繼續閱讀【打詐週報】從假投票連結到AI深偽語音,從普發現金釣魚網站到仿冒iPad與假水電工詐術,本週的詐騙案件不只手法更多元,還結合政策話題與最新技術,一步步誘使民眾放下戒心。
尤其令人警惕的是,詐騙不再只靠一次攻擊,而是設計成「多段式劇本」進行洗腦與誤導——像是LINE帳號被盜後,還被詐團假冒警察傳錯誤破解教學,導致受害者錯失救回帳號的黃金機會。
這些詐騙案例提醒我們:在資訊與技術瞬息萬變的時代,真正該升級的,不只是防毒軟體,而是我們的警覺心與判斷力。
揭發 AI 代理的漏洞 (5-5):保護 LLM 服務
這是有關代理式 AI 漏洞議題的最後一篇文章,本文探討對 AI 代理造成威脅的各種新興漏洞,主要是提供主動式資安建議來防範程式碼執行、資料外傳以及資料庫存取等方面的漏洞。
大型語言模型 (LLM) 已日益成為現代化應用程式的一環,其安全性比以往更加重要。我們在先前幾篇文章已討論過可能對 AI 代理造成威脅的新興漏洞,主要聚焦在程式碼執行、資料外傳以及資料庫存取等領域。
本系列的最後一篇,我們將探討如何應對這些威脅所帶來的挑戰,以及我們為何需要嚴密的多層式策略來保護這些系統。本系列其他文章還有:
- 第一篇:揭發 AI 代理的漏洞 ─ 介紹 AI 代理的主要資安風險,例如:提示注入與執行未經授權的程式碼,並摘要說明後續討論的議題架構,包括:資料外傳、資料庫漏洞攻擊,以及防範策略。
- 第二篇:程式碼執行漏洞 ─ 探討駭客將如何利用 LLM 驅動服務的弱點來執行未經授權的程式碼、避開沙盒模擬環境的限制,以及利用錯誤處理機制的漏洞,進而導致資料外洩、未經授權的資料傳輸,以及取得執行環境的永久存取權限。
- 第三篇:資料外傳:探討駭客如何利用間接提示注入,讓 GPT-4o 這類多模態 LLM 在遇到看似無害的惡意檔案時將機敏資料外傳。這種所謂的「零點選」(zero-click) 漏洞可讓駭客在網頁、圖片及文件中暗藏指令,誘騙 AI 代理洩露使用者互動記錄、上傳檔案,以及聊天記錄當中的機密資訊。
- 第四篇:資料庫存取漏洞 ─ 探討駭客如何攻擊與 LLM 整合的資料庫系統,透過 SQL 隱碼注入、預先儲存的提示注入,以及向量儲存下毒來取得管制的資料,同時還能避開認證機制。駭客可利用提示篡改來影響查詢結果、取得機密資訊,或者插入永久性漏洞來影響未來的查詢。
防範程式碼執行漏洞
繼續閱讀
gov 網址也可能是假的?收到「普發萬元」簡訊別急著點!一眼看破真偽關鍵就在「這一點」
認明「.gov.tw」位置,看穿「假政府網站」破綻
近期又有「普發現金1萬元」的詐騙簡訊流竄,看似政府發送的連結,其實是假冒網站!網址中夾帶了「gov」字樣試圖混淆視聽,這種假借看似政府網址散播釣魚簡訊的手法並非新鮮事,假冒監理所的交通罰款簡訊詐騙中就曾出現,目的都是利用看似官方的網址,誘騙民眾點擊進入釣魚網站,引導你輸入個資或帳密,詐騙金錢或進行社交工程攻擊。別以為網址有「gov」就安全,其實關鍵就在「gov.tw」前的這一個小數點,教你三招快速分辨真假政府網站,避免落入詐騙陷阱!
⟫看答案
詐騙簡訊內容:
去年(2024)稅收超徵5,283億元創新高,全民普發現金1萬元通過,申請連結:hxxps://cdic-gov.com/tw
如何分辨真假 gov 網址?
繼續閱讀【資安新聞週報】「銀狐」假冒 DeepSeek AI 程式,專攻台灣竊取情報/AI深偽助攻,身分盜用激增 312%/勒索軟體 Hunters International 釋金鑰,專家疑「變身」重犯
本週焦點不僅有趨勢科技攜手科技大廠強化 AI 工廠安全,更揭露小紅書、抖音等平台潛藏個資風險,社群詐騙也從 Threads 蔓延到 Facebook,詐騙金額更於 6 月飆破 89 億元。這些訊號無不提醒我們:在資訊無孔不入的時代,資安意識早已不只是 IT 的事,而是你我每天都該關注的事。
資安趨勢部落格精選
- 一通視訊、滿屋警察,她信了假檢警,痛失1800萬
- 看A片會中毒嗎?70歲阿公告訴你親身經驗
- 揭發 AI 代理的漏洞 (5-3):資料外傳
- 這些年被冒名詐騙的名人們
- 為何一個典型的 MCP 伺服器漏洞會破壞您的整個 AI 代理?
- 趨勢科技為何能持續獲選為 CNAPP 領導者?
- 複製、編譯、入侵:Water Curse 在 GitHub 上設下開放原始碼惡意程式陷阱
- LINE 突遭退群或好友變「不明」?疑似詐騙 /出租購物網站帳號變詐騙共犯/收到不雅照驚慌轉帳67萬!事後才想起根本沒拍過
- 【上週資安新聞週報】台灣遭雙重 APT 網釣攻擊,假冒政府與企業釋出惡意檔案/北韓遠端 IT 工作者滲透全球企業,FBI 追繳 90 萬美元加密貨幣
十大資安重點新聞
本週資安新聞揭示了不斷演進的網路威脅樣貌,從國家級駭客攻擊到新興 AI 風險,以及持續發現的軟硬體漏洞,皆提醒企業與個人必須持續強化資安防護。
1. 中國駭客組織「銀狐」假冒 DeepSeek AI 程式,專攻台灣竊取情報
中國駭客組織「銀狐」再次展現其對台灣的威脅,這次他們假冒知名的 DeepSeek AI 安裝程式,進行精密的網路間諜活動。這類攻擊通常旨在竊取敏感資料或情報,凸顯了在下載不明來源軟體時必須格外警惕的重要性,特別是針對來自高風險區域的資安威脅。
2. 身分盜用激增 312%,AI深偽(deepfake)技術成犯罪新工具
人工智慧的進步也為網路犯罪帶來了新的工具,導致身份盜用案件顯著增加。2024 年身份盜用通報數飆升 312%,這顯示 AI 技術如深度偽造(deepfake)等,正被惡意利用來製作逼真的假身份或詐騙內容。這提醒我們,未來需更仰賴 AI 技術來偵測和防範此類新型態的犯罪。
3.OpenAI 增聘軍事專家強化 AI 安全,防範中國等間諜威脅
為應對日益增長的外國間諜威脅,特別是來自中國的滲透,領先的 AI 公司 OpenAI 已開始聘請軍事專家來強化其安全措施。這反映了 AI 技術作為國家級戰略資產的地位,以及其可能成為地緣政治和網路間諜活動目標的高度風險。AI 核心技術的保護將成為未來資安戰略的關鍵一環。
4. 勒索軟體 Hunters International 突釋解密金鑰,專家示警恐是「變身」再犯
一則較為罕見的好消息是,勒索軟體組織 Hunters International 宣佈停止運營並釋出了部分的解密金鑰。雖然這為部分受害者帶來了恢復數據的希望,但資安專家仍示警,這類組織很可能只是「改頭換面」重新出現,或將其技術出售給其他駭客集團。這提醒我們,即使勒索軟體集團看似瓦解,潛在威脅仍舊存在。
繼續閱讀