新聞

在防禦端，資料領域底層的PQC導入動向成焦點。NVM Express聯盟預計2026年完成規格更新，擴充儲存傳輸協定支援的加密演算法；WD則考量儲存設備生命週期長達五年以上，因此已開始針對硬碟韌體與開機程序導入後量子密碼學，從核心層級建構防禦韌性。

政策法規

AI進步加劇漏洞威脅，資安署示警：攻擊成本驟降使威脅無差別化，冷門漏洞與閒置系統成為新破口，企業防禦重心應轉向迅速復原，全球多國政府也抱持警戒，德、日兩國已提升AI防禦至國家與金融監理層級。此外，國內推動AI人才治理指引與資安長跨機關共識，亦成政策焦點，突顯從治理端提升數位韌性已是關鍵配套。

面對AI漏洞風暴！資安署提出三項應對作為，並強調資安實務已從預防被打轉向迅速復原

面對先進AI模型引發的資安威脅，各國政府高度關切，臺灣數位發展部資通安全署（資安署）揭示即將採取三項應對作為之餘，更是呼籲國內企業與政府機關全面檢視資安策略，並給出三大關鍵提醒：（一）攻擊成本驟降使威脅趨於「無差別化」，上市櫃公司、中小型企業與地方政府機關都可能成為目標；（二）「冷門漏洞」與「閒置系統」可能被AI重新利用，代表原本排在修補清單末端的項目亦可能成為主要攻擊目標；（三）企業應從「預防被打」轉向「迅速復原」。

德國聯邦金融監理總署示警AI與量子運算推升金融業網路風險，將對金融機構加強IT重點檢查

德國聯邦金融監理總署（BaFin）將網路空間風險列為金融業重要風險之一，指出AI與量子運算等技術快速發展，這類風險不只威脅金融機構本身的穩定，也可能影響消費者能否順利取得金融服務。為了強化監理量能，BaFin已擴大金融業資安與科技部門，後續將針對金融業者進行更聚焦的IT查核。BaFin強調，在監理過程中已發現修補管理等問題，將藉由這類查核協助金融業衡量風險並強化韌性。

日本啟動內閣層級資安戰略檢討，因應先進AI帶來的新型防禦挑戰

日本首相高市早苗於5月12日內閣會議中，宣布啟動內閣層級資安戰略檢討，以因應先進AI帶來的防禦挑戰，她指示網路安全擔當大臣松本尚與相關內閣成員採取行動，檢查政府系統是否具備偵測與修補漏洞的能力，並研擬協助關鍵基礎設施營運者強化防禦的措施。

數發部發表AI人才認定指引3.0，新增AI治理與協作能力

現代資安治理與AI治理息息相關，數發部在5月19日發布「AI產業人才認定指引3.0」，就特別將AI治理素養與AI協作開發等能力納入，讓AI人才培育的推動更為健全，並期望建立一套可被企業、人力平臺與教育機構共同採用的能力標準。對於AI治理的重要性，數發部長林宜敬與數產署簡任視察吳嶽森指出，重點在於協助人才建立人工智慧應用風險的框架與意識，他並強調，AI能力已不只是會操作工具，而是如何與AI協作、理解風險，並具備負責任使用AI的能力。

Meta平臺占今年1至4月詐騙案件高達8成以上，政府要求強化演算法從源頭攔截詐騙訊息

針對Meta平臺防騙不力的現況，行政院打擊詐欺指揮中心（打詐指揮中心）揭露最新數據，指出近四個月的詐騙案件中，高達8成與Meta旗下平臺有關。
打詐指揮中心強調，Meta平臺防詐效果甚差，因為許多內容在被檢舉移除後，短時間內又會以完全相同的圖文重複上架，詐騙方可以如此簡單手段繼續進行詐騙，顯見Meta的防詐偵測系統存在嚴重的技術缺口。為此，打詐指揮中心向Meta發出嚴正要求，促其必須調整演算法並升級偵測系統，至少要建立「重複詐騙內容識別機制」、對已知詐騙內容進行即時攔截、降低詐騙內容曝光與擴散速度。

資安署擴大資安長共識營規模，首度邀集五院建立資安治理共識

建立跨機關的資安治理共識已成為國家韌性的關鍵，數位發展部資通安全署近日擴大舉辦「115年度政府機關資安長共識營」，今年最大不同點在於，資安署顯著擴大了參與規模，首度邀請總統府、國安會及立、司、考、監五院資安長共同參與，不僅協助各資安長掌握新興威脅趨勢與防禦思維，也透過與CYBERSEC臺灣資安大會合作，安排實地參訪臺灣資安館及人才培訓專區。綜觀這場共識營的推動，治理端的現況認知對齊仍是核心，擴大跨機關參與規模更是具備重要意義，幫助化解認知落差，掌握一致的技術脈動與政策方向。

歐盟《網路韌性法案》今年9月施行，產品安全通報時限成法遵門檻，僅四分之一企業將SBOM驗證納入自動化

歐盟網路韌性法案（Cyber Resilience Act，CRA）將於2026年9月進入正式施行階段，企業除了盤點產品是否落入規範範圍，也得重新檢視既有產品安全機制，是否足以支撐漏洞調查、限期通報與後續稽核要求。軟體套件與元件管理平臺業者Cloudsmith調查指出，多數企業雖已能產出軟體物料清單（SBOM），但相關管理與治理流程仍未完成自動化，對《網路韌性法》的法遵與供應鏈風險準備仍存在落差。

執法行動Operation Ramz查封53臺惡意軟體及網釣伺服器

國際刑警組織（Interpol）於5月18日宣布，首度在中東及北非地區展開大規模執法行動。在13國執法機關的合作之下，針對網路釣魚與惡意軟體活動進行調查，並瓦解惡意基礎設施，共逮捕201名嫌犯，另確認有382人涉及從事網路犯罪活動，查扣53臺伺服器。趨勢科技、Group-IB、卡巴斯基、Team Cymru，以及Shadowserver基金會也都參與這項行動。

AI資安

臺灣企業在應對AI技術固有風險之餘，若員工於企業網路使用中國AI模型工具，將帶來額外威脅。最新調查顯示全臺逾6萬企業未封鎖中國模型，且中小企業封鎖比例低，成為資安隱憂。此外，AI模型進步正加速漏洞發掘與修補需求，已有調查指出多家軟體供應商CVE揭露數量明顯成長，還有今年首季GitHub私下漏洞通報量更較前一季增加逾4倍，顯示AI正深刻影響漏洞研究生態，迫使企業須強化自動化防禦以應對威脅。

7成大型企業封鎖中國模型，中小企僅27%跟進成隱憂，全臺逾6萬企業未封鎖中國模型

【臺灣資安大會直擊】中華電信從電信視角剖析臺灣企業AI輪廓，指出企業規模越龐大，資安管控措施也越趨嚴謹，但中小企業在管控上則有明顯落差。整體而言，更有超過6萬家臺灣企業，因員工私下使用AI工具而形成的影子AI現象，暴露於具備資安爭議的中國AI模型風險之中。這些企業必須認清一件事：這意味著企業本身在應對AI技術的固有風險之餘，更被迫直面地緣政治與特定供應鏈下，中國AI模型帶來的額外威脅，讓企業資安防線承受更為棘手的複合風險。

AI原生架構快速崛起，32%企業要用AI增強軟體工程

關於2026年臺灣企業軟體開發策略布局的轉變，代理式AI與DevSecOps成為企業最重視的兩大方向。根據iThome《2026 CIO& CISO大調查》顯示，今年企業開發模式出現明顯變化，其中代理式AI的採用率成長幅度最大，較去年增加15個百分點；其次則是結合安全機制的DevSecOps，採用率由去年的9％提升至16％，增加7個百分點。相較之下，傳統DevOps採用率僅增加1個百分點，成長幅度並不高。

Cloudflare測試Claude Mythos，能串聯多個低風險漏洞形成攻擊鏈

Claude Mythos能力持續受關注，近期Cloudflare揭露參與Project Glasswing計畫的測試結果，指出他們將最新模型導入50個內部程式碼儲存庫後，發現Mythos預覽版最明顯的進步是，可將多個低嚴重性漏洞串聯成完整攻擊鏈，而非只停留在漏洞描述階段，甚至自動撰寫、編譯與執行PoC。Cloudflare強調，企業應從整體系統架構層面調整防禦策略，例如在應用程式前方部署防護機制、降低單一漏洞橫向擴散的能力，並建立可同步部署修補的基礎設施。同時提醒，若因修補時程壓縮而跳過完整回歸測試，反而可能衍生新的風險。

多家軟體供應商2026年以來CVE揭露量攀升，Chrome大增563.2%，AI輔助漏洞發掘影響浮現

漏洞情資業者VulnCheck發布分析指出，2026年以來，多家軟體供應商的CVE揭露數量明顯增加，其中Google瀏覽器Chrome年增563.2%，VMware、Apache、Mozilla、HPE與F5也都出現顯著成長。該公司認為，這波變化與AI輔助漏洞發掘工具逐漸成熟的趨勢相符，但目前仍屬初步跡象，尚不能將所有成長直接歸因於AI。

AI開始進入漏洞研究與通報生態，Mozilla、微軟、GitHub與Curl案例受關注

AI開始進入漏洞研究與通報生態，漏洞情資業者VulnCheck發布分析指出，除了多家業者2026年以來的CVE揭露量出現變化，Mozilla、微軟等案例受關注。自2月起，Firefox團隊持續使用先進AI模型，尋找並修補瀏覽器中潛藏的安全漏洞。GitHub安全公告資料庫團隊指出，2026年1月至3月，GitHub上面的私下漏洞通報量相較於去年10月至12月增加超過4倍。Chrome的CVE揭露量也暴增逾5倍。

AI持續降低自動化網路攻擊門檻，2025惡意機器人活動霸佔全球網際網路流量4成

根據資安廠商Thales發布的2026年惡意機器人報告，2025年機器人（bots）已主導網際網路，占據網路總流量的一半以上（53％），而有高達40％流量被歸類為惡意機器人。他們在2025年每天封鎖的AI驅動機器人攻擊達到2,500萬次，而在2024年每天緩解這類攻擊次數僅200萬次，暴增至12.5倍，因此他們決定新增自動化流量觀察類別：AI機器人（AI bots），主要原因在於AI與LLM的快速普及，導致機器人開發更容易上手，即使是技術水平較低的人也能做到。

IBM擴大AI資安工具布局，參與廣泛使用軟體漏洞識別與修補

IBM宣布擴大企業資安工具與服務，以因應攻擊者利用先進AI加快偵察、漏洞發現利用等攻擊流程的趨勢，涵蓋運用AI輔助漏洞管理的應用程式風險管理平臺IBM Concert、顧問服務IBM Consulting，以及採多代理架構的資安服務IBM Autonomous Security，另外IBM也參與AI業者Anthropic推動的關鍵軟體基礎架構安全計畫Project Glasswing。

Akamai將斥資2.05億美元收購LayerX，強化AI與瀏覽器安全

瀏覽器安全與AI使用控管技術成焦點！Akamai宣布併購以色列瀏覽器安全新創LayerX Security，主要看重其在輕量級安全擴充功能的部署方式，就可進行Session級深度行為檢測，以及控管影子AI的資料外洩問題，可透過在網頁端即時動態遮蔽員工輸入提示詞中的機密原始碼或個資。

Meta MBBRC首度登臺！祭30萬美元獎金鎖定AI代理等安全

Meta年度Bug Bounty研究者大會（MBBRC）首度在臺舉行！這場盛事匯集來自26國、80多位全球頂尖資安研究人員，其中並有10位臺灣高手同場競技。本屆活動有兩大新重點受矚目，一是開放研究人員針對Ads AI、Messenger、WhatsApp上的Business AI，以及Meta AI的代理框架進行深度檢測；一是首度推出濫用行為專項計畫，針對資料爬取與誠信風險等非傳統漏洞進行嘗試。特別的是，現場Meta與Nvidia宣布合作，將於6月正式啟動GPU Kernel Module Bug Bounty計畫，首度將Nvidia產品與服務納入MBBRC測試範圍。

駭客濫用Langflow漏洞與NATS訊息中介系統，竊取AI與雲端環境存取金鑰

開源AI工作流程平臺Langflow近期爆發新一波攻擊事件，CVE-2026-33017漏洞在3月就已確認遭利用並呼籲儘速修補，如今再傳攻擊者鎖定未修補用戶攻擊。資安業者Sysdig指出，他們發現新一波攻擊行動，駭客利用此漏洞入侵系統，並竊取AWS與OpenAI等AI服務API金鑰，特別的是，攻擊者在攻擊中使用開源訊息系統NATS，作為持久化控制與資料傳輸通道。

OpenClaw存在漏洞攻擊鏈Claw Chain，攻擊者可用於竄改組態並植入後門

資安公司Cyera近期在開源AI代理整合平臺OpenClaw發現一系列共4個資安漏洞，分別是：CVE-2026-44112、CVE-2026-44113、CVE-2026-44115、CVE-2026-44118，涉及檔案系統隔離、權限提升與資料暴露風險。從個別漏洞的危險程度來看，風險最高的是CVE-2026-44112，CVSS風險評分達到9.6分。Cyera指出此漏洞發生的原因在於，驗證與寫入的工作分開進行，攻擊者可藉由將驗證路徑指向沙箱邊界以外的符號連結來觸發弱點，將寫入操作導向原本預期的檔案系統根目錄以外的地方，從而影響系統的完整性。

Nvidia修補Triton推論伺服器多項重大漏洞，若未更新可能導致拒絕服務、資料洩漏或執行任意程式碼等攻擊

Nvidia修補Triton Inference Server的8項安全漏洞，漏洞類型包括驗證繞過、路徑遍歷、記憶體越界與整數溢位，最嚴重的漏洞CVSS達9.8分，可能導致資料外洩、拒絕服務、權限提升，甚至執行任意程式碼，影響企業AI模型推論與生成式AI部署環境，建議用戶儘速升級至已修補的26.03版。

資料安全

這一星期資料安全焦點在於NVMe協定與WD相繼導入PQC技術，前者推動儲存傳輸協定加密演算法更新，後者強調落實資安須從硬體信任根源（Root of Trust）強化防禦，突顯資料安全防線正聚焦於底層升級。此外，資料保護解決方案也正隨AI時代資安風險而進化。

NVMe協定啟動後量子密碼學規格更新，因應量子運算時代加密威脅

NVM Express聯盟宣布著手NVMe協定的後量子密碼學（PQC）規格更新，以因應未來量子電腦可能破解現有加密機制的威脅。新版規格將導入NIST PQC演算法、更長金鑰長度與新版加密協定定義，聯盟預計於2026年完成PQC支援並納入NVMe正式標準。

因應AI時代資安風險，Dell整合資料保護平臺並擴展威脅偵測能力

Dell推出全新資料保護平臺PowerProtect One，結合既有PowerProtect Data Manager（PPDM）與PowerProtect Data Domain（PPDD）兩款產品，強化備份、還原管理能力。同時，Dell也將原本應用於Cyber Recovery的CyberSense威脅分析能力，延伸發展為Cyber Detect，並整合至PowerStore與PowerMax主儲存陣列，用於快照複本分析與偵測。

WD為硬碟韌體保護導入後量子數位簽章技術，硬碟安全進入抗量子時代

WD宣布為新一代企業級硬碟Ultrastar DC HC6100 UltraSMR導入後量子密碼學（PQC）技術，為硬碟控制器的安全開機（Secure Boot）與韌體，採用ML-DSA-87後量子數位簽章，並結合傳統RSA-3072簽章構成雙重簽章架構，以兼顧現有相容性與未來抗量子運算威脅需求。

偉康科技發布資安重訊，說明遭遇網路攻擊

專注於金融科技與資安解決方案的偉康科技（6865）於5月11日晚間發布資安重訊，透露遭到駭客攻擊的情形。該公司透露事發後已啟動防禦機制因應，對於這起事故可能會造成的影響，該公司初步評估對公司營運無重大影響。罕見的是，偉康特別提及已投保了資安險，有可能會獲得理賠，但金額將根據最終鑑定結果及保單條款而定。

建德工業發布資安重訊，指出資訊系統遭網路攻擊

5月20日精密工具設備製造商建德工業（6606）於股市公開觀測站發布重大訊息，指出資訊系統疑似遭到網路攻擊，事發當下該公司立即啟動相關防護機制因應。針對這起事故可能造成的影響，該公司根據初步評估，對公司營運無重大影響，目前無個資或機密資料外洩發生的跡象。針對防範未來相關資安事故的做法，建德表示將增加軟硬體設備，以提升資訊安全層級。

7-Eleven證實資料被駭，疑外洩加盟店資訊

7-Eleven近日向美國緬因州檢察長辦公室通報資料外洩，並於5月1日以電子郵件通知受影響人員。根據7-Eleven的通知，2026年4月8日該公司發現一個未經授權的第三方人員存取該公司儲存加盟店文件的部分系統，導致相關資料遭到外洩。7-Eleven調查顯示，駭客存取的資料包括姓名、地址，以及其他未公開的資料類別。目前，該公司官方文件並未揭露受影響總人數。惡名昭彰的駭客組織ShinyHunters聲稱從其Salesforce系統竊取超過60萬筆資料。

美國最大公立醫院醫療資訊、指紋、信用卡資料被竊走，影響180萬人

美國最大市立醫療體系NYC Health + Hospitals 3月在網上公告遭駭，他們表示，在2月間發現非授權人士存取特定系統並且竊走資料。該院已重設所有受影響人士的帳號並導入強化的安全防範。經過調查，存取時間為2025年11月25日到2026年2月11日。該院認為原因是第三方系統廠商發生安全事件，讓攻擊者得以存取網路及系統，並複製走資料。根據美國健康與公共服務部網頁，NYC Health + Hospitals外洩事件影響180萬人。

TeamPCP兜售近450個Mistral AI程式碼儲存庫

法國AI新創公司Mistral AI於5月12日發布資安公告，證實NPM與PyPI套件先後遭到入侵，指出該公司是TanStack供應鏈攻擊事故而受到波及，如今傳出駭客團體TeamPCP於網路犯罪論壇宣稱，他們竊得Mistral AI近5 GB的內部儲存庫與原始碼資料，這些是用於訓練、微調、基準測試、模型交付、實驗推論，以及未來專案的檔案，總計涉及450個儲存庫的內容。

Grafana Labs存取權杖外洩導致其GitHub程式碼庫遭竊與勒索

Grafana Labs揭露近期發現有一個未經授權的團體取得該公司GitHub環境的存取權杖，使攻擊者得以下載該公司的程式碼庫。該公司後續調查指出，攻擊者入侵其GitHub環境的事故，源於TanStack供應鏈攻擊，當時他們在5月11日偵測到惡意活動，隨即啟動事件應變流程，迅速輪換大量與GitHub工作流程相關權杖，但仍有部分未被更換，使得攻擊者能夠存取他們的GitHub儲存庫。

美政府外包商遭解僱員工被控刪除96個政府資料庫，還問AI如何刪除Log

美國司法部起訴政府IT外包商前員工，指出該嫌因不滿被解僱，竟然濫用職權刪除聯邦政府資料庫。根據檢察官起訴書顯示，在一小時內刪除了約96個由Opexus代管的美國政府資料庫，包含與資訊自由法相關資料及屬於聯邦機構的敏感調查檔案，其中一個資料庫還是屬於美國國土安全部。甚至在刪除資料庫後，該嫌還曾詢問AI，如何刪除作案的Windows Server及SQL Server的系統日誌（log）檔。

工業測試設備製造商Fluke資料外洩波及1.85萬人，駭客竊取身分與身障等敏感資訊

美國工業測試設備製造商Fluke，近日通報一起可追溯至2025年8月的資料外洩事件，約1.85萬人的個資遭駭客存取，該公司已知會受害者，並提供信用監控等緩解措施。勒索軟體組織Clop聲稱此資料外洩事件是他們所為，但Fluke未予以回應。

CISA暴露的GitHub儲存庫公開844 MB機密資料

美國CISA因GitHub儲存庫Private-CISA暴露在網際網路，而有大量機密資料外洩的可能，資安公司GitGuardian先發現此事，19日公布更多調查細節，指出他們一開始是透過例行的GitHub監控察覺此事，發現Private-CISA儲存庫的資料量為844 MB，內含明文密碼、AWS憑證，以及Entra ID的SAML憑證，並且已暴露了約半年。至於這段期間是否有其他人存取這些資料，GitGuardian表示目前尚未發現有駭客早一步存取的跡象。

端點安全

這一星期Windows端點安全面臨嚴峻挑戰，多項零時差漏洞連環爆。其中MiniPlasma漏洞被揭露多年前已通報修補，現卻仍處於未修補狀態，還有研究人員警告BlueHammer與YellowKey等五項漏洞已能串連成完整攻擊鏈。此外，還有Linux再傳出DirtyDecrypt漏洞的事件也引發關注。

Windows存在零時差漏洞MiniPlasma，攻擊者可取得SYSTEM權限

早在多年前通報的漏洞卻未得到修補！日前資安研究員Chaotic Eclipse公布資安漏洞MiniPlasma，並強調該漏洞並非他首度發現，而是Google Project Zero團隊於2020年9月向微軟通報，該漏洞被登記為CVE-2020-17103，微軟在2020年12月例行安全性更新已發布更新軟體。對於MiniPlasma的出現，Chaotic Eclipse推測可能是修補程式碼在某個時間點被撤回或覆蓋（rollback），但也不排除是微軟根本沒修補，實際原因為何，有待微軟進一步說明。

微軟公布BitLocker零時差漏洞YellowKey緩解措施

關於有研究人員在5月中揭露磁碟加密機制BitLocker的零時差漏洞YellowKey，並形容它幾乎等同於後門，相當危險。後續微軟將YellowKey登記為CVE-2026-45585，並指出利用漏洞存在必要條件，那就是攻擊者需實際接觸目標裝置，才能觸發漏洞並存取經加密處理的資料。目前尚未有修補發布，但已公布緩解措施，包括修改Windows復原環境（WinRE）映像檔、設置BitLocker的PIN碼，而對於磁碟尚未加密的電腦，應設置TPM的PIN碼因應。

資安公司警告研究員Chaotic Eclipse公布的零時差漏洞已能串成攻擊鏈

近期多項Windows系統的5個零時差漏洞陸續被揭露，但更令人擔憂的是，攻擊者已可藉這些漏洞建立完整的攻擊流程。資安公司LevelBlue指出，BlueHammer（CVE-2026-33825）、RedSun、UnDefend、YellowKey（CVE-2026-45585）、GreenPlasma等5個漏洞，涵蓋取得初始存取管道、權限提升、迴避偵測，以及資料竊取等攻擊階段，幾乎已可視為一套完整的攻擊工具。

Linux核心再傳新的權限提升漏洞DirtyDecrypt

根據V12資安團隊透露，他們在5月9日發現名為DirtyDecrypt（或DirtyCBC）的漏洞，此為Copy Fail、Dirty Frag、Fragnesia的變形，他們在通報後收到Linux核心開發團隊回覆，表示這是重複通報的弱點。對此，V12在確認該漏洞已得到修補後，公布了概念驗證程式碼（PoC），並指出此漏洞形成的原因，在於rxgk_decrypt_skb缺少COW保護機制，導致rxgk頁面快取可被寫入。

Ivanti修補裝置管理平臺EPM高風險漏洞

資安廠商Ivanti修補裝置管理平臺Ivanti Endpoint Manager（EPM）3項資安漏洞，分別是CVE-2026-8109、CVE-2026-8110、CVE-2026-8111，其中最危險的是CVE-2026-8111，此為SQL注入漏洞，攻擊者在通過身分驗證的情況下，即可遠端執行程式碼，CVSS風險為8.8分；另一個高風險漏洞是CVE-2026-8110，涉及代理程式不正確的權限分配，攻擊者在本機通過身分驗證後，有可能提升權限，風險評分為7.8。

博通修補VMware Fusion高風險漏洞

執行在macOS電腦的個人端虛擬化軟體VMware Fusion，最近被揭露與修補高風險漏洞，根據5月14日博通（Broadcom）發布的資安公告，VMware Fusion存在權限提升漏洞CVE-2026-41702，此為SETUID二進位檔運作因檢查時間及使用時間不一致（TOCTOU）造成的弱點，攻擊者在取得非管理員使用者權限的情況下，可用來將權限升級為root，CVSS風險評為7.8分，博通已發布26H1版予以修補。

Reaper竊資程式混合冒充蘋果、微軟、Google，攻擊macOS用戶並建立後門

近年來以macOS為目標的竊資程式愈來愈多，SentinelOne最近發現的Reaper為竊資程式SHub Stealer的變種，使用以WeChat和線上協作白板Miro安裝程式為誘餌的手法和前版相似，手法更複雜，竊取目標也更多。值得一提的是，Reaper感染鏈在每個階段都冒充不同大廠。首先，它的惡意程式託管在一個誤植域名（typo-squatted）的假微軟網域，冒充蘋果安全更新執行，之後經由假的Google軟體更新目錄進行持續性（persistent）攻擊。

Dell SupportAssist服務引發Windows BSOD災情

端點安全仰賴持續的軟體更新，但更新過程中的相容性錯誤可能導致嚴重的服務中斷。有用戶在Dell用戶論壇反映，在5月8日安裝Dell Update 5.5.16.0及其內建的SupportAssist Remediation 5.5.16.0和Dell SupportAssist OS Recovery外掛後，系統每30分鐘出現藍色死亡螢幕（BSOD）後無預警自動重啟的狀態。Dell官方表示已經獲知狀況，正在解決問題。

網路安全

鎖定企業網路邊緣的零時差漏洞攻擊仍是本週焦點，思科修補已遭國家級駭客利用的Catalyst SD-WAN漏洞CVE-2026-20182，攻擊者可向存在漏洞的系統發送特製請求，以觸發漏洞。此外，還有攻擊者利用公開PoC持續針對已知漏洞發動攻擊，突顯企業未修補漏洞將使曝險演變為受害。

思科Catalyst SD-WAN遭遇零時差漏洞攻擊【CVE-2026-20182】

新一起零時差漏洞攻擊引發關注！思科揭露與修補Catalyst SD-WAN控制器漏洞CVE-2026-20182，美國網路安全暨基礎設施安全局（CISA）隨即將其列入已遭利用漏洞名冊（KEV）。該漏洞CVSS風險評為10分，一旦遭利用，攻擊者可向存在漏洞的系統發送特製請求觸發漏洞。後續思科威脅情報團隊Talos亦公布調查結果，並指出利用該漏洞的駭客組織，就是2月揭露、曾利用另一個漏洞CVE-2026-20127發動攻擊的駭客組織UAT-8616。

今年2月修補的思科SD-WAN系統高風險漏洞，已有多組人馬用於實際攻擊

有駭客利用公開PoC持續攻擊未修補已知漏洞的企業！從今年3月至4月，思科威脅情報團隊Talos掌握一系列駭客團體活動，他們利用今年2月下旬修補的任意檔案覆寫漏洞CVE-2026-20122、權限提升漏洞CVE-2026-20126，以及資訊洩露漏洞CVE-2026-20133（CVSS風險值為7.1、7.8、7.5），攻擊尚未修補的思科SD-WAN系統，Talos一共看到10波攻擊活動共通點是駭客透過公開的概念驗證程式碼（PoC）利用上述漏洞。

思科Catalyst SD-WAN控制器曝重大身分認證繞過漏洞

思科公告旗下的SD-WAN解決方案存在重大資安漏洞CVE-2026-20182，CVSS風險評為10分，相當危險，受影響產品為Catalyst SD-WAN Controller與Catalyst SD-WAN Manager（原名SD-WAN vSmart、SD-WAN vManage），涵蓋本地建置的SD-WAN環境與思科代管的雲端版本。令人憂心的是已發現遭到利用的跡象，該公司已發布修正版完成修補，並強調沒有其他解決方法，呼籲用戶儘速更新。

Palo Alto Networks修補防火牆作業系統身分驗證繞過漏洞

資安公司Palo Alto Networks揭露與修補防火牆作業系統PAN-OS的高風險漏洞CVE-2026-0265，指出在啟用雲端身分驗證服務（CAS）的情況下，PAN-OS存在身分驗證繞過漏洞，未經身分驗證的攻擊者，經由網路存取就能繞過防火牆的身分驗證控制。受影響設備涵蓋PA系列的實體設備、VM系列的虛擬防火牆，以及防火牆管理平臺Panorama。值得注意的是，Hacktron AI資安研究員指出該漏洞危險程度恐被低估，而且經過其測試，已成功利用這項漏洞進入多家主要公司的VPN環境。

華為路由器疑似零時差漏洞引發DoS攻擊，盧森堡去年通訊中斷逾3小時

盧森堡國營電信POST Luxembourg去年發生長達3小時的全國性通訊中斷，近日資安媒體The Record報導更多詳情，指出去年年中華為企業路由器一個軟體漏洞遭到攻擊，但事件過後10個月，沒有相關漏洞或事件資訊公開，廠商華為也沒有對其他同一款設備的電信用戶發布警告。如今媒體報導揭露，事發初期以為是DDoS攻擊，調查後發現，該事件是攻擊者利用POST Luxembourg為中繼站，由它將超大規模流量轉送（relay）出去，並非以其為目標。不過這個階段，華為路由器卻未能順利將流量轉送出去，而是發生不知名的故障，導致陷入重啟動循環及停止運作。

應用程式安全

應用程式安全威脅頻傳，首要焦點為Exchange Server出現已遭利用的零時差漏洞，微軟緊急發布CVE-2026-42897緩解措施。同時，Nginx一週前修補的CVE-2026-42945漏洞亦傳出遭積極利用；而Mini Shai-Hulud蠕蟲引發大規模NPM與PyPI供應鏈攻擊，其危害亦不容小覷，已傳出OpenAI與Mistral AI受波及的消息。

微軟揭露Exchange Server存在8.1分重大漏洞，並已偵測到漏洞利用活動【CVE-2026-42897】

發生零時差漏洞攻擊事件，微軟緊急發布公告說明Exchange Server重大漏洞CVE-2026-42897已遭利用，美國CISA亦將此列入KEV清單。特別要注意的是，目前微軟先公布兩種緩解措施，截稿前尚未釋出修補。受此漏洞影響的產品主要是部署於企業內部環境的Exchange Server 2016、Exchange Server 2019，以及Exchange Server訂閱版（SE），Exchange Online不受影響。

Nginx重大漏洞已被用於攻擊【CVE-2026-42945】

網頁伺服器Nginx在一星期前修補的重大漏洞CVE-2026-42945，後續有研究人員警告已偵測到積極利用的現象。VulnCheck漏洞研究員Patrick Garrity於職場社群網站LinkedIn示警，因為他們在5月16日於蜜罐陷阱首度偵測到CVE-2026-42945被積極利用的跡象。雖然Nginx伺服器必須導入特定的重新寫入組態設定才會受到影響，但由於攻擊者無須通過身分驗證就能利用，再加上全球約有570萬臺伺服器尚未套用新版程式，用戶應儘速採取防範措施。

Drupal修補重大SQL注入漏洞，並破例為已停止支援版本發布更新

內容管理系統Drupal開發團隊本週揭露與修補重大漏洞CVE-2026-9082，目前尚未公布CVSS嚴重度評分，但團隊公布Drupal本身的風險評估結果為20分（滿分25分），被評為最危險的超重大等級（Highly Critical），影響8.9.0以上版本的Drupal，開發團隊呼籲用戶儘速因應。Drupal強調此漏洞只影響採用PostgreSQL的網站，不過他們也對第三方元件Symfony與Twig進行修補，因此對於不受CVE-2026-9082影響的網站，他們呼籲用戶還是要升級新版Drupal。

TeamPCP利用蠕蟲Mini Shai-Hulud滲透逾400個NPM與PyPI套件

多家資安公司指出，本週TanStack的NPM套件、Mistral AI的PyPI套件遭遇供應鏈攻擊，其實是4月底蠕蟲活動Mini Shai-Hulud的延續。
SafeDep強調，這是今年規模最大的程式碼儲存庫攻擊事件，而且範圍同時涵蓋NPM與PyPI。根據Socket的統計，截至5月15日，已累計出現416個惡意套件。Snyk也表示，TanStack的路由器套件系列是駭客最早入侵的管道，隨後蠕蟲透過自我散播的特性，迅速造成大規模感染。

OpenAI遭TanStack供應鏈攻擊波及

OpenAI公告有兩名員工的裝置受到Mini Shai-Hulud供應鏈攻擊影響，不慎安裝遭植入惡意程式碼的TanStack套件，該公司察覺後迅速展開調查，並採取措施保護系統。由於受影響的原始碼儲存庫包含應用程式簽署憑證，為求謹慎OpenAI將輪換憑證，macOS用戶必須因此而更新應用程式，否則等到OpenAI在6月12日完全撤銷現有憑證後，相關應用程式將無法使用，Windows與iOS用戶則不受影響。

RubyGems遭遇大規模惡意攻擊，暫停開發者註冊新帳號因應

上週RubyGems儲存庫遭遇大規模攻擊，一度暫停帳號註冊服務作為因應措施，對此事件，Ruby Central開源長Marty Haught提出事故處理說明，他表示RubyGems正在處理垃圾套件活動，先前已暫停新帳號註冊，並限制使用Webhook，後續將改進相關檢測機制。後續RubyGems再透露，用於這起攻擊事故的機器人帳號已遭移除，這段期間攻擊者推送超過500個惡意套件，也全數下架。

針對RubyGems遭遇大規模垃圾套件攻擊事故，傳出駭客的目的是洩露英國政府機關網站資料

關於RubyGems儲存庫發生垃圾套件投放攻擊事故，實際上這起事故源自另一起攻擊活動，駭客將RubyGems充當資料外送的管道。資安公司Socket指出，他們觀察到的攻擊行動GemStuffer，駭客使用超過100個Gem套件，但與許多供應鏈攻擊不同，這些套件主要用途並非對開發人員散布惡意軟體，而是將RubyGems充當資料傳輸的管道。Socket指出這些套件大多未被開發人員下載，其內含的指令碼，會從英國多個地方政府的入口網站擷取頁面，將收集的回應打包成有效的資料封裝，並利用特定API金鑰將這些資料上傳到RubyGems。

沙箱函式庫SandboxJS修補CVSS滿分重大漏洞

開源JavaScript沙箱函式庫SandboxJS近日修補重大漏洞CVE-2026-43898，CVSS評分達10.0滿分，漏洞源自createFunction()隔離機制缺陷，攻擊者可突破沙箱限制，取得主機端Function建構函式，進而在主機端環境執行任意JavaScript程式碼，用戶應儘速升級到已修補的0.9.6版。

PostgreSQL資料庫發布更新，修補11項漏洞與60多項程式錯誤

PostgreSQL資料庫近日同步更新14.x至18.x等所有主要支援版本，修補11項漏洞與60多項程式錯誤，其中包括4項CVSS評分達8.8分的重大漏洞，可能導致執行任意程式碼或覆寫檔案，影響所有主要版本，已在14.23、15.18、16.14、17.10與18.4等新版本完成修補，建議用戶儘速更新，以降低風險。

GitLab發布安全更新，修補25項資安漏洞

GitLab近日發布安全更新，修補CE與EE版本共25項漏洞，包含多項涉及跨網站指令碼（XSS）、拒絕服務與存取控制的問題，其中4項XSS漏洞CVSS評分達8.7分，分別源自分析儀表板（Analytics dashboard）、全域搜尋（Global Search）與AI代理功能Duo Agent。GitLab建議採用self-managed部署的用戶儘速更新至已修補的18.11.3、18.10.6與18.9.7等版本。雲端版GitLab.com則已完成更新。

Google發布電腦版Chrome 148更新，修補79個資安漏洞

本週Google發布電腦版Chrome更新148.0.7778.167、148.0.7778.168，總共修補79個漏洞，從嚴重程度來看，有14個是重大等級、37個屬於高風險等級，其餘28個為中度風險。

Mozilla推出Firefox 150.0.3，修補多項JavaScript高風險漏洞

Firefox 150.0.3更新上周釋出，總共修補5個高風險漏洞CVE-2026-8388、CVE-2026-8389、CVE-2026-8390、CVE-2026-8391、CVE-2026-8401。美國CISA指出，最危險的漏洞是CVE-2026-8401，此沙箱逃逸類型的弱點，存在Firefox個人設定檔備份元件，CVSS風險評為9.8分。

Mozilla發布Firefox 151更新，修補逾30項資安漏洞

5月19日Mozilla基金會發布Firefox版本更新，151版修補了31個資安漏洞（高風險漏洞有6個、中度風險12個、低風險13個）。
上述高風險漏洞當中，有兩個是有關記憶體安全的臭蟲，值得注意的是，美國網路安全暨基礎設施安全局授權資料發布單位（CISA-ADP）對它們的CVSS嚴重度評分，都達到9.8。

Hitachi Vantara修補Pentaho資料整合與分析平臺重大漏洞

Hitachi Vantara修補旗下Pentaho資料整合與分析平臺重大風險漏洞CVE-2025-11159，CVSS達9.1分，可能導致攻擊者執行外部程式碼，進而存取敏感資料或發動遠端程式碼執行攻擊。Hitachi Vantara已於10.2.0.7與11.0.0.0版移除存在漏洞的元件，呼籲企業儘速更新至已修補版本。

臺灣資安廠商DEVCORE奪下Pwn2Own Berlin 2026破解大師殊榮

在上週舉行的2026年度資安漏洞利用競賽Pwn2Own柏林場，一共找到47個零時差漏洞，主辦單位ZDI共頒發1,298,250美元獎金。臺灣資安公司戴夫寇爾（DEVCORE）在Chrome/Edge + Sandbox Escape，Exchange Server，Microsoft Office 365等項目表現出色，以總分50.5分獲得壓倒性勝利，拿下本次競賽的破解大師（Master of Pwn）殊榮，並贏得505,000美元獎金。

身分安全

驗證機制進化與憑證濫用威脅是本週身分安全焦點，相關消息涵蓋經濟部推動行動工商憑證，以及微軟瓦解惡意簽章平臺Fox Tempest。此外，微軟個人帳號停用簡訊驗證碼，顯現科技大廠正加速擺脫簡訊OTP來驗證風險。另要注意的是，網釣威脅態勢依然嚴峻，兩起揭露指出駭客正持續利用Tycoon 2FA與新型裝置碼釣魚手法。

經濟部推行動工商憑證，讓手機化身「數位大小章」，瞄準企業授權與金融應用

實體工商憑證卡施行已久，如今經濟部商業發展署新推行動工商憑證，該憑證具備三大功能，包括身分驗證、數位簽章與資料加密。其最大改變是將原本實體卡片與公司大小章，進一步整合進手機裝置中，憑證儲存在手機安全區域，同時結合手機生物辨識，並支援MAS Level 2認證等級，以鞏固其安全性。此外，行動工商憑證也將朝向串接數位憑證皮夾發展，未來甚至延伸至金融場景，畢竟目前金融業大量使用OTP驗證，若能以行動工商憑證取代部分OTP機制，可望降低銀行驗證成本，同時提升交易安全性。

微軟個人帳號將開始停用簡訊傳送OTP驗證碼

以簡訊（SMS）為基礎的驗證方式成為詐騙主要來源，微軟希望協助使用者更全面採用無密碼帳號、通行密鑰（passkey）和經驗證的電子郵件信箱，收取雙因素驗證（2FA）驗證碼，藉此降低威脅同時簡化帳號登入作業。為此，微軟宣布Windows 11個人版微軟帳號的驗證及帳號回復，將開始停用以簡訊作為處理這些程序的管道，並將導引用戶以簡易方式加入經過驗證的email帳號及設定通行密鑰。之後登入微軟帳號或是復原帳號，而不再需要用到簡訊，而且手機掉了也可以安全回復帳號。

微軟修改Edge瀏覽器密碼管理機制，避免開機即載入明文密碼

微軟宣布調整Microsoft Edge瀏覽器密碼管理機制，未來瀏覽器啟動時，將不再載入所有已儲存密碼到記憶體，而改為僅在使用者需要時才進行處理。這項修改源自研究人員揭露Edge過去會在啟動時預載全部密碼，微軟表示新版機制已先於Edge Canary測試版本提供，後續將透過Edge 148版推送給所有用戶。

微軟破獲惡意軟體簽章服務平臺Fox Tempest

自2025年開始運作的惡意軟體簽章服務（Malware-Signing-as-a-Service，MSaaS）平臺，經營者是以經濟利益為動機的駭客團體Fox Tempest，他們濫用微軟的Artifact Signing系統為惡意程式簽章，藉此偽造應用程式身分，使其能暫時躲過資安系統的偵測，5月19日微軟宣布成功瓦解。根據調查，Fox Tempest偽造超過1千個憑證，並透過數百個Azure租戶來提供相關服務。今年5月微軟在資安公司Resecurity的協助之下，中斷這些駭客的業務，並撤銷超過1千個偽造憑證。

Tycoon 2FA被用於裝置驗證碼網釣，駭客搭配Trustifi追蹤器挾持M365帳號

eSentire發現新一波Tycoon 2FA攻擊，駭客利用合法郵件安全平臺Trustifi規避閘道攔阻，並透過Cloudflare Workers多層轉址，誘騙用戶在微軟裝置登入頁面完成授權。此攻擊特殊之處是，過程不需詢問密碼，而是利用偽裝成官方程式的OAuth客戶端竊取權杖，進而掌控 Exchange Online與OneDrive等服務。

新駭客基礎架構出現，加速裝置碼釣魚、竊取Microsoft 365權杖

Proofpoint發現新型裝置碼釣魚攻擊，新手法改在使用者點擊連結的瞬間動態產生驗證碼，而不像以往先有驗證碼再騙取，藉此規避15分鐘內未輸入即過期的機制。此惡意活動最早從2025年秋天出現，更受關注的是，此手法已整合至EvilTokens 與 Tycoon 等釣魚平臺，並在今年4月衍生出7種變種。攻擊組織TA4903已利用此技術針對M365進行商業電子郵件詐騙（BEC），但也有少部分以Google憑證為目標。

IoT/OT安全

關於智慧設備的韌體安全與機器人控制風險，近日就有重大隱患揭露，而且是發生在割草機器人系統。有鑑於未來智慧連網裝置將更為普及，這方面的防禦機制與韌體開發規範更顯重要。

Yarbo割草機器人存在可被遠端控制的重大漏洞，用戶需升級新版韌體

研究人員揭露Yarbo割草機器人系統韌體存在安全隱患，該品牌所有設備系統均有寫死root密碼的狀況，且預留遠端控制的後門，攻擊者可能藉此從遠端接管設備，甚至同時控制整個機器人群組。Yarbo原廠已更新韌體，並承諾進一步改進安全機制。

資安維運

資安維運管理存在不同層面議題，近期消息顯現跨國資安治理、資安長人力落差的挑戰。專家強調全球資安治理核心在於跨文化協作與認知對齊（Alignment）；調查則顯示全球CISO人力落差高達1比1萬，職責隨AI與法規壓力擴大。

專家談跨國企業資安治理：真正難的不是技術，而是跨文化協作

【臺灣資安大會直擊】與不同國家的團隊合作，建立一致的風險認知與協作模式，才是全球資安治理真正困難之處。保瑞藥業全球資安經理Jesse Ku指出，全球資安治理的核心在於「對齊（Alignment）」，
英文能力只是第一層障礙，真正困難是不同文化背景下對同一句話的不同解讀，華人常用的「No no no」或「Actually」就是一例。還有職場文化差異，臺灣企業通常追求效率與執行速度，歐洲團隊則更看重邏輯辯論與說服過程，而加拿大與澳洲同事則相對重視工作與生活的平衡。因此，當跨國企業持續擴張、併購與整合日益頻繁，資安團隊不只要面對技術威脅，還必須處理語言、文化、組織與管理上的「隱形障礙」。

2026年全球資安長人力落差約1比1萬，AI與法規壓力擴大CISO職責

Sophos與Cybersecurity Ventures合作發布《2026 CISO Report》，顯示AI、勒索軟體、供應鏈攻擊、後量子密碼學轉換與法規壓力，正持續擴大資安長（CISO）的職責範圍，而目前全球CISO估計約有3.5萬名，僅較2023年的3.2萬名小幅增加；但全球營運中的企業約達3.59億家，相當於平均1名CISO需對應約1萬家企業，凸顯資安領導人才缺口依舊明顯。

仍有將近3500臺Wazuh主機未修補CVE-2026-30893漏洞，持續暴露於攻擊風險下

Wazuh開源資安監控平臺於4月底揭露的重大漏洞CVE-2026-30893，可能導致執行遠端程式碼，並允許攻擊者進行橫向移動與覆寫系統，雖然4.14.4修補版本已釋出，但截至5月17日，仍有約3500臺Wazuh主機未更新，並直接暴露於網路，臺灣亦有19臺受影響，顯示漏洞修補進度嚴重落後。

為了推廣Azure Arc混合雲管理架構，微軟開放部分版本Windows Server 2025用戶使用熱修補功能

微軟正式開放Windows Server 2025用戶透過Azure Arc啟用Hotpatch熱修補功能，讓企業可在多數安全更新時無須重新開機，將伺服器重啟頻率降至每季一次。過去微軟僅限於Azure版本Windows提供熱修補功能，如今則擴展至地端環境，也反映微軟推動Windows Server管理雲端化的方向。