本週資安新聞顯示，AI 已從輔助工具躍升為數位基礎建設核心，但伴隨而來的風險也同步擴大。Alphabet 公布 Gemini 全球每月活躍用戶突破 7.5 億，象徵生成式 AI 全面進入規模化應用；然而，Gemini MCP Tool 開源後即爆出可導致遠端程式碼執行的重大漏洞，凸顯 AI 供應鏈曝險問題。另一方面，微軟在 2 月例行更新中修補多個已遭實際利用的零時差漏洞，同時示警 AI Agent 爆量上線但治理機制明顯跟不上。加上 ShinyHunters、APT28 等駭客組織結合 AI 社交工程翻轉 MFA 與身分防護邏輯，企業正面臨一個從模型安全、雲端配置到身分信任全面受挑戰的新資安時代。

⭕️ 資安趨勢部落格精選

• PeckBirdy：親中駭客集團在 LOLBin 攻擊手法中使用的多功能腳本框架
• 「水坑攻擊」鎖定 EmEditor 用戶並植入竊資軟體
• 【打詐週報】假冒「健保 30 週年退款」/ Momo 雲端發票中獎 4000 元？/假 CEO 進行線上面試/AI 生成裝潢圖騙訂金
• 千億參數的AI龐然大物，是風險而不是優勢
• 【資安新聞週報】AI 應用與基礎架構風險升溫：MoltBot 與 Ollama 接連爆發安全漏洞

⭕️ 本週五大資安重點趨勢

一、AI 與大型模型：成長爆發，但風險同步擴散
Alphabet 公布財報，Gemini 全球每月活躍用戶突破 7.5 億，顯示生成式 AI 已正式進入大規模商用階段。ChatGPT 與 Claude 同步推出重大更新，AI Agent 與多模型協作快速普及，但治理與控管機制明顯落後。GPT-5.3-Codex 遭控違反加州 AI 安全法，AI 合規與責任歸屬開始進入法律層級討論。研究亦顯示，視覺提示注入攻擊已可影響自駕車與無人機決策，AI 風險正從數位世界延伸至實體環境。

趨勢觀察：AI 發展已不只是模型能力競賽，而是安全、治理、法規與品牌風險的綜合戰場。

繼續閱讀

⭕️資安趨勢部落格精選

• 從擴充套件到感染：深入解析針對軟體開發者的 Evelyn Stealer 活動

• 165 提醒｜「雲端發票中獎通知」詐騙三套路
• 【資安新聞週報】最可怕的內鬼可能不是人，而是你親手訓練的 AI
• 發票中獎通知，讓他繳了萬元學費！從雲端發票到 AI 深偽，本週高風險詐騙案例彙整

⭕️ 本週五大資安重點趨勢

一、AI 應用與代理平台成為新一代供應鏈風險

多起事件顯示，AI 生態系已成為攻擊者重點滲透目標。
包括 MoltBot、Clawdbot、Ollama 等 AI 助理、代理與平台，出現大量惡意套件、不當配置與暴露主機，導致密碼、API 金鑰與系統存取權限外洩。問題核心不在模型本身，而在 AI 導入缺乏存取控管、套件審查與部署治理。

代表事件：

• MoltBot AI 助理 230 個惡意套件竊資
• Clawdbot 套件市集出現逾 300 個惡意擴充
• Ollama 超過 17.5 萬台主機暴露，面臨 LLM 濫用風險

◎相關報導：
MoltBot AI 助理爆重大安全危機：230 個惡意套件竊取密碼，社群平台同步外洩 API 金鑰   資安人
Clawdbot延伸套件市集出現逾300個惡意套件，駭客意圖散佈竊資軟體     iThome

Ollama 17.5萬臺主機曝露，遍及130國，可能面臨LLM濫用風險     iThome

繼續閱讀