【資安日報】5月21日，近兩個月研究人員公布的零時差漏洞已能串成攻擊鏈

研究人員Chaotic Eclipse先後公布多個零時差漏洞，包括BlueHammer（CVE-2026-33825）、RedSun、UnDefend、YellowKey（CVE-2026-45585）、GreenPlasma，目前微軟僅修補BlueHammer，並公布YellowKey的緩解措施，但資安公司LevelBlue指出，Chaotic Eclipse揭露的5個漏洞，涵蓋取得初始存取管道、權限提升、迴避偵測，以及資料竊取等攻擊階段，幾乎已可視為一套完整的攻擊工具。

微軟公布BitLocker零時差漏洞YellowKey緩解措施

不滿微軟漏洞通報流程的研究人員Chaotic Eclipse（Nightmare-Eclipse），在微軟發布5月例行安全更新（Patch Tuesday）之後，公布磁碟加密機制BitLocker的零時差漏洞YellowKey，並形容該漏洞幾乎等同於後門，相當危險。5月19日微軟將YellowKey登記為CVE-2026-45585，並指出這是BitLocker安全功能繞過漏洞，該公司提供一系列的緩解措施，包含修改Windows復原環境（WinRE）映像檔、設置BitLocker的PIN碼，以及設置TPM的PIN碼等。

Drupal修補重大SQL注入資安漏洞，並破例為已停止支援版本發布更新

5月20日內容管理系統Drupal開發團隊發布資安公告，修補超重大等級（Highly Critical）資安漏洞CVE-2026-9082，此為SQL注入類型的弱點，存在於Drupal Core的特定資料庫抽象API，該API的主要功能是清理資料庫所執行的查詢語句，防範SQL注入攻擊。然而若是利用這項漏洞，攻擊者可在搭配PostgreSQL資料庫的Drupal網站進行SQL注入攻擊，可能造成資訊洩露，甚至讓攻擊者提升權限，或是遠端執行任意程式碼。

CISA暴露的GitHub儲存庫公開844 MB機密資料

美國網路安全暨基礎設施安全局（CISA）上週被發現在GitHub不慎公開一個原應設為限制私有的儲存庫Private-CISA，導致大量機密資料暴露，由於內容含有AWS GovCloud政府雲端服務帳號，以及CISA內部系統憑證，相當危險，而可能成為近期美國政府最嚴重的資料外洩事故，此事經知名資安部落格Krebs On Security報導後，引起外界關注，GitGuardian後續公布更多調查細節，指出這批上傳到GitHub的時間點，可追溯至2025年11月，換言之，相關資料已暴露了約半年。

Mini Shai-Hulud供應鏈攻擊波及GitHub，近3,800個內部儲存庫遭外洩

5月20日GitHub指出，其內部近3,800個原始碼儲存庫遭到未授權存取，起因是一名員工安裝惡意VS Code擴充套件。雖然GitHub並未揭露細節，但外界猜測這是駭客組織TeamPCP針對JavaScript開源工具集TanStack發動供應鏈攻擊的連鎖效應，攻擊沿著開發者工具鏈逐步滲透，最終進入GitHub內部。根據資安新聞網站Bleeping Computer報導，TeamPCP於駭客論壇聲稱從GitHub竊得約4千個內部儲存庫，以底價5萬美元兜售。

Grafana Labs資安事故調查結果出爐，起因是TanStack事故波及

開放原始碼IT系統監控與分析平臺業者Grafana Labs上週末透露，有網路犯罪集團未經授權存取GitHub儲存庫，下載程式碼庫的資料，然後向其勒索。事隔3天，該公司公布最新調查結果，指出他們是因為遭到TanStack供應鏈攻擊事故波及，因權杖（token）未及時輪換而釀禍。而對於這起事故的影響範圍，先前該公司的認定主要是原始碼的部分，不過他們現在發現，尚有其他資料遭竊，其中包含部分Grafana Labs人員協作與儲存的內部營運資訊、其他業務細節，以及工作業務聯絡人的姓名和電子郵件信箱。

華為路由器疑似零時差漏洞引發DoS攻擊，盧森堡去年通訊中斷逾3小時

資安媒體The Record報導，去年7月，華為企業級路由器軟體漏洞遭到攻擊，引發歐洲國家盧森堡國營電信公司POST Luxembourg的固網、行動電話，以及緊急通訊，全國性通訊中斷超過3小時，該國檢調單位及警方、資安專家團隊調查後發現，這起事故實際上是駭客將電信公司充當中繼站，並轉送巨量流量。值得留意的是，在事件過後10個月，遭到利用的弱點非但沒有漏洞編號、也未被公開揭露或有任何公開資訊，華為也沒有警告其他同款設備的電信用戶。

Hitachi Vantara修補Pentaho資料整合與分析平臺重大漏洞，未更新可能導致遠端執行程式碼攻擊

Hitachi Vantara近日發布資安公告，修補旗下Pentaho Data Integration& Analytics產品的第三方元件重大漏洞，建議用戶升級至已修補的10.2.0.7與11.0.0.0以上版本。此漏洞源自Pentaho平臺內含的H2資料庫JDBC驅動程式問題，會在JDBC的資料來源管理者建立新連線時產生漏洞，漏洞編號CVE-2025-11159，CVSS嚴重性達9.1分，可能導致攻擊者藉此執行外部指令碼（external script），而得以存取敏感檔案與執行遠端程式碼。

沙箱函式庫SandboxJS修補CVSS滿分重大漏洞，未更新可能導致執行任意程式碼

在5月初，開源JavaScript沙箱函式庫SandboxJS專案發布資安公告，揭露重大漏洞CVE-2026-43898，攻擊者可藉此突破沙箱限制，直接在主機端執行任意JavaScript程式碼。這個漏洞影響0.9.5版以前的SandboxJS，已在0.9.6版中修補，CVSS達到10.0滿分，問題源自SandboxJS提供沙箱內程式使用的createFunction()函式，其隔離機制存在嚴重缺陷，攻擊者可藉由偽造上下文（context）與物件參數，呼叫主機端的Function建構函式，進而突破沙箱隔離。

GitLab發布安全更新，修補可能導致執行任意JavaScript程式碼、拒絕服務攻擊的多項重大漏洞

全球主要DevOps開發平臺之一的GitLab，近日發布更新，修補Community Edition（CE）與Enterprise Edition（EE）版的25項漏洞，包含多項重大漏洞，可能導致駭客得以執行任意JavaScript程式碼，或是發動拒絕服務攻擊。GitLab建議採用自行管理（self-managed）版本的用戶儘速升級。這次修補的漏洞中，最嚴重的是CVE-2026-7481、CVE-2026-5297、CVE-2026-6073與CVE-2026-7377等4個，CVSS嚴重性評分均為8.7分。

Meta平臺占今年1至4月詐騙案件高達8成以上，政府要求強化演算法從源頭攔截詐騙訊息

行政院打擊詐欺指揮中心（打詐指揮中心）指出，Meta旗下Facebook、Instagram與Threads已成臺灣詐騙主要來源管道，占比超過8成，造成財損超過13億元。政府要求平臺必須從演算法與偵測機制著手，採「源頭阻斷」策略，否則不排除修法加重平臺責任與罰則。2026年1月至4月期間，臺灣涉及Meta所屬社群平臺的詐騙案件數為1.4萬件，占比高達84.31%，包含Facebook、Instagram與Threads等平臺造成的財損占比，更達86.2%，金額約13.6億元。

資安署擴大資安長共識營規模，首度邀集五院建立資安治理共識

面對日益嚴峻的資安挑戰，建立跨機關的資安治理共識已成為國家韌性的關鍵。數位發展部資通安全署近日擴大舉辦「115年度政府機關資安長共識營」，今年最大不同點在於，資安署顯著擴大了參與規模，首度邀請總統府、國安會及立、司、考、監五院資安長共同參與，有別於去年活動對象主要聚焦於行政院所屬機關及地方政府。其用意顯然是為了強化國家資安聯防，使防禦體系從原本的行政體系延伸至全政府層次，藉此化解各機關之間的資安認知落差。

數發部發表AI人才認定指引3.0，新增AI治理與協作能力

面對生成式AI快速普及與企業導入的需求升溫，數發部發布「AI產業人才認定指引3.0」，進一步擴充AI人才能力架構，新增AI治理素養與AI協作開發等能力項目，並結合大學、民間學習平臺與產業機構，推動AI人才培育生態系。數發部長林宜敬表示，臺灣AI與軟體產業的創新，不應由政府強力主導，而應仰賴民間產業自由競爭。他指出，無論美國或中國，AI產業最終仍是由民間企業帶動，政府更重要的角色是建立適合AI產業發展的環境。

德國聯邦金融監理總署示警AI與量子運算推升金融業網路風險，將對金融機構加強IT重點檢查

德國聯邦金融監理總署（BaFin）總裁Mark Branson於5月12日舉行年度記者會，將網路空間風險列為金融業重要風險之一。他指出，這類風險不只威脅金融機構本身的穩定，也可能影響消費者能否順利取得金融服務，因此已成為金融監理必須正視的議題。路透社進一步指出，這項背景與AI業者Anthropic開發的Mythos有關；該模型已引發全球銀行業關注，部分美國銀行已取得存取權，監理機關也正檢視相關資安風險，以及金融機構是否已有足夠準備。

AI開始進入漏洞研究與通報生態，Mozilla、微軟、GitHub與Curl案例受關注

在AI輔助漏洞發掘推升CVE揭露量的跡象浮現後，另一個更值得觀察的問題是，AI究竟如何進入軟體供應商與開源專案的漏洞研究流程。漏洞情資業者VulnCheck於5月14日發布分析指出，除了多家業者2026年以來的CVE揭露量出現變化，Mozilla、微軟、Apache、Curl與Palo Alto Networks等案例也顯示，AI模型已開始被用於漏洞發掘、驗證與修補。GitHub安全公告資料庫團隊的Madison Oliver Ficorilli指出，2026年1月至3月，GitHub上面的私下漏洞通報量相較於去年10月至12月增加超過4倍。

Gartner預估2026年全球AI支出達2.6兆美元，AI資安支出增加近1倍

市場研究機構Gartner發布最新全球AI支出預測，2026年全球AI支出將達2.6兆美元，較2025年的1.8兆美元成長47%。從Gartner公布的AI支出分類來看，AI基礎架構規模最大，2025年支出為9,755.8億美元，2026年預估增至1.4兆美元；AI服務支出將從2025年的4,363.5億美元，增加至2026年的5,855.3億美元；AI軟體支出則將從2025年的2,829.0億美元，成長至2026年的4,532.1億美元。其他細項也呈現成長，包括AI資安支出從2025年的259.2億美元，增加至2026年的513.5億美元。

Confluent強化即時資料串流安全，新增個資防護與安全連線功能

IBM旗下資料串流業者Confluent擴增多種功能，當中涵蓋個資偵測與遮蔽，以及Azure Private Link私有連線等功能，讓企業在建置即時AI應用時，可降低敏感資料外洩與公開網路連線風險。針對資料隱私防護的部分，Confluent新增內建機器學習函式，可在即時資料處理工具Flink SQL中偵測並遮蔽個人可識別資訊（PII），讓開發者在資料仍處於串流處理流程時，不必另外撰寫客製程式、串接外部服務，或先把資料搬到資料倉儲，就可處理敏感資料。該項PII偵測與遮蔽功能目前在Confluent Intelligence提供早期存取。

微軟開放Windows Server 2025用戶使用熱修補功能，進一步推廣Azure Arc混合雲管理架構

微軟近日宣布，正式開放Windows Server 2025用戶透過Azure Arc管理平臺，啟用熱修補（Hotpatch）功能，讓企業可在伺服器系統不需重新啟動的情況下，就能安裝更新程式，減少因此導致服務中斷的頻率與時間。原則上，透過熱修補功能，可將重新開機頻率降為每季一次，可幫助企業資料中心減少系統服務停機時間，並降低系統更新對於VM、叢集、高可用性系統運作的影響。

微軟個人帳號將開始停用簡訊傳送驗證碼

根據科技新聞網站Windows Latest報導，微軟將開始停用以簡訊作為Windows 11個人版微軟帳號的驗證及帳號回復機制，要求用戶改用通行密鑰等無密碼驗證方式。該公司在網站上說明，簡訊（SMS）為基礎的驗證方式現在已成為詐騙主要來源，微軟希望協助使用者移轉為無密碼帳號、通行密鑰（passkey）和經驗證的電子郵件信箱收取雙因素驗證（2FA）驗證碼，藉此降低威脅同時簡化帳號登入作業。

建德工業發布資安重訊，指出資訊系統遭網路攻擊

5月20日精密工具設備製造商建德工業（6606）於股市公開觀測站發布重大訊息，指出資訊系統疑似遭到網路攻擊，事發當下該公司立即啟動相關防護機制因應。針對這起事故可能造成的影響，該公司根據初步評估，對公司營運無重大影響，目前無個資或機密資料外洩發生的跡象。針對防範未來相關資安事故的做法，建德表示將增加軟硬體設備，以提升資訊安全層級。

近期資安日報

【5月20日】CISA驚傳暴露AWS GovCloud金鑰與內部系統憑證

【5月19日】Linux核心再傳Copy Fail新變種漏洞

【5月18日】臺灣資安廠商DEVCORE於柏林場Pwn2Own奪冠