從生成式 AI 應用頻傳洩資事件,到 Windows 老舊系統與修補延遲再度成為攻擊破口,本週資安新聞再次提醒,真正的風險往往不是新技術本身,而是治理與基本控管是否到位。
⭕️資安趨勢部落格精選
- 當風險管理遇上 AI 巨浪:第一線資安防禦者的真實告白
- AI 詐騙全面進化:線上問診、物流簡訊、戀愛投資成 2026 年最大風險
- 從外送通知到動物紀錄片,你以為的真相可信嗎?詐騙越來越難辨識,AI 主動預警先一步保護全家人
- 【上週資安新聞週報】2026 年企業最關鍵的資安風險是什麼?如何讓高層買單資安風險管理策略?
⭕️ 本週資安快問快答
Q1:為什麼生成式 AI 會成為本週最大的資安治理風險?
AI 應用快速普及,但治理與防護尚未到位。本週多起事件顯示,從200 款 AI App 洩資、iOS 上百款 App 外洩數億筆個資,以及 Google Gemini 出現間接提示注入漏洞,AI 正同步放大企業的攻擊面與風險。問題不只是單一漏洞,而是資料存取、權限控管與安全設計尚未跟上 AI 應用擴張的速度。
Q2:本週哪些「老問題」再次被證明是高風險?
老舊系統、修補延遲與設定錯誤仍是主要破口。Windows 密碼可被快速破解、更新導致系統異常,以及惡意軟體持續繞過防毒偵測,都顯示基本資安治理不到位,風險就會被放大。
Q3:企業與高層現在最該優先做什麼?
把資安視為營運風險,而非單純 IT 問題。強化身分與權限治理、落實漏洞修補追蹤,並將 AI 詐騙納入整體風險管理,是立即可行的三個重點。
⭕️ 本週資安新聞五大重點摘要
一、AI 應用風險全面浮現:說服力、漏洞與詐騙齊爆發
- 研究指出生成式 AI 已具備高度說服力,但「AI 廣告化」恐放大誤導風險,成為 Google 踩煞車的重要原因。
- AI 應用成資安破口重災區:Firehound 揭露近 200 款 App 洩資,iOS 平台更爆出上百款 App 外洩數億筆個資。
- Google Gemini 被發現存在間接提示注入漏洞,可外洩會議紀錄、行事曆等敏感資訊,顯示企業導入 AI 助手仍需嚴密防護。
- 數據顯示「AI 詐騙」案件暴增,社群平台與即時通成為高風險管道。
關鍵觀察
AI 不再只是輔助工具,而是同時放大影響力與攻擊面,企業在導入生成式 AI 的同時,必須同步思考治理、資安與風險控管機制。
相關報導:
研究揭生成式 AI 已具備強大說服力,為何「AI 廣告化」卻讓 Google 踩煞車? 科技報橘
Firehound 揭近 200 款 App 洩資,AI 應用成重災區 科技新報網
Google Gemini間接提示注入漏洞可外洩會議、行事曆資訊 iThome
數據揭「AI詐騙」暴增,哪些平台最危險? 天下雜誌網
二、重大漏洞與惡意軟體攻擊持續升溫
- GootLoader 惡意軟體透過上千個 ZIP 串接壓縮檔,企圖繞過防毒軟體與 EDR 偵測,顯示攻擊手法高度模組化。
- APT 攻擊行動頻繁:
- 中國駭客組織開發 VoidLink 惡意軟體框架,鎖定 Linux 雲端環境。
- 俄羅斯 Fancy Bear 持續強化全球機密資料竊取行動。
- 駭客滲透財星百大企業,利用 PDFSider 惡意程式建立後門通訊。
- 多款藍牙耳機被揭露存在可被追蹤、竊聽的重大漏洞,影響 Sony、JBL 等品牌,連蘋果生態系亦未能倖免。
關鍵觀察
攻擊面已從端點、雲端延伸至硬體設備,資安防護不能再只聚焦於單一層級或單一工具。
相關報導:
惡意軟體GootLoader透過1千個ZIP檔串接的壓縮檔傳送,企圖迴避防毒軟體偵測 iThome
中國駭客組織開發VoidLink惡意軟體框架,鎖定Linux雲端環境 資安人
俄羅斯Fancy Bear APT組織增強全球機密竊取行動 資安人
APT駭客滲透財星前百大公司的網路環境,利用惡意軟體PDFSider建立後門通訊 iThome
三、Windows 生態系資安與穩定性問題集中爆發
- Google Mandiant 證實可在 12 小時內破解 Windows 管理員密碼,呼籲企業淘汰舊版系統。
- 多起 Windows 安全更新引發異常事件,包括關機異常、無法開機、遠端連線失效,微軟緊急發布修補與暫行解法。
- 一項影響用戶多年的 Windows Bug 終於確認修復,突顯長期技術債問題。
關鍵觀察
作業系統老化與修補風險已成企業營運與資安的雙重壓力,更新策略與測試流程需重新檢視。
相關報導:
12小時破解Windows管理員密碼!Google Mandiant釋出「彩虹表」 勸老闆們別再用微軟舊系統 Pchome 新聞
Windows 11安全更新引發眾多版本Windows裝置無法開機、遠端連線 微軟緊急修補 iThome
影響用戶多年的Windows Bug 微軟終於要修復了 宅中地
四、詐騙手法持續進化,信任機制成主要攻擊目標
- 詐騙郵件假冒銀行異常交易通知,誘導用戶點擊「取消交易」連結。
- 駭客冒名總統名義發送釣魚郵件,刑事局公開呼籲民眾提高警覺。
- 趨勢科技與刑事局簽署防詐合作備忘錄,強化公私協力與全民防詐機制。
- 亦傳出警政人員非法查詢並洩漏個資事件,凸顯內部權限與稽核管理的重要性。
關鍵觀察
現代詐騙高度結合真實情境與即時反應,已從「騙技術」轉為「騙信任」。
相關報導:
收銀行異常交易通知以為被盜刷! 他急按「取消交易」傻眼:這封郵件才是詐騙 Ctwant
冒名賴總統發釣魚信件 刑事局呼籲民眾勿受騙 中央通訊社
五、國際資安治理與產業動態
- 歐盟擬汰換高風險設備,供應鏈與國安考量升溫,華為恐首當其衝。
- 加拿大投資監管組織 CIRO 證實資安事件,約 75 萬名投資人資料受影響。
- 思科修補已遭利用的零時差漏洞,再次顯示即時通報與修補的重要性。
- 產品資安治理(PSIRT)成為國際趨勢,企業需建立完整漏洞回應與揭露機制。
- OpenAI、微軟、Google 持續擴大 AI 佈局,OpenAI 營收突破 200 億美元,產業競爭加速。
關鍵觀察
資安已不只是 IT 議題,而是橫跨地緣政治、供應鏈安全與 AI 產業競爭的核心戰場。
相關報導:
加拿大投資監管組織CIRO證實未經授權存取事件,75萬投資人資料受影響 iThome
思科修補郵件安全閘道及上網安全閘道已遭利用的零時差漏洞 iThome
【產品資安治理要求成國際浪潮】企業需正視PSIRT建置,完善產品與服務漏洞通報應變 iThome
OpenAI營收破200億美元 運算能力擴大與用戶創新高 中央通訊社
⭕️ 媒體資安新聞一覽
研究揭生成式 AI 已具備強大說服力,為何「AI 廣告化」卻讓 Google 踩煞車? 科技報橘
Google Gemini間接提示注入漏洞可外洩會議、行事曆資訊 iThome
AI趨勢周報第283期:Claude Code新功能解決MCP擴充痛點 iThome
科技巨頭收購版圖大盤點!OpenAI、Google、微軟⋯他們各自佈局哪些垂直領域? 數位時代
OpenAI營收破200億美元 運算能力擴大與用戶創新高 中央通訊社
Cybersecurity 2026:AI 攻擊全面化,企業如何提早佈局防禦? 科技報橘
微軟Copilot測試「Real Talk」模式 AI不再只會官腔回答 ETtoday新聞雲
微軟啟動研究專案,以AI輔助重寫程式碼庫 iThome Weekly電腦報
數據揭「AI詐騙」暴增,哪些平台最危險? 天下雜誌網
重大漏洞!耳機變竊聽器還會被駭客追蹤…Sony、JBL都中標 蘋果也陷危機 udn科技玩家
12小時破解Windows管理員密碼!Google Mandiant釋出「彩虹表」 勸老闆們別再用微軟舊系統 Pchome 新聞
Firehound 揭近 200 款 App 洩資,AI 應用成重災區 科技新報網
Windows 11安全更新引發眾多版本Windows裝置無法開機、遠端連線 微軟緊急修補 iThome
影響用戶多年的Windows Bug 微軟終於要修復了 宅中地
Windows安全更新致關機異常!微軟發布臨時解決方案 宅中地
惡意軟體GootLoader透過1千個ZIP檔串接的壓縮檔傳送,企圖迴避防毒軟體偵測 iThome
收銀行異常交易通知以為被盜刷! 他急按「取消交易」傻眼:這封郵件才是詐騙 Ctwant
中國駭客組織開發VoidLink惡意軟體框架,鎖定Linux雲端環境 資安人
俄羅斯Fancy Bear APT組織增強全球機密竊取行動 資安人
【資安日報】1月20日,惡意軟體GootLoader透過ZIP串接手法迴避防毒軟體與EDR偵測 iThome
APT駭客滲透財星前百大公司的網路環境,利用惡意軟體PDFSider建立後門通訊 iThome
冒名賴總統發釣魚信件 刑事局呼籲民眾勿受騙 中央通訊社
27年連續獲利不間斷!亞洲、台灣最大純軟體公司總經理揭關鍵心法 自由時報電子報
【產品資安治理要求成國際浪潮】企業需正視PSIRT建置,完善產品與服務漏洞通報應變 iThome
伊朗國營電視駭客入侵!流亡王儲現身喊話 經濟學人:伊朗政權瀕臨極限 三立新聞網
加拿大投資監管組織CIRO證實未經授權存取事件,75萬投資人資料受影響 iThome
思科修補郵件安全閘道及上網安全閘道已遭利用的零時差漏洞 iThome
快訊/非法洩漏個資!三重警幫詐團車手查「通緝資料」 聲押禁見獲准 三立新聞網
資安署114年12月資安月報:《危害國家資通安全產品審查辦法》正式上路;SSL VPN漏洞成駭客入侵破口 資安人
研究揭生成式 AI 已具備強大說服力,為何「AI 廣告化」卻讓 Google 踩煞車? 科技報橘
權威期刊《Science》近期刊載一項大規模研究,研究背景是針對 19 種不同的大型語言模型、在 707 個政治議題上與超過 7 萬名受試者進行實驗,結果指出科學家已證實大型語言模型具備強大的說服力,能有效改變人類的立場與態度。
Google Gemini間接提示注入漏洞可外洩會議、行事曆資訊 iThome
資安研究人員發現Google Gemini之前存在一項間接提示注入漏洞,可讓攻擊者繞過Google行事曆(Google Calendar)的隱私控管而外洩會議資料,或是偷偷加入新的行事活動。Google接獲通報後已經確認漏洞並予以修補。
重大漏洞!耳機變竊聽器還會被駭客追蹤…Sony、JBL都中標 蘋果也陷危機 udn科技玩家
研究指出,攻擊者可以利用Google Fast Pair連線至目標裝置(如耳機),過程中完全無需實體接觸,只要處於藍牙接收範圍內,便可在數秒鐘發起攻擊。一旦連線成功,便能透過目標裝置播放音訊或錄音竊聽,甚至可以利用Google的尋找裝置功能進行追蹤。
12小時破解Windows管理員密碼!Google Mandiant釋出「彩虹表」 勸老闆們別再用微軟舊系統 Pchome 新聞
Google旗下資安公司Mandiant日前公開釋出一套針對微軟NTLMv1身分驗證協定的「彩虹表」(RainbowTable),證實駭客僅需使用市價不到600美元(約新台幣1.9萬元)的電腦設備,即可在12小時內暴力破解管理員密碼,Mandiant盼藉此舉能迫使仍在使用舊技術的企業加速系統升級。
AI趨勢周報第283期:Claude Code新功能解決MCP擴充痛點 iThome
Claude Code推出新功能MCP Tool Search;不靠堆參數,Falcon-H1R用7B小模型挑戰大型推理AI;Anthropic揭自主型AI代理;Cursor實驗多代理協作自動寫程式,從零打造瀏覽器;Anthropic推醫療B2B服務;Google升級醫療多模態模型MedGemma,可讀3D影像了。
科技巨頭收購版圖大盤點!OpenAI、Google、微軟⋯他們各自佈局哪些垂直領域? 數位時代
AI領域的競爭正在從比拼基礎模型本身,漸漸轉邁向發展實際應用、加速服務落地的階段,而從AI巨頭的併購及投資,也反應出這種變化。企業競相收購的,不再只是在演算法、模型及晶片等前端領域出色的新創,開始出現垂直應用整合的趨勢。
OpenAI營收破200億美元 運算能力擴大與用戶創新高 中央通訊社
人工智慧公司OpenAI財務長佛萊爾在部落格文章中表示,公司2025年的年化營收已突破200億美元,較2024年的60億美元成長,這項營收成長與運算能力擴大有著密切相關。
Cybersecurity 2026:AI 攻擊全面化,企業如何提早佈局防禦? 科技報橘
隨著生成式 AI 浪潮席捲全球,企業資安戰線也正迎來前所未有的變局。Google Cloud 近日發表《Cybersecurity Forecast 2026》(2026年網路安全預測)報告中指出:2026 年將是全球資安戰場將正式邁入「AI 攻擊全面實戰化」 的時代。駭客不再只是嘗試性地導入 AI,而是將生成式 AI 作為攻擊核心引擎,用來模擬真實對話、仿造身份、生成惡意程式碼,甚至自動化滲透攻擊流程。
微軟Copilot測試「Real Talk」模式 AI不再只會官腔回答 ETtoday新聞雲
微軟正替旗下 AI 助手 Copilot 注入更多「人味」。為了在生成式 AI 戰場上迎戰 Google Gemini 與 ChatGPT,微軟近日低調開放 Copilot 全新「Real Talk」對話模式測試,同步也開始測試影片生成功能,試圖強化互動體驗、拉近與使用者之間的距離。
微軟啟動研究專案,以AI輔助重寫程式碼庫 iThome Weekly電腦報
Cursor讓數百個AI代理在同一專案並行運作近一周,改採規畫者與執行者工作管線分工,從零打造瀏覽器程式碼庫,累積寫出超過100萬行程式碼。
Windows 11安全更新引發眾多版本Windows裝置無法開機、遠端連線 微軟緊急修補 iThome
上周發布的Windows 11 Patch Tuesday安全更新,造成眾多消費者及企業版本Windows裝置無法開機、遠端登入等災情,微軟周末發出例外(out-of-band,OOB)修補更新。
影響用戶多年的Windows Bug 微軟終於要修復了 宅中地
際上這個Bug並非新問題,而是自Windows 10時代起就長期存在的機制,當系統通過小版本更新(EKB)升級時,水印往往只停留顯示基礎版本號,而無法實時更新具體的版本。
Windows安全更新致關機異常!微軟發布臨時解決方案 宅中地
微軟官方確認,部分設備安裝2026年1月累積更新(KB5073455)後出現異常現象:在嘗試關機或休眠時,系統會自動觸發重新啟動,導致用戶無法正常關閉設備。
Firehound 揭近 200 款 App 洩資,AI 應用成重災區 科技新報網
由資安研究實驗室 CovertLabs 主導的專案 Firehound,近期揭露了一項令人震驚的事實,那就是 App Store 上至少有近 200 款應用程式 正在洩漏使用者資料,其中多數與 AI 聊天或生成式應用相關。
惡意軟體GootLoader透過1千個ZIP檔串接的壓縮檔傳送,企圖迴避防毒軟體偵測 iThome
MDR資安業者Expel針對惡意程式載入工具GootLoader最新一波攻擊提出警告,駭客採用約500至1,000個ZIP檔進行串接,使得研究人員慣用的分析工具或是第三方解壓縮工具,都無法解出有效酬載而成功迴避調查。
收銀行異常交易通知以為被盜刷! 他急按「取消交易」傻眼:這封郵件才是詐騙 Ctwant
不少民眾遇到刷卡異常通知,第一時間都會緊張處理,但一不小心恐怕反成詐騙目標。近日就有網友分享,他誤信一封「銀行異常交易通知」電子郵件,照步驟輸入電話、卡號等資料後,才驚覺是詐騙訊息,所幸他卡片額度不高,沒有讓信用卡被盜刷。
數據揭「AI詐騙」暴增,哪些平台最危險? 天下雜誌網
當AI滲透人類的日常生活,這項技術的黑暗面也愈來愈清晰。根據權威機構「AI事故數據庫」統計,2025年是有紀錄以來AI造成實質傷害最嚴重的一年,哪類型的危害最常見?該如何避免?
中國駭客組織開發VoidLink惡意軟體框架,鎖定Linux雲端環境 資安人
資安研究人員發現名為 VoidLink 的進階惡意軟體框架,專門針對 Linux 系統設計,具備高度模組化架構與雲端優先的攻擊能力。資安業者 Check Point Research 於 2024 年 12 月首次發現這款工具,研判與中國駭客組織有關。目前尚未發現實際攻擊案例,但其技術成熟度已引起資安界高度關注。
俄羅斯Fancy Bear APT組織增強全球機密竊取行動 資安人
俄羅斯知名國家級駭客組織 APT 28(又稱 Fancy Bear)持續針對巴爾幹半島、中東和中亞的特定組織發動憑證竊取攻擊。這個與俄羅斯聯邦總參謀部情報總局(GRU)相關的組織採用看似簡單卻極為有效的基本技術,投資報酬率往往超越複雜的惡意軟體行動。
【資安日報】1月20日,惡意軟體GootLoader透過ZIP串接手法迴避防毒軟體與EDR偵測 iThome
資安廠商提出警告,去年11月再度活動的惡意軟體GootLoader,駭客利用名為ZIP檔案串接技術(ZIP Concatenation)手法,使得有效酬載只有Windows檔案總管(File Explorer)能解開,從而迴避使用資安工具與第三方解壓縮工具的資安人員檢查。
APT駭客滲透財星前百大公司的網路環境,利用惡意軟體PDFSider建立後門通訊 iThome
資安公司Resecurity在調查財星前百大(Fortune 100)公司的資安事故過程,發現惡意程式PDFSider,APT駭客以生產力工具PDF24 Creator的主程式載入啟動,以此建立隱密的通訊管道。
冒名賴總統發釣魚信件 刑事局呼籲民眾勿受騙 中央通訊社
近期有不明人士冒用總統賴清德名義寄送電子郵件,並誘騙民眾回覆。刑事局今天提醒,冒用賴總統名義寄送郵件已觸法,科技犯罪防制中心正蒐集事證偵辦中,提醒民眾勿受騙。
27年連續獲利不間斷!亞洲、台灣最大純軟體公司總經理揭關鍵心法 自由時報電子報
提到如何長期維持穩定營利,趨勢科技總經理洪偉淦指出,關鍵在於每一次IT架構與威脅型態發生轉變時,都能做到「提前布局、持續轉型」。
【產品資安治理要求成國際浪潮】企業需正視PSIRT建置,完善產品與服務漏洞通報應變 iThome
PSIRT概念行之有年,全球早已有多家企業透過建立專責機制,強化產品漏洞通報與應變能力,如今產品資安治理受多國政府重視,臺灣產業在PSIRT建置的腳步需要加快。
根據《路透》報導,歐盟執委會周二 (20 日) 公布《網路安全法》修訂草案,計畫在關鍵產業中逐步淘汰來自「高風險供應商」的設備與零組件。相關措施預料將影響華為等中國科技企業,也顯示歐盟在資安與科技自主議題上的立場進一步趨嚴。
伊朗國營電視駭客入侵!流亡王儲現身喊話 經濟學人:伊朗政權瀕臨極限 三立新聞網
伊朗國營電視台遭駭客入侵!據ABC News19日報導,駭客於周日(18日)晚間干擾電視台衛星,多個頻道播放伊朗流亡王儲芮沙.巴勒維(Reza Pahlavi)的影片,並呼籲軍隊「不要將武器對準人民」,巴勒維辦公室雖然已經承認播放影片,但對於駭客事件沒有多做說明。
加拿大投資監管組織CIRO證實未經授權存取事件,75萬投資人資料受影響 iThome
加拿大投資監管組織CIRO證實去年8月釣魚攻擊影響約75萬加拿大投資人,可能受影響的資料範圍,包含出生日期電話、社會保險號碼與身分證件號、投資帳戶號,目前暫無濫用或暗網外流證據。
思科修補郵件安全閘道及上網安全閘道已遭利用的零時差漏洞 iThome
思科近日針對郵件安全閘道設備Secure Email Gateway(SEG),以及郵件暨網頁安全閘道Secure Email and Web Manager(SEWM)發布作業系統AsyncOS更新,修補一個月前公布的10分資安漏洞CVE-2025-20393。
快訊/非法洩漏個資!三重警幫詐團車手查「通緝資料」 聲押禁見獲准 三立新聞網
新北市三重警分局警備隊一名許姓員警,涉嫌在任職光明派出所時,利用公務系統協助詐團車手查詢通緝資料,並將查到的訊息提供給民眾。新北地檢署15日指揮新北市警察局督察室,搜索警備隊與許員住所,帶回許員並聲押,新北地院當天裁准羈押,詳細案情,仍有待進一步調查釐清。
資安署114年12月資安月報:《危害國家資通安全產品審查辦法》正式上路;SSL VPN漏洞成駭客入侵破口 資安人
據資通安全署最新發布的資通安全網路月報,本月蒐整政府機關資安聯防情資共6萬1,580件,較上月略減1,215件。《資通安全管理法》修正案已於12月1日正式施行,數位發展部並於12月19日發布「危害國家資通安全產品審查辦法」,為我國資安法制開啟新篇章。
◎瞭解更多 趨勢科技 AI 防詐達人
☞ Android 用戶請立即免費下載 ☞ iOS 用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技 PC-cillin 雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機 ✓電腦 ✓平板,跨平台防護 3 到位 ➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅ 社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅ 全球個資外洩追蹤 24 小時為您監測守護
✅ 跨平台密碼安全管理 讓您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用 3C 冷知識,
追蹤我們的 IG 帳號 看更多讓你數位生活更便利、更安全的貼文。
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊。不想成為下一個受害者嗎?立即訂閱,搶先一步防範
