【資安週報】0407~0410,Claude Mythos預覽版的自主漏洞發現能力,直逼頂尖人類駭客
此外,汰除簡訊OTP已逐漸從倡議轉向政府層級的金融監管行動,尤其是印度、阿拉伯聯合大公國自4月起開始禁用OTP的措施格外引發關注。另一方面,後量子密碼學(PQC)的消息不斷,隨著業界預期量子運算能力在2026年將有明顯進展,因此認為PQC遷移腳步也需加快,更多科技大廠目標於2029年完成。
政策法規、技術趨勢、產業脈動
☼ Claude Mythos預覽版問世
發表此技術成果的Anthropic表示,為了防止這樣的技術落入危險份子手中,已啟動全球資安防禦計畫Project Glasswing,讓10多家科技與金融業者與40多個關鍵CI組織優先使用Mythos Preview,提前展開大規模漏洞掃描與修補。
我們認為未來的觀察重點在於「AI雙面刃效應」:正面效益在於其能彌補資安人力的缺口,並顯著提升潛在漏洞修補的效率,而且數家科技大廠已經有所行動;隱憂則是未來攻擊者同樣能利用此技術發動攻勢,這對尚未強化產品安全的業者與企業而言,將面臨極大的挑戰。
同一時間,還有其他用AI找漏洞的影響浮現,像是HackerOne最近決定暫停網際網路漏洞懸賞計畫(IBB),這也使得仰賴其漏洞獎金的Node.js宣布不再提供抓漏獎金。原因在於,目前的漏洞修復能力,並未隨漏洞發現能力的躍升而同步演進,還有先前AI生成的漏洞通報浮濫,維護者花更多實踐驗證,有效提交數量卻從15%降至5%。或許,未來若有更多模型能力能與Claude Mythos Preview齊頭並進,整體概況可能又會有所不同。
⊗ 全球掀起簡訊OTP禁用潮
隨著簡訊OTP持續被詐騙集團與駭客濫用,全球金融監管趨勢正迎來重大轉折,要求金融業禁用簡訊OTP的國家越來越多,包括新加坡、馬來西亞,還有印度與阿拉伯聯合大公國(UAE)的限制政策也於2026年4月正式生效。
☆ Cloudflare將PQC遷移進程提前至2029年
不只Google將PQC遷移提前至2029年完成,Cloudflare跟進的態勢,顯示更多科技大廠認為我們需要加速PQC遷移。Cloudflare的作法分成四個階段:2026年確保Cloudflare與來源伺服器間的連線支援ML-DSA;2027年擴大保護範圍至一般訪客連線;2028年整合進Cloudflare One SASE;2029年整合至全產品線。
而促使Cloudflare加速行動的關鍵,一是Google宣布大幅改進破解橢圓曲線密碼學P-256的量子演算法,另一個是量子運算新創Oratomic發表的資源估算報告。此外,HPE亦擴展後量子密碼技術應用,為ProLiant伺服器引進PQC加密技術。
.png)
◈ Google於瀏覽器導入DBSC
即便MFA已廣泛普及,Session Cookie劫持仍是攻擊者繞過身分驗證的終極手段,Google自2024年測試裝置綁定連線階段憑證(Device Bound Session Credentials,DBSC)技術後,如今終於導入瀏覽器正式版,並公布推動DBSC標準化的計畫。
♦ Nvidia推出OpenShell執行環境
近期OpenClaw當紅,但也顯示自主AI代理應用缺乏風險管控,Nvidia趁著此波風潮在GTC大會中推出OpenShell,其核心價值在於提供安全執行環境,結合沙箱、政策強制執行引擎,以及隱私路由器等功能。
最新漏洞威脅
在漏洞利用消息方面,這一星期有3項漏洞因為已有駭客鎖定利用須優先關注。
Fortinet CVE-2026-35616
●發生零時差漏洞攻擊事件,目標是Fortinet的FortiClient EMS的CVE-2026-35616,攻擊者身分未知。已被列入KEV。
Citrix CVE-2026-3055
●Citrix甫修補NetScaler的重大漏洞CVE-2026-3055,有威脅情報公司watchTowr與Defused Cyber發現積極偵察活動。已被列入KEV。
Oracle CVE-2026-21962
●Oracle在今年1月修補WebLogic Server漏洞CVE-2026-21962,CloudSEK研究人員發現已有鎖定利用跡象。尚未被列入KEV。
還有3項尚未有CVE編號的漏洞消息揭露值得留意,其中兩起更是零時差漏洞攻擊事件,已有攻擊者鎖定利用。
Adobe PolyShell
●駭客利用PolyShell漏洞大規模入侵Magento電商平臺,手法是用雙連擊(Double-tap)交易資料側錄工具,將竊取信用卡資料的竊資軟體埋藏在SVG圖。目前PolyShell尚未有CVE編號,僅有Adobe安全公告APSB25-94。
Adobe Reader
●多位研究人員發現Acrobat Reader有新的零時差漏洞攻擊事件,並指出攻擊者掌握漏洞的時間至少半年。目前這些漏洞尚未有CVE編號公開。
微軟 BlueHammer
●有研究人員疑不滿微軟處理態度,憤而公布名為BlueHammer的零時差漏洞,資安公司Cyderes指出該漏洞與內建防毒Microsoft Defender的更新機制有關。
重要威脅態勢
UAT-10362駭客團體鎖定臺灣NGO與大學發動網釣
此攻擊活動因高度針對臺灣而引發資安圈關注,思科Talos指出駭客部署的工具LucidPawn會偵測正體中文的電腦環境才啟動,目的是散布惡意軟體LucidRook,並會進一步下載Lua有效酬載並執行,而其感染途徑主要使用惡意LNK檔案與EXE檔。
Axios供應鏈攻擊事故調查公布
這起事件再次反映社交工程手法鎖定開發人員的威脅。維護者Jason Saayman指出,駭客偽裝某公司創辦人,冒用肖像及相關資料,偽造具品牌商標的Slack工作空間,並在頻道裡張貼LinkedIn文章,之後駭客邀請Saayman加入工作空間,並誤以為貼文由實際企業的帳號發布。
Claude Code程式碼外洩後續風險浮現
由於這是Anthropic內部人員作業不慎發布,眾多研究人員下載後建立映射或分叉,其留意的重點在於,攻擊者可能在分叉或儲存庫注入惡意程式,或是濫用Claude Code已知或新漏洞。
2百家企業5千臺的SOHO網路設備鎖定
俄羅斯駭客組織APT28鎖定SOHO網路攻擊越發猛烈,我們認為其AiTM中間人網釣手法最需留意,相關揭露顯示:其手法竄改路由器DNS組態,近期再有200家企業的SOHO網路設備遭鎖定。美國司法部、FBI則聯手破壞其AiTM網釣基礎設施,指出其手法會透過解析器提供特定網域名稱的假DNS紀錄,藉此模仿合法的IT系統服務。
伊朗駭客鎖定PLC攻擊
這項消息反映OT安全與關鍵CI風險,更重要是美國6大機構聯合示警,指出伊朗駭客CyberAv3ngers正尋找能透過網際網路存取的PLC,主要被鎖定設備廠牌包括Rockwell與Allen-Bradley,並提醒自今年3月已有部分受害組織出現營運中斷或財務損失。
數字情報
臺灣海纜障礙事件2025全年32起,近岸事件7起中有6起是人為
數發部公布我國海纜受損年度分析報告,指出,1起為蕊線劣化的自然因素,其餘6起都和人為有關,包括船錨勾損、漁撈作業及疑似外力破壞。還有25起遠海海障礙障事件,原因多與地震引發的海底滑坡有關。
駭客鎖定企業雲端環境的初始入侵手法大洗牌,語音網釣以23%居冠
M-Trends 2026報告揭示:全球有4成企業能在一星期內發現入侵,但2025年出現逆轉訊號,同時指出語音網釣威脅在2025年竄升,成為初始入侵第二常見途徑,更引人注目的是,駭客鎖定企業雲端環境的初始入侵手法大洗牌,語音網釣居冠。
逾5成企業未自行掌控雲端資料加密金鑰
Thales發布《2026年資料威脅報告》指出,逾半數企業未自行掌控雲端資料加密金鑰,而是交由雲端服務商管理,顯示金鑰控管能力不足;而在加密金鑰的管理方式上,僅約三成企業採用自帶金鑰(BYOK)模式,多數仍依賴雲端平臺工具。
專家觀點
Anthropic專家談Claude Mythos Preview能力
Anthropic研究科學家Nicholas Carlini表示,在過去幾週發現的Bug,比我這輩子加起來還要多。例如在OpenBSD中,發現了一個隱藏長達27年的漏洞,僅需向伺服器發送特定封包即可導致系統崩潰;而在 Linux系統中,則發現了多個權限提升漏洞,允許非授權用戶藉由執行特定 Binaries 獲取最高管理權限。
Project Glasswing計畫標誌著網路安全的轉捩點
過去擔任Sophos產品總監,現為Arctic Wolf 的技術與服務總裁的Dan Schiappa指出,Anthropic聯合多家科技巨頭啟動的全球資安防禦計畫Project Glasswing,多年來,AI模型一直在幫助網路攻擊者縮小漏洞發現和利用之間的差距,Mythos的出現標誌著網路威脅的重大變革。例如,發現新型漏洞的成本,可能降低至僅需一次提示(Prompt)的代價,漏洞發現到被演變為攻擊利用的時間差將持續縮減,資安團隊所需評估與修復的漏洞總量,將會面臨大規模擴張。
重大資安事件
上市櫃資安重訊:
工業電腦製造廠振樺電子指出接獲外部情資單位通知,官網及部分網路服務資料疑遭入侵而導致部分資料外洩。
航太引擎扣件製造商豐達科技表示資訊系統遭受駭客網路攻擊
製藥廠健喬信元醫藥生技表示資訊系統遭受駭客攻擊
近期股價衝上3000元的半導體設備大廠弘塑科技表示公司資訊系統遭受勒索病毒攻擊
國際重要資安事件
美國麻州醫療體系Signature Healthcare遭網路攻擊,導致化療、救護車派送、及藥局運作受到影響。
洛杉磯警局傳出遭駭消息,有勒索軟體組織透過World Leaks網站聲稱竊得其7.7 TB官司資料並公開文件。
Comments (0)