【資安日報】5月5日，2026臺灣資安大會正式登場

亞洲最大規模的資安盛會「臺灣資安大會CYBERSEC 2026」，於5月5日至7日假臺北南港展覽館二館舉辦。來自全球數十個國家、超過二萬名資安專家、企業代表與政府官員齊聚臺灣，超過四百家國內外資安品牌同步參展，現場並規畫逾兩百場專業論壇與十五軌平行議程，全面呈現AI時代下的最新資安攻防趨勢。在開幕典禮上，最受矚目的焦點莫過於總統府副秘書長何志偉代表總統賴清德親臨致詞，這是八年以來，首度總統因為執行國是訪問任務而無法親自出席這場年度資安盛會。

美國警告Linux核心高風險漏洞Copy Fail已遭利用

4月30日資安公司Theori揭露Linux核心資安漏洞Copy Fail，此漏洞影響廣泛，可追溯到2017年發布的Linux核心4.14版，並影響所有的Linux發行版，多個發行版的開發團隊已發布相關資安公告。此漏洞可被用於本機權限提升（LPE），登記為CVE-2026-31431列管，Theori透過僅有732個位元組的Python概念驗證程式，於Ubuntu、Amazon Linux、Red Hat Enterprise Linux（RHEL），以及SUSE成功取得root權限，呼籲大家重視此事並儘快採取行動因應。事隔一天，美國網路安全暨基礎設施安全局（CISA）表示已掌握CVE-2026-31431被積極利用的證據，要求聯邦機構限期修補。

微軟警告Copy Fail恐被用於攻擊雲端環境

上週被揭露的Linux核心高風險漏洞Copy Fail（CVE-2026-31431），微軟近日提出警告，大量雲端Linux工作負載及數百萬個Kubernetes叢集，也同樣受到Copy Fail影響。雖然利用漏洞的過程無須使用者互動，但微軟認為此漏洞不會被單獨利用，攻擊者可能會與初始存取管道串連，例如：SSH存取、惡意CI工作執行，或是將容器當作滲透的據點。只要能取得本機使用者身分利用漏洞，就能在含有Copy Fail的Linux核心與加密模組執行程式碼。

針對影響廣泛的Linux核心漏洞Copy Fail，微軟呼籲用戶應立即採取行動因應

微軟針對近日受到高度關注的Linux核心漏洞Copy Fail（CVE-2026-31431）提出警告，駭客很可能將其用於攻擊雲端環境，相當危險應立即處理。對此，該公司也提出了緩解措施，特別提及IT人員應在24小時內採取行動，盤點受影響的系統與版本，並套用緩解措施。這種呼籲要在1天內完成修補的情況，在微軟的相關調查報告裡，極為罕見，突顯微軟認定該漏洞帶來的威脅極為嚴重。

cPanel重大漏洞災情蔓延，資安機構揭露駭客藉此竊取東南亞政府資料

網站主機管理軟體cPanel與WHM（WebHost Manager）的重大漏洞CVE-2026-41940，風險正迅速增加中，資安研究機構Ctrl-Alt-Intel近日發布報告揭露，他們發現有攻擊者利用此漏洞作為入口，針對多個東南亞國家政府系統發起攻擊。攻擊者利用這個漏洞取得初始存取權限後，便橫向移動至其他系統，隨後從這些系統收集資料，然後將受害系統的資料回傳至攻擊者控制的伺服器。

中國駭客鎖定亞洲政府機關與北約國家，利用Exchange與IIS主機弱點進行滲透

趨勢科技近日揭露新的中國駭客組織Shadow-Earth-053，利用可透過網際網路存取的Exchange伺服器，或是IIS網頁伺服器的已知漏洞，企圖植入稱做Godzilla的Webshell，以建立長期存取的管道，然後使用DLL側載手法，載入具有合法簽章的惡意程式ShadowPad。值得留意的是，駭客入侵受害組織最常使用的資安漏洞是ProxyLogon，這代表已公布並修補多年的資安漏洞，由於許多企業組織並未套用微軟提供的更新程式，仍是有效的駭客初始入侵管道。

中國駭客Shadow-Earth-053傳利用React2Shell滲透Linux主機

趨勢科技揭露中國駭客組織Shadow-Earth-053，並指出這些駭客主要透過ProxyLogon等已知漏洞，將Exchange郵件伺服器或IIS網頁伺服器作為初期的入侵管道，偵察AD環境，最終在Windows電腦植入惡意程式ShadowPad，攻擊包含臺灣在內的亞洲國家，且有北約國家遭鎖定的情況。不過值得留意的是，去年12月這些駭客也傳出攻擊Linux伺服器的情況，他們利用React伺服器元件（RSC）重大資安漏洞React2Shell（CVE-2025-55182），部署名為Noodle RAT的ShadowPad變種後門程式。

Tycoon 2FA遭打擊後失去釣魚工具主導地位，但包含其他工具在內的整體攻擊次數反而增加15%

資安廠商Barracuda Networks近日發布報告指出，原本主導釣魚即服務（PhaaS）平臺的Tycoon 2FA，在2026年3月遭到多國執法單位聯手打擊後，駭客轉向使用多種不同平臺，整體釣魚攻擊次數反而從2,000萬次增加到2,300萬次。儘管涉及Tycoon 2FA的攻擊次數已大幅減少，從912萬次大跌到212萬次，但其他釣魚工具迅速搶占Tycoon 2FA留下的空間，Mamba 2FA成為目前偵測到攻擊次數最多的釣魚工具，攻擊次數從786萬次增加到1,510萬次，EvilProxy也從287萬次增加到409萬次，Sneaky 2FA則從68萬次增加到194萬次，顯示Tycoon 2FA遭打擊後，釣魚攻擊生態逐漸分散的趨勢。

Android惡意程式NGate出現新變種，偽裝行動支付工具竊取信用卡資料

資安廠商ESET近日發布報告，揭露Android惡意程式NGate出現新變種，攻擊者透過偽造或植入惡意程式碼的HandyPay行動支付應用程式，竊取用戶的NFC支付資料， 進而盜刷用戶信用卡，甚至從ATM提款。目前發現有兩個傳播途徑，一是透過假冒的巴西彩券網站，以中獎名義誘導用戶連至惡意網頁下載軟體。另一是假冒的Google Play應用程式商店頁面，以信用卡保護軟體Proteção Cartão的名義誘導用戶下載。

數位憑證機構DigiCert客服系統遭受社交工程攻擊， EV程式碼簽章憑證外洩遭撤銷

數位憑證機構DigiCert近日向事件追蹤平臺Mozilla Bugzilla提交報告，表示該公司遭遇社交工程攻擊，攻擊者透過偽裝成螢幕保護程式的惡意檔案，入侵客服支援流程，進而取得EV程式碼簽章（EV Code Signing）憑證相關資訊。依據DigiCert提交的報告，攻擊者在4月2日假冒客戶聯繫客服，並發送偽裝成螢幕截圖的惡意ZIP檔案，內含可執行的.scr檔案，該檔案在Windows環境中被執行後，攻擊者成功入侵一臺客服系統端點設備，該設備隨後被隔離，但該公司直到4月14日才發現另一臺客服設備也遭到入侵。

對抗先進AI模型帶來的資安威脅態勢急速惡化，AI紅隊平臺新創廠商Armadin與兩大資安公司宣布合作

因成立資安公司Mandiant而聞名的Kevin Mandia，去年創辦新的資安公司Armadin專攻AI紅隊演練應用需求，提供AI代理驅動的攻擊型資安平臺（offensive platform），4月30日宣布與CrowdStrike、Palo Alto Networks這兩家資安大廠合作，他們正好是AI模型大廠Anthropic資安計畫Project Glasswing的創始成員，也都參加OpenAI的Trusted Access for Cyber計畫。

Palo Alto Networks買下Portkey，強化AI代理安全布局

美國資安公司Palo Alto Networks於4月30日宣布，計畫買下專門開發AI閘道，以集中管理AI模型及AI代理人的Portkey，預計於今年7月底前完成。雙方並未公布交易細節，但外傳該交易價值1.2至1.4億美元。交易完成後，Portkey將負責檢查AI流量，並在執行階段強制執行安全與治理政策，以識別威脅並保護資料。它也會透過AI身分安全，對每一次代理人互動施加最小權限控制，確保AI工作負載維持安全且符合法規要求。

思科將買下聚焦於非人類身分安全的Astrix Security

思科於5月4日宣布，有意併購專門開發非人類身分（Non-Human Identity，NHI）安全技術的資安新創Astrix Security，以將相關功能整合到思科的安全服務中，強化思科安全平臺對各種身分的掌握能力。雙方並未公布交易細節，但外傳該交易價值4億美元。根據雙方的規畫，思科將在多項安全產品中整合Astrix功能，為每一個代理式身分、非人類身分與AI代理人提供端到端的發現、治理及威脅偵測。

紅帽釋出Tank OS，打造代理式作業系統原型，強化OpenClaw企業部署安全

紅帽（Red Hat）首席軟體工程師、同時也是OpenClaw開源專案維護者的Sally O'Malley發布開源專案Tank OS，透過容器化與無root權限（rootless）架構，強化OpenClaw在企業環境中的部署安全。O'Malley將Tank OS定位為「代理型作業系統（agentic OS）」的概念原型，嘗試在作業系統層建立專為AI代理設計的執行環境，作為代理執行環境的示範實作。

安碁資訊115年第一季獲利較去年同期成長超過20％，揭露近期成長動能

資安服務廠商安碁資訊（ACSI）發布115年第一季合併財報，公開多項營收表現數據：以合併營收而言，達到624,807千元，年增21％；在營業毛利方面，達到234,199千元，年增9％；營業淨利的部分，則為81,695千元，年增22％；在稅後淨利方面，達到68,064千元，年增21%；至於每股盈餘，則是2.27元。他們強調，已連續七年第一季維持雙位數成長。

全球最大網攻演習落幕，41國演練戰時守護電網與軍事系統

全球最大實戰型網路防禦演習Locked Shields 2026已於4月24日落幕。本次演習集結了來自41國、16支隊伍及超過4000名參與者，模擬戰時情境下即時應對大規模網路攻擊，演練如何在電網、防空與軍事系統等關鍵基礎設施遭攻擊時維持正常運作。本次演習虛構名為Berylia的國家，模擬它遭受到某個手段高明的敵對勢力的攻擊，目的是破壞該國的主權機制，為了確保演習的真實性，主辦方與業界合作，導入了真實的硬體設備及工業控制系統，包括功能完整的發電系統、5G網路、衛星、電子投票系統，以及作戰指揮系統等。

五眼聯盟發布AI代理人指引，要求防範權限擴張與自主行動風險

由美國、英國、加拿大、澳洲及紐西蘭等5個英語系國家組成的情報共享聯盟，5月1日共同發布了「謹慎採用代理式AI服務」（Careful Adoption of Agentic Artificial Intelligence Services）指引，提醒各組織在導入代理式AI系統時，應先評估其自主行動能力帶來的資安風險，並建立相應的安全控管。此指引是針對政府、關鍵基礎設施及大型組織所發布，提醒這些企業組織在導入代理式AI之前，必須先評估其資安風險。主要原因之一為代理式AI繼承了大型語言模型原有的風險，例如提示注入、越獄與幻覺。

英國NCSC警告AI將加速技術債利用，籲組織預備弱點修補潮

英國國家網路安全中心（NCSC）呼籲各類組織提前準備弱點修補潮（Vulnerability Patch Wave）。NCSC表示，AI在具備足夠技術能力的人員手中，已展現出大規模且快速利用技術債的能力，預期軟體生態系將出現一波被迫修正技術債的壓力，影響範圍涵蓋開源軟體、商用軟體、專有軟體與SaaS服務。NCSC進一步建議企業調整弱點管理流程，準備更快速、頻繁且大規模地部署安全更新，並把供應鏈納入考量。

【2026 企業資安大調查】一張圖看2026年百億營收企業資安風險

在2026年iThome CIO&CISO大調查中，營收百億的臺灣五百大企業，在第一象限的風險包括了5項人員類風險和6項系統類風險，但人員風險比系統風險的發生機率更高，衝擊也更大。可以說，營收百億企業未來一年主要的資安威脅來自人員的風險，也是優先防備的資安重點。過去的資安資源也大多集中在系統面的防禦，現代資安攻擊焦點轉向人員之後，營收百億企業所遭受的攻擊面反而更大，這也是為何網路釣魚也是百億企業首頁風險的原因。

整合防護端點、網路、郵件、SaaS，Cynet支援雲與地端部署

若要更徹底保護個人電腦、伺服器與行動裝置，許多企業已體認到單靠防毒軟體與網路防火牆是不夠的，為了能夠涵蓋事前與事中偵測，以及事後應變，EDR、XDR、NDR等解決方案在資安市場大行其道，這些解決方案我們統稱為威脅偵測與應變平臺（TDR）。一般而言，各界也會參照MITRE組織舉辦的ATT&CK Evaluations結果來作為評估依據，其中Cynet已連續參加5年，該公司的解決方案在2024及2025年均有相當優異表現。

近期資安日報

【5月4日】Linux系統核心存在長達9年的高風險漏洞Copy Fail

【4月30日】NPM供應鏈攻擊Mini Shai-Hulud鎖定多款SAP套件

【4月29日】LiteLLM重大漏洞公布一天半出現攻擊活動