揭發 AI 代理的漏洞 (5-3):資料外傳

在本系列的第三篇文章,我們將示範多模態 AI 代理如何使得風險加劇,一些看似無害的圖片或文件當中暗藏的指令如何在沒有使用者互動的情況下觸發機敏資料外傳。

AI 代理有可能變成網路攻擊的入口嗎?駭客可能挾持可執行程式碼的大型語言模型 (LLM) 來執行有害指令嗎?Microsoft Office 文件中暗藏的指令有可能騙過 AI 代理,讓 AI 代理洩漏敏感的資料嗎?駭客有多容易篡改資料庫查詢敘述來取得管制的資訊?

這些都是 AI 代理今日面臨的一些根本挑戰。本系列文章討論 AI 代理的重大漏洞,深入揭發看似聰明的回應底下所潛藏的威脅。下載研究報告

繼續閱讀

這些年被冒名詐騙的名人們

在這個資訊爆炸、AI 技術高速發展的時代,詐騙手法也升級得讓人防不勝防。你可能看過「某某明星推薦投資賺翻」、「藝人現身說法靠它逆轉人生」的廣告,但你知道嗎?裡面的名人,其實根本沒參與!

這些詐騙集團不但盜用明星照片,還會合成影片、語音,打造出「看起來超真實」的假粉專、假廣告,讓人一不小心就上當。今天就來帶大家看看,有哪些熟面孔曾被冒名詐騙?

⟫ 看答案

為了有效謹防「名人冒名詐騙」,以下提供實用的五大防詐守則與常見陷阱識別技巧,幫助你或身邊親友避免落入圈套:


繼續閱讀

為何一個典型的 MCP 伺服器漏洞會破壞您的整個 AI 代理?

隨著 AI 重塑現代軟體架構,企業必須重新思考其安全策略,從被動防禦轉向主動預測和即時反應,以確保在利用 AI 創造價值的同時,能有效管理風險。
聽聽趨勢科技執行長暨共同創辦人陳怡樺(Eva Chen)怎麼說?
請參閱完整的白皮書:《The Intelligent Stack: Industry Briefing》


趨勢科技為何能持續獲選為 CNAPP 領導者?

趨勢科技憑藉著我們的 CNAPP 功能與產品策略備獲肯定,這項榮耀肯定了我們致力提供雲端防護解決方案來預測、保護及回應混合雲與多重雲端環境威脅的願景。

ReportsJun 27, 2025

為何一個典型的 MCP 伺服器漏洞會破壞您的整個 AI 代理?

光靠一個小小的 Anthropic SQLite MCP 伺服器 SQL 資料隱碼攻擊 (SQL Injection) 漏洞,就可以讓駭客植入預先儲存的提示、將資料外傳,並且駭入整個 AI 代理工作流程,而這漏洞已經被分支複製了 5,000 多次。本文說明其攻擊過程,並提供一些具體的修正方法來加以防範。

複製、編譯、入侵:Water Curse 在 GitHub 上設下開放原始碼惡意程式陷阱

  • 一個新發現的駭客集團 Water Curse 將 GitHub 變成了散布多重階段惡意程式的武器庫。至少有 76 個 GitHub 帳號與這起攻擊行動有關,他們將惡意程式內嵌在建構腳本與專案檔案中。
  • 這些惡意程式可以讓駭客將資料 (如登入憑證、瀏覽器資料、連線階段金鑰) 外傳、進行遠端存取,以及長期常駐在受害系統上。Water Curse 的攻擊行動對軟體供應鏈帶來了風險,尤其是平常有在使用開放原始碼工具的網路資安人員、遊戲開發人員,以及 DevOps 團隊。
  • 請務必確實檢查紅隊演練、DevOps 及開發人員環境所使用的開放原始碼工具,尤其是取自 GitHub 的工具。在使用之前,請先檢查其建構檔案、腳本和儲存庫的歷史記錄。
  • Trend Vision One™ 已經可以偵測並攔截本文討論到的入侵指標 (IoC)。如需進一步了解趨勢科技解決方案如何協助您獲得有關 Water Curse 這類威脅的詳細情境,請參閱本文最後一節。
繼續閱讀

【資安新聞週報】台灣遭雙重 APT 網釣攻擊,假冒政府與企業釋出惡意檔案/北韓遠端 IT 工作者滲透全球企業,FBI 追繳 90 萬美元加密貨幣

本週資安警訊從微軟 Exchange Server 遭駭、北韓駭客假冒遠端工作者滲透全球企業,到鎖定台灣的 APT 網釣攻擊,皆凸顯國家級威脅正在全面升高。同時,WinRAR 與 Citrix 重大漏洞被大規模利用,企業若不即時修補,恐成駭客跳板。而在民間層面,LINE 詐團則升級手法,冒用帳號騙取金錢,連「好友變不明」都可能是陷阱。在這場結合技術與社交工程的混合戰中,無論你是企業決策者或日常用戶,都必須強化防線、提高警覺,才能守住數位安全的最後防線。

 ⭕️ 資安趨勢部落格:

台灣遭雙重 APT 網釣攻擊,假冒政府與企業釋出惡意檔案

APT 攻擊行動「Swan Vector」及其他駭客組織針對台灣展開攻勢,透過履歷表與財務文件釣魚,植入惡意程式如 HoldingHands RAT、GhOstCringe,造成企業與個資高度風險。


北韓遠端 IT 工作者滲透全球企業,FBI 追繳 90 萬美元加密貨幣

微軟揭露北韓駭客假扮自由工作者滲透企業 IT 部門,進行資料竊取與金融詐騙。FBI 與司法部聯手追繳加密貨幣,展開跨國制裁與追緝行動。


微軟 Exchange Server 遭大規模攻擊,臺灣列入前三大目標

駭客針對全球 65 台 Exchange Server 發動攻擊,植入鍵盤側錄工具,企圖竊取帳密資料,臺灣成重災區。此攻擊可能與國家級 APT 有關,企業與政府單位需高度警覺。


WinRAR、Citrix 爆重大漏洞,大規模遭利用

WinRAR 被揭露存在可遠端執行程式碼漏洞,Citrix NetScaler 亦遭揭重大層級記憶體溢位問題,駭客已開始大規模利用,企業應立即修補。


詐騙再升級!LINE好友變「不明」是陷阱,刑事局潛入詐團群組揭密

警方與 LINE 聯手停權 7.3 萬詐騙帳號,並成功潛入詐團群組,揭露冒用帳號誘騙金錢的新手法。提醒民眾若發現好友變「不明」,極可能是詐騙陷阱。


iPhone 用戶注意!假冒 UPS 簡訊釣魚橫行,竊取個資

詐騙簡訊假冒 UPS 通知寄件異常,誘導 iPhone 用戶點擊釣魚連結並輸入個資,造成大規模隱私風險。

BitVenus 假投資平台吸金逾 4000 萬,幣商與彩券行成洗錢通道

假投資平台以高報酬為誘餌,騙取數千萬資金並透過幣商與彩券通路洗錢,揭示詐騙產業鏈進一步成熟與金融結構化。

繼續閱讀

LINE 突遭退群或好友變「不明」?疑似詐騙 /出租購物網站帳號變詐騙共犯/收到不雅照驚慌轉帳67萬!事後才想起根本沒拍過

【打詐週報】詐騙手法持續進化,尤其在AI技術介入後,越來越多「新手法」讓人防不勝防!詐團不只冒用官方名義寄送釣魚信,現在更用AI變臉、AI配音,打造「偽裝好友」或「假主管」來騙錢,連工程師都中招!甚至有歹徒假扮樓下鄰居用LINE抱怨「漏水」,實際上是為了套交情詐財,還有人因收到不雅照慌張匯出67萬,事後才驚覺根本沒拍過。暑假期間,也有許多偽裝成「親子體驗活動」的廣告,實際卻引導進入LINE詐騙社群!

AI不只是科技,它已成為詐騙集團的新利器。想要不被騙,就得隨時更新你的防詐雷達。記住:對方會變臉、裝熟、裝鄰居、扮AI老闆,只有你自己能提高警覺

防詐達人精選

樓下鄰居LINE傳來漏水訊息?竟是詐騙劇本開場白!165提醒「假鄰居」四大話術

【AI防詐達人全新升級】「詐騙預警雷達」比你更早發現詐騙

趨勢科技 AI防詐達人劇透詐騙套路,助您提早遠離騙局 ⟫ 立即免費下載


1. AI變臉「攻心術」!詐團前幹部揭深偽騙局:假的比真的更真


2. 收到不雅照驚慌轉帳67萬!事後才想起根本沒拍過

詐騙集團用不雅照片設局,引發受害者恐慌匯款,是典型「心理操控型」新招。


3. 暑假親子體驗活動廣告竟是陷阱!點入秒導向詐騙LINE社群

瞄準家長愛孩子心理,假冒教育活動引導加入詐騙社群,是暑期常見誘騙方式。


4. LINE 突遭退群或好友變「不明」?刑事局揭露:高機率是詐騙新手法

近期,許多民眾反映 LINE 帳號出現異常,包括無故被退出群組,或好友名稱突然變成「不明」。刑事局已證實,這些現象極有可能是詐騙集團鎖定 LINE 用戶的新型詐騙手法,呼籲民眾務必提高警覺,慎防個資外洩或財物損失。


5. 出租購物網站帳號「月領1500元」變詐騙共犯

打著「輕鬆賺外快」的名義吸引學生、上班族,實際卻捲入詐團,淪為人頭帳戶。

繼續閱讀