近期不少民眾收到自稱來自「財政部」的電子郵件,內容聲稱有高額退稅可領取,甚至標榜「最高可退近3萬元」,但實際上卻是詐騙集團設下的陷阱!
這類信件通常會要求收件人點擊連結,並輸入姓名、電話、電子郵件,甚至信用卡卡號等個資,聲稱完成驗證後即可領取退稅。不過,台灣事實查核中心已提醒,這是假冒政府機關的常見詐騙手法,民眾務必提高警覺。
繼續閱讀【資安新聞週報】AI 自動挖漏洞、串聯攻擊鏈 /MFA 不再安全,身份系統成主戰場
本週的資安新聞資訊量非常龐大,而且有一個極為核心的趨勢:AI 已經正式從「概念討論」進入到「資安攻防的實戰核心」。不論是駭客自動化攻擊、大模型挖掘零時差漏洞,還是企業內部的 Shadow AI(影子 AI)風險,都成為這週的焦點。
⭕️ 資安趨勢部落格精選
複製指令就中招?深入剖析假冒 Claude Code 的 InstallFix 攻擊鏈
從 Canvas 大規模外洩事件,看教育產業的供應鏈資安風險
打詐週報|假檢警詐騙結合「來電轉接」與「金融盜刷」、假退稅通知湧現、《皮克敏 》遊戲客服成詐騙目標
1. AI 正式進入「攻防實戰階段」
2. 零時差漏洞與基礎設施風暴擴大
1. AI 正式進入「攻防實戰階段」
AI 不再只是輔助工具,而是開始參與漏洞研究與攻擊模擬,包括:
- AI 自動挖漏洞、串聯攻擊鏈
- Claude Mythos、OpenAI Daybreak、微軟 MDASH 等投入資安分析
- 企業開始用 AI 做弱點修補與紅隊測試
相關新聞:
- AI開始進入漏洞研究與通報生態,Mozilla、微軟、GitHub與Curl案例受關注 iThome
- Claude Mythos實力嚇壞開發者 憂駭客利用 新模型抓漏洞能力太強 雙面刃引發開放論爭 今周刊
- OpenAI 推出 Daybreak 平台!對標 Anthropic,GPT-5.5 聯手 Codex 主動修補軟體漏洞 T客邦
- Cloudflare測試Claude Mythos,能串聯多個低風險漏洞形成攻擊鏈 iThome
2. 零時差漏洞與基礎設施風暴擴大
多個核心系統爆出嚴重漏洞:
- Windows、Linux、Exchange、Nginx、VMware
- Dirty Frag、MiniPlasma 等權限提升漏洞
- Pwn2Own Berlin 揭露 47 個零時差漏洞
相關新聞:
- Windows存在零時差漏洞MiniPlasma,攻擊者可取得SYSTEM權限 iThome
- Linux高危漏洞Dirty Frag拉警報!OpenAI搶進AI資安防線新戰場 商傳媒
- Nginx重大漏洞已被用於攻擊 iThome
- F5修補存在18年的Nginx重大漏洞 iThome
- Pwn2Own Berlin 2026 揭露 47 個零時差漏洞,TrendAI 與 ZDI 推動廠商加速修補 次標題 三嘻行動哇
3. 供應鏈攻擊 + AI 生態系成新戰場
攻擊不只打系統,而是打「軟體與AI供應鏈」:
- PyPI、RubyGems、TanStack、Mistral 套件遭入侵
- Ollama、OpenClaw 出現模型與AI工具漏洞
- AI 模型與 Agent 本身開始被植入後門
相關新聞:
- OpenAI遭受TanStack供應鏈攻擊波及 iThome
- Mistral AI的PyPI套件遭遇供應鏈攻擊 iThome
- OpenClaw存在漏洞攻擊鏈Claw Chain,攻擊者可用於竄改組態並植入後門 iThome
- Ollama重大漏洞影響自架LLM部署,特製GGUF模型檔恐外洩提示詞與API金鑰 iThome
4. 身分驗證與M365攻擊全面升級
針對企業帳號的攻擊明顯增加:
- Device Code phishing(裝置碼釣魚)
- M365 權杖竊取與 MFA 繞過
- EvilTokens、Tycoon 2FA 攻擊架構
相關新聞:
Ollama重大漏洞影響自架LLM部署,特製GGUF模型檔恐外洩提示詞與API金鑰 iThome裝置Tycoon 2FA被用於裝置驗證碼網釣,駭客搭配Trustifi追蹤器挾持M365帳號 iThome
新駭客基礎架構出現,加速裝置碼釣魚、竊取Microsoft 365權杖 iThome
資安院示警:駭客藉 EvilTokens 平台濫用裝置代碼機制,MFA 防護成虛設 資安人
微軟修改Edge瀏覽器密碼管理機制,避免開機即載入明文密碼 iThome
5. AI 驅動的詐騙與企業風險同步上升
除了企業漏洞,民眾端風險也同步升高:
- 深偽詐騙、AI 投資詐騙快速增加
- 台灣 75% 民眾使用 AI,但僅 26% 有信心辨識詐騙
- 報稅季、銀行驗證成主要釣魚熱點
- Shadow AI(未授權AI使用)成企業新風險
相關新聞:
- 台灣人用AI處理人生大事比例高達75%!趨勢科技示警:深偽、假投資詐騙更難辨識,僅26%民眾有信心識破 雅虎奇摩
- 近 40% 員工把敏感資訊丟進未授權 AI:Shadow AI 如何讓企業失去資料、權限與 Agent 行為掌控? 科技報橘網
- 5月報稅季成詐團突破口 這類關鍵字全都有詭 壹蘋新聞網
- Gmail用戶注意!下載檔案看到「這幾字」別信 恐一鍵中毒 tvbs新聞網
複製指令就中招?深入剖析假冒 Claude Code 的 InstallFix 攻擊鏈
企業資安部落格文章精選(隨時更新)
從 Canvas 大規模外洩事件,看教育產業的供應鏈資安風險
2026 年 5 月,SHADOW-AETHER-015 外洩了 50 個國家共 8,809 家 Canvas 客戶的資料,這起事件的起因似乎是 Canvas 的母公司 Instructure 的平台後端系統遭駭客入侵所導致。此次外洩事件影響了全球各地的大專院校、幼稚園至高中 (K-12) 學區,以及教學醫院,其中包括八家常春藤聯盟 (Ivy League) 學校。由於 Canvas 會儲存個人揭露的敏感資訊,例如:住宿申請時的醫療資料以及與顧問的私人對話,因此其最大風險在於假借真實機構名義的高度針對性魚叉式網路釣魚。至於立即性的風險則包括:後續的社交工程攻擊、登入憑證濫用,以及針對性網路釣魚攻擊。
複製指令就中招?深入剖析假冒 Claude Code 的 InstallFix 攻擊鏈
- InstallFix 攻擊行動的社交工程技巧瞄準了正在尋找 Anthropic Claude AI 的使用者,透過 Google Ads 來推銷假的安裝網頁,進而散布惡意程式。
- 駭客會利用逼真且對應作業系統的安裝指示來誘騙使用者執行惡意的 PowerShell 指令,進而啟動一個多重階段的感染鏈,包括使用 mshta.exe、加密編碼腳本,以及無檔案惡意程式散布技巧。
- 這起行動的感染鏈還包含了進階躲避技巧,例如:躲避 Windows 惡意程式掃描介面 (AMSI)、停用 SSL 憑證驗證,以及受害者專屬的幕後操縱網址,讓偵測與矯正變得更加複雜。
- TrendAI Vision One™ 的監測資料證實了駭客會建立排程工作來常駐於系統,同時也觀察到連上駭客 CC 伺服器的網路流量。
- 這起行動瞄準了美洲、亞太地區、中東與非洲 (AMEA) 以及歐洲的企業機構,包括政府機關、電子、教育、食品飲料等產業。
開發者請注意!Void Dokkaebi 偽裝面試邀請,透過 GitHub 散布惡意程式
TrendAI 對 Void Dokkaebi 行動的研究發現,該組織發起了一場將遭感染的開發者程式碼儲存庫,轉變為惡意程式散布管道的攻擊行動。由於攻擊透過受信任的工作流程、企業程式碼庫與開源專案擴散,因此可能從單一入侵事件,進一步升級為更廣泛的供應鏈風險。
身分已成為現代化企業的主要攻擊面。隨著企業不斷擴大至雲端平台、SaaS 生態系,以及分散式工作人力,駭客也越來越常利用人類行為、組態設定錯誤以及控管不連貫的漏洞來發動攻擊。根據 2025 年 Verizon 資料外洩調查報告 (Data Breach Investigations Report,簡稱 DBIR) 指出,將近 60% 的資料外洩都涉及了人為因素,包括:錯誤、濫用或社交工程。
繼續閱讀【資安新聞週報】AI 資安進入危險新平衡:Mythos 能補漏洞,也可能加速攻擊
本週最大的焦點,集中在 Anthropic Mythos 引發的連鎖效應:
一方面,企業期待 AI 能大幅提升開發與營運效率;另一方面,AI 本身也開始成為新的攻擊面、供應鏈風險與國安議題。以下為您整理的本週資安重點摘要
⭕️ 本週資安關鍵字
| 關鍵字 | 趨勢 |
| Mythos | 全球最強資安 AI,既是神隊友也是潛在威脅。 |
| Dirty Frag | 當前最危險的 Linux 核心零時差漏洞。 |
| PQC (後量子加密) | Cloudflare 開始支援,防範未來量子運算的威脅。 |
| 物理 AI | 資安已延伸至自動化生產與物聯網的生命週期防護。 |
⭕️ 資安趨勢部落格精選
- 開發者請注意!Void Dokkaebi 偽裝面試邀請,透過 GitHub 散布惡意程式
- AI 時代的數位分身量產:員工身分成為新的攻擊目標
- Kuse 服務淪為釣魚溫床:合法 Web App 遭攻擊者濫用
- 打詐週報|假檢警詐騙結合「來電轉接」與「金融盜刷」、假退稅通知湧現、《皮克敏 》遊戲客服成詐騙目標
- 【AI仿聲詐騙】每三秒就可以複製聲音,每三人就有一人中招,聽起來「完全就是你認識的人」
- 【租屋詐騙】「人在澎湖、寄鑰匙給你自行看房?」揭秘最新租屋詐騙三套路!
- AI 時代的數位分身量產:員工身分成為新的攻擊目標
- 悠遊卡、Yahoo、momo、家樂福、中油「雲端發票中獎通知」?財政部示警:小心詐騙陷阱!
- 與 AI 聊天也會被詐騙?7 招避免個資外洩+ChatGPT 等隱私設定指南
- 當 AI 風險成為集體焦慮:近五成人買房、求職、規劃退休問 AI,別讓人生大事成為詐騙破口
- 企業積極導入AI卻也面臨更高的資安風險!
⭕️ 本週五大資安重點
一、 :最強 AI 帶來的兩難
Anthropic 本週發布的 Mythos 模型成為焦點,其強大的程式碼分析能力在 curl 專案實戰中找出了 1 項漏洞與 20 項缺陷,展現了「AI 找漏洞」的驚人效率。
- 企業兩難: Mythos 雖然能幫工程師修補漏洞,但 Anthropic 執行長也警告,中國 AI 可能在半年內追平此技術,屆時攻擊者若持有同等能力的 AI,防禦壓力將倍增。
- 工具安全疑慮: Claude 相關工具(如 Claude Code、Desktop)被指存在設計問題,可能被惡意劫持以竊取 OAuth 憑證,或在未經許可下安裝檔案。
- 黑客濫用: 已發現有駭客利用 OpenAI 與 Anthropic 的模型攻擊墨西哥基礎建設(水力系統)。
打詐週報|假檢警詐騙結合「來電轉接」與「金融盜刷」、假退稅通知湧現、《皮克敏 》遊戲客服成詐騙目標
⟫ 看答案 從假檢警結合「來電轉接」接管手機,到報稅季假退稅通知、AI 生成假影片、假投資資訊,近期詐騙手法正快速升級,甚至開始利用 AI 技術與日常服務增加真實感。許多受害者並非因為貪心,而是在「協助查證」、「驗證帳戶」或「處理問題」的過程中,一步步交出個資、驗證碼與金融控制權。
本週我們整理近期最受關注的詐騙新聞,包括「**21*」來電轉接金融接管、假 LINE Pay 驗證信、假皮克敏客服、AI 假監視器影片,以及報稅季常見退稅詐騙等案例,帶你快速掌握最新詐騙趨勢與防範重點。
⭕️ 重點預覽:
- 一、假檢警詐騙結合「**21*」來電轉接 ⚠️
- 二、報稅季詐騙升溫 假退稅通知大量出現
- 三、AI 假影片、假新聞增加 真假愈來愈難辨
- 四、假投資詐騙升級 冒名企業家與政府機關
- 五、LINE Pay驗證信、《皮克敏 》遊戲客服也成詐騙目標
- 六、「老闆加 LINE 群要求匯款」1633萬元飛了
立即下載 AI 防詐達人,開啟「家庭守護圈」功能,別讓家人的手機變成詐騙集團的提款機!