含:Google 提告中國 Darcula 詐團阻斷信用卡釣魚、Amazon 與 Perplexity 因 AI 代理購物掀起法律爭議、逾 800 萬用戶的瀏覽器擴充程式外洩 AI 對話資料、南韓新韓卡 20 萬筆商戶資料外流,以及 WhatsApp 新型帳號劫持攻擊曝光。
⭕️資安趨勢部落格精選
- 小心「碼」上有詐!從桃機入境掃碼事件,看 QR Code 詐騙陷阱防範
- Shai-hulud 2.0 蠕蟲攻擊鎖定雲端與開發環境
- 【上週資安新聞週報】Google Drive API 進行隱匿遠控攻擊/假 YouTube 影片盜刷 90 萬張信用卡/掃 QR Code 就中招?假政府網站詐騙擴散
AI 是企業創新重要引擎,而資安更是讓企業在轉型浪潮中成為重要的加速器。
企業資安人員若能預見 AI 的安全架構和風險,對於威脅控管必是從從容容,游刃有餘!
邀請您即刻下載趨勢科技《AI 資安白皮書》:
⭕️AI工廠防護,限時索取獨家攻略,立即下載 Secure AI Factory 完整指南!
⭕️用數位孿生與代理式 AI 先發制人⟫限時索取新世代資安白皮書
⭕️AI 創新?別讓漏洞拖垮您!主動保護您的AI 堆疊⟫資安攻略限時下載將關閉
⭕️本週資安十大新聞摘要
- Google告中國Darcula詐團,阻止信用卡釣魚盜刷
涉及釣魚詐騙盜信用卡,Google正式提告中國駭客團體Darcula,強化跨國打擊金融詐欺行動。
◎相關報導:
涉釣魚詐騙盜信用卡 Google告中國Darcula詐團 中央通訊社 - 亞馬遜控告Perplexity,AI幫你買東西惹爭議
AI代理購物引發法律爭議,亞馬遜對Perplexity提告,顯示AI在商業交易中潛在法律風險。
◎相關報導:
讓 AI 幫你買東西行不行?亞馬遜控告 Perplexity 掀波 科技新報網 - 擴充程式攔截AI對話紀錄資料,逾800萬用戶受影響
4款熱門瀏覽器擴充程式被揭可收集並外傳使用者AI對話紀錄,資安威脅再升級。
◎相關報導:
安裝數逾800萬的4款擴充程式,被揭攔截AI對話資料 iThome - 南韓信用卡龍頭新韓卡,20萬筆加盟店個資外流
全球金融資安警鐘再響,駭客入侵導致大量商戶資料外洩,提醒跨國金融防護必要性。
◎相關報導:
南韓信用卡公司龍頭「新韓卡」 爆20萬筆加盟店個資外流 太報 - WhatsApp新型帳號劫持攻擊「GhostPairing」曝光
駭客可即時監控用戶對話,揭示即時通訊平台的新型威脅與社交工程手法。
◎相關報導:
WhatsApp 爆新型帳號劫持攻擊「GhostPairing」 駭客可即時監控所有對話 資安人 - 微軟安全更新造成Windows 10及舊版Server服務異常
部分PC及伺服器功能受影響,提醒企業在更新安全補丁時須謹慎測試。
◎相關報導:
微軟12月安全更新造成Windows 10 PC、舊版Server IIS、MQ功能無法運作 iThome - 北韓假工程師滲透全球科技業
不只是詐騙,北韓駭客以「假工程師」身分入侵,凸顯國家級威脅對全球科技供應鏈的挑戰。
◎相關報導:
不只是詐騙… 北韓「假工程師」如何滲透全球科技業 工商時報電子報 - AI瀏覽器自主操作恐成資安最大破口
新型AI瀏覽器功能可能被駭客濫用,成為自動化攻擊與資料竊取的新入口。
◎相關報導:
AI瀏覽器自主操作 恐成資安攻擊面最大破口 網管人 - Meta與金管會強化防詐措施,刪除上百萬則詐騙廣告
Meta移除780萬則台灣鎖定詐騙廣告,金管會運用AI下架逾10萬件詐騙廣告,展現科技打擊詐騙成效。
◎相關報導:
Meta強化打詐 移除780萬則鎖定台灣詐騙廣告 中央通訊社 - SonicWall VPN與Palo Alto、思科SSL VPN接連曝漏洞
零時差漏洞與密碼潑灑攻擊頻傳,企業網路安全面臨嚴峻挑戰,凸顯舊有VPN管理風險。
◎相關報導:
SonicWall旗下VPN設備的管理主控臺存在零時差漏洞,已被用於攻擊行動 iThome
大規模掃描鎖定Palo Alto Networks及思科SSL VPN閘道而來,駭客從事密碼潑灑活動 iThome
⭕️ 媒體資安新聞一覽
涉釣魚詐騙盜信用卡 Google告中國Darcula詐團 中央通訊社
Google母公司砸1496億元併Intersect Power:滿足AI算力吃電,資料中心電力版圖擴張到德州 數位時代
新型態手法ConsentFix結合OAuth同意網路釣魚,透過Azure CLI騙取微軟帳號 iThome
NuGet出現14惡意套件,仿冒加密工具與Google廣告API竊取機密 iThome
安裝數逾800萬的4款擴充程式,被揭攔截AI對話資料 iThome
中國駭客LongNosedGoblin鎖定東南亞及日本政府機構下手,透過微軟和Google雲端檔案共享服務隱匿行蹤 iThome
不滿中國擴大處罰淫穢訊息 駭客入侵快手播色情片 中央通訊社
中國駭客Ref7707鎖定歐洲政府機關而來,挾持受害組織的IIS與SharePoint主機充當C2 iThome
讓 AI 幫你買東西行不行?亞馬遜控告 Perplexity 掀波 科技新報網
【科技早餐】AI 成為裁員代名詞?美國今年 117 萬人丟飯碗,企業把帳算到 AI 頭上 科技報橘
2025 年 AI 代理如何推動網路犯罪模式劇變 ? 5 大能力助長攻擊規模與自動化 說資安新聞網
惡意 VPN 竊取完整 ChatGPT 與 Gemini 對話,超過 800 萬用戶遭殃 電腦王阿達
800 萬用戶 AI 對話紀錄遭外流:報告揭 Urban VPN 擴充功能攔截機制,機密直傳第三方數據庫 科技報橘
WhatsApp 爆新型帳號劫持攻擊「GhostPairing」 駭客可即時監控所有對話 資安人
南韓信用卡公司龍頭「新韓卡」 爆20萬筆加盟店個資外流 太報
史上首宗!駭客發簡訊給車主「您個資外洩了」 總代理緊急回應 ETtoday新聞雲
AI基本法三讀 政院應設戰略委員會 禁止用於侵害生命財產、破壞社會秩序、造假 政府應運用AI確保勞動權益 聯合報
不只是詐騙… 北韓「假工程師」如何滲透全球科技業 工商時報電子報
SonicWall旗下VPN設備的管理主控臺存在零時差漏洞,已被用於攻擊行動 iThome
老司機剉咧等!Pornhub洩個資遭勒索 會員恐被「公開處刑」 三立新聞網
TikTok遭控跨平台蒐集敏感個資 獲用戶在同志交友軟體Grindr活動 三立新聞網
未設驗證MongoDB資料庫曝16 TB職涯資料,近43億筆含大量LinkedIn個資 iThome
Firefox附加元件遭攻擊行動GhostPoster入侵,用PNG圖示藏惡意JavaScript程式碼 iThome
勒索軟體Weaxor加入利用React滿分漏洞的行列 iThome
.NET Framework HTTP用戶端代理設計缺陷,結合WSDL匯入可構成RCE攻擊鏈 iThome
大規模掃描鎖定Palo Alto Networks及思科SSL VPN閘道而來,駭客從事密碼潑灑活動 iThome
SonicWall SMA 1000爆零時差攻擊,駭客串連漏洞奪取完整控制權 資安人
金融資安天花板!韓國投資證券借鏡 Coupang 經驗 砸重金建構 AI 驅動防禦體系、資訊保護標準傲視亞太 商傳媒
微軟12月安全更新造成Windows 10 PC、舊版Server IIS、MQ功能無法運作 iThome
微軟公開預覽Copilot C++程式碼編輯工具,加速Visual Studio跨檔案重構 iThome
YouTube幽靈網路新攻勢,以Node.js載入器散佈Rhadamanthys竊資程式 iThome
【資安日報】12月18日,日本電商Askul公佈勒索軟體攻擊事故調查結果 iThome
勒索集團Clop傳鎖定Gladinet CentreStack,疑利用漏洞竊取資料進行勒索 iThome
駭客利用Gogs零時差漏洞入侵逾700臺伺服器 iThome
IDEsaster攻擊鏈濫用AI IDE與程式助理,恐致資料外洩與遠端程式碼執行 iThome
汽車零件大廠LKQ通報Oracle EBS資料外洩 影響近萬人 iThome
威聯通上櫃首日被爆駭客入侵 公司緊急回應了 自由時報網
大量React2Shell概念驗證工具出現在GitHub,突顯漏洞極為容易利用 iThome
Akamai 發佈 2025 資安年度回顧報告:揭露「AI 武器化」與「API 攻擊肆虐」下的全球數位危機 資安人
Vantage Markets 因與趨勢科技開展即時威脅情報合作而獲表彰 科技新報網
金管會2026年金檢重點出爐 新增防制洗錢 中央通訊社
Meta強化打詐 移除780萬則鎖定台灣詐騙廣告 中央通訊社
金管會運用AI打擊詐騙 廣告下架件數累計逾10萬件 中央通訊社
刑局破合法第三方支付助賭詐洗錢80億 自由時報電子報
資策會MIC發布2026年十大重點科技趨勢 CIO IT經理人
2025印尼遭網攻次數冠於亞太地區,臺灣資安產業正在提供協助 iThome
資安署:公私社群帳號不宜混用 建議機關強化帳號管控 工商時報電子報
總統主持全社會防衛韌性委員會第6次會議 盼全民培養因應挑戰的韌性 展現團結的臺灣精神 101新聞網
涉釣魚詐騙盜信用卡 Google告中國Darcula詐團 中央通訊社
Alphabet旗下的谷歌公司(Google Inc.)對一群涉嫌犯案的中國網路犯罪分子提出訴訟,指控這個組織策畫大規模釣魚行動,誘騙美國民眾提供信用卡號碼。
Google母公司砸1496億元併Intersect Power:滿足AI算力吃電,資料中心電力版圖擴張到德州 數位時代
綜合外媒周一 (22 日) 報導,Alphabet (GOOGL-US) 宣布同意以 47.5 億美元現金(約新台幣1496億元)收購潔淨能源開發商 Intersect Power,並承擔其現有債務。此舉旨在確保 Google 資料中心獲得穩定電力供應,以因應 AI 算力需求的爆炸性成長。
新型態手法ConsentFix結合OAuth同意網路釣魚,透過Azure CLI騙取微軟帳號 iThome
有人透過Google廣告、冒牌Cloudflare Turnstile圖靈驗證,並要求使用者進行特定身分流程,然後複製及貼上特定URL內容,意圖藉由Azure CLI進行新型態的網釣攻擊ConsentFix,揭露此事的資安公司警告,這種手法更加難以偵察及攔截,企業須提高警覺。
NuGet出現14惡意套件,仿冒加密工具與Google廣告API竊取機密 iThome
攻擊者自7月起在NuGet上架14個惡意套件,仿冒.NET加密貨幣函式庫與Google Ads API,竊取私鑰助記詞等錢包機密,或在交易流程改寫收款地址轉走資金,並竊取OAuth用戶端機密。
安裝數逾800萬的4款擴充程式,被揭攔截AI對話資料 iThome
專注於瀏覽器擴充程式與端點軟體的以色列資安業者Koi Security上周踢爆,有4款Chrome及Microsoft Edge擴充程式會監看、記錄並傳輸使用者與AI的對話。
中國駭客LongNosedGoblin鎖定東南亞及日本政府機構下手,透過微軟和Google雲端檔案共享服務隱匿行蹤 iThome
資安公司ESET針對追蹤近兩年的中國駭客組織LongNosedGoblin提出警告,並指出駭客橫行於東南亞與日本的政府機關,其攻擊手法相當特別,不僅利用雲端服務藏匿行蹤,部署惡意程式大多透過群組原則物件(GPO)進行。
不滿中國擴大處罰淫穢訊息 駭客入侵快手播色情片 中央通訊社
中國即將在明年元旦擴大處罰網路張貼淫穢訊息,即使是私聊傳給朋友也面臨重罰。官方新政引發不滿聲浪之際,有駭客昨晚成功入侵短影音平台快手,創立多個直播間播放色情影片,持續長達1個多小時,迫使快手一度關閉伺服器。
中國駭客Ref7707鎖定歐洲政府機關而來,挾持受害組織的IIS與SharePoint主機充當C2 iThome
中國駭客組織Ref7707(CL-STA-0049、Earth Alux、Jewelbug)攻擊活動範圍擴大,他們原本針對東南亞及南美洲,現在也在歐洲發動攻擊,特別的是,他們也濫用已被入侵的IIS與SharePoint伺服器,建立能進行C2通訊的中繼網路。
讓 AI 幫你買東西行不行?亞馬遜控告 Perplexity 掀波 科技新報網
近日,兩個非營利組織安全科學與技術法律倡導者 LASST 與 Encode AI,向法院提交支持亞馬遜的意見書,主張 AI 代理人應明確自我揭露其非人類身分。LASST 負責人泰勒‧惠特默(Tyler Whitmer)表示,隨著 AI 代理人日益普及,要求其自我辨識至關重要。此舉不僅有助於商業與安全層面的考量,也能避免代理人扭曲公共論述,進而削弱民主參與。
瀏覽器正快速融入人工智慧技術,催生出AI瀏覽器。其核心是在傳統瀏覽器中深度整合大型語言模型助手,能夠檢視網頁內容並執行使用者操作,近年來已有多家科技領導廠商投入該領域。這不僅是一場技術革命,更是商機與風險的賭注。
【科技早餐】AI 成為裁員代名詞?美國今年 117 萬人丟飯碗,企業把帳算到 AI 頭上 科技報橘
人工智慧正快速成為就業市場最敏感的關鍵字。根據《CNBC》報導,人資顧問公司 Challenger, Gray & Christmas 統計,美國企業今年以 AI 策略調整為由,累計裁撤約 5 萬 5 千個職位。2025 年以來,全美企業宣布裁員總數已達 117 萬人,創下 COVID-19 疫情以來新高。
2025 年 AI 代理如何推動網路犯罪模式劇變 ? 5 大能力助長攻擊規模與自動化 說資安新聞網
現代網路犯罪生態系已高度商品化,並形成一個成熟的「即服務」產業,駭客所需的犯罪工具一應俱全且持續演進,並能利用AI讓攻擊行動變得更快、更有效率。趨勢科技強調,未來網路犯罪模式將從「網路犯罪即服務(Cybercrime-as-a-Service)」走向「網路犯罪即助手(Cybercrime-as-a-Sidekick)」,駭客將能透過AI代理為其攻擊行動帶來五大助力:
惡意 VPN 竊取完整 ChatGPT 與 Gemini 對話,超過 800 萬用戶遭殃 電腦王阿達
AI 功能越來越完善,很多人已經習慣「萬事問 AI」。近日,安全研究人員對所謂隱私擴展的調查後發現,有些人正在秘密收集並販售主流 AI 平台用戶的完整對話。這些隱私擴充功能可在 Microsoft Edge 及其他 Chrome 瀏覽器中使用,能夠針對並捕捉多個 AI 平台的對話,包括 ChatGPT、Claude、Gemini、Microsoft Copilot、Perplexity、DeepSeek、Grok(xAI)及 Meta AI。
800 萬用戶 AI 對話紀錄遭外流:報告揭 Urban VPN 擴充功能攔截機制,機密直傳第三方數據庫 科技報橘
透過 AI 聊天機器人解決生活上的疑惑,甚至與 AI 談心,已經成為許多人每天的日常。然而,近期卻有研究發現,使用者與 AI 的聊天紀錄,正在被我們每天都會接觸到的網路瀏覽器悄悄散播。
WhatsApp 爆新型帳號劫持攻擊「GhostPairing」 駭客可即時監控所有對話 資安人
資安廠商 Gen Digital 近日揭露一起名為「GhostPairing」的 WhatsApp 帳號劫持攻擊活動。攻擊者濫用 WhatsApp 合法的裝置連結功能,透過精心設計的釣魚頁面誘騙用戶輸入配對碼,即可在不觸發任何安全驗證的情況下完全接管帳號,即時監控受害者的所有對話內容。
南韓信用卡公司龍頭「新韓卡」 爆20萬筆加盟店個資外流 太報
據韓聯社與《朝鮮日報》報導,金融圈今天最新消息指出,南韓最大信用卡公司「新韓卡」(Shinhan Card),外流20萬筆加盟店的個資,多半為加盟店代表的手機號碼,少數外流案例則包括姓名、出生年月日等。
史上首宗!駭客發簡訊給車主「您個資外洩了」 總代理緊急回應 ETtoday新聞雲
不少現代汽車車主23日都收到一封可疑簡訊,寫著「您的個資已遭南陽實業洩漏」。對此,台灣總代理南陽實業緊急通知車主,「公司簡訊系統遭不法人士入侵,提醒切勿點擊不明連結貨提供個人/金融資訊」。這也是台灣首宗駭客以簡訊通知車主「個資外洩」。
AI基本法三讀 政院應設戰略委員會 禁止用於侵害生命財產、破壞社會秩序、造假 政府應運用AI確保勞動權益 聯合報
為因應人工智慧(AI)發展,立法院今三讀通過「人工智慧基本法」,確立AI發展等方面法制基礎。行政院應成立「國家人工智慧戰略特別委員會」;避免AI應用,有侵害人民生命、破壞社會秩序、國家安全或造假等情事;積極推動AI研發,辦理相關產業的補助、投資等,或提供財政優惠措施;弭平AI發展所造成的技能落差,落實尊嚴勞動,就AI利用所致的失業者,依其工作能力予以輔導就業。
不只是詐騙… 北韓「假工程師」如何滲透全球科技業 工商時報電子報
年多家外媒與美國官方揭露,北韓正透過具備實際技術能力的工程師,假冒身分應徵美歐企業遠端職缺,薪資最終可能回流至政權,用於支援軍事與核武計畫。從亞馬遜、微軟到多家《財星》500企業,這類案例已不再是零星詐騙,而是一條結合AI造假、深偽面試與「筆電代管」的可量產滲透模式。
SonicWall旗下VPN設備的管理主控臺存在零時差漏洞,已被用於攻擊行動 iThome
SonicWall本週針對旗下VPN設備SMA1000發布資安公告,修補設備管理主控臺(Appliance Management Console,AMC)中度風險漏洞CVE-2025-40602,並指出該漏洞已被用於實際攻擊,IT人員應儘速採取行動。
老司機剉咧等!Pornhub洩個資遭勒索 會員恐被「公開處刑」 三立新聞網
全球最大的成人影片網站「Pornhub」12日證實,部分付費高級會員(Pornhub Premium)的資料遭到駭客竊取,就在老司機們擔憂自己的瀏覽紀錄是否被外洩時,知名駭客集團ShinyHunters向媒體坦承他們就是幕後黑手,並寄信勒索Pornhub,警告若不支付贖金,將會公開會員的使用紀錄,等同於把老司機們「公開處刑」。
TikTok遭控跨平台蒐集敏感個資 獲用戶在同志交友軟體Grindr活動 三立新聞網
路透社17日報導,短影音平台TikTok再度捲入用戶隱私風暴。歐洲隱私倡議團體、總部位於奧地利維也納、別名「不關你事」(noyb)的歐洲數位權利中心(The European Center for Digital Rights)指控,TikTok未獲許可透過第三方數據追蹤商,監控用戶在同志交友軟體Grindr上的活動,恐已違反歐盟個資保護法規。
未設驗證MongoDB資料庫曝16 TB職涯資料,近43億筆含大量LinkedIn個資 iThome
未啟用存取驗證的MongoDB資料庫暴露近43億筆職涯資料,含大量LinkedIn個人資料,雖通報後兩天內關閉,但來源不明,恐助釣魚與冒名詐騙攻擊。
Firefox附加元件遭攻擊行動GhostPoster入侵,用PNG圖示藏惡意JavaScript程式碼 iThome
GhostPoster鎖定Firefox附加元件,把惡意JavaScript藏在PNG圖示尾端,載入時才抽出執行,連線回C2伺服器下載惡意載荷,並進行監控與分潤劫持等行為。
勒索軟體Weaxor加入利用React滿分漏洞的行列 iThome
有勒索軟體加入利用滿分資安漏洞CVE-2025-55182(React2Shell)的行列!揭露此事的資安公司S-RM指出,使用Weaxor勒索軟體的駭客,利用此漏洞取得初始入侵管道,停用內建防毒並部署勒索軟體、加密檔案,過程僅有一分鐘不到。
.NET Framework HTTP用戶端代理設計缺陷,結合WSDL匯入可構成RCE攻擊鏈 iThome
.NET SOAP HTTP用戶端代理存在設計缺陷,透過WSDL匯入可將請求寫入伺服器檔案,在多款企業產品造成遠端程式碼執行與NTLM雜湊外洩風險。
大規模掃描鎖定Palo Alto Networks及思科SSL VPN閘道而來,駭客從事密碼潑灑活動 iThome
針對SSL VPN系統進行大規模嘗試登入的情況再度出現,這次駭客先後鎖定防護較差的Palo Alto Networks與思科設備下手,使用特定的帳密資料,從事自動化攻擊。
SonicWall SMA 1000爆零時差攻擊,駭客串連漏洞奪取完整控制權 資安人
SonicWall 近日發布安全更新,修補了影響 Secure Mobile Access (SMA) 1000 設備的本地權限提升漏 洞CVE-2025-40602。由於該漏洞已遭實際攻擊利用,該公司強烈呼籲客戶立即套用修補程式。。
金融資安天花板!韓國投資證券借鏡 Coupang 經驗 砸重金建構 AI 驅動防禦體系、資訊保護標準傲視亞太 商傳媒
隨著數位金融詐騙與駭客攻擊手段日新月異,韓國頂尖金融機構正展開一場資安武裝競賽。繼電商龍頭 Coupang 建立嚴苛的數據安全標準後,韓國投資證券(Korea Investment & Securities)於今(18)日宣佈,將全面升級其資訊保護體系至「新高度」。
微軟12月安全更新造成Windows 10 PC、舊版Server IIS、MQ功能無法運作 iThome
微軟昨(17)日公告,本月的安全更新,造成Windows 10及舊版Windows Server的IIS及訊息佇列(Message Queuing,MSMQ)失常,出現資源不足的錯誤訊息,微軟正在調查原因。
微軟公開預覽Copilot C++程式碼編輯工具,加速Visual Studio跨檔案重構 iThome
微軟在Visual Studio 2026 Insiders公開預覽Copilot C++程式碼編輯工具,主打運用符號語意資訊,不只依賴文字搜尋,讓跨檔案重構更有效率並有助降低遺漏與錯誤風險。
本文將探討MAC Spoofing的攻擊原理,並結合Kali Linux工具macof與Wireshark封包擷取工具的實作,展示如何利用MAC Spoofing結合MAC Flooding攻擊觸發交換器廣播行為,成功攔截原本不屬於攻擊者的通訊資料,藉此理解封包側錄的實際過程,並學會透過技術手段主動保護本地網路。
YouTube幽靈網路新攻勢,以Node.js載入器散佈Rhadamanthys竊資程式 iThome
YouTube幽靈網路近期一波活動利用遭入侵帳號上架影片,以外掛與破解軟體引誘被害者下載壓縮檔,最終在Windows電腦散布Rhadamanthys竊資程式。
【資安日報】12月18日,日本電商Askul公佈勒索軟體攻擊事故調查結果 iThome
兩個月前日本無印良品網路商站部分業務出現中斷,原因是日本B2B電子商務與物流公司Askul遭勒索軟體攻擊,近期Askul發布調查報告說明,整起事故發生的導火線,是業務委外端有管理者帳號未啟用多因素驗證(MFA)釀禍。
勒索集團Clop傳鎖定Gladinet CentreStack,疑利用漏洞竊取資料進行勒索 iThome
對外開放的CentreStack伺服器疑遭勒索集團Clop鎖定,掃描估超過200臺公開暴露主機成潛在攻擊目標,另有研究揭露CentreStack存在漏洞CVE-2025-14611可讀取web.config設定檔,用戶應儘速更新。
駭客利用Gogs零時差漏洞入侵逾700臺伺服器 iThome
資安業者Wiz提出警告,有人試圖對曝露在網際網路上的Git伺服器Gogs下手,利用目前尚未修補的零時差漏洞CVE-2025-8110犯案,呼籲IT人員限縮存取Gogs系統的管道因應。
IDEsaster攻擊鏈濫用AI IDE與程式助理,恐致資料外洩與遠端程式碼執行 iThome
一項針對AI開發工具的研究揭露,多款主流AI IDE與程式助理存在超過30項安全漏洞,可能被用來竊取專案資料,甚至在開發者電腦上執行任意程式碼。資安研究人員Ari Marzuk將這類問題統稱為IDEsaster,指出受測的AI IDE與整合式程式助理中,所有都可被此攻擊鏈濫用,涉及GitHub Copilot、Cursor、Windsurf、Kiro.dev、Zed.dev、Roo Code、Junie、Cline、Gemini CLI與Claude Code等多款產品,目前已有24項漏洞取得CVE編號,AWS甚至發布安全公告AWS-2025-019回應。
汽車零件大廠LKQ通報Oracle EBS資料外洩 影響近萬人 iThome
根據LKQ向緬因州檢察長辦公室提交的文件,該公司在甲骨文9月份公布零時差漏洞後,於10月3日在第三方資安鑑識業者協助下展開調查,發現資料外洩事件,時間點落在9月8日。LKQ一察覺此事隨即切斷系統連線。LKQ相信沒有Oracle EBS以外的系統環境受影響。
威聯通上櫃首日被爆駭客入侵 公司緊急回應了 自由時報網
工業級儲存方案供應商威聯通(7805)今日掛牌上櫃就被傳出發生資安事件,旗下儲存裝置遭受駭客入侵並竊取1.7TB在暗網上兜售,對此,管理層火速回應,事件屬於特定單一使用者設備的維運疏失,卻可能對市場及投資人決策產生不必要的干擾,大眾應以事實與技術證據為依歸。
大量React2Shell概念驗證工具出現在GitHub,突顯漏洞極為容易利用 iThome
趨勢科技與VulnCheck兩家資安公司指出,他們近期看到有大量滿分資安漏洞CVE-2025-55182(React2Shell)概念驗證(PoC)工具,雖然品質參差不齊,但突顯漏洞利用難度不高,已有不同程式語言打造的工具。
Akamai 發佈 2025 資安年度回顧報告:揭露「AI 武器化」與「API 攻擊肆虐」下的全球數位危機 資安人
雲端與資安服務供應商 Akamai Technologies 正式發佈 「2025 年度資安回顧報告:AI、API 與肆虐的威脅 (Year in Review 2025: AI, APIs, and Audacity)」。報告深入剖析了過去一年網路攻擊者如何將 AI 從實驗階段轉化為成熟的進攻武器,並針對企業數位骨幹「API 介面」,展現出前所未有的攻擊膽識。
Vantage Markets 因與趨勢科技開展即時威脅情報合作而獲表彰 科技新報網
Vantage Markets集團在全球三十多個辦事處開展業務,其交易平台被公認為全球領先的多資產交易平台之一。憑借對可靠性、速度及用戶體驗的關注,該平台已成為澳洲第一、全球第二大交易平台。面對業務的快速增長與日益複雜的全球威脅形勢,該機構已投入大量資源,構建起一套智能化、一體化的網路安全防護體系。
金管會2026年金檢重點出爐 新增防制洗錢 中央通訊社
金管會2026年金檢重點出爐,金管會表示,明年金融檢查重點以防制詐騙、防制洗錢、金融消費者權益保護及資通安全韌性等4大議題列為特別關注領域,跟今年相比,減去不動產授信風險管理與公司治理,但新增防制洗錢面向,避免不法所得「漂白」。
Meta強化打詐 移除780萬則鎖定台灣詐騙廣告 中央通訊社
社群平台成為詐騙溫床,Facebook(臉書)母公司Meta積極強化打詐,運用AI及自動化系統加強偵測,自2024年3月起至2025年12月為止,Meta在台灣已移除780萬則鎖定台灣的詐騙廣告。
金管會運用AI打擊詐騙 廣告下架件數累計逾10萬件 中央通訊社
金管會今天表示,自2023年4月起督導證交所、櫃檯買賣中心等週邊單位,運用AI技術,在Meta及Google等社群平台主動蒐報涉詐投資廣告,截至12月12日已累計蒐報10萬8639件涉詐投資廣告,也請刑事警察局依法通知社群平台下架。
刑局破合法第三方支付助賭詐洗錢80億 自由時報電子報
合法登記第三方支付平台「國聲科技」有限公司,以虛擬帳號代收代付詐欺贓款與賭資,協助跨國詐騙集團及博弈網站洗錢,收取〇.三%至〇.五%手續費,不到兩年經手洗錢的金額至少八十億元,不法獲利上看三千萬元,國聲負責人謝睿宸及鄧姓科技公司負責人被逮後,均遭收押偵辦。
資策會MIC發布2026年十大重點科技趨勢 CIO IT經理人
資策會產業情報研究所(MIC)舉行《2026資通訊產業趨勢》記者會,發布2026年資通訊產業十大重點科技趨勢。整體而言,生成式 AI 與大型模型應用快速擴張,正全面推動半導體與資通訊產業結構重塑。從先進製程、AI 伺服器到邊緣運算、智慧終端、無人系統與資安服務,台灣供應鏈在多項趨勢中具備重要戰略位置。
2025印尼遭網攻次數冠於亞太地區,臺灣資安產業正在提供協助 iThome
多年來,臺灣資安威脅態勢一直處於相當嚴峻的狀態,但近期我們得知2025年前三季印尼面臨網路攻擊次數竟高於臺灣,是什麼原因造成這種現象?對於積極拓展國際市場的臺灣資安產業而言,該如何幫印尼提升資安?他們如何將面臨哪些挑戰?
資安署:公私社群帳號不宜混用 建議機關強化帳號管控 工商時報電子報
資安署發布最新資安月報,針對近期資安事件,資安署表示,機關基於業務宣傳需求設置Facebook粉絲專頁,並由業務承辦人與維運廠商負責日常管理作業,但有承辦人個人Facebook帳號因使用弱密碼遭不明人士入侵,進而影響與個人帳號綁定機關粉絲專頁管理權限事件。
總統主持全社會防衛韌性委員會第6次會議 盼全民培養因應挑戰的韌性 展現團結的臺灣精神 101新聞網
賴清德總統今(23)日下午主持「全社會防衛韌性委員會第6次委員會議」時表示,臺灣精神就是團結精神。面對重大天然災害、中國對臺灣及印太區域的威脅持續加劇,將持續結合中央和地方、政府和民間的力量,整合制度、政策和資源,確保政府及社會緊密協作,讓社會韌性建構更擴大、更全面,並鼓勵國人積極參與民防工作,共同強化臺灣因應挑戰的韌性。
◎瞭解更多 趨勢科技 AI 防詐達人
☞ Android 用戶請立即免費下載 ☞ iOS 用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技 PC-cillin 雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機 ✓電腦 ✓平板,跨平台防護 3 到位 ➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅ 社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅ 全球個資外洩追蹤 24 小時為您監測守護
✅ 跨平台密碼安全管理 讓您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用 3C 冷知識,
追蹤我們的 IG 帳號 看更多讓你數位生活更便利、更安全的貼文。
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊。不想成為下一個受害者嗎?立即訂閱,搶先一步防範
