本週資安新聞涵蓋多起重大事件,包括 Microsoft Defender 零時差漏洞揭露、OpenSSF 通報開源社群攻擊案例,以及 FBI 發布年度網路犯罪統計數據。
⭕️ 資安趨勢部落格精選
- 供應鏈攻擊警報!破億下載的 Axios 套件遭惡意竄改
- 假冒版權通知!PureLog 多階段攻擊鎖定關鍵產業
- 從 LiteLLM 到 Telnyx:TeamPCP 攻擊戰術轉型,威脅範圍再擴大
- AI 堆疊根金鑰外洩警訊:LiteLLM PyPI 供應鏈事件深度解析
- 趨勢科技嶄新推出消費事業群品牌TrendLife™
- 【上週資安新聞週報】 Claude Mythos引發金融監管關注、電商80萬筆資料外洩、ComfyUI遭駭濫用、APT41竊取雲端憑證
- 【上週打詐週報】買 iPhone 收到濕紙巾!/「幽靈包裹」貨到付款強迫收貨/150元買蒜頭竟被誆60 萬
- Apple Pay 爆新型詐騙,按一下,錢沒了
一、漏洞與攻擊事件(本週最高風險)
1. 零時差與重大漏洞連環爆
- Microsoft Defender 再爆第 3 個零時差漏洞(RedSun),且已遭實際利用
- 同系列漏洞(含 BlueHammer)研究員不滿官方回應,持續揭露
- 4 月 Patch Tuesday 一次修補 169 個漏洞,含 2 個已被利用的零日漏洞
- Cisco Webex、ISE 接連出現重大漏洞(含未授權存取、RCE)
- Nginx UI 爆重大漏洞,且已遭積極攻擊
- protobuf.js 函式庫出現 RCE,影響 gRPC、Firebase 生態系
- GPU-Z 驅動漏洞恐讓駭客取得最高權限
⭕️ 相關新聞
又有第三個Microsoft Defender零時差漏洞被揭露!連同前面兩個皆已傳出已被用於攻擊活動 iThome
研究人員對微軟回應BlueHammer感到失望,公布新的Microsoft Defender零時差漏洞RedSun iThome
微軟4月Patch Tuesday修補169個漏洞,兩個零日漏洞遭公開並實際利用 資安人
思科修補Webex重大非授權存取漏洞 iThome
思科修補網路存取控制平臺ISE重大漏洞,未更新可能導致遠端執行任意程式碼攻擊 iThome
Nginx網頁管理介面元件Nginx UI存在重大漏洞,有資安公司警告已遭積極利用 iThome
GPU-Z驅動程序存嚴重安全漏洞黑客可獲系統最高權限 TechRitual
2. 開源與供應鏈攻擊升溫
- OpenSSF 示警:駭客在 Slack 冒充 Linux Foundation 成員誘導安裝惡意憑證
- marimo 套件漏洞遭利用,透過 Hugging Face 散布惡意程式
- Axios NPM 套件(高下載量)遭惡意竄改(供應鏈攻擊)
- 工作流程平台 n8n 被濫用來發動釣魚攻擊
⭕️ 相關新聞
OpenSSF 示警:攻擊者利用Slack冒充Linux Foundation領袖誘導安裝惡意憑證 資安人
Marimo重大漏洞遭利用,駭客透過Hugging Face散布惡意軟體NKAbuse iThome
供應鏈攻擊警報!破億下載的 Axios 套件遭惡意竄改 趨勢科技
工作流程自動化平臺n8n遭到濫用,駭客從事網釣活動散布有效酬載 iThome
3. 殭屍網路與惡意程式進化
- Condi 殭屍網路利用 TP-Link 路由器漏洞擴散
- Mirai 變種 Nexcorium 攻擊 DVR 設備
- BPFDoor 變種透過 ICMP 中繼躲避偵測
- PowMix 殭屍網路採隨機 C2 通訊匿蹤
- ZionSiphon 鎖定水利設施(關鍵基礎設施攻擊)
⭕️ 相關新聞
殭屍網路Condi綁架TP-Link無線路由器,利用已知漏洞進行滲透 iThome
Mirai殭屍網路變種Nexcorium綁架TBK DVR設備 iThome
殭屍網路PowMix鎖定捷克企業與求職者發動攻擊,採用隨機C2通訊匿蹤 iThome
高下載量protobuf.js函式庫爆RCE漏洞,波及gRPC與Firebase套件 iThome
惡意軟體ZionSiphon企圖滲透以色列水利設施,恐影響水資源處理與海水淡化 iThome
二、AI 資安與詐騙風險
- FBI 報告:2025 網路犯罪損失突破 208 億美元
- AI 詐騙、深偽(Deepfake)持續擴大影響
- 台灣調查:近 7 成民眾最擔心個資外洩
- AI 代理工具引發資安疑慮(資料收集、漏洞問題)
- AI 詐騙逐漸轉向家庭場景
⭕️ 相關新聞
FBI發布2025年網路犯罪報告:年損失突破208億美元,AI助長詐騙,勒索軟體持續影響關鍵基礎設施 iThome
AI詐騙與深偽風險升溫 資安業者:家庭成防護新場景 經濟日報網
AI代理工具資安隱憂浮現 Google漏洞與OpenAI數據收集惹議 商傳媒
報稅、找工作都用AI?最新調查:近7成台灣人最擔心「個資外洩」 自由時報電子報
三、企業與產品安全動態
1. 科技大廠資安策略
- Google 在 Pixel 10 導入 Rust DNS 解析器(降低基頻攻擊面)
- Google 在台移除 3564 個惡意廣告網址
- Meta、Amazon、Anthropic 加速 AI 投資與算力布局
- WhatsApp AI 助理整合遭歐盟監管阻擋
⭕️ 相關新聞
降低基頻高風險攻擊面,Google在Pixel 10系列導入Rust改寫的DNS解析器 iThome
Google強化廣告安全 在台移除3564個違規網址 中央通訊社
Anthropic長約鎖定AWS 5GW算力,Amazon加碼投資最高250億 iThome
WhatsApp 禁第三方 AI 助理接入遭歐盟拒絕,Meta 恐面臨全球營收 10% 罰款 科技新報網
2. 台灣與資安政策
- 數發部發布公部門開源軟體應用指引
- 資安署推出中小企業 16 項防護檢核
- 165 反詐騙專線非完全免費引發討論
⭕️ 相關新聞
數發部釋出公部門開源軟體應用參考手冊,彌補公部門對開源軟體的授權、管理資訊不足缺口 iThome
資安署發布中小企業基本資安防護指引 三大面向 16 項檢核協助產業防駭 說資安新聞網
打165反詐騙專線還被收費 林俊憲曝還有1980、1995都非免費 聯合新聞網
四、關鍵基礎設施與國安威脅
- 瑞典揭露親俄駭客攻擊供熱系統
- 美國司法部與 FBI 瓦解俄軍 DNS 劫持行動
- 汽車產業勒索軟體攻擊年增翻倍
- 水資源、能源設施成為攻擊目標
⭕️ 相關新聞
瑞典稱親俄駭客去年試圖攻擊供熱廠 iThome
美國司法部與FBI瓦解俄羅斯軍方駭客DNS劫持網路,阻斷惡意竊取資訊管道 iThome
汽車產業資安威脅急速升溫,勒索軟體事故2025年翻倍成長 iThome
惡意軟體ZionSiphon企圖滲透以色列水利設施,恐影響水資源處理與海水淡化 iThome
五、產業與市場觀察
- Trend Micro TrendAI™ 攜手 Anthropic 強化 AI 資安
- 歐盟投資 1.8 億歐元打造主權雲
- AI 發展帶動產業重組與人力調整
⭕️ 相關新聞
A趨勢科技TrendAI™攜手Anthropic,強化AI資安領導地位 哈燒王
歐盟發包1.8億主權雲合約給4家本地雲端供應商,減少對美科技依賴 iThome
【科技早餐】AI 一邊加碼、一邊裁員,Meta、Disney、Snap 接連重整人力 科技報橘
蘋果換帥!新任CEO特納斯兼具賈伯斯與庫克特質 將挑戰艱鉅AI轉型 聯合新聞
⭕️ 媒體資安新聞一覽
OpenSSF 示警:攻擊者利用Slack冒充Linux Foundation領袖誘導安裝惡意憑證 資安人
又有第三個Microsoft Defender零時差漏洞被揭露!連同前面兩個皆已傳出已被用於攻擊活動 iThome
研究人員對微軟回應BlueHammer感到失望,公布新的Microsoft Defender零時差漏洞RedSun iThome
微軟針對終止支援的舊版Exchange與Skype for Business發布第二階段ESU,延長安全更新至2026年10月 iThome
微軟4月Patch Tuesday修補169個漏洞,兩個零日漏洞遭公開並實際利用 資安人
Microsoft 澄清 Windows 11 任務欄 AI 代理功能 按計劃推進 TechRitual
WhatsApp 禁第三方 AI 助理接入遭歐盟拒絕,Meta 恐面臨全球營收 10% 罰款 科技新報網
降低基頻高風險攻擊面,Google在Pixel 10系列導入Rust改寫的DNS解析器 iThome
Google強化廣告安全 在台移除3564個違規網址 中央通訊社
AI代理工具資安隱憂浮現 Google漏洞與OpenAI數據收集惹議 商傳媒
快更新Chrome!Gemini側邊欄正式登台:除了一鍵讀懂YouTube影片,還有什麼酷功能? 數位時代
【科技早餐】AI 一邊加碼、一邊裁員,Meta、Disney、Snap 接連重整人力 科技報橘
蘋果換帥!新任CEO特納斯兼具賈伯斯與庫克特質 將挑戰艱鉅AI轉型 聯合新聞網
工作流程自動化平臺n8n遭到濫用,駭客從事網釣活動散布有效酬載 iThome
殭屍網路Condi綁架TP-Link無線路由器,利用已知漏洞進行滲透 iThome
高下載量protobuf.js函式庫爆RCE漏洞,波及gRPC與Firebase套件 iThome
AI詐騙與深偽風險升溫 資安業者:家庭成防護新場景 經濟日報網
趨勢科技TrendAI™攜手Anthropic,強化AI資安領導地位 哈燒王
報稅、找工作都用AI?最新調查:近7成台灣人最擔心「個資外洩」 自由時報電子報
Anthropic 雙線備戰 Opus 4.7 與 AI 設計工具,Figma、Adobe 股價應聲下跌 INSIDE
Anthropic長約鎖定AWS 5GW算力,Amazon加碼投資最高250億 iThome
Mirai殭屍網路變種Nexcorium綁架TBK DVR設備 iThome
瑞典稱親俄駭客去年試圖攻擊供熱廠 iThome
Nginx網頁管理介面元件Nginx UI存在重大漏洞,有資安公司警告已遭積極利用 iThome
後門程式BPFDoor出現變種,駭客透過C2路由與ICMP中繼手法逃過偵測 iThome
群暉修補SSL VPN Client工具程式兩個漏洞,未更新可能導致敏感資料外洩 iThome
數發部釋出公部門開源軟體應用參考手冊,彌補公部門對開源軟體的授權、管理資訊不足缺口 iThome
TXOne發布Stellar Discover 強化OT端點可視性與風險評估能力 工商時報電子報
打165反詐騙專線還被收費 林俊憲曝還有1980、1995都非免費 聯合新聞網
思科修補網路存取控制平臺ISE重大漏洞,未更新可能導致遠端執行任意程式碼攻擊 iThome
資安專家克利斯坦森訪台 示警基建韌性與深偽威脅 中央通訊社
漏洞數暴增263%,NIST縮減CVE分析範圍轉向風險優先 iThome
Marimo重大漏洞遭利用,駭客透過Hugging Face散布惡意軟體NKAbuse iThome
思科修補Webex重大非授權存取漏洞 iThome
駭客公布McGraw-Hill逾100GB資料 iThome
Kelp 被盜損失近 3 億美元 Aave 接下 2 億美元壞帳 鉅亨網
歐盟發包1.8億主權雲合約給4家本地雲端供應商,減少對美科技依賴 iThome
FBI發布2025年網路犯罪報告:年損失突破208億美元,AI助長詐騙,勒索軟體持續影響關鍵基礎設施 iThome
美國司法部與FBI瓦解俄羅斯軍方駭客DNS劫持網路,阻斷惡意竊取資訊管道 iThome
【資安日報】4月21日,2025年網路犯罪美國損失逾200億美元 iThome
資安署發布中小企業基本資安防護指引 三大面向 16 項檢核協助產業防駭 說資安新聞網
Telegram 官方繁體中文版突擊上線!雲端儲存與隱私優勢能否帶動轉移潮? 科技新報網
汽車產業資安威脅急速升溫,勒索軟體事故2025年翻倍成長 iThome
Gemini 助力移除有害廣告,Google 阻詐在台移除 3,564 個網址 科技新報網
殭屍網路PowMix鎖定捷克企業與求職者發動攻擊,採用隨機C2通訊匿蹤 iThome
GPU-Z驅動程序存嚴重安全漏洞黑客可獲系統最高權限 TechRitual
惡意軟體ZionSiphon企圖滲透以色列水利設施,恐影響水資源處理與海水淡化 iThome
OpenSSF 示警:攻擊者利用Slack冒充Linux Foundation領袖誘導安裝惡意憑證 資安人
Open Source Security Foundation(OpenSSF)近日發布安全公告,指出有攻擊者在 Slack 上冒充 Linux Foundation 相關社群領袖,鎖定軟體開發者進行網釣。此類訊息多以私訊方式發送,並以「內部限定」與「搶先體驗」等話術誘導受害者依指示前往假冒的登入頁面。
又有第三個Microsoft Defender零時差漏洞被揭露!連同前面兩個皆已傳出已被用於攻擊活動 iThome
威脅情報公司Huntress提出警告,由研究人員Chaotic Eclipse(Nightmare-Eclipse)於GitHub公布的多個Microsoft Defender零時差漏洞,他們已經偵測到實際利用活動,由於有兩個漏洞RedSun、UnDefend微軟尚未修補,駭客將可能積極、廣泛對Windows用戶發動攻擊。
研究人員對微軟回應BlueHammer感到失望,公布新的Microsoft Defender零時差漏洞RedSun iThome
疑似對微軟處理BlueHammer(CVE-2026-33825)的過程感到失望,研究員Chaotic Eclipse再度公布另一個Microsoft Defender資安漏洞RedSun,號稱可藉由具備特定標籤屬性的檔案觸發,竄改系統檔案並取得管理員權限。
微軟針對終止支援的舊版Exchange與Skype for Business發布第二階段ESU,延長安全更新至2026年10月 iThome
針對已終止支援的Exchange Server 2016/2019與Skype for Business Server 2015/2019,微軟宣布推出第二階段延伸安全更新(Extended Security Update,ESU)計畫。
微軟4月Patch Tuesday修補169個漏洞,兩個零日漏洞遭公開並實際利用 資安人
微軟於2026年4月15日發布本月例行安全更新(Patch Tuesday),一次性修補多達169個安全漏洞,為史上第二大規模單月修補行動。本次更新涵蓋兩個零時差漏洞,其中SharePoint伺服器偽造漏洞CVE-2026-32201已遭駭客積極利用,美國網路安全暨基礎設施安全局(CISA)已將其列入已知遭利用漏洞(KEV)目錄,要求聯邦機構於4月28日前完成修補。
Microsoft 澄清 Windows 11 任務欄 AI 代理功能 按計劃推進 TechRitual
Microsoft近日澄清,公司並未放棄在 Windows 11 中打造「智能代理」(agentic)體驗,任務欄級別的 AI 代理功能仍按計劃推進。這意味著用戶未來可在任務欄直接調用各類 AI 代理,包括第三方代理,但相關功能將以可選形式提供,不會預設開啟。
降低基頻高風險攻擊面,Google在Pixel 10系列導入Rust改寫的DNS解析器 iThome
Google在Pixel 10系列基頻(Baseband)韌體中導入記憶體安全語言,具體作法是導入以Rust實作用來解析DNS回應的DNS解析器。Google選用開源Rust函式庫hickory-proto作為基礎,並以體積最佳化設定建置原型後估算,相關Rust程式碼總計約371 KB。
Google強化廣告安全 在台移除3564個違規網址 中央通訊社
Google今天發表「2025廣告安全報告」,透過AI模型Gemini強化防詐與廣告審核機制,去年於廣告投放前攔截超過99%的違規內容,並累計移除逾83億則廣告、停權超過2490萬個帳戶;Google也在台灣配合法規,移除3564個違規網址。
AI代理工具資安隱憂浮現 Google漏洞與OpenAI數據收集惹議 商傳媒
與此同時,OpenAI 新推出的桌面 AI 助理 Chronicle 因其螢幕截圖數據收集機制,也引發資料隱私與提示注入的風險。這些案例警示企業,需嚴肅看待新興 AI 工具帶來的資料安全挑戰。
快更新Chrome!Gemini側邊欄正式登台:除了一鍵讀懂YouTube影片,還有什麼酷功能? 數位時代
2025年9月在美國率先推出的Gemini 版 Chrome(Gemini in Chrome),終於在4月21日正式落地台灣。預期將在Chrome的超高市佔基礎上,讓不少死忠用戶首次體會到「AI瀏覽器」的突破。
WhatsApp 禁第三方 AI 助理接入遭歐盟拒絕,Meta 恐面臨全球營收 10% 罰款 科技新報網
歐盟委員會日前發出補充異議聲明,初步認定 Meta「以收費代替禁令」策略實質上仍封鎖第三方 AI 助理接入 WhatsApp,違反歐盟反壟斷規定,預定強制命令 Meta 立即恢復第三方 AI 平等存取權。這是歐盟 2025 年 12 月展開調查以來,執法力最強行動──拒絕 Meta 3 月提出的「付費開放」妥協方案,並明確指出若最終確認違規,Meta 將面臨全球年營收最高 10% 罰款及永久強制開放接入義務。
【科技早餐】AI 一邊加碼、一邊裁員,Meta、Disney、Snap 接連重整人力 科技報橘
AI 投資擴張與人力重整,最近接連在美國科技與娛樂業上演。《路透》報導,Meta 預計自 5 月 20 日啟動新一波裁員,規模約占全球員工 10%、接近 8,000 人,且今年稍晚可能還有後續調整。更早之前,迪士尼(Disney)宣布裁掉約 1,000 人,波及行銷、影視、ESPN、科技與公司職能部門;Snap 也宣布裁員約 1,000 人,占全職員工約 16%。
蘋果換帥!新任CEO特納斯兼具賈伯斯與庫克特質 將挑戰艱鉅AI轉型 聯合新聞網
蘋果宣布,已擔任15年執行長的庫克 將在9月1日卸下舵手職務,轉任執行董事長,由硬體主管特納斯 (John Ternus)接任執行長,寄望這位兼具庫克管理風格、已故共同創辦人賈伯斯 對硬體堅持的新任領袖,能帶領蘋果在人工智慧(AI)時代開創新局。
工作流程自動化平臺n8n遭到濫用,駭客從事網釣活動散布有效酬載 iThome
駭客開始將工作流程自動化平臺n8n用於攻擊行動,藉此以合法平臺掩護網路犯罪,在使用者電腦植入有效酬載,或是收集裝置譞別資訊(fingerprinting),值得留意的是,這種攻擊活動的數量,近半年已增加近7倍。
殭屍網路Condi綁架TP-Link無線路由器,利用已知漏洞進行滲透 iThome
去年6月美國網路安全暨基礎設施安全局(CISA)警告TP-Link無線路由器漏洞CVE-2023-33538遭到利用,資安公司Palo Alto Networks公布相關發現,指出當時有人試圖用來散布殭屍網路Mirai的變種Condi。
高下載量protobuf.js函式庫爆RCE漏洞,波及gRPC與Firebase套件 iThome
知名protobuf.js函式庫爆出CVSS 9.4高風險漏洞,攻擊者可藉惡意Schema在應用程式首次處理特定訊息時執行任意程式碼,漏洞影響8.0.0與7.5.4以下版本,官方已發布8.0.1與7.5.5修補。
報稅、找工作都用AI?最新調查:近7成台灣人最擔心「個資外洩」 自由時報電子報
隨著數位威脅持續升溫,資安環境正以驚人速度演變。釣魚攻擊、勒索軟體與身分詐騙等風險層出不窮,尤其AI技術的普及更進一步放大詐騙規模。根據統計,2025年AI金融詐騙已在全球造成高達4420億美元的損失。
趨勢科技TrendAI™攜手Anthropic,強化AI資安領導地位 哈燒王
此次合作旨在強化AI威脅研究規模,透過真實世界弱點發掘,協助企業在AI進入生產環境前識別並解決關鍵弱點。同時,Claude模型的導入將推動TrendAI™平台創新,強化自動化與AI原生資安營運能力,協助企業降低雜訊、加快反應速度,並隨AI導入擴展資安能力。雙方將於五月在美國亞利桑那州鳳凰城舉辦的Spark Leadership Exchange大會上,與產業領袖一同探討AI資安的未來發展。
Anthropic 雙線備戰 Opus 4.7 與 AI 設計工具,Figma、Adobe 股價應聲下跌 INSIDE
根據消息指出,Anthropic 將發布 Claude Opus 4.7 模型及 AI 設計工具,後者可由自然語言提示生成網站與簡報。新模型強化多代理人協作與長時間任務執行,此舉標誌其正式跨足主流生產力軟體市場,直接挑戰現有領導者。
Anthropic長約鎖定AWS 5GW算力,Amazon加碼投資最高250億 iThome
Anthropic與Amazon宣布簽署10年合作協議,總投入金額上看1000億美元,並取得最高5GW算力,用於Claude模型訓練與推論。Amazon同步加碼投資Anthropic最高250億美元,顯示雙方持續深化AI基礎設施合作。
AI詐騙與深偽風險升溫 資安業者:家庭成防護新場景 經濟日報網
隨著人工智慧(AI)工具快速融入日常生活,詐騙與資安威脅也出現變化。資安業者指出,深偽(Deepfake)與生成式AI使詐騙手法更難辨識,且家庭成員間對AI風險的認知差異擴大,因此「家庭」逐漸成為資安防護的新場景。
Mirai殭屍網路變種Nexcorium綁架TBK DVR設備 iThome
鎖定TBK DVR設備漏洞CVE-2024-3721的攻擊行動再度出現,Fortinet發現新的Mirai殭屍網路變種Nexcorium,一旦找到存在弱點的DVR設備,駭客就會試圖進行控制,並用於發動DDoS攻擊。
瑞典稱親俄駭客去年試圖攻擊供熱廠 iThome
瑞典民防部長Carl-Oskar Bohlin週三在首都舉行的記者會上指出,由於廠內的資安防護啟動,阻止了該次入侵。入侵未遂目標是一個營運科技(OT)系統,即控制發電廠、水務設施及製造設備等實體基礎設施的工業控制系統。該供暖廠位於瑞典西部,但他並未透露是哪一座廠受到攻擊。瑞典安全部門調查確認,攻擊者可能與俄羅斯情報機構有聯繫。
Nginx網頁管理介面元件Nginx UI存在重大漏洞,有資安公司警告已遭積極利用 iThome
3月下旬Nginx UI揭露資安漏洞CVE-2026-33032,本週出現最新的進展而受到關注,通報漏洞的Pluto Security指出利用的門檻不高,但帶來的危害相當嚴重;另一家資安公司Recorded Future警告已出現攻擊活動。
後門程式BPFDoor出現變種,駭客透過C2路由與ICMP中繼手法逃過偵測 iThome
針對中國駭客Red Menshen(Earth Bluecrow)使用的後門程式BPFDoor,資安公司Rapid7發現活動更加隱密的新變種,其中又以httpShell和icmpShell最特別,駭客採用C2路由與ICMP中繼手法,引起研究人員的注意。
群暉修補SSL VPN Client工具程式兩個漏洞,未更新可能導致敏感資料外洩 iThome
儲存與網路設備供應商群暉(Synology)近日發布安全公告,修補旗下SSL VPN Client工具程式的兩個漏洞,攻擊者可透過誘導用戶開啟惡意網頁從而觸發攻擊,進而取得用戶敏感資料、竄改VPN設定或攔截流量,解決辦法是升級到1.4.5-0684以上版本,建議用戶儘速更新。
數發部釋出公部門開源軟體應用參考手冊,彌補公部門對開源軟體的授權、管理資訊不足缺口 iThome
公部門開源軟體應用參考手冊,內容涵蓋開源軟體的選用評估、授權合規、開發與維運管理,以及對外釋出的原則與流程,輔以實務案例與操作建議,有助於提升公部門對於開源軟體的認識。
TXOne發布Stellar Discover 強化OT端點可視性與風險評估能力 工商時報電子報
專注於營運技術(OT)資安領域的TXOne Networks,宣布推出全新端點偵測工具Stellar Discover,鎖定工業控制環境中的資安弱點評估需求,協助企業在不影響既有系統運作的前提下,提升OT資安可視性。
打165反詐騙專線還被收費 林俊憲曝還有1980、1995都非免費 聯合新聞網
民進黨立委林俊憲接獲陳情,撥打165反詐騙專線竟被收費,今指出國內部分重要諮詢專線,竟依所屬電信業者有不同收費標準,盼政府編預算,讓全民能免費使用。衛福部及刑事局憂心服務量能問題。NCC代表則說,若業者願以成本計費,並由內政部與相關單位公款支應,相信對民眾有幫助。
資安專家克利斯坦森訪台 示警基建韌性與深偽威脅 中央通訊社
美國資安專家克利斯坦森受邀訪台分享資安重要性,他說,從俄烏戰爭經驗可發現,基礎建設的韌性至關重要,也提醒台灣應警惕AI生成的深偽技術(Deepfake)與錯誤訊息攻擊。
漏洞數暴增263%,NIST縮減CVE分析範圍轉向風險優先 iThome
隨CVE數量5年暴增263%,美國國家標準暨技術研究院(NIST)坦言已無法全面分析漏洞,改採「風險優先」策略,僅優先處理已被利用與關鍵系統漏洞,其餘將列為Not Scheduled。
Marimo重大漏洞遭利用,駭客透過Hugging Face散布惡意軟體NKAbuse iThome
Python資料分析工具Marimo重大漏洞CVE-2026-39987在開發團隊公布後,已出現攻擊行動,資安公司Sysdig警告,已有多組人馬加入利用的行列,其中一個是散布DDoS惡意軟體NKAbuse。
思科修補Webex重大非授權存取漏洞 iThome
編號CVE-2026-20184的漏洞是位於Cisco Webex Services控制臺Control Hub的單一簽入(single-sign-on,SSO)整合,可讓未經驗證的遠端攻擊者假冒該服務中的任何用戶。Cisco Webex Services為雲端版本,在被配置成使用信任錨點進行單一登入(SSO),允許用戶以Control Hub管理。
思科修補網路存取控制平臺ISE重大漏洞,未更新可能導致遠端執行任意程式碼攻擊 iThome
上週思科(Cisco)發布網路存取控制(NAC)平臺的安全公告,揭露與修補Identity Services Engine(ISE)這套產品的兩個漏洞,都是源自輸入驗證不足,由於其中1個漏洞的CVSS嚴重性高達9.9分,可能導致遠端執行任意程式碼攻擊,且會影響到ISE當前所有主流版本,進而危及依靠ISE提供存取控管的企業網路環境,用戶需儘速修補,以降低風險。
駭客公布McGraw-Hill逾100GB資料 iThome
上週一個駭客組織宣稱取得知名教育出版商麥格羅希爾(McGraw-Hill)Salesforce資料4,500萬筆紀錄,威脅該出版社若未聯繫,將把資料公布網上。
Kelp 被盜損失近 3 億美元 Aave 接下 2 億美元壞帳 鉅亨網
4 月 19 日凌晨,Kernel DAO 旗下產品 Kelp DAO 基於 LayerZero 的 rsETH 跨鏈橋被攻破,攻擊者調用 LayerZero EndpointV2 合約的 lzReceive 方法,偽造跨鏈消息,令主網 OFTAdapter 釋放 116,500 枚 rsETH 至攻擊者地址,按當時價格折算約 2.92 億美元,占 rsETH 約 63 萬枚流通量的 18%。攻擊者錢包在案發前 10 小時通過 Tornado Cash 1 ETH 池注資。
歐盟發包1.8億主權雲合約給4家本地雲端供應商,減少對美科技依賴 iThome
歐盟執委會宣布上週主權雲標案完成結標,發包給了4家歐洲雲端供應商,允許歐盟機構、組織部門、辦公室和局處未來6年最可採購1.8億歐元的主權雲服務,藉此減少對美國或其他國家的技術依賴度。
FBI發布2025年網路犯罪報告:年損失突破208億美元,AI助長詐騙,勒索軟體持續影響關鍵基礎設施 iThome
美國聯邦調查局(FBI)發布2025年網路犯罪投訴報告(IC3 Annual Report),指出全年網路犯罪損失達208億美元,較2024年成長26%。報告首次納入AI專章,顯示AI已成為影響網路犯罪型態的重要因素。
【資安日報】4月21日,2025年網路犯罪美國損失逾200億美元 iThome
近日美國公布2025年網路犯罪的態勢,他們首度在年度報告納入專門討論利用AI的章節,顯示此新興技術已經成為影響網路犯罪型態的關鍵因素。
資安署發布中小企業基本資安防護指引 三大面向 16 項檢核協助產業防駭 說資安新聞網
資安防護不一定要花大錢買設備,關鍵在於應建立正確的作業流程與使用習慣 ,建議中小企業落實「帳號管理」、「設備和資料管理」與「資安意識培訓」資安三大面向。
Telegram 官方繁體中文版突擊上線!雲端儲存與隱私優勢能否帶動轉移潮? 科技新報網
全球知名通訊軟體 Telegram 近日無預警釋出重大更新,官方正式將「繁體中文」納入內建語言選項,終結過去使用者必須依賴「第三方語言包」補丁的時代,而這款被暱稱為「紙飛機」的 App,能否以雲端儲存與隱私優勢帶動轉移潮,挑戰 LINE 的台灣通訊軟體霸主地位,引發關注。
汽車產業資安威脅急速升溫,勒索軟體事故2025年翻倍成長 iThome
資安公司Halcyon提出警告,勒索軟體駭客針對汽車產業從事攻擊行動的情況日益惡化,2025年占所有攻擊事故44%,已成最嚴重的威脅之一,從勒索軟體的事故數量來看,2025年較2024年增加整整一倍。
Gemini 助力移除有害廣告,Google 阻詐在台移除 3,564 個網址 科技新報網
Google 以模型分析數千億個訊號,包含帳戶使用時間、行為線索及廣告活動模式,在威脅觸及使用者前預先攔截。有別於早期以關鍵字為基礎的系統,Google 最新模型能夠深入理解意圖,即使惡意內容被刻意設計成規避偵測,Google 也能精準識破並預先封鎖。
美國司法部與FBI瓦解俄羅斯軍方駭客DNS劫持網路,阻斷惡意竊取資訊管道 iThome
美國司法部表示,該DNS劫持網路由俄羅斯總參謀部情報總局(GRU)所屬單位26165主導,也就是駭客組織APT28。至少從2024年起,GRU人員就利用已知的漏洞,入侵與竊取全球數千臺TP-Link路由器的憑證,隨後篡改其設定,將DNS請求重定向到GRU控制的惡意DNS伺服器,進而發動中間人攻擊,攔截與竊取未加密的密碼、身分驗證權杖、電子郵件與其他敏感資訊。
殭屍網路PowMix鎖定捷克企業與求職者發動攻擊,採用隨機C2通訊匿蹤 iThome
有駭客鎖定捷克企業的人資與法務部門,以及求職者從事網釣攻擊活動,意圖散布殭屍網路PowMix,此惡意軟體的特別之處,在於C2連線導入隨機通訊機制,光是防堵已知的C2伺服器IP位址,恐難以因應相關攻擊。
GPU-Z驅動程序存嚴重安全漏洞黑客可獲系統最高權限 TechRitual
安全研究員 Impulsive 揭露,全球 PC 玩家廣泛使用的硬體監控工具 GPU-Z 存在嚴重安全漏洞。其內置的 TRIXX.sys 驅動程式可在無需管理員權限的情況下,直接讀寫計算機物理記憶體,攻擊者可藉此獲取系統最高權限。 漏洞核心在於 TRIXX.sys 驅動程式中的控制碼 IOCTL 0x800060C4,該控制碼原本用於讀取顯示卡硬體資訊,但權限門檻極低,系統中任何普通程式均可向該驅動發送指令。
瀏覽器指紋透過收集使用者瀏覽器和設備的各種獨特特徵,組合成一個獨一無二的「數位身分證」,其具有高度的侵入性,卻又不透明。本文將探討其技術原理、實施方式、應用場景、普及現狀,並實際操作Fingerprint Pro和Am I Unique等工具來加以解說。
惡意軟體ZionSiphon企圖滲透以色列水利設施,恐影響水資源處理與海水淡化 iThome
有人試圖打造專門針對以色列水力設施的工控惡意軟體ZionSiphon,此惡意軟體只在以色列境內執行,並尋找操作科技(OT)網路環境當中的工業控制器,目的是竄改水中的氯含量,或是影響海水淡化的結果。
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊 不想成為下一個受害者嗎?立即訂閱,搶先一步防範
