⭕️資安趨勢部落格精選
⭕️ 本週五大資安重點趨勢
一、AI 應用與代理平台成為新一代供應鏈風險
多起事件顯示,AI 生態系已成為攻擊者重點滲透目標。
包括 MoltBot、Clawdbot、Ollama 等 AI 助理、代理與平台,出現大量惡意套件、不當配置與暴露主機,導致密碼、API 金鑰與系統存取權限外洩。問題核心不在模型本身,而在 AI 導入缺乏存取控管、套件審查與部署治理。
代表事件:
- MoltBot AI 助理 230 個惡意套件竊資
- Clawdbot 套件市集出現逾 300 個惡意擴充
- Ollama 超過 17.5 萬台主機暴露,面臨 LLM 濫用風險
◎相關報導:
MoltBot AI 助理爆重大安全危機:230 個惡意套件竊取密碼,社群平台同步外洩 API 金鑰 資安人
Clawdbot延伸套件市集出現逾300個惡意套件,駭客意圖散佈竊資軟體 iThome
Ollama 17.5萬臺主機曝露,遍及130國,可能面臨LLM濫用風險 iThome
二、國家級駭客行動升高,台灣成高風險熱區
多份報告與事件指出,中國、俄羅斯相關駭客組織同步升高攻擊頻率,鎖定外交單位、能源設施與關鍵基礎架構。微軟分析亦顯示,台灣面臨的國家級駭客活動數量已超越韓國,地緣政治風險明顯反映在網路空間。
代表事件:
- 中國駭客鎖定外交官寄送假美國政策檔
- 波蘭電力與再生能源設施遭破壞性攻擊
- 微軟揭露 2025 國家級駭客攻擊態勢
◎相關報導:
中國駭客升高全球攻擊 台灣首當其衝、韓國亦在列 中央通訊社
中國駭客鎖定全球外交官員寄假美國政策檔案 開啟即遭駭入 中央通訊社
波蘭電力基礎設施遭遇攻擊,傳出是俄羅斯駭客所為 iThome
臺灣面臨的國家級駭客活動事件數量超越韓國 微軟解析2025國家級駭客攻擊態勢 iThome Weekly電腦報
三、漏洞「被實際利用」成常態,修補與更新風險並存
本週多項漏洞已被證實遭 APT 或犯罪集團實際利用,涵蓋 Windows、Office、VPN、WinRAR、BIND、Fortinet、Nvidia CUDA 及多個開源套件。另一方面,Windows 更新本身亦引發無法開機、效能異常,凸顯修補流程與風險評估的重要性。
代表事件:
- Windows、Office 零時差漏洞遭 APT28 利用
- WinRAR 路徑遍歷漏洞遭中俄駭客濫用
- FortiCloud SSO、SSL VPN、BIND 高風險漏洞
◎相關報導:
針對近期微軟緊急修補的Office零時差漏洞,傳出俄羅斯駭客APT28用於實際攻擊 iThome
WinRAR 漏洞仍遭中俄駭客濫用,惡意檔直送 Windows 啟動資料夾 科技新報網
ISC修補BIND 9高風險漏洞CVE-2025-13878,惡意DNS紀錄可導致服務當機 iThome
資安署示警SSL VPN漏洞恐遭駭客利用 4措施防範 中央通訊社
Fortinet公佈已被積極利用的FortiCloud單一登入新漏洞,並釋出部分版本的更新程式 iThome
四、詐騙與社交工程全面升級,深偽與語音網釣成新主流
詐騙手法持續結合 AI 與自動化,從深偽驗證影片、語音網釣(vishing)、假維護通知,到 BEC 與 AiTM 攻擊,已能大規模鎖定企業與一般民眾,對金融、品牌信任與個資安全造成直接衝擊。
代表事件:
- 深偽技術生成驗證影片盜取存款,財損破 2 億
- Scattered Lapsus$ Hunters 發動大規模語音網釣
- LastPass 用戶遭假維護通知社交工程攻擊
◎相關報導:
台首例!詐團用馬斯克「星鏈+深偽技術」 盜臉騙2億 華視新聞網
⟫ 延伸閱讀:什麼是Deepfake深偽詐騙?(最新台灣案例總整理)
五、人為疏失與治理問題,正式超越勒索軟體
多份調查與實際事件顯示,勒索軟體雖仍存在,但造成重大資安事故的主因,已轉向設定錯誤、權限控管不當、第三方平台與帳號治理不足。資安風險正從「被攻擊」轉為「自己暴露」。
代表事件:
- Synology 調查:人為疏失成企業資料最大殺手
- Match Group、五福旅遊等個資外洩事件
- 第三方平台與備份檔未授權存取導致入侵
◎相關報導:
Synology 2026 調查揭企業資安新盲點: 人為疏失首超勒索軟體,應以自動化機制補足防線 iThome
ShinyHunters疑似經由第三方平臺取得約會App開發商Match Group逾1000萬筆資料 iThome
金融軟體服務供應商Marquis遭勒索軟體入侵,改指肇因為MySonicWall備份檔未授權存取 itome
⭕️ 媒體資安新聞一覽
MoltBot AI 助理爆重大安全危機:230 個惡意套件竊取密碼,社群平台同步外洩 API 金鑰 資安人
勒索軟體組織Everest聲稱竊得HP旗下Poly 90GB公司資料 iThome
中國駭客升高全球攻擊 台灣首當其衝、韓國亦在列 中央通訊社
中國駭客鎖定全球外交官員寄假美國政策檔案 開啟即遭駭入 中央通訊社
社交工程攻擊LastPass用戶遭鎖定,駭客假借維護通知要求用戶限時備份密碼保險庫,企圖騙取主密碼 iThome Weekly電腦報
資安署示警SSL VPN漏洞恐遭駭客利用 4措施防範 中央通訊社
網路犯罪聯盟Scattered Lapsus$ Hunters企圖對超過100家企業發動大規模語音網釣 iThome
WinRAR 漏洞仍遭中俄駭客濫用,惡意檔直送 Windows 啟動資料夾 科技新報網
ShinyHunters疑似經由第三方平臺取得約會App開發商Match Group逾1000萬筆資料 iThome
【資安日報】1月30日,駭客要求AI根據開發流程打造功能複雜的惡意程式 iThome
Windows 11非安全更新KB5074105再傳災情,用戶回報效能與開始選單異常 iThome
微軟承認 Windows 11 的 AI 策略失誤,不再強推 Copilot 並重新設計 Recall 科技新報網
微軟釋出更新 修補開機、登入問題 但疑似又有新問題 iThome
臺灣面臨的國家級駭客活動事件數量超越韓國 微軟解析2025國家級駭客攻擊態勢 iThome Weekly電腦報
Google瀏覽器反詐升級!Chrome擬導入Gemini 高風險網頁將被「二次審查」 工商時報電子報
滲透合作公司員工郵件帳號發SharePoint文件共用信,能源公司遭多階段AiTM網釣與BEC鎖定 iThome
Nvidia CUDA Toolkit曝4項高風險漏洞,恐影響支援輝達GPU加速的應用系統運作 iThome
竊資軟體Amatera Stealer透過Click-Fix網釣散佈,濫用App-V元件迴避偵測 iThome
Office用戶快更新!微軟證實重大漏洞、受影響版本曝光 自由時報電子報
【資安日報】1月28日,竄紅的開源AI平臺Clawdbot出現部分系統配置不當 iThome
俄羅斯與中國駭客加入利用WinRAR路徑遍歷漏洞的行列 iThome
WhatsApp爆重大漏洞!安卓用戶全被影響、駭客攻擊手法曝光 自由時報電子報
ISC修補BIND 9高風險漏洞CVE-2025-13878,惡意DNS紀錄可導致服務當機 iThome
發票中1000元竟倒賠1.6萬!一票苦主痛喊「真的太笨」,財政部曝正確領獎SOP 風傳媒
五福旅遊遭駭「旅客個資外洩」 觀光署展開行政調查 自由時報電子報
【資安日報】1月29日,波蘭電力基礎設施遭遇攻擊,傳出是俄羅斯駭客所為 iThome
微軟調查Windows 11安全更新引發的電腦無法開機問題 iThome
Fortinet公佈已被積極利用的FortiCloud單一登入新漏洞,並釋出部分版本的更新程式 iThome
2026年AI趨勢預測:代理式企業成關鍵轉捩點 最大挑戰是它 自由時報電子報
【資安週報】0126~0130,開源AI代理Clawdbot竄紅,不當配置的風險引發高度關注 iThome
【資安日報】2月3日,Clawdbot延伸套件市集出現逾300個惡意套件,駭客意圖散佈竊資軟體 iThome
Notepad++自動更新通道遭劫持,v8.8.9起強制驗證數位簽章防竄改 iThome
Ollama 17.5萬臺主機曝露,遍及130國,可能面臨LLM濫用風險 iThome
PHPUnit爆高風險漏洞CVE-2026-24765,CI/CD測試流程恐成RCE攻擊入口 iThome
老牌Python解析庫PLY爆重大RCE漏洞,未記載picklefile參數恐成攻擊入口 iThome
SandboxJS修補重大漏洞CVE-2026-23830,沙箱機制可遭繞過執行任意程式碼 iThome
金融軟體服務供應商Marquis遭勒索軟體入侵,改指肇因為MySonicWall備份檔未授權存取 itome
波蘭CERT公佈國家電網遭網攻事故最新調查結果,超過30個風力及太陽能發電廠遭遇破壞性攻擊 iThome
台首例!詐團用馬斯克「星鏈+深偽技術」 盜臉騙2億 華視新聞網
深偽技術生成驗證影片盜取存款 55人受害財損2億 中央通訊社
Google 奪回中國 Ipidea 網域,切斷數百萬 Android 裝置代理網路 科技新報網
【不只建造,更要部署、維運和管理成千上萬AI代理】十年雲原生浪潮的下一階段,AI原生時代的崛起 iThome
AI趨勢周報第284期:Google DeepMind給出多語言模型的最佳擴展法則 iThome
Meta算力擴張計畫直逼雲端巨頭與國家級規模 iThome Weekly電腦報
Synology 2026 調查揭企業資安新盲點: 人為疏失首超勒索軟體,應以自動化機制補足防線 iThome
Vibe Coding 新神器登場,OpenAI 推出 macOS 版 Codex 科技新報網
強化資安 公股銀導入零信任架構 工商時報
資安署攜手資安院、經濟部中企署 助中小企業打造資安防護體系 工商時報電子報
針對近期微軟緊急修補的Office零時差漏洞,傳出俄羅斯駭客APT28用於實際攻擊 iThome
MoltBot AI 助理爆重大安全危機:230 個惡意套件竊取密碼,社群平台同步外洩 API 金鑰 資安人
開源 AI 助理工具 MoltBot 近日接連爆發兩起重大安全事件。資安研究人員發現,短短一週內有超過 230 個惡意套件被上傳至官方套件庫,偽裝成合法工具散布竊資惡意程式。
勒索軟體組織Everest聲稱竊得HP旗下Poly 90GB公司資料 iThome
Cybernews報導,勒索軟體組織Everest近日宣稱竊得HP旗下視訊與語音會議方案供應商Poly(前稱為Polycom)的內部資訊約90GB,包括客戶資訊和一款晶片資料。
中國駭客升高全球攻擊 台灣首當其衝、韓國亦在列 中央通訊社
「朝鮮日報」旗下媒體Chosun Biz報導,全球由國家支持的駭客組織中,中國境內團體被發現數量最多。由於中國駭客團體數量遙遙領先,中國的網路威脅正逐漸成為長期及結構性問題,而非一時現象。這些攻擊手法也日益進化,不再僅限資料竊取,而是轉向對國家關鍵網路進行長期滲透,迫使各國提高警戒。
中國駭客鎖定全球外交官員寄假美國政策檔案 開啟即遭駭入 中央通訊社
以色列資安公司最新研究指出,中國駭客組織近期寄送偽裝成美國政策簡報的檔案,鎖定全球外交人員發動攻擊,收信者只要開啟檔案,系統即遭侵入。專家形容,中國駭客堪稱全球最老練,追查難度極高。
社交工程攻擊LastPass用戶遭鎖定,駭客假借維護通知要求用戶限時備份密碼保險庫,企圖騙取主密碼 iThome Weekly電腦報
近年來鎖定密碼管理服務LastPass用戶的攻擊行動,不時有消息傳出,例如:去年有人假借提供macOS版LastPass應用程式的名義,在GitHub散布竊資軟體Atomic Stealer(AMOS Stealer),近期又有攻擊行動,使得LastPass再度提出警告,呼籲用戶提高警覺。
資安署示警SSL VPN漏洞恐遭駭客利用 4措施防範 中央通訊社
數發部資安署近期示警,有機關網站偵測異常連線,經查駭客利用SSL VPN功能漏洞,登入新增帳號,並連線至資料庫主機植入惡意程式。資安署建議,可透過確保資安防護持續有效、更新韌體與弱點補強、落實帳號控管原則、遠端存取限制等4大措施防範。
網路犯罪聯盟Scattered Lapsus$ Hunters企圖對超過100家企業發動大規模語音網釣 iThome
威脅情資公司Silent Push發現網路犯罪聯盟Scattered Lapsus$ Hunters(SLSH)基礎設施大幅增加的情況,進一步調查發現,這些駭客最近一個月打算針對超過100家高價值企業下手,藉由語音網釣(Vishing)竊取單一登入(SSO)的憑證。
WinRAR 漏洞仍遭中俄駭客濫用,惡意檔直送 Windows 啟動資料夾 科技新報網
Google 威脅情報小組(Google Threat Intelligence Group,GTIG)指出,一項已於 2025 年 7 月完成修補的 WinRAR 重大漏洞,至今仍被多個攻擊行動廣泛利用,其中包含與中國與俄羅斯相關的國家級威脅行為者。
ShinyHunters疑似經由第三方平臺取得約會App開發商Match Group逾1000萬筆資料 iThome
Match Group旗下Tinder、OkCupid等多款約會App用戶資料,驚傳落入勒索軟體駭客組織ShinyHunters之手,入侵途徑疑似經由Match Group使用的第三方服務平臺。
【資安日報】1月30日,駭客要求AI根據開發流程打造功能複雜的惡意程式 iThome
資安公司Check Point針對雲端惡意軟體框架VoidLink進一步調查,發現駭客不僅採用AI編寫程式碼,還要求AI根據規格取向的開發方法(Spec-Driven Development,SDD),根據需求及時程打造惡意程式。該公司指出,這是他們第一個看到採用SDD模式打造的惡意軟體。
隨著企業數位場域的邊界不斷擴展,從地端資料中心延伸至雲端、邊緣裝置乃至於生成式人工智慧(GenAI)的應用場景,資安防禦的複雜度已非傳統單點防禦所能涵蓋。為了控管新型態應用場景衍生的風險,趨勢科技近年來持續發展Vision One平台,藉由Agentic SIEM(代理型資安事件管理)與Agentic SOAR(代理型資安自動化回應)來實現主動式預測與防範。
Windows 11非安全更新KB5074105再傳災情,用戶回報效能與開始選單異常 iThome
微軟為了解決1月Patch Tuesday更新災情,所發布的非安全更新KB5074105,卻被部分用戶回報出現效能變慢、開始選單異常或硬體無法使用等新狀況。微軟尚未證實相關問題,由於屬選用更新,用戶可依自身環境評估是否暫緩安裝。
微軟承認 Windows 11 的 AI 策略失誤,不再強推 Copilot 並重新設計 Recall 科技新報網
微軟之前積極將 Copilot AI 功能整合至 Windows 11 各應用程式,但引發大量負面回應。Windows 及裝置部門總監 Pavan Davuluri 於 2025 年 11 月在 X 宣布 Windows 11 將發展成「代理式作業系統」(agentic OS)後,貼文吸引超過 70 萬瀏覽,但評論幾乎一面倒負評,最後 Pavan Davuluri 被迫關閉留言,但即便關閉留言,用戶仍用轉文繼續表達不滿,認為微軟不想理會網路聲音。
微軟釋出更新 修補開機、登入問題 但疑似又有新問題 iThome
微軟1月安全更新KB5074109再傳災情,部分Windows 11 24H2與25H2實體裝置更新後無法開機,出現黑色死亡螢幕。微軟已證實接獲用戶通報,表示不影響伺服器與虛擬機器,正持續調查原因。
臺灣面臨的國家級駭客活動事件數量超越韓國 微軟解析2025國家級駭客攻擊態勢 iThome Weekly電腦報
面對國家級駭客攻擊,有那些國家要特別注意?微軟發布2025數位防禦報告,觀察到臺灣面臨的國家級駭客活動事件數達143起,居於全球第6名,僅次於美國、以色列、烏克蘭、阿拉伯聯合大公國、英國。
Google瀏覽器反詐升級!Chrome擬導入Gemini 高風險網頁將被「二次審查」 工商時報電子報
Google繼續強化旗下瀏覽器Chrome的資安防護力,近期正測試一項嶄新功能:結合自家AI模型Gemini的「反詐騙升級保護(Gemini Antiscam Protection)」。據外媒《Windows Report》報導,該功能將鎖定使用者造訪的高風險網站,在原有防護系統發出警示後,啟動進一步的AI分析,協助判斷是否涉及詐騙行為。
滲透合作公司員工郵件帳號發SharePoint文件共用信,能源公司遭多階段AiTM網釣與BEC鎖定 iThome
最新一波對手中間人攻擊(AiTM)與商業郵件詐騙(BEC)瞄準能源產業而來,揭露此事的微軟指出,駭客事先滲透其他組織可信的電子郵件帳號,然後發送看似正常的SharePoint連結,來啟動整個攻擊鏈。
Nvidia CUDA Toolkit曝4項高風險漏洞,恐影響支援輝達GPU加速的應用系統運作 iThome
晶片大廠Nvidia於1月20日發布安全公告,指出旗下GPU運算開發工具CUDA Toolkit存在4項資安漏洞,編號為CVE-2025-33228、CVE-2025-33229、CVE-2025-33230及CVE-2025-33231。相關漏洞涉及作業系統指令注入與不安全搜尋路徑設計,在特定條件下,可能被攻擊者濫用以執行任意程式碼或造成服務中斷。
竊資軟體Amatera Stealer透過Click-Fix網釣散佈,濫用App-V元件迴避偵測 iThome
為了躲過防毒軟體及EDR系統對於惡意指令的攔截,有資安公司發現,駭客在ClickFix網釣當中結合了Windows內建的功能Microsoft Application Virtualization(App‑V),從而在受害電腦部署竊資軟體Amatera Stealer。
Office用戶快更新!微軟證實重大漏洞、受影響版本曝光 自由時報電子報
這項漏洞在CVSS(Common Vulnerability Scoring System,通用漏洞評分系統)的評分高達7.8,屬於高風險等級。問題源自Office底層設計上的缺陷,導致系統錯誤信任原本不該被信任的輸入資料。駭客可藉此製作夾帶惡意程式碼的Office文件,並 繞過 OLE 的安全防護機制,在使用者開啟文件的同時,遠端執行惡意程式碼。
【資安日報】1月28日,竄紅的開源AI平臺Clawdbot出現部分系統配置不當 iThome
開源AI平臺Clawdbot(現已更名為Moltbot)正式發表後竄紅,在社群引起大量使用者架設,不過有研究人員提出警告,有數百個設置不當的Clawdbot Control管理介面曝露在網際網路,任何人都可能任意存取機敏資料,甚至接管AI代理系統。
俄羅斯與中國駭客加入利用WinRAR路徑遍歷漏洞的行列 iThome
Google威脅情報團隊(GTIG)提出警告,去年7月WinRAR修補的高風險漏洞CVE-2025-8088,已有多組人馬加入利用的行列,其中包含數組俄羅斯駭客、中國駭客,以及以經濟利益為動機的駭客團體。
WhatsApp爆重大漏洞!安卓用戶全被影響、駭客攻擊手法曝光 自由時報電子報
根據Google Project Zero團隊說明,該漏洞的運作方式是駭客只要先建立一個WhatsApp群組,將受害者與其一名聯絡人加入群組後,再把該聯絡人設為管理員,駭客就能在該群組中傳送惡意檔案。
ISC修補BIND 9高風險漏洞CVE-2025-13878,惡意DNS紀錄可導致服務當機 iThome
Internet Systems Consortium(ISC)揭露,旗下開源DNS伺服器軟體BIND 9存在高風險漏洞CVE-2025-13878。攻擊者可透過惡意構造的DNS資源紀錄,遠端觸發named服務程序異常終止,造成名稱解析服務中斷,形成阻斷服務(DoS)風險。ISC已發布修補版本,建議管理者儘速升級。
發票中1000元竟倒賠1.6萬!一票苦主痛喊「真的太笨」,財政部曝正確領獎SOP 風傳媒
滿心期待雲端發票開獎的小確幸,卻沒想到點開郵件竟是陷阱!最近不少民眾收到偽裝成「momo購物網」的中獎通知,因為連結點進去的畫面跟財政部官網簡直一模一樣,讓受害者放下戒心輸入資料,結果獎金沒領到,信用卡反被盜刷破萬元,讓苦主痛心發文直呼「真的太笨了」,也釣出一票網友驚呼:「我也收到了!」
五福旅遊遭駭「旅客個資外洩」 觀光署展開行政調查 自由時報電子報
五福旅遊遭駭客攻擊,旅客護照、行程等資料外洩,業者對此致歉,並向警方報案,同時也通報主管機關交通部觀光署。觀光署今天(28日)說明,已接獲通報,將展開行政調查。
【資安日報】1月29日,波蘭電力基礎設施遭遇攻擊,傳出是俄羅斯駭客所為 iThome
資安公司ESET與Dragos針對12月底發生於波蘭的電力基礎設施攻擊事故,揭露相關調查結果,指出攻擊者應該就是俄羅斯駭客,主要的標的為分散式能源資源(Distributed Energy Resources,DER)設備,並透過資料破壞軟體從事破壞行為。
微軟調查Windows 11安全更新引發的電腦無法開機問題 iThome
微軟1月安全更新KB5074109再傳災情,部分Windows 11 24H2與25H2實體裝置更新後無法開機,出現黑色死亡螢幕。微軟已證實接獲用戶通報,表示不影響伺服器與虛擬機器,正持續調查原因。
Fortinet公佈已被積極利用的FortiCloud單一登入新漏洞,並釋出部分版本的更新程式 iThome
針對一週前駭客濫用單一登入(SSO)功能FortiCloud入侵防火牆設備,藉此建立管理員帳號及竊取組態設定的事故,本週Fortinet指出,駭客利用的漏洞已被登記為CVE-2026-24858列管,他們也限制尚未修補的設備無法啟用此單一登入功能來因應。
第6屆「台美經濟繁榮夥伴對話」會議日前落幕,數發部今天表示,雙方就人工智慧(AI)治理、通訊韌性及數位產業發展等領域達成深化合作共識,其中,台美討論推動可信的正體中文語料庫在大型語言模型(LLM)發展與應用,並研議在第三國合作推動可信賴AI系統。
2026年AI趨勢預測:代理式企業成關鍵轉捩點 最大挑戰是它 自由時報電子報
全球 AI CRM廠商Salesforce今(2)日發布2026年「AI未來趨勢預測」,指出隨著企業AI應用逐步從「生成內容」走向「實際行動」,今年將成為「代理式企業(Agentic Enterprise)」全面落地的關鍵轉捩點。
【資安週報】0126~0130,開源AI代理Clawdbot竄紅,不當配置的風險引發高度關注 iThome
回顧2026年1月最後一星期的資安新聞,最大焦點是波蘭電網去年底遭大規模攻擊事件的調查揭露,駭客主要鎖定分散式能源設施(DER)而來;開源AI代理專案Clawdbot(現更名為OpenClaw)竄紅,相關不當配置與供應鏈風險的消息也引發關注。此外,臺灣有3家上市櫃公司發布資安重訊,分別是:五福、德昌、柏騰。
Notepad++自動更新通道遭劫持,v8.8.9起強制驗證數位簽章防竄改 iThome
知名文字編輯器Notepad++維護者指出,內建自動更新元件WinGUp的更新流量曾遭攔截並被重新導向,少數遭鎖定的用戶在更新過程中可能因此下載到遭竄改的安裝程式。Notepad++在v8.8.9起強化更新驗證,下載後會同時檢查安裝程式的數位簽章與憑證,任一驗證失敗即中止更新。
Ollama 17.5萬臺主機曝露,遍及130國,可能面臨LLM濫用風險 iThome
SentinelOne與Censys的研究人員發現,開源大語言模型框架Ollama在全球形成約17.5萬臺可公開存取的主機,遍及130個國家,可能成為未受控的AI運算資源池。
PHPUnit爆高風險漏洞CVE-2026-24765,CI/CD測試流程恐成RCE攻擊入口 iThome
PHPUnit專案修補高風險漏洞CVE-2026-24765。研究指出,攻擊者可在特定測試條件下,透過惡意覆蓋率資料觸發不安全反序列化,讓CI/CD測試流程成為RCE攻擊入口。
老牌Python解析庫PLY爆重大RCE漏洞,未記載picklefile參數恐成攻擊入口 iThome
資安研究人員揭露,Python解析庫PLY存在重大資安漏洞CVE-2025-56005,問題來自一項未文件化的picklefile參數。由於專案已停止維護,開發團隊需自行盤點使用情境並評估替代方案。
SandboxJS修補重大漏洞CVE-2026-23830,沙箱機制可遭繞過執行任意程式碼 iThome
開源JavaScript沙箱工具SandboxJS修補重大漏洞CVE-2026-23830,攻擊者可藉由AsyncFunction繞過沙箱限制,執行任意程式碼,開發者應儘速更新並檢視部署風險。
金融軟體服務供應商Marquis遭勒索軟體入侵,改指肇因為MySonicWall備份檔未授權存取 itome
金融軟體服務供應商Marquis稱2025年8月遭勒索軟體入侵,研判攻擊者非靠防火牆漏洞,而是利用MySonicWall雲端備份設定檔遭未授權存取來繞過防護,SonicWall則要求佐證。
波蘭CERT公佈國家電網遭網攻事故最新調查結果,超過30個風力及太陽能發電廠遭遇破壞性攻擊 iThome
針對一個月前電力設施遭到網攻的事故,波蘭電腦緊急應變團隊CERT Polska近日公布調查結果,指出駭客一天之內攻擊超過30家風力及太陽能發電設施,此外還有大型熱電共生(Combined Heat and Power,CHP)發電廠與製造業者受害。
深偽技術生成驗證影片盜取存款 55人受害財損2億 中央通訊社
林男籌組系統商,大量設置聊天軟體等帳號,賣給境外詐欺機房騙取中國地區民眾個資後,利用深偽技術製作被害人臉部驗證資訊藉以盜取存款,初估55人受害,財損約新台幣2億元。
Google 奪回中國 Ipidea 網域,切斷數百萬 Android 裝置代理網路 科技新報網
Ipidea 被指控利用超過 900 萬台 Android 裝置,運行名為 Kimwolf 的機器人網路,這些裝置大多數位於普通消費者的家中。這次行動不僅切斷了 Ipidea 的公共網站和技術基礎設施,還將這些裝置從用於廣告詐騙、資料竊取及掩蓋網路威脅的代理網路中驅逐出去。
【不只建造,更要部署、維運和管理成千上萬AI代理】十年雲原生浪潮的下一階段,AI原生時代的崛起 iThome
「人工智慧正處於起步階段,類似雲原生的發展模式,從封閉選擇、單一供應商壟斷,正邁向更開放的選擇,技術競爭也將更加激烈!」CNCF組織技術長Chris Aniszczyk去年秋天來臺參加國泰金控技術年會時,揭露了他AI技術發展模式的觀察。
AI趨勢周報第284期:Google DeepMind給出多語言模型的最佳擴展法則 iThome
Google發現,只要把模型放大1.18倍、資料量增加1.66倍,就能維持多語言模型效能;Hugging Face釋出1兆Token的超大翻譯資料集FineTranslations;Clawdbot走紅,AI助理走向開始做事的行動代理;Anthropic改用一整份說明書教AI怎麼想,還授權釋出。
Meta算力擴張計畫直逼雲端巨頭與國家級規模 iThome Weekly電腦報
Meta創辦人暨執行長祖克柏(Mark Zuckerberg)周二(1/13)透過Threads宣布,Meta正式成立了一個新的最高層級計畫Meta Compute,打算在未來10年建置數十GW等級的運算與能源規模,且未來可能成長到數百GW以上。
Synology 2026 調查揭企業資安新盲點: 人為疏失首超勒索軟體,應以自動化機制補足防線 iThome
本次調查中值得注意的是企業對資安威脅的認知出現結構性轉變:長年盤據榜首的勒索軟體滑落至第三,取而代之的是「硬體故障」與大幅竄升的「人為疏失」。高志鵬說明,IT 人員通常已對勒索軟體建制防範策略,但內部誤刪、誤改或高度倚靠人工、失誤率較高的流程,逐漸成為新的安全漏洞;另外,企業還承擔災難復原效能不盡理想的壓力,超過 50% 企業發生事故後,需耗時 1 小時以上才能恢復關鍵服務,對於持續營運無疑是一大打擊。
Vibe Coding 新神器登場,OpenAI 推出 macOS 版 Codex 科技新報網
如今 OpenAI 邁出關鍵一步,2 日推出全新 macOS 版 Codex,整合過去一年逐漸流行的多種代理式 AI 實務做法,新的應用程式可讓多個 AI 代理並行運作,整合 AI 代理技能以及其他最先進的工作流程。這次推出,距離 OpenAI 發表 GPT-5.2-Codex 還不到 2 個月,希望藉此吸引原本使用 Claude Code 的用戶採向。
強化資安 公股銀導入零信任架構 工商時報
為強化防制洗錢與打擊資恐,多家公股行庫參採美國金融犯罪稽查局(FinCEN)揭示的網路犯罪及可疑交易指標,如電子郵件信箱、網站、惡意中繼站等相關威脅情資,並匯入資安設備進行監控與防護。
資安署攜手資安院、經濟部中企署 助中小企業打造資安防護體系 工商時報電子報
數發部資安署宣布,攜手經濟部中小及新創企業署、資安院,推出「中小企業基本資安諮詢服務」、「中小企業資安教育訓練影片」及「資安星際指南」等多項措施,期透過跨部會的合作,匯聚政府與研究機構能量,為台灣廣大中小企業打造全方位的資安防護體系,確保數位競爭力不因資安威脅而受損。
台首例!詐團用馬斯克「星鏈+深偽技術」 盜臉騙2億 華視新聞網
台灣首次出現,利用馬斯克的星鏈和深偽技術犯罪的手法!刑事局警方破獲一個詐騙集團,在境外設立詐騙機房,透過「調照商」取得中國民眾的個資後,再利用深偽技術Deepfake,製作被害人的臉部驗證影片,順利通過「數字人民幣」APP的身分驗證程序,盜取被害人存款,至少有55名中國民眾受害,損失金額上億元。
【資安日報】2月3日,Clawdbot延伸套件市集出現逾300個惡意套件,駭客意圖散佈竊資軟體 iThome
繼駭客不斷透過NPM、PyPI、GitHub上架惡意套件,近期爆紅的Clawdbot(現更名為OpenClaw)也無法倖免,資安社群平臺Open Source Malware與資安公司Koi Security發現,有人藉由延伸套件市集ClawHub散布竊資軟體。
針對近期微軟緊急修補的Office零時差漏洞,傳出俄羅斯駭客APT28用於實際攻擊 iThome
一週前微軟修補已遭利用的辦公室套件Office零時差漏洞CVE-2026-21509,近日烏克蘭電腦緊急應變團隊(CERT-UA)提出警告,俄羅斯駭客組織APT28(Fancy Bear、Sofacy)已用於攻擊烏克蘭及歐盟其他國家。
◎瞭解更多 趨勢科技 AI 防詐達人
☞ Android 用戶請立即免費下載試用 ☞ iOS 用戶請立即免費下載試用
⭕️ AI 防詐防毒
趨勢科技 PC-cillin 雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機 ✓電腦 ✓平板,跨平台防護 3 到位 ➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅ 社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅ 全球個資外洩追蹤 24 小時為您監測守護
✅ 跨平台密碼安全管理 讓您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用 3C 冷知識,
追蹤我們的 IG 帳號 看更多讓你數位生活更便利、更安全的貼文。
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊。不想成為下一個受害者嗎?立即訂閱,搶先一步防範
