本週資安事件聚焦於 AI 應用風險升高、供應鏈攻擊擴大與漏洞利用持續活躍。同時,Trivy、NPM 等工具接連爆出供應鏈攻擊事件,影響範圍涵蓋開發與企業環境。另一方面,Medusa 勒索軟體與多項零時差漏洞已被實際利用,顯示攻擊行動持續升溫,企業面臨的資安壓力仍在擴大。
⭕️ 資安趨勢部落格精選
⭕️ 重點預覽
⭕️本週資安新聞重點摘要
一、AI 與模型相關資安事件
- AI 代理程式可能被濫用為攻擊工具,引發資料外洩疑慮
- Claude Code 原始碼外洩,駭客利用事件散布惡意程式
- GitHub 多個 AI 編程系統提示外洩
- LangChain、Langflow 等 AI 開發框架出現漏洞,恐導致敏感資料外洩
- OpenAI 修復 ChatGPT 隱蔽性資料外洩漏洞,並推出 AI 抓蟲獎勵計畫
- 主流 LLM 出現可誘發危險輸出的新型風險
二、供應鏈攻擊與開源風險
- Trivy 弱點掃描工具遭供應鏈攻擊,影響逾千個 SaaS 環境
- axios 套件供應鏈投毒事件,北韓駭客透過 Slack、Teams 竊取憑證
- NPM 套件遭植入惡意程式,發動 SANDWORM_MODE 蠕蟲攻擊
- PyPI 套件 Telnyx 遭攻擊,透過 WAV 檔散布惡意程式
- OpenClaw 爆出供應鏈與漏洞雙重風險
三、漏洞與勒索攻擊
- Medusa 勒索軟體利用未修補漏洞,最快一天內完成攻擊
- SharePoint 漏洞 CVE-2026-20963 遭實際利用並列入 KEV 清單
- Nginx、Citrix、React2Shell、Magento 等漏洞出現攻擊活動
- Cisco FMC 零日漏洞遭勒索軟體利用
- NVIDIA、F5、PTC 等產品修補高風險漏洞
- Chrome 爆出重大漏洞,需重啟才能修補
四、APT 與國家級攻擊
- APT28 利用 SOHO 裝置與 DNS 挾持進行攻擊,影響超過 200 家企業
- 中國駭客 Red Menshen 在電信業植入後門
- 伊朗駭客鎖定 PLC、SCADA 系統
- FBI 局長 Gmail 帳號遭伊朗駭客入侵
- 新加坡揭露電信業遭中國駭客攻擊
- AWS 帳號遭駭,駭客組織聲稱負責
五、社交工程與身分攻擊
- 語音釣魚成為企業主要入侵手法之一
- ClickFix 攻擊透過惡意 DNS 或假 CAPTCHA 竊取憑證
- 偽冒 LINE 網站誘騙下載
- Dropbox 帳密遭釣魚攻擊
- 荷蘭警方內部系統因釣魚攻擊遭入侵
六、詐騙與平台風險
七、資料外洩與隱私事件
八、產業與政策動態
⭕️ 媒體資安新聞一覽
OpenClaw「小龍蝦」爆雙重危機!axios 供應鏈藏投毒後門、MEDIA 漏洞波及全球 17 萬案例 BLOCKTEMPO
AI編程工具機密指令外洩 GitHub庫逾28款系統提示曝險 商傳媒
開源AI開發框架LangChain修補高風險漏洞,未更新恐導致敏感資料外洩 iThome
Interlock 勒索軟體組織利用 Cisco FMC 零日漏洞發動攻擊,呼籲用戶儘速修補 Twcert
逾半數Magento電商平臺遭受PolyShell漏洞攻擊 iThome
Mirai 殭屍網路變種突破百種 C2 伺服器激增 24%、史上最大 31.4 Tbps 攻擊現身 資安人
CISA警告大型語言模型開發工具Langflow重大漏洞已被用於攻擊,要求盡速修補 iThome
F5修補Nginx網頁伺服器軟體高風險漏洞,未更新可能導致惡意MP4檔觸發遠端程式碼執行 iThome
PTC揭露旗下產品生命週期管理系統滿分重大漏洞,目前尚無修補程式,用戶須立即採取緩解措施 iThome
Citrix NetScaler設備的重大漏洞出現積極偵察活動 iThome
Nvidia發布2026年3月安全公告,修補多個驅動程式與AI應用套件漏洞 iThome
研究員與微軟槓上,Windows 零時差漏洞「BlueHammer」遭怒揭公開 INSIDE
Medusa 勒索軟體 24 小時內完成全攻擊流程! 微軟示警 Storm-1175 有零日漏洞攻擊能力 資安人
Chrome 爆關鍵漏洞已被利用,Google:立刻「重啟」才能自保 科技新報網
Chrome爆發重大安全漏洞!做「這動作」是唯一自保方式 工商時報電子報
Claude瀏覽器延伸套件存在零點擊漏洞ShadowPrompt,攻擊者可透過網站發動提示注入攻擊 iThome
微軟SharePoint高風險漏洞CVE-2026-20963遭實際利用,CISA列入KEV清單 iThome
「養龍蝦」引發AI代理資安疑慮 TrendAI 新品助企業有效管理 AI 代理 經濟日報網
TrendAI攜手NVIDIA推設計即安全 AI工廠資安部署前移 Ctimes
Storm-1175利用至少16個企業尚未修補的漏洞,於受害組織植入勒索軟體Medusa,最短在一天內就完成加密 iThome
中國駭客利用零日漏洞部署Medusa勒索軟體 鎖定全球關鍵產業 商傳媒
疑不滿微軟處理態度,研究人員憤而公布Windows零時差漏洞BlueHammer iThome
Adobe疑似資料外洩事件,駭客聲稱取得大量客戶與員工資料 iThome
APT28滲透SOHO裝置從事DNS挾持活動,逾200家企業受害 iThome
邊緣AI落地場景與資安防禦戰略 ─ 以 NIST 與 WEF 框架推動五大資安治理 CIO IT經理人
APT28從事網釣攻擊活動FrostArmada,藉由路由器DNS組態將受害者導向AiTM基礎設施 iThome
vibe coding 時代來臨,人類為何還需要學寫程式? 科技新報網
CERT-EU證實歐盟執委會網站資料外洩事件與Trivy供應鏈攻擊有關 iThome
洛杉磯警局疑遭駭客竊取7.7TB官司資料並公開文件 iThome
美國破壞APT28架設的AiTM網釣基礎設施,駭客綁架TP-Link路由器從事DNS挾持活動 iThome
美國麻州醫療體系Signature Healthcare遭網路攻擊,化療與救護車調度受影響 iThome
從網路攻防走向實體干擾:伊朗駭客鎖定 PLC、SCADA,OT 安全升級成國安議題 科技報橘網
駭客工具DarkSword程式外流 數億蘋果裝置面臨資安風險 中央通訊社
俄羅斯駭客TA446透過網釣散布iOS漏洞利用套件DarkSword iThome
蘋果挖角前Google助理高管Lilian Rincon操盤AI行銷 全力為「新世代Siri」與Apple Intelligence宣傳 udn科技玩家
ChatGPT 獨家時代將終結!Apple 計畫在 iOS 27 開放 Siri 對接所有主流 AI INSIDE
「Vibe Coding」APP淹沒APP Store?開發者憂心蘋果審核大塞車與嚴打「數位垃圾」 udn科技玩家
為防範ClickFix社交工程攻擊,蘋果傳出在macOS Tahoe 26.4終端機加入安全機制 iThome
蘋果揮刀整頓「氛圍編碼」APP!知名「Anything」遭強制下架 踩到哪條紅線? 聯合新聞網
遭列供應鏈風險,Anthropic反擊成功取得禁制令 iThome
OpenClaw「小龍蝦」爆雙重危機!axios 供應鏈藏投毒後門、MEDIA 漏洞波及全球 17 萬案例 BLOCKTEMPO
AI編程工具機密指令外洩 GitHub庫逾28款系統提示曝險 商傳媒
開源AI開發框架LangChain修補高風險漏洞,未更新恐導致敏感資料外洩 iThome
Interlock 勒索軟體組織利用 Cisco FMC 零日漏洞發動攻擊,呼籲用戶儘速修補 Twcert
逾半數Magento電商平臺遭受PolyShell漏洞攻擊 iThome
Mirai 殭屍網路變種突破百種 C2 伺服器激增 24%、史上最大 31.4 Tbps 攻擊現身 資安人
CISA警告大型語言模型開發工具Langflow重大漏洞已被用於攻擊,要求盡速修補 iThome
F5修補Nginx網頁伺服器軟體高風險漏洞,未更新可能導致惡意MP4檔觸發遠端程式碼執行 iThome
PTC揭露旗下產品生命週期管理系統滿分重大漏洞,目前尚無修補程式,用戶須立即採取緩解措施 iThome
Citrix NetScaler設備的重大漏洞出現積極偵察活動 iThome
Nvidia發布2026年3月安全公告,修補多個驅動程式與AI應用套件漏洞 iThome
研究員與微軟槓上,Windows 零時差漏洞「BlueHammer」遭怒揭公開 INSIDE
Medusa 勒索軟體 24 小時內完成全攻擊流程! 微軟示警 Storm-1175 有零日漏洞攻擊能力 資安人
Chrome 爆關鍵漏洞已被利用,Google:立刻「重啟」才能自保 科技新報網
Chrome爆發重大安全漏洞!做「這動作」是唯一自保方式 工商時報電子報
Claude瀏覽器延伸套件存在零點擊漏洞ShadowPrompt,攻擊者可透過網站發動提示注入攻擊 iThome
微軟SharePoint高風險漏洞CVE-2026-20963遭實際利用,CISA列入KEV清單 iThome
微軟將移除對舊版Cross-Signed Driver信任,僅允許WHCP認證驅動程式載入 iThome
微軟釋出設定及安全作業動態更新,以協助解決6月Windows安全開機憑證到期問題 iThome
微軟投資泰國320億 鴻海、廣達等協力廠迎新訂單 經濟日報網
駭客TeamPCP對PyPI套件Telnyx發動供應鏈攻擊,透過WAV檔挾帶惡意軟體 iThome
OpenAI公布防範濫用的AI抓蟲獎勵方案 iThome
OpenAI修復ChatGPT隱蔽性數據外洩漏洞,防堵惡意濫用風險 商傳媒
OpenClaw「小龍蝦」爆雙重危機!axios 供應鏈藏投毒後門、MEDIA 漏洞波及全球 17 萬案例 BLOCKTEMPO
AI編程工具機密指令外洩 GitHub庫逾28款系統提示曝險 商傳媒
開源AI開發框架LangChain修補高風險漏洞,未更新恐導致敏感資料外洩 iThome
Interlock 勒索軟體組織利用 Cisco FMC 零日漏洞發動攻擊,呼籲用戶儘速修補 Twcert
逾半數Magento電商平臺遭受PolyShell漏洞攻擊 iThome
Mirai 殭屍網路變種突破百種 C2 伺服器激增 24%、史上最大 31.4 Tbps 攻擊現身 資安人
CISA警告大型語言模型開發工具Langflow重大漏洞已被用於攻擊,要求盡速修補 iThome
F5修補Nginx網頁伺服器軟體高風險漏洞,未更新可能導致惡意MP4檔觸發遠端程式碼執行 iThome
PTC揭露旗下產品生命週期管理系統滿分重大漏洞,目前尚無修補程式,用戶須立即採取緩解措施 iThome
Citrix NetScaler設備的重大漏洞出現積極偵察活動 iThome
Nvidia發布2026年3月安全公告,修補多個驅動程式與AI應用套件漏洞 iThome
研究員與微軟槓上,Windows 零時差漏洞「BlueHammer」遭怒揭公開 INSIDE
Medusa 勒索軟體 24 小時內完成全攻擊流程! 微軟示警 Storm-1175 有零日漏洞攻擊能力 資安人
Chrome 爆關鍵漏洞已被利用,Google:立刻「重啟」才能自保 科技新報網
Chrome爆發重大安全漏洞!做「這動作」是唯一自保方式 工商時報電子報
Claude瀏覽器延伸套件存在零點擊漏洞ShadowPrompt,攻擊者可透過網站發動提示注入攻擊 iThome
一通電話就能攻陷企業,語音釣魚成 2025 年第二大入侵手法 科技新報網
【資安日報】3月26日,Google宣布將在2029年完成PQC遷移 iThome
山寨知名Chrome擴充程式使用「提示盜取」手法竊取企業敏感資訊 iThome
國家級駭客與網路犯罪者從「入侵」轉向「登入」 電子工程專輯
中國駭客Red Menshen在電信公司植入後門BPFDoor iThome
FBI證實局長私人Gmail遭伊朗駭客Handala滲透 iThome
Threads最新詐騙!警曝恐怖手法 錢被盜還淪詐欺共犯 tvbs新聞網
一被駭至少要1600萬元!台灣為何這麼容易變肥羊?談判專家揭企業不敢公開的勒索實錄 數位時代
偽冒LINE網站誘騙下載 資安署揭9個假網址示警 中央通訊社
駭客假借提供美國報稅表單從事網釣,意圖藉由惡意廣告於民眾電腦植入遠端管理工具,並癱瘓防毒軟體運作 iThome
TrendAI™全球調查:台灣逾七成企業被迫在安全疑慮下導入AI iThome
TrendAI™為NVIDIA驅動的AI工廠提供「設計即安全」防護 中華新聞雲
趨勢科技於RSA大會期間宣布重大轉型,企業資安事業群將以TrendAI為統一品牌識別 iThome
AI代理成效不彰?IBM研究:關鍵更在於流程設計 iThome
多數歐企 AI 停在摘要信件層次?AWS 報告分析企業深度採用 AI 的三大門檻 科技報橘網
DeepSeek接連當機 中國網友怨聲不斷盼改善 中央通訊社
【資安週報】0323~0327,大規模供應鏈攻擊爆發,不僅開源弱點掃描工具Trivy遭滲透,還有LiteLLM遭植入後門事件 iThome
Trivy供應鏈攻擊影響逾1千個SaaS環境 iThome
人資用 AI 篩選履歷恐踩雷 104示警:誤觸法規最高可罰1,500萬 經濟日報網
駭客釣魚攻擊竊Dropbox帳密 資安署建議3步驟防護 中央社
新型WebRTC刷卡側錄程式現身,繞過CSP等防護機制 iThome
荷蘭警方遭釣魚攻擊導致內部系統被入侵,幸未波及民眾資料 iThome
Interlock 勒索軟體組織利用 Cisco FMC 零日漏洞發動攻擊,呼籲用戶儘速修補 Twcert
逾半數Magento電商平臺遭受PolyShell漏洞攻擊 iThome
Mirai 殭屍網路變種突破百種 C2 伺服器激增 24%、史上最大 31.4 Tbps 攻擊現身 資安人
CISA警告大型語言模型開發工具Langflow重大漏洞已被用於攻擊,要求盡速修補 iThome
F5修補Nginx網頁伺服器軟體高風險漏洞,未更新可能導致惡意MP4檔觸發遠端程式碼執行 iThome
PTC揭露旗下產品生命週期管理系統滿分重大漏洞,目前尚無修補程式,用戶須立即採取緩解措施 iThome
Citrix NetScaler設備的重大漏洞出現積極偵察活動 iThome
Nvidia發布2026年3月安全公告,修補多個驅動程式與AI應用套件漏洞 iThome
研究員與微軟槓上,Windows 零時差漏洞「BlueHammer」遭怒揭公開 INSIDE
Medusa 勒索軟體 24 小時內完成全攻擊流程! 微軟示警 Storm-1175 有零日漏洞攻擊能力 資安人
Chrome 爆關鍵漏洞已被利用,Google:立刻「重啟」才能自保 科技新報網
Chrome爆發重大安全漏洞!做「這動作」是唯一自保方式 工商時報電子報
歐盟AWS帳號遭駭,駭客組織ShinyHunters聲稱是他們所為 iThome
駭客鎖定企業雲端環境的初始入侵手法大洗牌,語音網釣居冠 iThome
多階段VOID#GEIST惡意軟體攻擊,散布XWorm、AsyncRAT與Xeno RAT 資安人
伊朗勒索軟體Pay2Key入侵美國醫療機構,3小時加密所有檔案 iThome
駭客瞄準MS SQL Server部署ICE Cloud Scanner iThome
多家WAF業者協助緩解React2Shell,防禦挑戰浮現、用戶修補亦是關鍵 iThome
【資安日報】3月27日,數發部首度於RSA大會設立臺灣資安館 iThome
主流LLM出現新型態資安風險,ISC基準測試揭合法任務能誘發危險輸出 iThome
北韓駭客竊走DeFi平台2.85億美元 社交工程結合技術漏洞成新威脅 商傳媒
戰火燒向雲端!AWS巴林資料中心遭伊朗襲擊 這些科技業者全列「攻擊名單」 udn科技玩家
AI 平時正常、遇關鍵字就暴走,微軟揪出遭污染模型 科技新報網
【資安日報】4月7日,Claude Code資料外洩事故成駭客散布惡意軟體的新誘餌 iThome
Claude Code 外洩爆雙重危機:51萬行原始碼曝光、偽造儲存庫散布竊資程式 資安人
Anthropic 員工出包:Claude Code 原始碼全數外洩 網路資訊雜誌
Anthropic 內部測試「Conway」常駐 AI 代理:Claude 加強版龍蝦即將現身 電腦王阿達
Claude訂閱戶崩潰!Anthropic調整政策:第三方工具OpenClaw將改為另行計費 工商時報電子報
AI 新創不想再免費支援 Anthropic 向「龍蝦餐」討錢 聯合新聞網
當客服變監控工具,AI 語音與對話外洩揭開資安盲點 科技新報網
Google警告量子電腦威脅加密貨幣安全!時程加快、690萬比特幣陷風險 鉅亨網
【資安週報】0330~0402,出現新型態LINE盜號事件,以台灣大哥大語音信箱功能與LINE驗證機制為突破口 iThome
小心遠端有人監視你看盤!拆解駭客入侵六大威脅 經濟日報網
研究指控微軟透過LinkedIn大規模監控用戶身分 iThome
Politico:中國駭客入侵FBI系統 構成美國安重大威脅 世界新聞網
Axios供應鏈攻擊事故調查出現新進展,北韓駭客透過Slack、Teams竊得憑證而得逞 iThome
駭客濫用React2Shell從事自動化攻擊,企圖從網頁應用程式搜刮各式憑證 iThome
資訊裸奔1/不要餵這些資料! 逾七成企業導入有風險的AI地雷 鏡週刊
AI 導入過快導致治理脫節?TrendAI 報告示警:企業面臨三大風險挑戰 T客邦
TrendAI™為NVIDIA驅動的AI工廠提供「設計即安全」防護 Xfastest
天災人禍成我國海纜障礙新威脅,數發部:加強「斷纜不斷網」韌性架構 iThome
HPE Threat Labs網路威脅研究報告揭示: 網路攻擊者轉型為「商業模式」 攻擊邁向規模化並加速發展 iThome
Proofpoint 力推 Human-Centric Security 因應 AI 資安挑戰最佳解方 iThome
行政院通過虛擬資產服務法草案,加強VASP服務商監理強度、明確國內穩定幣發行及管理 iThome
2025年資安險保費5.12億元 半導體投保占比居冠 中央社
台矽谷新創基地 科技巨頭投資 中時新聞網
資安院揭近半年資安通報 通信網路業與生醫業最多 中央通訊社
部醫資安藏弊端/放任親中廠商變相綁標任宰割 衛福部轄下醫院全陷資安危機 鏡傳媒
思科傳遭駭客竊取大量資料,GitHub 原始碼與個資疑外洩 網路資訊雜誌
北韓駭客竊走DeFi平台2.85億美元 社交工程結合技術漏洞成新威脅 商傳媒
「養龍蝦」引發AI代理資安疑慮 TrendAI 新品助企業有效管理 AI 代理 經濟日報網
全球工作者瘋迷「養龍蝦」,擴大AI自主代理互動的權限,但引發高度資安疑慮。全球網路資安解決方案業者趨勢科技旗下全球企業AI資安品牌TrendAI宣布推出TrendAI Agentic Governance Gateway。這是一項全新資安解決方案,為企業提供對自主代理(autonomous agents)互動的可視性與控管能力,強化在資料、工具與多元環境間高度自主運作下的整體資安防護,協助企業安全導入代理式AI
<回到新聞條列重點>
TrendAI攜手NVIDIA推設計即安全 AI工廠資安部署前移 Ctimes
在生成式AI與高效能運算(HPC)需求驅動下,企業正加速打造以AI為核心的「AI工廠」,資料中心架構也邁向高密度、高互聯與高風險的新階段。資安不再只是部署後的補強,而是必須前移至設計初期。趨勢科技旗下全球企業AI資安品牌TrendAI與NVIDIA DSX Air平台全新整合,讓客戶能在部署前即完成AI工廠資安的設計、測試與驗證,亦即AI基礎設施正式邁入「設計即安全」(Secure by Design)的新典範。
<回到新聞條列重點>
Storm-1175利用至少16個企業尚未修補的漏洞,於受害組織植入勒索軟體Medusa,最短在一天內就完成加密 iThome
微軟警告駭客組織Storm-1175的攻擊行動升溫,這些駭客近3年多以快速利用廠商公布不久的資安漏洞,來滲透企業組織的網路環境,在美國、英國、澳洲散布勒索軟體Medusa
<回到新聞條列重點>
中國駭客利用零日漏洞部署Medusa勒索軟體 鎖定全球關鍵產業 商傳媒
中國駭客組織 Storm-1175 正利用多重零日與已知漏洞,鎖定全球醫療、教育、金融等關鍵產業,先竊取憑證並癱瘓資安系統,再植入 Medusa 勒索軟體,對企業資安防護構成嚴峻挑戰。
<回到新聞條列重點>
Adobe疑似資料外洩事件,駭客聲稱取得大量客戶與員工資料 iThome
針對俄羅斯駭客APT28綁架TP-Link等廠牌的路由器組成殭屍網路的情況,微軟公布調查結果指出,他們確認至少有200家企業組織受害
<回到新聞條列重點>
APT28滲透SOHO裝置從事DNS挾持活動,逾200家企業受害 iThome
針對俄羅斯駭客APT28綁架TP-Link等廠牌的路由器組成殭屍網路的情況,微軟公布調查結果指出,他們確認至少有200家企業組織受害
<回到新聞條列重點>
邊緣AI落地場景與資安防禦戰略 ─ 以 NIST 與 WEF 框架推動五大資安治理 CIO IT經理人
AI72026 年第一季的全球資安版圖正經歷顯著的威脅轉移,邊緣設備(Edge Devices)已明確成為國家級駭客與網路犯罪組織的首要攻擊目標。2026 年 2 月,Amazon 威脅情報團隊揭露了一起針對全球的攻擊行動:一個具備俄羅斯語背景、受經濟利益驅使的威脅行為者,利用商業生成式 AI 工具(如 DeepSeek 與 Claude),成功入侵全球 55 個國家、超過 600 台的 FortiGate 邊緣防火牆設備。該攻擊並未依賴任何零日漏洞,而是透過 AI 輔助大規模掃描暴露的管理連接埠與弱密碼,建立起自動化的「網路犯罪組裝線」。
APT28從事網釣攻擊活動FrostArmada,藉由路由器DNS組態將受害者導向AiTM基礎設施 iThome
美國近日破壞俄羅斯駭客APT28(Sofacy Group、Forest Blizzard、Fancy Bear)架設的殭屍網路,此網路主要由SOHO路由器組成,其中大部分設備的廠牌是TP-Link。駭客藉由這種殭屍網路,將攻擊目標導向對手中間人攻擊(AiTM)的基礎設施,從而挖掘他們的帳密資料、權杖(Token),以及其他敏感資料,參與此次執法活動的電信公司Lumen指出,這是他們近期在追蹤APT28最新一波的攻擊行動。
<回到新聞條列重點>
vibe coding 時代來臨,人類為何還需要學寫程式? 科技新報網
近來「vibe coding」成為科技圈熱門關鍵字,許多人主張,在生成式人工智慧(Generative AI)快速進步下,就算不懂程式設計,也能靠提示詞(Prompt)打造應用軟體,甚至有人進一步宣稱:「以後不必再學寫程式了。」但是愈來愈多實務觀察指出,這種說法恐怕過於樂觀。
<回到新聞條列重點>
CERT-EU證實歐盟執委會網站資料外洩事件與Trivy供應鏈攻擊有關 iThome
三月底,歐盟執委會公布一起駭客攻擊事件,疑似有約350GB的內部資料外洩。上週歐盟電腦緊急應變小組CERT-EU證實,此事和開源軟體Trivy遭遇供應鏈攻擊的事件有關。
洛杉磯警局疑遭駭客竊取7.7TB官司資料並公開文件 iThome
洛杉磯警局(LAPD)大量內部調查與警官紀錄遭駭客公開,包含證人資料與未經遮蔽文件,事件源頭疑來自檢察長辦公室遭入侵
<回到新聞條列重點>
美國破壞APT28架設的AiTM網釣基礎設施,駭客綁架TP-Link路由器從事DNS挾持活動 iThome
美國司法部(DOJ)與聯邦調查局(FBI)針對俄羅斯駭客APT28(Sofacy Group、Forest Blizzard、Fancy Bear)從事執法行動,指出駭客綁架了SOHO路由器架設對手中間人攻擊(AiTM)基礎設施,FBI重置路由器DNS組態及防堵駭客的存取管道因應
<回到新聞條列重點>
美國麻州醫療體系Signature Healthcare遭網路攻擊,化療與救護車調度受影響 iThome
美國司法部(DOJ)與聯邦調查局(FBI)針對俄羅斯駭客APT28(Sofacy Group、Forest Blizzard、Fancy Bear)從事執法行動,指出駭客綁架了SOHO路由器架設對手中間人攻擊(AiTM)基礎設施,FBI重置路由器DNS組態及防堵駭客的存取管道因應
<回到新聞條列重點>
從網路攻防走向實體干擾:伊朗駭客鎖定 PLC、SCADA,OT 安全升級成國安議題 科技報橘網
近日,美國聯邦調查局(FBI)、國防部、國家安全局(NSA)、能源部與網路安全暨基礎設施安全局(CISA)、美國國家環境保護局(EPA)與美國網路司令部國家任務部隊,共同發布一項聯合警報,指出自 2026 年 3 月以來,與伊朗相關的駭客組織已大幅升高對美國關鍵基礎設施的網路攻擊。這波行動,也被美方官員直接置於當前美伊軍事衝突不斷升溫的脈絡中解讀。
<回到新聞條列重點>
疑不滿微軟處理態度,研究人員憤而公布Windows零時差漏洞BlueHammer iThome
近日,美國聯邦調查局(FBI)、國防部、國家安全局(NSA)、能源部與網路安全暨基礎設施安全局(CISA)、美國國家環境保護局(EPA)與美國網路司令部國家任務部隊,共同發布一項聯合警報,指出自 2026 年 3 月以來,與伊朗相關的駭客組織已大幅升高對美國關鍵基礎設施的網路攻擊。這波行動,也被美方官員直接置於當前美伊軍事衝突不斷升溫的脈絡中解讀。
<回到新聞條列重點>
駭客工具DarkSword程式外流 數億蘋果裝置面臨資安風險 中央通訊社
資安盛會RSAC在舊金山召開之際,科技新聞媒體TechCrunch今天報導示警,駭客利用Coruna與DarkSword兩套高階工具攻擊全球蘋果用戶,且部分程式碼已外流至GitHub平台,任何人都能輕易下載,數億仍使用舊版iOS系統的用戶面臨資料外洩風險。
<回到新聞條列重點>
俄羅斯駭客TA446透過網釣散布iOS漏洞利用套件DarkSword iThome
一週前揭露的iOS漏洞利用工具DarkSword,後續傳出有人上傳到GitHub,現在傳出俄羅斯駭客TA446將其用於實際攻擊,冒充美國智庫大西洋理事會(Atlantic Council),廣泛攻擊政府機關、智庫、高等教育機構等多個領域的企業組織
<回到新聞條列重點>
駭客工具DarkSword程式外流 數億蘋果裝置面臨資安風險 中央通訊社
資安盛會RSAC在舊金山召開之際,科技新聞媒體TechCrunch今天報導示警,駭客利用Coruna與DarkSword兩套高階工具攻擊全球蘋果用戶,且部分程式碼已外流至GitHub平台,任何人都能輕易下載,數億仍使用舊版iOS系統的用戶面臨資料外洩風險。
俄羅斯駭客TA446透過網釣散布iOS漏洞利用套件DarkSword iThome
一週前揭露的iOS漏洞利用工具DarkSword,後續傳出有人上傳到GitHub,現在傳出俄羅斯駭客TA446將其用於實際攻擊,冒充美國智庫大西洋理事會(Atlantic Council),廣泛攻擊政府機關、智庫、高等教育機構等多個領域的企業組織。
蘋果挖角前Google助理高管Lilian Rincon操盤AI行銷 全力為「新世代Siri」與Apple Intelligence宣傳 udn科技玩家
在生成式AI的激烈競賽中,蘋果 正在加速補齊其高階將領的陣容。根據最新消息,蘋果已經聘請曾在Google任職近十年的資深科技主管Lilian Rincon,擔任全新設立的「人工智慧產品行銷副總裁」一職,並且將直接向蘋果全球行銷資深副總裁Greg “Joz” Joswiak匯報,全面接管Apple Intelligence 與Siri產品行銷、管理工作。
ChatGPT 獨家時代將終結!Apple 計畫在 iOS 27 開放 Siri 對接所有主流 AI INSIDE
Apple 計畫在 iOS 27 中大幅開放 Siri,讓使用者得以在 Siri 中直接呼叫 Google Gemini、Anthropic Claude 等第三方 AI 服務,打破 ChatGPT 近兩年來的獨家地位。這將是 Apple 在 AI 領域急起直追的最新一步,也是 Siri 問世近 15 年來規模最大的一次改造。
「Vibe Coding」APP淹沒APP Store?開發者憂心蘋果審核大塞車與嚴打「數位垃圾」 udn科技玩家
隨著2025年「代理式寫碼」 (Agentic coding)技術的全面普及,一種被稱為「Vibe Coding 」 (氛圍編碼)的全新開發模式正席捲軟體圈。現在,只要具備基礎概念,並且透過AI輔助,幾乎任何人都能輕鬆打造出應用程式 。不過,這股由AI驅動的生產力大爆發,似乎正讓蘋果 的APP Store審核團隊面臨前所未有的壓力。
為防範ClickFix社交工程攻擊,蘋果傳出在macOS Tahoe 26.4終端機加入安全機制 iThome
有多名Mac用戶發現,蘋果近日發布的macOS Tahoe 26.4引入新的機制,使用者若是想從瀏覽器複製有問題的指令,並貼上終端機(Terminal),電腦就會先行攔截並彈出警示訊息,要求使用者進一步確認再放行。
蘋果揮刀整頓「氛圍編碼」APP!知名「Anything」遭強制下架 踩到哪條紅線? 聯合新聞網
隨著生成式AI技術的爆發,被稱為「氛圍編程」 (Vibe Coding )或「AI自然語言編程」的全新開發模式正在席捲軟體圈。而這股讓使用者只需「動口不動手」就能寫出程式的創新浪潮,似乎觸碰到蘋果 APP Store的核心守備範圍。
遭列供應鏈風險,Anthropic反擊成功取得禁制令 iThome
美國聯邦法院近日裁定,暫時阻止政府對AI公司Anthropic的封殺措施,要求在案件審理期間不得執行相關限制。這起爭議源於美國國防部與Anthropic在AI軍事用途上的重大分歧,最終演變為涉及國安、產業政策與憲法權利的法律衝突。
近期市場對微軟 (Microsoft)(MSFT-US) 股票的情緒特別悲觀。該股周五 (27 日) 下跌 2.5%,收在 2025 年 4 月 8 日以來最低水準。3 月以來已下跌 9.2%,過去六個月累計重挫 31.1%,並可能創下自 2009 年 2 月結束的六個月連跌以來最長跌勢。
微軟SharePoint高風險漏洞CVE-2026-20963遭實際利用,CISA列入KEV清單 iThome
美國網路安全暨基礎設施安全局(CISA)將微軟SharePoint漏洞CVE-2026-20963列入已知遭利用漏洞(KEV)清單。微軟已於1月13日發布安全更新修補此漏洞,但CISA在3月18日將其列入KEV,代表已有遭實際利用的證據,企業應提高修補與資產盤點優先度。
微軟將移除對舊版Cross-Signed Driver信任,僅允許WHCP認證驅動程式載入 iThome
未來Windows僅允許通過WHCP認證並由官方簽章的驅動程式載入。此舉將封堵長期被濫用的核心層攻擊入口,強化系統安全,但也可能影響部分舊硬體與企業環境相容性。
微軟釋出設定及安全作業動態更新,以協助解決6月Windows安全開機憑證到期問題 iThome
微軟上週釋出動態更新KB5081494及KB5083482給Windows 11 24H2和25H2用戶,目的在排除3個月後Windows安全開機(Secure Boot)憑證到期的麻煩。
微軟投資泰國320億 鴻海、廣達等協力廠迎新訂單 經濟日報網
泰國政府指出,該項投資還為泰國勞動力培養數位技能。此次投資公告發布前,已有多項數據中心投資落地,以助攻AI發展。泰國是東南亞第二大經濟體,正加速推進數據中心、電子產業及發電相關項目。
駭客TeamPCP對PyPI套件Telnyx發動供應鏈攻擊,透過WAV檔挾帶惡意軟體 iThome
上週末8家資安公司針對駭客組織TeamPCP供應鏈攻擊提出警告,這次駭客入侵名為Telnyx的Python套件,於PyPI上架有問題的4.87.1與4.87.2版,無論開發者環境執行Windows、macOS或Linux,都有可能被植入惡意軟體。
OpenAI公布防範濫用的AI抓蟲獎勵方案 iThome
隨著AI快速演進,AI誤用的手法也跟著進步,OpenAI上週公布公開的安全臭蟲獎勵(Safety Bug Bounty)方案,以防止OpenAI系統遭到誤用或濫用而導致重大損害。
OpenAI修復ChatGPT隱蔽性數據外洩漏洞,防堵惡意濫用風險 商傳媒
OpenAI已修復ChatGPT一項嚴重的數據外洩漏洞,該漏洞允許駭客透過隱蔽的DNS查詢竊取用戶對話中的敏感資料,提醒用戶應重新檢視對AI工具安全性的預設信任。
OpenClaw「小龍蝦」爆雙重危機!axios 供應鏈藏投毒後門、MEDIA 漏洞波及全球 17 萬案例 BLOCKTEMPO
慢霧創始人余弦緊急示警,OpenClaw 最新 3.28 版可能引入遭供應鏈投毒的 axios 套件,惡意程式碼內建遠端存取木馬(RAT)可竊取裝置資料、建立持久化後門;同日,360 數位安全集團披露 OpenClaw 的 MEDIA 協議存在 Prompt 注入高危漏洞,已獲國家信息安全漏洞庫(CNNVD)確認,全球逾 17 萬個公開存取的實例面臨安全風險。
AI編程工具機密指令外洩 GitHub庫逾28款系統提示曝險 商傳媒
近日,一個在程式碼託管平台 GitHub 上建立的儲存庫,意外揭露了超過 28 款主流 AI 輔助編程工具的內部系統提示與核心指令。這項發展不僅讓開發者能首次深入了解這些工具的運作機制,也對 AI 新創公司如何保護其專有資訊,敲響了資安警鐘。
開源AI開發框架LangChain修補高風險漏洞,未更新恐導致敏感資料外洩 iThome
大型語言模型應用開發框架專案LangChain,近日發布安全公告修補高風險漏洞。這個漏洞編號為CVE-2026-34070, CVSS嚴重性評為7.5分 ,屬於路徑遍歷類型弱點,可能導致攻擊者透過特製提示模板(prompt template), 在未通過身分驗證的狀況下,即可從遠端任意讀取各種檔案。這個漏洞會影響Langchain-core元件1.2.21以前版本,解決辦法是升級到1.2.22以後版本。
Claude瀏覽器延伸套件存在零點擊漏洞ShadowPrompt,攻擊者可透過網站發動提示注入攻擊 iThome
資安公司Koi Security揭露新型攻擊手法ShadowPrompt,指出Claude的Chrome延伸套件存在重大安全漏洞,攻擊者僅需誘導使用者連至惡意網站,即可在無需任何互動的情況下,暗中操控AI助理行為。對此,Anthropic已於2025年底接獲通報後進行修補,新版套件強制要求來源必須完全符合claude.ai主網域,並封堵相關漏洞,降低被濫用的風險。
一通電話就能攻陷企業,語音釣魚成 2025 年第二大入侵手法 科技新報網
根據 Google Cloud 的 Mandiant 顧問部門最新報告,社交工程(Social Engineering)攻擊在 2025 年顯著上升,特別是語音釣魚(voice phishing)成為網路犯罪分子獲取初始訪問權限的第二大手段,並在雲端環境中成為最常用的攻擊策略。
【資安日報】3月26日,Google宣布將在2029年完成PQC遷移 iThome
針對後量子密碼學(PQC)的遷移,Google公布他們的規畫,他們將於2029年完成相關作業,而首波將在接下來推出的Android 17當中,導入美國國家標準暨技術研究院(NIST)提出的數位簽章標準。
山寨知名Chrome擴充程式使用「提示盜取」手法竊取企業敏感資訊 iThome
研究人員發現一批惡意Chrome瀏覽器外掛程式冒充受歡迎的App散佈,使用提示盜取(prompt poaching)手法,企圖竊取企業及用戶帳密及其他敏感資訊,造成資料外洩、盜帳號或釣魚攻擊。
國家級駭客與網路犯罪者從「入侵」轉向「登入」 電子工程專輯
此報告為安全團隊提供應對新興威脅的見解,並詳細分析Cloudflare平均每天攔截的2,300億次威脅背後的策略及趨勢。AI讓任何人都能更輕易地發起高階攻擊,使威脅行為者的行動速度比以往更快。
中國駭客Red Menshen在電信公司植入後門BPFDoor iThome
資安公司Rapid7警告中國駭客Red Menshen(Earth Bluecrow)鎖定電信網路的間諜活動再度升級,駭客使用能將訊號埋藏於HTTPS流量的新版後門BPFdoor,而能長時間潛伏於4G與5G核心網路環境。
FBI證實局長私人Gmail遭伊朗駭客Handala滲透 iThome
伊朗駭客Handala為報復美國聯邦調查局(FBI),傳出針對該單位局長下手並竊得一批私人資料的情況,FBI也證實確有此事,並表示遭到外流的資料未涉及政府資訊。
Threads最新詐騙!警曝恐怖手法 錢被盜還淪詐欺共犯 tvbs新聞網
台灣詐騙集團猖獗,手法層出不窮。近日,一名自稱是警察的網友在Threads發文指出,近期出現一種新型網購詐騙,詐團先假冒賣家,要求買家匯款500元保證金至其他受害者帳戶,再以「認證失敗」等理由,假冒銀行客服騙取收款碼,導致帳戶遭盜刷,甚至被誤認涉案而遭凍結。
一被駭至少要1600萬元!台灣為何這麼容易變肥羊?談判專家揭企業不敢公開的勒索實錄 數位時代
銓鍇國際創辦人何鴻汶曾處理超過 30 件勒索軟體案件,甚至具備代表客戶與駭客集團面對面談判的驚險經驗。透過他的第一線視角,解析台灣製造業的資安弱點,並揭開神祕的「資安談判」面紗,協助企業在險象環生的資安戰場中找尋生路。
偽冒LINE網站誘騙下載 資安署揭9個假網址示警 中央通訊社
LINE為台灣人普遍使用的通訊軟體,近期成為駭客鎖定目標,常見手法是偽造LINE電腦版網站,誘騙用戶下載惡意程式。數發部資安署表示,已首次針對LINE假網站聲請停止解析,並公布9個假網址,提醒民眾務必從官方管道下載,以防個資外洩。
駭客假借提供美國報稅表單從事網釣,意圖藉由惡意廣告於民眾電腦植入遠端管理工具,並癱瘓防毒軟體運作 iThome
在每年的美國報稅季當中,駭客會鎖定納稅人與會計師從事目標性攻擊,傳送釣魚信引誘受害人上當,不過,有一波攻擊行動相當特別,攻擊者採用了相當複雜的手法,藉由惡意廣告(Malvertising)接觸納稅人。
TrendAI™全球調查:台灣逾七成企業被迫在安全疑慮下導入AI iThome
趨勢科技企業事業群營運長金敬秀表示:「企業組織不是沒有風險意識,而是缺乏有效管理風險的條件。當AI部署是受競爭壓力而非治理成熟度所驅動時,AI就會在缺乏必要控管機制的情況下被嵌入至企業的關鍵系統中。這份研究凸顯了我們的核心使命:協助企業運用AI創造實質業務成果,同時亦幫助他們掌控商業風險。」
TrendAI™為NVIDIA驅動的AI工廠提供「設計即安全」防護 中華新聞雲
趨勢科技企業事業群營運長金敬秀表示:「真正的創新來自於AI與資安兩者的結合。在大規模環境中確保AI安全,並非事後補強,而是需要從一開始就打造專為安全而生的基礎。我們透過數位孿生(digital twin)模擬,讓客戶能評估資安機制的影響,開創全新的『守護AI工廠』模式。」
趨勢科技於RSA大會期間宣布重大轉型,企業資安事業群將以TrendAI為統一品牌識別 iThome
今年初趨勢科技即預告推出全新品牌名稱TrendAI,如今於3月24日RSA大會期間該公司正式對外宣布,旗下企業資安事業群將以此為統一品牌識別,標誌資安防護從基礎架構延伸至AI代理人與決策治理,而我們亦從趨勢科技IR Day看出該集團還有MagnaAI,以及TrendLife的新規畫。
AI代理成效不彰?IBM研究:關鍵更在於流程設計 iThome
許多企業開始導入AI Agent,但實際效果往往落差很大。IBM 最新研究指出,問題不一定出在模型本身,而在於流程怎麼設計。也就是說,AI每一步要做什麼、什麼時候查資料、要不要用工具,這些安排才是真正影響效能的關鍵。
多數歐企 AI 停在摘要信件層次?AWS 報告分析企業深度採用 AI 的三大門檻 科技報橘網
歐洲企業的 AI 採用率在近兩年內從 42% 跳升至 54%,技術投資年增 26%,數字看起來相當亮眼,但 AWS《解鎖歐洲 AI 潛力》報告一個數字讓人難以忽視:在這跳升到 54% 的企業中,真正以具變革性方式應用 AI 的只有 22%。
DeepSeek接連當機 中國網友怨聲不斷盼改善 中央通訊社
中國熱門的人工智慧(AI)聊天機器人DeepSeek繼29至30日當機長達近12小時後,今天下午5時左右又出現超過1小時的當機,到6時過後才告恢復正常,引起不少中國網友抱怨,紛紛要求經營商深度求索設法改進。
【資安週報】0323~0327,大規模供應鏈攻擊爆發,不僅開源弱點掃描工具Trivy遭滲透,還有LiteLLM遭植入後門事件 iThome
回顧2026年3月最後一週的資安新聞,駭客組織TeamPCP發動的一連串攻擊引發國際關注,首先是開源掃描工具Trivy的供應鏈攻擊,隨後再有LiteLLM後門事件曝光,資安業者更預示未來恐有更多受害專案恐浮現。這一星期還有國際資安展會RSAC登場,數位發展部攜手8家本土資安業者設立臺灣資安館,展示自主研發成果。
Trivy供應鏈攻擊影響逾1千個SaaS環境 iThome
針對Trivy供應鏈攻擊事故的影響範圍,Mandiant Consulting技術長Charles Carmakal於RSAC 2026 Conference的議程透露,至少有1,000個SaaS環境受到波及,且正在著手採取行動因應。
人資用 AI 篩選履歷恐踩雷 104示警:誤觸法規最高可罰1,500萬 經濟日報網
企業招募導入AI自動化,卻可能誤觸地雷。104人力銀行30日示警,企業若未經求職者同意,擅自將包含完整個資的履歷上傳至ChatGPT等第三方AI平台進行篩選,恐觸犯《個人資料保護法》,最高可面臨1,500萬元的行政罰鍰。
駭客釣魚攻擊竊Dropbox帳密 資安署建議3步驟防護 中央社
資安廠商Forcepoint近期示警,駭客透過偽造PDF誘餌,竊取用戶Dropbox登入訊息。數發部資安署指出,這是社交工程郵件攻擊手法之一,提醒民眾使用電子郵件時,切勿點擊可疑連結或下載附件,務必確認寄件者與內容,並刪除所有可疑郵件。
新型WebRTC刷卡側錄程式現身,繞過CSP等防護機制 iThome
鎖定電商網站的金融卡側錄(Web Skimming)攻擊活動出現新的手法!資安公司Sansec發現採用WebRTC通訊機制的卡片側錄程式,攻擊者藉此逃過既有監控工具與內容安全政策(CSP)的偵測。
荷蘭警方遭釣魚攻擊導致內部系統被入侵,幸未波及民眾資料 iThome
Politie當時表示,此次攻擊後續被其安全營運中心(SOC)快速偵測並即時阻擋,目前攻擊者對受影響系統的存取權限已遭切斷,並同步展開內部調查與刑事調查。
Interlock 勒索軟體組織利用 Cisco FMC 零日漏洞發動攻擊,呼籲用戶儘速修補 Twcert
Amazon 威脅情報團隊發現,勒索軟體組織Interlock正積極利用 Cisco Secure Firewall Management Center (FMC) 的重大零日漏洞 (CVE-2026-20131,CVSS:10.0) 發動大規模攻擊。
逾半數Magento電商平臺遭受PolyShell漏洞攻擊 iThome
Sansec針對一週前公布的電商平臺Adobe Commerce與Magento資安漏洞PolyShell再度提出警告,本週已出現大規模攻擊行動,駭客已在超過一半的電商網站部署PHP打造的Webshell與Shell程式。
Mirai 殭屍網路變種突破百種 C2 伺服器激增 24%、史上最大 31.4 Tbps 攻擊現身 資安人
Mirai 惡意軟體持續進化,已衍生出超過 116 種變種分支,推動全球殭屍網路規模急遽擴張。根據資安研究機構 Pulsedive 與 Spamhaus 最新聯合報告,2025 年下半年殭屍網路命令與控制(C2)伺服器數量較上半年增長 24%,美國已取代中國成為全球最大的 C2 伺服器集中地。
CISA警告大型語言模型開發工具Langflow重大漏洞已被用於攻擊,要求盡速修補 iThome
美國網路安全暨基礎設施安全局(CISA)近日警告,3月中旬揭露的重大漏洞CVE-2026-33017已被實際利用。這意味著,未修補此弱點的開源大型語言模型開發工具Langflow安全風險大增,CISA將其納入已知遭利用漏洞清單(KEV),要求各機構儘速修補。
歐盟AWS帳號遭駭,駭客組織ShinyHunters聲稱是他們所為 iThome
針對歐洲聯盟執行委員會的Amazon雲端環境遭到入侵,駭客挾持AWS帳號並竊得350 GB資料,現在駭客組織ShinyHunters將歐盟列於他們的網站,並公開部分竊得的檔案。
駭客鎖定企業雲端環境的初始入侵手法大洗牌,語音網釣居冠 iThome
攻擊者針對企業雲端的入侵手法出現劇烈轉變,最新M-Trends 2026報告顯示,語音網釣與供應鏈入侵已取代電子郵件網釣,成為初始入侵雲端環境的主要途徑,顯示攻擊模式正快速走向更具針對性與多元化。
多階段VOID#GEIST惡意軟體攻擊,散布XWorm、AsyncRAT與Xeno RAT 資安人
資安研究人員揭露了一起複雜的多階段惡意軟體攻擊活動,利用批次指令碼(batch script)部署多種加密的遠端存取木馬(RAT),包括 XWorm、AsyncRAT 和 Xeno RAT。
伊朗勒索軟體Pay2Key入侵美國醫療機構,3小時加密所有檔案 iThome
兩家資安公司看到這些駭客於2026年2月底,發起一起針對美國醫療機構的攻擊事件,駭客入侵並取得管理員帳號存取權,潛伏數日才部署勒索軟體,並在約3小時內完成整體系統加密,展現高度自動化與快速執行能力。
駭客瞄準MS SQL Server部署ICE Cloud Scanner iThome
研究人員發現的駭客組織被稱為Larva-26002。該組織2024年一月被發現散布Trigona和Mimic勒索軟體、利用MS-SQL伺服器的BCP(Bulk Copy Program)公用程式駭入系統、或安裝AnyDesk、Teramind等遠端存取程式來控制受感染受害系統,並安裝掃描程式。
多家WAF業者協助緩解React2Shell,防禦挑戰浮現、用戶修補亦是關鍵 iThome
近期我們報導臺灣研究人員協助Vercel優化WAF防禦規則,提升React2Shell漏洞阻斷能力,讓外界更關注產業在推動根本修補的同時,也透過WAF規則建立臨時緩解防線,後續我們進一步向多家WAF業者了解現況,檢視其在漏洞攻擊協防中的角色,並進一步了解企業用戶的修補落實情形。
F5修補Nginx網頁伺服器軟體高風險漏洞,未更新可能導致惡意MP4檔觸發遠端程式碼執行 iThome
F5揭露的6個漏洞中,最受矚目的是CVE-2026-32647,為CVSS嚴重性評分7.8的高風險漏洞,由於Nginx的ngx_http_mp4_module模組存在記憶體越界讀取(out-of-bounds read)問題,攻擊者可透過特製的MP4檔案觸發記憶體錯誤,導致服務中斷,甚至進一步執行任意程式碼。
PTC揭露旗下產品生命週期管理系統滿分重大漏洞,目前尚無修補程式,用戶須立即採取緩解措施 iThome
工業應用軟體廠商PTC近日發布安全公告,揭露旗下產品生命週期管理系統Windchill與FlexPLM存在重大漏洞,可能導致攻擊者藉此發動遠端執行任意程式碼攻擊,由於目前尚無修補程式,建議用戶立即採取緩解措施。
【資安日報】3月27日,數發部首度於RSA大會設立臺灣資安館 iThome
為了讓臺灣資安產業拓展國際市場,這次由數位發展部部長林宜敬領軍,帶領8家臺灣資安公司於國際資安展會RSA Conference(RSAC),在展場設立臺灣資安館(Cyber Taiwan Pavilion),向國際展示臺灣資安領域的實力。
主流LLM出現新型態資安風險,ISC基準測試揭合法任務能誘發危險輸出 iThome
主流LLM被發現在特定任務設計下可能出現ISC現象,即使執行看似正當的流程,也可能持續產生有害內容,研究團隊也已在GitHub公開ISC-Bench專案,作為可重現的測試基準。
Citrix NetScaler設備的重大漏洞出現積極偵察活動 iThome
一週前Citrix修補的NetScaler設備重大漏洞CVE-2026-3055,傳出有人嘗試大規模掃描,尋找存在此弱點的NetScaler設備,發現相關活動資安公司watchTowr、Defused Cyber呼籲用戶應儘速採取行動因應。
Nvidia發布2026年3月安全公告,修補多個驅動程式與AI應用套件漏洞 iThome
AI晶片大廠Nvidia近日發布安全公告,修補旗下硬體與軟體產品的多個漏洞,其中最嚴重的漏洞可能導致遠端程式碼執行、拒絕服務(DoS)等風險,建議用戶盡速修補。
戰火燒向雲端!AWS巴林資料中心遭伊朗襲擊 這些科技業者全列「攻擊名單」 udn科技玩家
中東地區的地緣政治衝突,正式跨越傳統軍事設施的界線,將戰火直接燒向了支撐全球數位經濟的「雲端 基礎設施」。根據報導,伊朗 伊斯蘭革命衛隊 (IRGC)證實已對位於巴林的亞馬遜雲端運算中心發動軍事攻擊,以報復美國近期的軍事與暗殺行動。
AI 平時正常、遇關鍵字就暴走,微軟揪出遭污染模型 科技新報網
在 RSAC 2026 網路安全會議期間,微軟(Microsoft)研究人員指出,遭污染的 AI 模型往往平時表現正常,卻會在碰到特定「觸發詞」或片語時突然出現明顯異常,甚至像是行為「爆掉」一樣改變回應方式。
研究員與微軟槓上,Windows 零時差漏洞「BlueHammer」遭怒揭公開 INSIDE
根據外媒報導,一名對微軟安全回應機制深感不滿的研究員,於 4 月 3 日在 GitHub 上公開發布了一個 Windows 本地提權(Local Privilege Escalation,LPE)漏洞的概念驗證(PoC)程式碼。
Medusa 勒索軟體 24 小時內完成全攻擊流程! 微軟示警 Storm-1175 有零日漏洞攻擊能力 資安人
微軟近日發布研究報告指出,部署 Medusa 勒索軟體的駭客組織 Storm-1175 展現出極高的攻擊效率,能在入侵系統後 24 小時內完成資料外洩與勒索軟體部署。更令人擔憂的是,該組織已具備零日漏洞利用能力,曾在修補程式釋出前一週就開始發動攻擊。
路透社報導,微軟表示,這筆投資包括在2030年前培訓100萬名工程師與開發人員,這項消息是在副董事長兼總裁史密斯(Brad Smith)訪問東京期間宣布。微軟在聲明中指出,這項計畫與首相高市早苗透過先進、戰略技術帶動經濟成長,同時維護國家安全的計畫相符。
【資安日報】4月7日,Claude Code資料外洩事故成駭客散布惡意軟體的新誘餌 iThome
一週前Anthropic發生資料外洩事故,員工不慎曝露了AI程式開發工具Claude Code的特定檔案,引起外界關注,有許多開發人員下載進行研究,然而駭客也看上這點,打著Claude Code leak的名號散布惡意軟體。
Claude Code 外洩爆雙重危機:51萬行原始碼曝光、偽造儲存庫散布竊資程式 資安人
Anthropic 旗下 AI 編碼工具 Claude Code 於 2026 年 3 月 31 日發生原始碼外洩事件,起因是 npm 套件中誤含 59.8MB 的 JavaScript source map 檔案,導致超過 51 萬行未經混淆的 TypeScript 原始碼曝光。攻擊者迅速利用此事件在 GitHub 建立偽造儲存庫,以「解鎖版」為誘餌散布 Vidar 資訊竊取程式,開發者社群面臨雙重安全威脅。
Anthropic 員工出包:Claude Code 原始碼全數外洩 網路資訊雜誌
Anthropic 本週疑似員工作業疏失,在 Claude Code 的官方 npm 套件中包入一個映射檔,使 Claude Code 整個原始碼意外曝光。 3 月 31 日一名研究人員 Chaofan Shou 首先發現並在 X 上公告此事,幾小時後全網路的人都看到了。用戶迅速將 Claude Code 程式碼快速備份在 GitHub 上,不到一天就被分支了 4.2 萬次,讓好東西能「雨露均霑」。
Anthropic 內部測試「Conway」常駐 AI 代理:Claude 加強版龍蝦即將現身 電腦王阿達
之前龍蝦席捲全球時,很多人好奇為什麼 Anthropic 不是寬大包容,而是派出法務重搥打壓結果讓 OpenClaw 創辦人跑去 OpenAI 了?答案可能很單純,因為 Anthropic 想自幹。 科技爆料帳號 TestingCatalog 搶先披露了 Anthropic 正在內部測試的全新常駐 AI 智能體:代號「Conway」。
Claude訂閱戶崩潰!Anthropic調整政策:第三方工具OpenClaw將改為另行計費 工商時報電子報
隨著OpenClaw創辦人Peter Steinberger目前已轉任職於OpenAI,外界也關注此一人事變動是否對生態合作關係產生影響。報導引述Steinberger說法,他與OpenClaw董事會成員Dave Morin曾試圖與Anthropic溝通此項政策調整,但最終僅爭取到延後一周實施。至於政策調整是否與相關人事因素有關,官方並未說明。
AI 新創不想再免費支援 Anthropic 向「龍蝦餐」討錢 聯合新聞網
隨著旗下聊天機器人Claude需求激增,人工智慧(AI)新創公司Anthropic決定改變政策,中止支援熱門AI代理平台OpenClaw等第三方工具,用戶若想繼續使用,得額外付費。
當客服變監控工具,AI 語音與對話外洩揭開資安盲點 科技新報網
曾經的零售巨頭 Sears(西爾斯)再次登上新聞頭條,但這回是一場令人毛骨悚然的資安災難。Sears 所使用的 AI 客服系統 Samantha 發生了嚴重的資料外洩,超過 370 萬筆聊天紀錄與 140 萬筆語音檔案在網路上散布。
Google警告量子電腦威脅加密貨幣安全!時程加快、690萬比特幣陷風險 鉅亨網
Google(GOOGL-US) 的研究團隊警告,到了 2029 年,量子電腦可能具備破解主流區塊鏈安全防護的能力。目前已有約 690 萬枚比特幣的公鑰處於公開狀態,這些資產隨時可能成為量子攻擊的目標。
Chrome 爆關鍵漏洞已被利用,Google:立刻「重啟」才能自保 科技新報網
在最近的安全警告中,Google 提醒其超過 30 億的 Chrome 使用者,當他們看到特定的更新提示時,可能正面臨安全風險。隨著假期的臨近,Google 發出警告,指出「CVE-2026-5281」的漏洞已經被攻擊者利用,這使得數以百萬計的使用者仍然處於危險之中。
Chrome爆發重大安全漏洞!做「這動作」是唯一自保方式 工商時報電子報
Google已向全球30億Chrome用戶發出警告,代號為CVE-2026-5281的資安漏洞「已遭駭客大規模利用」。儘管Google隨即發布了修補程式,但全球仍有數億名用戶暴露在風險之中。
【資安週報】0330~0402,出現新型態LINE盜號事件,以台灣大哥大語音信箱功能與LINE驗證機制為突破口 iThome
在清明連假前夕,即時通訊軟體LINE傳出大規模用戶帳號遭強制登出與盜用的災情,引發社會高度關注,並揭示了電信服務預設密碼可能帶來的連鎖風險;在資安事件方面,臺灣上市公司建通揭露母公司及海外兩家子公司均遭網路攻擊;國際間則爆發多起針對政府與執法機關的入侵事件。
小心遠端有人監視你看盤!拆解駭客入侵六大威脅 經濟日報網
近期LINE電腦版假網站再次出現,數發部資安署表示,已首次針對LINE假網站聲請停止解析(DNS RPZ),並公布九個假網址,一旦點擊並執行假網站的安裝檔,裝置可能感染惡意程式,恐遭側錄螢幕、鍵盤輸入或開啟攝影機,甚至被遠端操控,成為駭客攻擊他人的「跳板」。
研究指控微軟透過LinkedIn大規模監控用戶身分 iThome
代表LinkedIn企業用戶的倡議組織FairLinked公布BrowserGate報告,指出LinkedIn在用戶造訪時,會透過網頁內嵌JavaScript掃描用戶的Chrome擴充程式,並可能用來推測宗教、政治立場及企業IT環境。
Politico:中國駭客入侵FBI系統 構成美國安重大威脅 世界新聞網
美國政治新聞媒體Politico報導,聯邦調查局(FBI)最近將一起與中國有關的駭客行動,認定為對美國敏感監控系統的「重大事件」,這代表對美國的國家安全構成重大風險。
Axios供應鏈攻擊事故調查出現新進展,北韓駭客透過Slack、Teams竊得憑證而得逞 iThome
針對3月底爆發的Axios供應鏈攻擊事故,NPM憑證遭到挾持的套件維護者Jason Saayman透露事故發生的過程,駭客先冒充一家真實公司的創辦人,邀請他加入特定的Slack工作空間(Workspace)建立信任,然後再安排假的Teams視訊會議,要求必須安裝缺少的元件為由,在Saayman的電腦植入惡意程式。
駭客濫用React2Shell從事自動化攻擊,企圖從網頁應用程式搜刮各式憑證 iThome
思科揭露最新一波React2Shell攻擊行動,駭客組織UAT-10608藉由自動化工具,於全球逾700臺應用程式伺服器搜刮各式憑證、API金鑰、SSH密鑰,以及雲端環境的中繼資料等。
資訊裸奔1/不要餵這些資料! 逾七成企業導入有風險的AI地雷 鏡週刊
用 AI 幫忙工作、篩選資訊,在當前職場已是再正常不過的事。甚至有業者沾沾自喜地向本刊表示,把幾百份求職者的PDF檔直接丟進 AI,就能快速找出最強的候選人,還說:「這年代誰還會笨到一份一份把履歷全都看完?說不定,其中很多履歷本身也是用 AI 寫的。」
AI 導入過快導致治理脫節?TrendAI 報告示警:企業面臨三大風險挑戰 T客邦
根據 TrendAI 最新發布的調查報告指出,儘管 AI 為防禦者提供了強大的自動化工具,但也同時呈指數級擴大了企業的攻擊表面。這份針對全球 3,700 名決策者的調查顯示,企業在追求 AI 導入速度的同時,治理與監管架構的成熟度卻顯著落後,形成了嚴重的資安隱憂。
TrendAI™為NVIDIA驅動的AI工廠提供「設計即安全」防護 Xfastest
趨勢科技企業事業群營運長金敬秀表示:「真正的創新來自於AI與資安兩者的結合。在大規模環境中確保AI安全,並非事後補強,而是需要從一開始就打造專為安全而生的基礎。我們透過數位孿生(digital twin)模擬,讓客戶能評估資安機制的影響,開創全新的『守護AI工廠』模式。」
天災人禍成我國海纜障礙新威脅,數發部:加強「斷纜不斷網」韌性架構 iThome
數發部報告指出,去年國內共發生7起近岸海纜障事件,其中6起事件和人為因素有關,特別是船錨造成的障礙就有3件;加上去年遠海的海纜故障25件,顯示受到天災人禍影響,需加強海纜關鍵基礎設施的保護。
HPE Threat Labs網路威脅研究報告揭示: 網路攻擊者轉型為「商業模式」 攻擊邁向規模化並加速發展 iThome
現代網路攻擊者在全球各產業與關鍵公部門中的大規模攻擊模式出現顯著轉變。根據HPE對2025年全球實際威脅活動的分析,顯示網路犯罪已走向工業化,攻擊者利用自動化技術與長期存在的漏洞,擴大攻擊規模,並以令防禦方難以應對的速度反覆入侵高價值目標。
Proofpoint 力推 Human-Centric Security 因應 AI 資安挑戰最佳解方 iThome
隨著生成式 AI 與雲端應用快速普及,帶動企業工作型態的劇烈變化。在數位工作環境變得更加開放與彈性下,員工每天透過電子郵件、雲端文件、即時通訊與各式 SaaS 應用進行協作。特別是應用日益多元的 AI 代理(AI Agents),具備自動生成文件、整理資料等功能,可讓員工的工作效率大幅提升,只是背後也讓資安風險大幅提升。
行政院通過虛擬資產服務法草案,加強VASP服務商監理強度、明確國內穩定幣發行及管理 iThome
行政院通過虛擬資產服務法草案,未來VASP服務商將從現有的登記制走向許可制,並採類金融業者的監理強度,對其財務、業務、人員資格加強規定,同時明確化穩定幣的管理,以及市場的不公正行為管理。
2025年資安險保費5.12億元 半導體投保占比居冠 中央社
金管會今天表示,2025年資安險整體保費收入達新台幣5.12億元,其中,半導體業保費約1.48億元、占比最高達28.87%,其次為電腦及週邊設備業約1.25億元,再來為金融保險業約1億元,顯示業者意識到資安重要性並選擇投保資安險,以提升供應鏈安全。
台矽谷新創基地 科技巨頭投資 中時新聞網
國發會去年1月於美國設立Startup Island TAIWAN矽谷新創基地(SV Hub)為海外關鍵支點,透過實體據點深耕,已成為台灣新創落地美國後盾;國發會7日表示,今年第1季有3家AI新創企業進駐SV Hub,包括亞太智能機器、綠銅科技、振生半導體,獲得趨勢科技、Intel等指標廠商注資或成為策略合作夥伴。
資安院揭近半年資安通報 通信網路業與生醫業最多 中央通訊社
資安院先前公布近半年資安事件重訊通報,通信網路業與生技醫療業占比最高,各為16.1%,接續為電子零組件業、汽車工業,各為9.6%。資安院建議,各產業持續強化端點防護、帳號存取管理及供應鏈與委外控管,以降低風險。
部醫資安藏弊端/放任親中廠商變相綁標任宰割 衛福部轄下醫院全陷資安危機 鏡傳媒
投訴人指的標案是衛福部委託部立台北醫院(部北)招標的「衛福部所屬19家醫院汰換醫療資訊系統採購案」,該案於2024年9月由昱誠智能得標,但該公司前一年才因部立桃園醫院(部桃)醫療資訊系統遭駭客入侵,被外界質疑具有中資背景,沒想到衛福部事後不僅為該公司背書,甚至還讓他們繼續低價搶標。
思科傳遭駭客竊取大量資料,GitHub 原始碼與個資疑外洩 網路資訊雜誌
ShinyHunters 在暗網上聲稱已竊取 Salesforce 、 AWS bucket 、 Github 資料。其中 Salesforce 包含個資 (PII) 超過 300 萬筆紀錄,分別來自語音釣魚、 Salesforce Aurora 及 AWS 帳號。攻擊者還貼出二則系統截圖作為證明。駭客要求思科在 4 月 3 日前聯繫,否則就要公開資料。
北韓駭客竊走DeFi平台2.85億美元 社交工程結合技術漏洞成新威脅 商傳媒
北韓國家支援駭客組織於4月1日針對建構於Solana區塊鏈的去中心化永續期貨交易所Drift Protocol發動精密網路攻擊,短短12分鐘內竊走高達2.85億美元(約新台幣92億元),兩家區塊鏈分析公司TRM Labs與Elliptic均指出,此次攻擊手法結合社交工程與技術漏洞,而非僅利用智能合約缺陷。
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊 不想成為下一個受害者嗎?立即訂閱,搶先一步防範
