【資安日報】6月9日，Check Point VPN零時差漏洞被用於勒索軟體攻擊

6月8日資安公司Check Point發布兩則資安公告，旗下的VPN系統存在資安漏洞CVE-2026-50751與CVE-2026-50752，這些弱點皆與已棄用的IKEv1通訊協定有關，影響該公司安全閘道設備Security Gateway與Spark Firewall系列，Check Point已為作業系統Gaia採用R81.20、R82，以及R82.10版的用戶發布修補程式，並警告CVE-2026-50751已遭廣泛利用，此漏洞為使用者身分驗證繞過漏洞，攻擊者可利用Remote Access VPN與Mobile Access的憑證驗證邏輯缺陷，無須輸入有效的使用者密碼就能建立VPN連線。

Check Point VPN零時差漏洞已被用於勒索軟體Qilin活動

針對近日修補的資安漏洞CVE-2026-50751，Check Point透過部落格說明遭到利用的情形，指出有人針對全球數十個組織發動攻擊。Check Point在6月4日察覺可疑活動，經過事件回應團隊稽核事件記錄與檢視組態配置之後，他們認為相關活動最早在5月7日出現，6月初漏洞嘗試利用活動數量增加，而在完成漏洞利用步驟後，駭客下載Linux版勒索軟體Qilin的二進位檔案。而在Check Point調查攻擊基礎設施後，預估駭客也打算利用Palo Alto Networks、Fortinet、F5等廠牌的VPN系統弱點。

美國要求聯邦機構4天內修補Check Point VPN零時差漏洞

資安公司Check Point揭露零時差漏洞CVE-2026-50751，並指出該漏洞已被積極利用，美國網路安全與基礎設施安全局（CISA）也證實此事，6月8日將其加入已遭利用的漏洞名單（KEV），要求聯邦機構必須在6月11日前完成修補。同日還有另一個漏洞CVE-2026-42271也被列入KEV，這是一個命令注入類型的弱點，出現在開源大型語言模型串接套件LiteLLM，CVSS風險為8.8分，開發團隊BerriAI發布1.83.7版修補。

Gogs修補重大零時差漏洞

5月底資安公司Rapid7揭露自建Git程式碼版本管理系統Gogs重大漏洞，並指出他們向Gogs開發團隊通報後未收到回應，於是決定公布細節並呼籲用戶採取行動，依照該公司提供的指引降低風險。在公布一個禮拜後，Gogs開發團隊終於受理Rapid7提供的修補程式碼，並於6月7日發布0.14.3版更新予以修補。不過，此漏洞尚無CVE編號，開發團隊表示已申請並等待指派。此為參數注入類型的弱點，通過身分驗證的攻擊者，可發動遠端執行任意程式碼（RCE）攻擊，CVSS v4.0評分達到9.4。

研究人員揭露趨勢Deep Security Agent存在繞過保護機制問題，攻擊者可暫時避開防護功能

資安研究人員0xMatheuZ近日揭露，趨勢科技的Linux版企業端點防護產品Deep Security Agent，攻擊者可利用產品核心元件的重新載入（Reload）機制缺陷，繞過安全防護功能。問題源自Linux版Deep Security Agent的部分模組重新載入程序 ，攻擊者可在被保護的Linux主機上，大量執行檔案建立、寫入、截短（truncate）、重新命名等操作，迫使Deep Security Agent卸載與重新載入bmhook與tmhook這兩項元件。針對前述安全研究報告，趨勢科技表示第一時間已了解影響範圍版本，預計最晚6月9日會釋出修補方式。

Google發布Chrome 149穩定版更新，修補74項安全問題

Google發布Chrome瀏覽器新版本，將電腦版更新至149.0.7827.102與149.0.7827.103，此次改版共納入74項資安漏洞的修補，Google警示高風險漏洞CVE-2026-11645已遭到廣泛利用。本次發布的重大漏洞有17項，涉及藍牙裝置元件Bluetooth、跨平臺視窗顯示元件Ozone、使用者介面元件框架Views、網站應用程式元件Web Apps等，其中Bluetooth元件相關問題就占3項。至於在類型方面，則全面集中於記憶體安全問題，其中記憶體已釋放卻仍被使用（UAF）漏洞就占16項。

微軟修補Edge三項漏洞，涵蓋遠端程式碼執行與偽冒風險

微軟於5月15日發布Microsoft Edge 148.0.3967.70版安全更新，修補3項漏洞，涵蓋安全功能繞過、偽冒與遠端程式碼執行。這3項漏洞皆由臺灣資安公司戴夫寇爾（DEVCORE）首席資安研究員Orange Tsai發現，透過TrendAI的Zero Day Initiative協助通報。風險最高的是遠端程式碼執行漏洞CVE-2026-45495，CVSS風險分數為8.8，屬高（High）風險。微軟指出，此漏洞可從網際網路遠端利用，攻擊複雜度低，若遭成功利用後，可能對機密性、完整性與可用性造成重大影響。

研究人員揭露Hugging Face Transformers高風險RCE漏洞

資安業者Pluto Security指出，Hugging Face旗下函式庫Transformers存在遠端程式碼執行漏洞CVE-2026-4372，駭客只需於模型設定檔config.json中植入特製欄位，即可在使用者載入模型時執行任意程式碼，甚至繞過Hugging Face長期以來作為安全防線的trust_remote_code=False機制。漏洞源自於Transformers載入模型時會先讀取config.json，並將其中欄位寫入內部組態物件。駭客可在config.json中加入名為_attn_implementation_internal的特殊欄位，讓Transformers誤以為需要載入外部Kernel套件，進而從Hugging Face Hub下載並匯入駭客所控制的Python程式碼。

學校求職網站第三方平臺漏洞遭駭，導致牛津大學學生個資外洩

牛津大學本週公告，求職平臺CareerConnect供應商GTI於5月28日，通知學校遭到第三方人士未授權存取系統，致使用戶的姓名、電子郵件地址，以及未以單一簽入登入系統的學生密碼雜湊資料遭存取。使用SSO登入CareerConnect系統的學生密碼則不受影響，成為英國名校近三個月來第二次資料外洩事件。事件起於GTI平臺的漏洞遭到駭客濫用。該公司表示已修補漏洞且強化了安全措施。至於校友、研究人員及僱用單位的密碼已經被GTI重置，將要求用戶下次登入前重設密碼。

假冒Claude Code安裝網站散布惡意軟體事件又一樁，攻擊者鎖定開發環境竊取憑證

資安公司Cyderes近日揭露，攻擊者透過偽冒Claude Code安裝網站，利用開發人員對AI程式開發工具的需求，誘使受害者下載內含惡意指令的安裝檔。攻擊者建立仿冒安裝Claude Code的網站，利用SEO技術將假網站推升到搜尋排序位置前段，再利用ClickFix社交工程手法，以安裝Claude Code為由，誘導受害者自行執行指令，實際上卻是透過Windows內建mshta程式下載並執行惡意HTML應用程式檔案（HTA）。特別的是，受害者下載的HTA檔案並不是單純的惡意程式，該檔案前段4.7 MB偽裝為正常MP3檔案，可藉此逃避安全工具的檢查。

部分App內嵌Bright Data SDK，讓手機與智慧電視成為第三方網頁爬蟲代理

資安公司Include Security揭露，部分消費性App可能透過Bright Data的SDK，在取得使用者同意後，讓手機或智慧電視成為固定型代理伺服器（Residential Proxy）網路的一部分，藉此讓Bright Data客戶透過一般住家IP位址執行網頁資料抓取。儘管部分合作發布商會在隱私權政策中揭露與Bright Data的關係，但對智慧電視使用者而言，隱私權政策文件未必是有效的告知方式。智慧電視通常透過遙控器操作，使用者不易在電視畫面閱讀完整法律文件，未必能理解Bright Data客戶可能透過家裡網路環境抓取網頁。

公開AI代理技能市集掃描機制難擋惡意技能，OpenClaw、Cisco與Vercel相關檢測皆遭繞過

資安廠商Trail of Bits測試公開AI代理技能市集與相關安全掃描工具後，發現多個惡意技能套件可通過檢測，其測試範圍涵蓋OpenClaw的ClawHub技能市集、思科（Cisco）開源的skill-scanner工具，以及Vercel旗下skills.sh市集整合的Gen Agent Trust Hub、Socket與Snyk掃描服務。研究人員認為，問題不只在於某一套掃描規則不足，而是AI代理技能套件本身混合了程式碼、文件與自然語言指令，使掃描工具很難完整判斷意圖，建議企業敏感環境仍需控管技能套件來源、鎖定特定版本，並建立內部審核與核准流程。

Brave推付費極簡版瀏覽器，移除附加服務，使用者反應兩極

隱私瀏覽器開發商Brave於6月4日發表全新付費產品Brave Origin，以一次性59.99美元價格提供更精簡的瀏覽器版本，保留阻擋網站追蹤與部分廣告載入的核心功能，但移除或停用AI、VPN、加密貨幣錢包（Wallet）等多項附加服務，引發使用者兩極反應。有使用者批評，Brave花了許多年移除了Chrome擁有的功能，又在自家瀏覽器加入大量附加服務，最終卻還要用戶花錢購買乾淨的瀏覽器；不過也有使用者認為，他們並不介意付費購買喜歡且經常使用的產品，也願意藉此支持開發團隊。

Anthropic稱內部逾8成正式程式碼由Claude撰寫，倡議先進AI開發者建立協調暫停機制

AI新創Anthropic近日發表報告When AI builds itself，揭露該公司合併至正式儲存庫的程式碼中，已有超過80%由Claude撰寫，顯示AI正逐步參與AI模型本身的開發流程。Anthropic並主張，全球應建立可驗證的協調機制，讓主要前沿AI開發者在必要時具備共同減速或暫停開發的選項。Anthropic強調，單一實驗室片面暫停效果有限，真正有意義的暫停，必須由多個擁有充足資源、接近前沿水準的實驗室共同參與，並能確認彼此確實遵守。

eBPF基金會推動eBPF安全稽核，強化雲端原生底層技術安全

Linux基金會旗下、推動eBPF生態發展的eBPF基金會，近日揭露eBPF安全強化進展，該組織在開源安全計畫Alpha-Omega支持下，透過外部安全評估與執行階段（runtime）強化，改善eBPF技術堆疊的安全防護。這次精進eBPF安全性的工作，分為兩大主軸。第一項是由STAR Labs主導的外部安全評估，聚焦eBPF的JIT後端與驗證器之間的互動。評估涵蓋x86-64與arm64 eBPF JIT編譯器，並分析驗證器與JIT後端之間的共用假設。這項評估共發現14項問題，包括8項高風險、2項中風險與4項低風險問題。

VS Code新增擴充套件自動更新延遲機制，降低供應鏈攻擊風險

微軟在6月3日發布整合式開發環境Visual Studio Code（VS Code）1.123版，新增擴充套件自動更新延遲機制（Delayed extension auto-updates），一般擴充套件新版本發布後，VS Code將延後2小時再自動安裝新版擴充套件，降低惡意或異常版本影響開發環境的風險。這項機制是防範軟體供應鏈風險的額外保護，適用於一般擴充套件發布流程；來自微軟、GitHub、OpenAI等受信任的發布者的擴充套件，仍會維持立即更新。使用者若有立即更新需求，也可前往擴充套件頁面，手動安裝最新版本。

相依管理工具Bundler加入冷卻期機制，供Ruby專案避開剛發布的高風險套件版本

Ruby社群套件庫RubyGems專案相依管理工具Bundler 4.0.13新增套件冷卻期機制，讓Ruby專案在安裝或更新相依套件時，可以暫時避開剛發布，尚未經過觀察的新版本。開發團隊可自行設定等待天數，Bundler在選擇套件版本時，會略過發布時間未達門檻的版本，改用已經公開一段時間的可用版本。該功能主要針對套件供應鏈攻擊造成的風險，不會判斷套件內容是否惡意，也不是取代雙因素驗證或可信發布機制，而是在安裝端增加一段等待時間，降低新版本剛上架就被大量採用的風險。

將資安風險即時轉化為可能損失金額，趨勢科技首度公開CRQ預覽版

今年臺北國際電腦展（Computex 2026）舉行，在資安議題方面，趨勢科技於展覽現場揭露兩項關鍵的全新預覽功能，一是​網路風險量化（Cyber Risk Quantification，CRQ），另一是AI風險洞察（AI Risk Insight），展現AI時代下的企業如何深度結合資安管理與經營決策。首項功能主要受FAIR模型（Factor Analysis of Information Risk）啟發。具體而言，FAIR模型透過風險發生可能性（Likelihood）與風險衝擊（Impact）兩大維度，最終推導出貨幣風險（Monetary Risk），即具體的可能損失金額。

池安量子資安推PQ-SDN安全無線通訊模組，結合PQC與MANET技術建構無人載具高韌性網路

無人機應用日益蓬勃發展，如何在複雜環境維持網路通訊穩定並確保資安防護，已成為產業關注焦點。致力於後量子密碼學（PQC）的池安量子資安（Chelpis），於Computex 2026首度公開展示其最新打造的無人機解決方案「安全無線通訊模組PQ-SDN」，不僅具備PQC演算法，也標榜強大的抗干擾特性與Mesh網路架構支援。PQ-SDN的核心特色之一，是導入池安量子資安設計的演算法函式庫實作，這項技術近期通過美國國家標準暨技術研究院（NIST）CAVP驗證。

資安院與微軟建立國家級合作關係，公私協力資安框架邁入新紀元

國家資通安全研究院與臺灣微軟於6月8日正式簽署合作備忘錄，由資安院院長林盈達與微軟全球公共事務北亞區負責人Marcus Bartley Johns代表雙方簽署，並由數位發展部次長楊佳玲共同見證。國安會諮詢委員李育杰、資安院董事長李德財及資安署署長蔡福隆亦親自出席儀式。這份備忘錄涵蓋資安威脅情資共享、AI賦能資安防禦、關鍵基礎設施韌性強化，以及零信任架構落地等四大核心面向，標誌著臺灣資安治理體系在國際公私協力層面跨出里程碑式的一步。

近期資安日報

【6月8日】趨勢科技成首家加入Anthropic Project Glasswing的臺灣資安公司

【6月5日】伺服器管理晶片廠商於Computex 2026積極展現資安布局

【6月4日】HTTP/2 Bomb影響多款主流網頁伺服器系統