【資安週報】0601~0605,漏洞問題成國家嚴防風險,印度要求企業組織在關鍵漏洞公布12小時內完成修補
AI資安的發展同樣備受矚目,包括Anthropic提出AI代理人零信任框架,以及及Claude Mythos擴大開放更多組織參與合作等動態,皆持續成為產業關注熱點。
在資安維運方面,台積電年報揭露其營運持續管理與危機管理(BCM& CM)架構,除強調科技、網路與供應鏈韌性外,更進一步納入數據、實體安全及勞動力韌性,成為組織應對極端風險的重要參考;同時,Linux基金會與OpenSSF發布網路安全技能框架,則為資安人才培力建立了標準指引。
政策法規
衛福部針對醫療產業發布應用生成式AI的指引,不僅成為臺灣醫療AI治理的重要參考,也提醒各行各業在導入AI技術時,應設想並落實相關的風險治理與供應鏈透明化;同時,印度網路安全主管機關CERT-In祭出限時修補漏洞的新指導方針,這類因應AI攻擊加速而來的法規要求,已成為全球政府與企業強化資安韌性時需高度重視的關鍵因素。
針對醫院與診所導入生成式AI的風險治理,國內首份《醫療機構應用生成式人工智慧指引》出爐,衛福部在5月29日公布這份指引,可視為臺灣醫療AI治理的重要參考。該指引框架不僅涵蓋風險盤點、資料保護、系統驗證、供應商管理與持續監測等面向,也首度要求醫療機構建立AI產品與系統清冊,並強調供應商資訊揭露的重要性。
因應AI加速網路攻擊,印度要求企業組織在漏洞公布12小時內完成修補
因應AI加快駭客發現及攻擊軟體漏洞,印度網路安全主管機關CERT-In發布命令,要求若得知風險值9.0的重大漏洞或是影響內部系統的已知漏洞,應於24小時內修補,已遭公開利用且暴露在網際網路上的核心關鍵資產系統,更須在發現後12小時內修補、緩解或隔離。其他高價值系統的關鍵漏洞應於3天內修補,高風險一般漏洞須於5天內完成。官方並重申,組織與企業偵測到資安事件時,必須在6小時內通報CERT-In。
歐盟網路安全局(ENISA)發布《NIS360 報告》,揭示歐盟關鍵CI防護的年度重點變化,報告指出多數領域的資安成熟度穩步提升,但今年變化在於鐵路、飲用水及廢水處理這三個領域的部門要特別注意,因為先前這些領域僅處於風險區邊緣,今年則正式進入風險區內,顯示其防護成熟度需要積極提升,另也特別點出太空與鐵路的關鍵性顯著增加,這方面的防護成熟度必須提升。
北約網路衝突國際會議CyCon登場,臺灣官員首度登臺分享韌性與通訊備援實務
北約網路衝突國際會議(CyCon)是國際資安與國防領域的年度指標性會議,今年第18屆活動於5月26日至29日舉行,吸引全球50國、近800名與會者參與,特別的是,這項活動首度有臺灣官員獲邀於CyCon登臺分享,象徵臺灣與國際在網路防衛議題上的交流更趨緊密。國家安全會議諮詢委員李育杰於一場專題工作坊擔任共同與談人,揭露臺灣如何透過PACE通訊框架與多軌道衛星整合,建構海陸空異質通訊架構,將城市韌性轉化為國家防禦支柱。
佛州控告OpenAI隱瞞ChatGPT風險,指其助長暴力與自傷行為
美國佛州檢察長提起訴訟,指出 ChatGPT的互動設計易引發依賴,並擴大安全與心理健康風險,指控OpenAI將商業利益置於使用者安全之上,導致未成年人產生認知下降、成癮與心理健康問題。訴狀舉例,2025年佛羅里達州立大學槍擊案中,槍手曾詢問校園人流、槍枝與彈藥等資訊;南佛羅里達大學兩名研究生遭殺害案中,嫌犯亦利用 ChatGPT 詢問棄屍與變更車輛識別碼等問題。OpenAI否認指控,強調 ChatGPT 非醫療或心理健康替代品,且已建立未成年人保護措施、安全防護機制與家長工具,持續改善模型對敏感議題的處理。
川普簽署AI資安行政命令,要求業者自願提供前沿模型供政府測試
為了提前掌握先進AI模型可能帶來的資安風險,川普在6月2日簽署AI資安行政命令,要求聯邦政府建立前沿AI模型自願測試機制。這項行政命令的重點包括:成立AI資安資訊交換中心,建立「列管前沿模型」認定標準,另要求CISA在30天內發布相關指引,加速部署AI資安工具,並協助地方政府、醫院、銀行與公用事業等關鍵基礎設施強化防護,還要司法部須優先查緝利用AI進行駭客攻擊、非法存取系統或協助其他犯罪的行為。
AI資安
AI代理人的安全治理與自主防護架構持續是資安界關注的熱點,不論是Anthropic提出AI代理人零信任框架、Google Cloud推出AI Threat Defense等消息,分別突顯零信任與自主防禦平臺的重要性。此外,資安新創開源的AI漏洞研究框架,更展現多代理人協作在白箱審查的潛力。不過,IBM最新評測也適時提醒,AI在處理複雜IT維運的表現仍待提升。
Anthropic提出AI代理人零信任框架,因應AI加速攻擊風險
Anthropic提出AI代理人零信任框架,建議企業部署具自主操作能力的AI代理人時,應從一開始就以「假設已遭入侵」為前提,規畫整體系統與安全架構,從建立具備密碼學根信任的代理人身分識別、依照任務內容限制權限範圍、防止記憶內容遭到污染,到建立可持續監測與回應異常行為的安全機制,以因應攻擊者透過長時間、多階段操作逐步擴大影響的攻擊模式,該框架並在實作面提出8階段導入AI代理人安全控管的建議。
Hadrian開源AI漏洞研究框架OpenHack,可搭配Claude Code與Cursor執行白箱安全審查
荷蘭資安新創Hadrian宣布開源AI漏洞研究框架OpenHack。Hadrian指出,許多人直接要求LLM掃描整個程式碼庫,但這容易產生大量誤判,其開源的OpenHack則採用以情境(Scenario)為核心的多代理人工作流程:先由偵察代理人(Recon Agent)找出潛在威脅,再以(Router Agent)轉換為測試情境,接著交由負責各類漏洞的專家代理人(Expert Agent)進行驗證,最後由獨立「複核代理人」(Triage Agent)審查結果。
Anthropic將Claude Mythos擴大開放給15國150個合作夥伴
Project Glasswing是Anthropic 4月份發布先進AI模型Claude Mythos所實施的控管開放計畫,藉此避免Claude Mythos搜尋軟體漏洞的能力被濫用,第一階段開放給超過50家企業組織、資安廠商、開源軟體維護單位及美國政府使用。在最新宣布下,Anthropic開放新增約15國、將近150個組織加入合作,他們必須符合Anthropic的安全要求才能使用Claude Mythos預覽版。這批合作夥伴多半是關鍵基礎架構相關領域,包括電力、供水、通訊、醫療及硬體業的企業,或是協助其他單位(如政府)維護程式碼的非營利機構。這些組織攸關國家社會運作,一旦遭網路攻擊可能影響全球穩定及國家安全。
Google Cloud推出AI資安防禦平臺,整合Gemini、Wiz與Mandiant處理漏洞風險排序與修補
Google Cloud宣布推出Google AI Threat Defense,定位為AI驅動的自主式資安防禦平臺,目標是協助企業因應AI加速漏洞發現與攻擊自動化的趨勢,從曝險盤點、風險排序、漏洞修補到持續監控,提升漏洞管理流程的自動化與處理速度。當中採4階段框架:首先透過準備階段隔離敏感資產以降低曝險;其次掃描與排序,運用AI分析程式碼、API、身分與環境以精準判斷風險;接著修補階段,利用CodeMender於IDE或CLI提供自動化建議並驗證結果;最後監控階段,藉由Agentic SOC執行自動化偵測、分流、調查與威脅搜尋。
微軟推出.NET版MCP治理擴充套件,強化AI代理工具呼叫控管
微軟公開預覽適用於.NET的Agent Governance Toolkit MCP擴充套件,支援.NET 8以上應用程式,並可搭配官方MCP C# SDK使用,協助開發者在模型脈絡協定(MCP)伺服器加入工具定義掃描、工具呼叫政策控管與回應內容清理機制,降低AI代理呼叫檔案、API與資料庫等企業工具時,衍生的權限控管與提示詞注入風險。
Artificial Analysis與IBM推出ITBench-AA,先進AI模型企業IT維運任務得分仍不到5成
AI模型評測業者Artificial Analysis與IBM推出企業IT任務基準測試ITBench-AA,首波聚焦網站可靠性工程(Site Reliability Engineering,SRE)情境,針對Kubernetes容器叢集事件,評估AI代理是否能透過日誌、指標、追蹤資料與系統拓撲,判斷造成服務異常的根本原因。ITBench-AA結果顯示,即使是目前先進AI模型,在這類企業IT維運任務的最高得分仍低於50%。
AI推論躋身企業重要應用系統,F5最新報告點出多模型並用治理風險,以及身分管理成為企業採用AI代理的最大顧慮
AI的蓬勃發展與快速普及無庸置疑,許多企業正從建置階段轉為營運階段,根據F5在5月發布的2026年度應用策略現況報告(SOAS),已有78%的企業正在營運AI推論(AI inference)應用系統, 目前企業在正式環境中平均部署7個AI模型,現今企業關注的重點在於能否以可靠、安全且具規模化的方式運作多模型的AI應用系統,隨著AI推論正逐漸成為企業核心業務的一部分,不僅反映AI應用的交付已成為流量管理的挑戰,也突顯AI安全演變成治理與控管問題。
Python資料分析工具Marimo重大漏洞持續成攻擊目標,駭客透過AI代理滲透內部資料庫
開發Python互動式運算環境Marimo的團隊於4月上旬,揭露重大漏洞CVE-2026-39987,當時公告不到半天,就出現嘗試利用的跡象,後續有多組人馬加入漏洞利用的行列,如今資安公司Sysdig再發現有人借助AI的力量從事漏洞攻擊活動,並指出最新攻擊活動的整個攻擊流程在不到一小時內完成,並觀察到防禦主機上有4種攻擊活動跡象,從中發現相關惡意程式碼可能是由LLM代理即時生成的,而且攻擊指令中出現簡體中文註解「看还能做什么」。
ChatGPT存在資安弱點ChatGPhish,恐使網頁摘要被用於釣魚活動
資安公司Permiso Security揭露資安弱點ChatGPhish,指出攻擊者可利用ChatGPT的回應渲染器過度信任第三方網頁Markdown連結與圖片URL的特性,透過在網頁嵌入惡意酬載,就有機會進行跨來源資訊洩露、網路釣魚,或顯示偽造的系統警示訊息,若搭配QR Code還能將攻擊轉移至行動裝置,繞過電腦端的URL防護。該公司自4月底已多次向OpenAI通報,值得注意的是,但OpenAI的答覆是資料不足無法重現漏洞,以及重複通報漏洞,顯然不打算處理。
Anthropic修補Claude Code Actions權限繞過,降低權杖外洩風險
Anthropic針對Claude Code GitHub Action修補一項權限繞過問題,通報此問題的GMO Flatt Security資安研究人員指出,攻擊者可利用GitHub議題或拉取請求(Pull Request)夾帶惡意內容,誘導Claude Code讀取執行環境資料,外洩權杖或其他機密資訊。Anthropic已在1.0.94版修補這項問題,預設不允許GitHub App觸發工作流程,也停用預設工作流程摘要輸出、封鎖部分資料外洩路徑,並調整Claude Code啟動子行程時可取得的環境變數。
駭客假借提供常見系統工具、濫用AI聊天機器人接觸受害者,意圖發動挖礦攻擊
微軟5月26日揭露新一波的挖礦攻擊活動,特別之處在於駭客搭配AI聊天機器人發動社交工程攻擊。微軟指出,受害者可能在詢問軟體下載建議時,根據機器人回應而連至誤以為無安全疑慮的網址、但實際上這些網址指向攻擊者控制的網域,而因此遭駭。研究人員另指出,駭客聲稱提供常見的公用程式與系統工具,包括CrystalDiskInfo、HWMonitor、K-Lite Codec Pack等6種,研判攻擊者想要鎖定具有高效能GPU的電腦。
駭客佯稱ChatGPT、Claude內容分享功能故障,藉由假安裝程式散布惡意軟體
資安公司Push Security揭露源於ClickFix變形攻擊InstallFix的新型態攻擊手法LLMShare,駭客濫用AI聊天機器人(ChatGPT、Claude)的共享功能散布惡意軟體,藉由假ChatGPT或Claude的安裝指引或更新,透過惡意廣告或SEO中毒將使用者導向這些內容,藉此散布惡意酬載。由於駭客建立的內容存放於chatgpt[.]com或claude[.]ai,不容易識別有害,且駭客利用程式碼渲染功能偽造服務中斷假網頁,誘使用戶下載惡意執行檔,極具隱蔽性。
俄羅斯駭客團體GreyVibe鎖定烏克蘭發動攻擊,並透過三種管道散布惡意軟體,首先,最早出現的是2025年8月開始的PhantomMail網釣活動,同年10月則利用假CAPTCHA驗證的PhantomClick手法,還有假冒女性、透過Telegram與交友頻道誘騙軍人存取冒牌成人網站的PrincessClub活動,藉此散播惡意程式。
俄羅斯駭客GreyVibe濫用生成式AI,攻擊烏克蘭企業組織
資安公司WithSecure揭露俄羅斯駭客組織GreyVibe的攻擊活動,指出其相關惡意行為最早可追溯至2025年8月,主要針對烏克蘭軍事機構、政府機關、企業及一般民眾,透過釣魚郵件、假人機驗證網頁及成人網站等多種管道散布惡意程式。值得關注的是,該組織開發的惡意程式LegionRelay,存在設計上的缺陷,WithSecure藉此掌握此惡意軟體部分後端功能,並研判駭客借助LLM開發而成。
駭客利用美國愛國者形象經營社群頻道,掩護詐騙活動,結合生成式AI擴大攻擊行動
趨勢科技揭露一起長達5年的Telegram社群操作與詐欺活動,攻擊者利用遭竊Gemini API金鑰與越獄AI模型,將生成式AI導入內容生成、憑證竊取與帳號攻擊等工作。研究顯示,生成式AI正降低網路犯罪技術門檻,也讓單一攻擊者更容易執行大規模自動化攻擊。
駭客利用假冒Gemini與Claude安裝網站散布惡意軟體,竊取開發者帳號與開發環境資料
資安業者EclecticIQ揭露,駭客建立假冒Gemini CLI與Claude Code安裝網站,並透過操縱搜尋排名誘騙開發者造訪,藉機執行惡意PowerShell指令下載資訊竊取程式。攻擊者甚至會同步安裝真正的Gemini CLI與Claude Code工具降低警覺,藉此竊取帳號、Cookie、金鑰與開發環境資訊。
資料安全
這一星期的資料安全威脅事件,以上市公司巨路與日本象印在臺子公司台象的消息最受關注。其中巨路公布資安重訊後,網路上傳出LOCKBIT 5.0勒索軟體組織將Lumax International(巨路)列為受害者的消息;象印個資外洩事件的應變,也突顯在官網公開揭露及設立專門的個資諮詢管道的責任落實。
跨足工業流程控制(Process Control)與電子通訊領域的巨路國際(6192),於6月2日上午在公開資訊觀測站發布資安重訊,指出部分資訊系統遭到網路攻擊,該公司在偵測到異狀時,已啟動資安防禦及通報機制因應。目前對相關系統進行全面性掃描與檢測,確認安全無虞後,再利用日常備份資料恢復運作。針對這起事故可能帶來的影響,巨路表示根據初步評估,對營運無重大影響,尚未發現個資或機密資料外洩的情形。
日本知名家電用品大廠象印揭露在臺子公司「台象」遭到第三方發動的網路攻擊入侵,歷經近一個月的調查,結果顯示臺灣客戶的姓名、電子郵件地址等資料外洩。臺灣的象印官方網站也同步揭露此事,呼籲會員應立即修改帳號密碼,並發布防詐騙預警,同時設立專門的個資保護專線與電子信箱供民眾諮詢。
駭客入侵大型證券交易所高層電子郵件帳號,潛伏5個月竊取商業情報
Broadcom旗下Symantec與Carbon Black研究團隊揭露一起鎖定大型證券交易所高層的網路間諜行動,攻擊者長期控制高階主管Outlook郵件帳號約5個月,並透過Dropbox與OneDrive持續外傳郵件資料。研究顯示,高層電子郵件本身已成為高價值情報目標,即使不進行橫向移動,也能蒐集大量敏感資訊。
仿英國ETA簽證申請的代辦網站外洩10萬護照!AWS儲存桶配置錯誤,通報後業者派律師而非先釐清
近期曾經赴英或即將赴英的旅客注意,科技媒體TechCrunch近日揭露,一個仿英國ETA簽證申請的代辦網站「UK Visa Portal」發生嚴重資安疏漏,導致至少10萬份申請人的護照掃描檔與自拍照,被暴露在可公開存取的Amazon S3儲存桶中,顯然這是一起典型的雲端儲存配置錯誤案例。後續該媒體聯繫業者,但業者並未積極修復漏洞,反而委託律師與公關公司交涉。
遊輪旅行業者Carnival、有線電視業者Charter分別證實資料被竊
本週又有兩個遭ShinyHunters駭客攻擊的苦主確認!全球最大遊輪營運業者Carnival及第三大美國有線電視業者Charter,先後證實發生資料外洩事件。ShinyHunters駭客4月份宣稱竊得遊輪營運業者Carnival子公司荷美遊輪(Holland America)客戶資料,近一個月後,本週Carnival透過向美國緬因州政府檢察長辦公室申報文件證實此消息,受影響人數為接近600萬人;美國第三大美國有線電視業者Charter也向媒體Bleeping Computer證實發生資料外洩事件。該公司表示得知狀況,將循公司資安規定通報主管機關。
美物流業者SpeedX敏感資料庫網上曝光,內含8.4億筆消費者、司機資料
美國電商物流業者SpeedX(極速達)傳出大量資料暴露在網際網路的消息,資安媒體Cybernews的研究人員於本月發現其Azure Blob儲存桶因設定錯誤對外公開,導致超過8.4億份包裹資料曝露於網際網路,為史上最大規模的物流資安事故之一。分析SpeedX公開的資料庫後,研究人員發現大部分是運送包裹相關資訊,該資料庫內有11個資料群組,最大的群組包含近6.2億個檔案,次大為2.2億個。這些檔案包含包裹資訊如收件人姓名、住址、住家照片、出貨標籤、送貨司機證件、SpeedX App憑證等。另一包括380萬檔案的群組,則包含商品訂單追蹤碼、零售商、配銷機構住址及收件人資訊。
Google Workspace擴大網域外檔案警示,降低敏感資料外洩與釣魚攻擊風險
Google宣布強化Google Workspace安全功能,擴大既有的網域外檔案警示(Out-of-Domain file-level warnings)適用範圍,新增支援行動裝置App、檔案共享通知等情境,可協助用戶更清楚辨識所處理的檔案,了解是否來自組織外部的文件與使用者,降低外洩敏感資料及遭遇網路釣魚攻擊的風險。
端點安全
鎖定端點系統的漏洞攻擊持續嚴峻,本週多起資安事件接連曝光,其中Android系統遭遇零時差漏洞攻擊,反映出攻擊者領先防禦方掌握未知弱點的威脅態勢;而近期甫修補或已存在多年的老舊弱點,也持續受到駭客青睞,只要防守方在攻擊前未修補,都是他們鎖定滲透的絕佳目標。
Windows Netlogon服務RCE漏洞傳出遭到積極利用【CVE-2026-41089】
微軟在5月例行更新當中,修補Windows的Netlogon服務的RCE漏洞CVE-2026-41089,值得關注的是,這項已知漏洞後續傳出遭利用的消息。比利時網路安全中心(CCB)在原先於13日公告微軟5月例行更新的資安警示內容,5月29日突然更新,當中指出重大等級的資安漏洞CVE-2026-41089遭到積極利用。不過,微軟尚未更新CVE-2026-41089公告內容,說明該漏洞是否已遭利用,CISA目前也尚未將之列入已知漏洞利用清單(KEV)。實際情況如何,有待其他研究人員進一步揭露。
4年前公布的Linux核心漏洞已遭利用,恐被用於供應鏈攻擊【CVE-2022-0492】
在2022年2月首度揭露的Linux核心權限提升漏洞CVE-2022-0492,CVSS風險評分為7.8,根據3年前資安公司Hack The Box公布的分析結果,該漏洞也能被用於容器逃逸,而且攻擊者無需取得特定的授權就能利用。6月2日美國網路安全與基礎設施安全局(CISA)發布警訊,表示CVE-2022-0492已遭到積極利用,因而決定將其納入KEV。
Google發布6月Android例行更新修補124個漏洞,其中一個是已遭利用零時差漏洞【CVE-2025-48595】
Android每月例行更新(Android Security Bulletin)本週發布,總共修補124個資安漏洞,從危險程度來看,有19個是重大等級,其餘大部分為高風險等級。值得留意的是,該公司提及,其中一個漏洞已被鎖定目標的局部活動所利用。這項弱點的編號是CVE-2025-48595,存在於Android系統的框架元件,為高風險等級的權限提升漏洞,後續美國CISA將此漏洞列入已遭利用漏洞名單,發動零時差漏洞攻擊的攻擊者身分目前未知。
FortiClient EMS持續遭鎖定,駭客假借提供修補程式散布竊資軟體EKZ Infostealer
端點管理平臺FortiClient EMS在4月推出更新,修補已遭利用的重大漏洞CVE-2026-35616。後續再有資安公司Arctic Wolf公布新一波攻擊活動,指出駭客利用CVE-2026-35616漏洞企圖向納入該系統管理的端點電腦部署惡意程式,在攻擊過程中,攻擊者透過FortiClient EMS管理的端點裝置傳送竊資軟體EKZ Infostealer,此惡意程式的有效酬載被偽裝成Fortinet端點更新檔案(修補程式),但實際的功能是從瀏覽器竊取帳密資料。一旦執行,電腦就會在背景執行PowerShell,並啟動惡意執行檔,發起一系列攻擊流程。
近期關於Linux核心的本機權限提升(LPE)漏洞的揭露特別多,本週又有一個被公開。這個資安漏洞稱為CIFSwitch,由資安研究員Asim Manizada揭露,問題源於Linux核心CIFS模組與執行在作業系統使用者空間的輔助工具cifs-utils之間的處理,Linux核心未驗證金鑰描述來源,導致攻擊者可偽造描述並啟動具有root權限的輔助程式。Manizada指出,這項問題影響許多採用Linux核心6.14版以上的發行版,但因為其他CVE漏洞修復的向前回溯,導致更古老的版本也被波及,最久可追溯至距今19年前(2007年),同時,他也提及開發團隊在其他漏洞修補的過程中,也可能將這項弱點引入舊版作業系統。
Google發布ChromeOS長期支援版更新,修補多項重大記憶體安全漏洞
Google發布ChromeOS長期支援版LTS-144更新,將版本提升至144.0.7559.254,並修補15項漏洞,其中包含3項重大漏洞。此次修補重點集中在記憶體安全問題,多項漏洞屬於記憶體已釋放卻仍被使用(Use After Free)類型,影響Proxy、Network與擴充功能架構等元件。
Windows銀行木馬Grandoreiro出現新進化,利用WebRTC網頁即時通訊與DLL側載技術強化隱匿能力
資安業者WatchGuard揭露Windows銀行木馬Grandoreiro最新攻擊活動,指出這款已活躍近10年的惡意程式出現新版本,利用DLL Side-Loading、WebRTC與STUN等技術提高隱匿性,並透過釣魚郵件散布,降低惡意活動被發現的機率,並鎖定歐洲與拉丁美洲金融服務用戶發動攻擊。
新型惡意軟體VoidStealer可繞過Chrome瀏覽器安全機制,竊取Cookie與帳號資訊
資安業者卡巴斯基揭露新型資訊竊取惡意軟體VoidStealer,可透過除錯器與中斷點技術,繞過Chrome導入的Application-Bound Encryption(ABE)安全機制,直接擷取瀏覽器中的Cookie、帳號與其他敏感資料。研究人員提醒用戶避免安裝來源不明軟體,並避免在瀏覽器儲存敏感資訊。
Android遠端控制木馬BTMOB鎖定金融服務用戶,可竊取帳號資訊與遠端控制受害裝置
資安業者ESET揭露Android遠端控制木馬BTMOB,指出該惡意程式已從銀行木馬演化成具完整遠端控制能力的Android惡意軟體。BTMOB透過假網站散布惡意APK,濫用Android無障礙服務取得高權限,並採惡意軟體即服務模式擴大攻擊規模。
網路安全
鎖定企業網路邊緣已知漏洞的攻擊事件,成為近期資安焦點,以Palo Alto Networks兩週前修補的漏洞CVE-2026-0257為例,現已發現有攻擊者開始鎖定利用的情形,除原廠發布警訊外,還有其他資安業者亦證實其MDR客戶遭受攻擊,此一趨勢再次突顯企業在面對關鍵設備弱點時,需緊迫及時修補的重要性。
Palo Alto Networks警告GlobalProtect身分驗證繞過漏洞已遭利用【CVE-2026-0257】
資安公司Palo Alto Networks警告,兩週前揭露的GlobalProtect身分驗證繞過漏洞CVE-2026-0257,如今出現少量嘗試利用的跡象,發現有攻擊者針對尚未修補或採取緩解措施的PAN-OS防火牆作業系統,嘗試利用該漏洞,呼籲IT人員應儘速採取行動因應,同時也提供用戶檢查是否暴露在此漏洞風險的指引。後續,美國CISA也將此漏洞列入已知漏洞利用清單(KEV)。
關於相關攻擊的消息,資安公司Rapid7則有進一步的揭露,因為該公司代管偵測與應變服務(MDR)的客戶已遭到攻擊。Rapid7指出自5月17日起,監測到攻擊者利用非人類憑證登入本機帳號,進而入侵多個客戶環境,且所有攻擊來源均指向主機代管商Vultr。調查發現,儘管受害者的防火牆雲端身分驗證(CAS)已停用,但 GlobalProtect入口網站仍啟用身分驗證覆寫Cookie功能,研判攻擊者正試圖利用CVE-2026-0257漏洞。
HTTP/2 Bomb攻擊手法影響主流網頁伺服器,恐遭用於DoS攻擊
研究人員於6月3日揭露名為HTTP/2 Bomb的遠端阻斷服務(DoS)攻擊手法,影響多款主流網頁伺服器與代理伺服器,包括Nginx、Apache httpd、Microsoft IIS、Envoy與Cloudflare Pingora。這項攻擊鎖定HTTP/2預設組態,攻擊者可透過少量流量消耗伺服器大量記憶體,導致服務回應緩慢或無法存取。
俄羅斯駭客組織Secret Blizzard將Kazuar後門程式擴展成殭屍網路,提升隱匿性與持續運作能力
微軟威脅情報團隊揭露,與俄羅斯有關的駭客組織Secret Blizzard正持續擴展Kazuar後門程式能力,將原本的遠端控制工具升級成具備P2P通訊能力的分散式殭屍網路架構。新版Kazuar透過核心、橋接與工作模組分工,降低可觀測性並提高持續能力,即使部分節點失效,也能維持整體惡意網路運作。
打擊殭屍網路再有新成果,荷蘭國家網路安全中心(NCSC)宣布瓦解一個由逾1700萬臺裝置組成的殭屍網路,並查獲200臺C&C伺服器。根據荷蘭媒體NLTimes報導,該殭屍網路疑似與住宅代理服務Asocks有關。所謂住宅代理(Residential Proxy)是指透過真實家庭寬頻或行動網路IP轉送流量的服務,該產業長期存在爭議,經常發生未經使用者同意便將其設備納入代理節點的情形,進而淪為駭客掩護非法流量的工具。
駭客組織DriveSurge劫持數千個合法網站,結合運用ClickFix與FakeUpdates手法散布惡意軟體
資安業者揭露新興網路犯罪組織DriveSurge,透過劫持數千個合法網站散布惡意軟體。與多數僅依賴單一社交工程手法不同,DriveSurge會利用zTDS流量分發系統分析訪客環境,再動態切換ClickFix或FakeUpdates誘餌,藉由假更新、假修復流程等方式,提高惡意程式感染成功率。
偽冒FIFA世足詐騙網域4月激增逾2,700個,釣魚網站遭撤下又能迅速重啟
網路詐騙橫行,近期犯罪者利用即將到來的2026年世界盃足球賽(FIFA World Cup),偽冒相關名義架設大量釣魚網站。數位風險防護業者CTM360指出,其嚴峻挑戰在於,這波攻擊具備高度組織性與韌性。即便釣魚網站遭撤下,也能迅速重啟,導致危害難以杜絕。該公司觀察到,僅2026年4月單月便新增逾2,700個偽冒網域;這顯示駭客正趕在賽事高峰前,提前完成基礎設施部署,即便遭到封鎖,也能迅速切換至新網域以維持運作。該公司另也指出,目前仍有逾1,000個FIFA相關詐騙網站處於活躍狀態。
AWS Shield Advanced服務新增DDoS Attack Flow Logs功能,強化攻擊流量分析與事件調查能力
AWS近日為AWS Shield Advanced新增DDoS Attack Flow Logs功能,讓企業在遭遇DDoS攻擊時,可取得更細緻的攻擊流量資訊,新功能可提供封包層級的資訊,包括來源IP、協定、封包數量、TCP Flags與防護動作等資料,並能整合S3、CloudWatch與Firehose等服務,協助企業進行事件調查、威脅分析與資安監控。
應用程式安全
在應用程式安全方面,本週以供應鏈威脅與舊漏洞濫用最受矚目。其中Red Hat NPM套件遭入侵恐外洩憑證的後續影響,是必須持續追蹤的焦點;而九年前的PHPUnit與兩年前的WebLogic漏洞仍遭積極利用,則突顯出駭客持續鎖定未修補系統攻擊的態勢,值得開發與運維團隊警惕。
Red Hat雲端服務NPM套件遭Shai-Hulud變種Miasma入侵,恐外洩GitHub與雲端憑證
Shai-Hulud變種Miasma入侵,紅帽@redhat-cloud-services名下至少31個套件受影響,資安公司OX Security與Aikido指出,攻擊者疑似利用GitHub Actions OIDC與可信發布流程散布受污染版本,截稿前,尚未看到Red Hat或NPM針對這起事件發布完整官方說明。研究人員建議,已安裝相關Red Hat雲端服務套件的團隊應檢查是否使用受影響版本,並輪替GitHub、NPM與雲端服務憑證,另也須留意自動化發布流程是否有異常變更。
美國政府證實Magento快取外掛Mirasvit Cache Warmer重大漏洞已遭利用【CVE-2026-45247】
重大漏洞CVE-2026-45247的消息在上週公開,受影響的產品是Magento網頁快取外掛程式Mirasvit Cache Warmer,一星期後,CISA於6月3日將上述漏洞加入已遭利用的漏洞名單(KEV),表明他們已掌握漏洞遭積極利用的證據。
CISA警告兩年前修補的Oracle WebLogic Server高風險漏洞已被用於攻擊行動【CVE-2024-21182】
存在Oracle WebLogic Server的核心元件的CVE-2024-21182,Oracle將此漏洞的CVSS風險評為7.5分,屬於高風險等級,已於2024年7月每季例行更新修補。6月1日美國網路安全暨基礎設施安全局(CISA)發布公告,他們已掌握CVE-2024-21182遭到積極利用的證據,將其列入已遭利用的漏洞名單(KEV)。
PHPUnit 9年前舊漏洞CVE-2017-9841持續遭濫用,30天內偵測逾8萬次攻擊嘗試
PHP單元測試框架PHPUnit在2017年揭露的遠端程式碼執行漏洞CVE-2017-9841,至今仍成為攻擊者經常鎖定的目標之一,漏洞情資業者VulnCheck發布分析指出,截至5月11日的30天內,該公司共偵測到80,119次相關攻擊嘗試,其中最近10天就有36,543次,顯示這類活動並非零星掃描,而是持續針對外部可存取的PHP應用程式進行探測與攻擊。該漏洞在一個半月前,就已被美國CISA列入KEV清單。
為了因應AI改變漏洞識別及修復的流程,Oracle於4月底預告在每季例行更新之外,也將發布每月更新Critical Security Patch Update(CSPU)。Oracle在5月份首度每月更新,共發布35個修補程式以修補77個漏洞。從修補漏洞數量來看,Oracle Communications Unified Assurance最多,有46個;其次是Oracle REST Data Services、Oracle E-Business Suite,分別為15個和12個。從CVSS風險評分來看,最嚴重的是達到滿分10分的CVE-2026-46840,此漏洞存在於Oracle REST Data Services 24.2.0至26.1.0版。
Gogs存在尚未修補的零時差漏洞,攻擊者可用於遠端執行任意程式碼
許多開發團隊採用主打輕量化的Gogs,作為自建Git程式碼版本管理系統,近日資安公司Rapid7表示,兩個月前他們向Gogs開發團隊通報的重大漏洞,迄今尚未修補,也尚未有CVE編號揭露,其CVSS v4.0評分達到9.4分。Rapid7警告,一旦攻擊者成功利用此漏洞,就可能入侵伺服器、跨租戶竊取資料與身分憑證、橫向移動,甚至發動供應鏈攻擊。
Gitea修補套件登錄庫漏洞,逾3萬自架站點恐暴露私有容器映像檔
開源程式碼託管平臺Gitea釋出1.26.2版,修補CVE-2026-27771套件登錄庫權限漏洞,發現並通報此漏洞的資安業者NoScope指出,這個漏洞存在了四年之久,卻一直潛伏在3萬多個生產環境中,他們建議用戶盡速升級,若無法立即更新,可暫時啟用所有內容都必須登入後才能查看的設定,降低未登入者存取內容的風險,另也提醒若站臺原本就刻意提供部分容器公開下載,採用這項暫時措施前仍須評估對既有使用方式的影響。
WordPress熱門外掛Kirki爆權限提升漏洞,未登入攻擊者可劫持管理員帳號
WordPress外掛Kirki存在權限提升重大漏洞CVE-2026-8206,CVSS評分達9.8,該漏洞風險在於,讓未登入攻擊者可透過忘記密碼流程,可取得管理員重設連結並接管網站,一旦管理員帳號遭接管後,攻擊者可能修改網站內容、安裝惡意外掛、建立新的管理員帳號,或植入Web shell以維持後續存取。Wordfence指出,估計約15萬個網站使用受影響版本,而該漏洞已經在Kirki 6.0.7修補,呼籲用戶盡速更新。
微軟修補VS Code高風險漏洞,攻擊者可藉MCP安裝取得開發者電腦控制權
微軟程式碼編輯器Visual Studio Code的MCP安裝對話框存在高風險漏洞CVE-2026-41613,揭露此漏洞的非人類身分(NHI)安全業者Oasis Security指出,攻擊者可透過特製安裝連結,在開發者電腦上執行指令。微軟已在VS Code 1.119.1修補這項問題,藉由在確認畫面顯示env、envFile與headers等設定項目,讓使用者在安裝前看到可能影響程式執行或身分驗證的組態內容,降低攻擊風險。
Samba修補列印與身分驗證重大漏洞,未更新可能導致攻擊者執行任意程式碼
開源檔案與列印服務軟體Samba近日修補兩項CVSS滿分重大漏洞,涉及列印子系統與帳號驗證功能,在特定設定下可能遭未授權攻擊者遠端利用執行任意程式碼。由於Samba廣泛應用於Linux檔案共享、列印與網域環境,用戶應儘速更新至已修補版本。
Google發布Chrome 148更新,修補逾150個資安漏洞
本週Google發布Chrome電腦版與Android版更新,修補了151個資安漏洞,數量遠遠超出一週前的安全更新(修補16個漏洞)。這次揭露與修補22個重大漏洞、123個高風險漏洞,其餘6個評為中度風險。從漏洞的類型來看,記憶體相關的漏洞仍是大宗,其中又以記憶體釋放後再存取利用(Use After Free)類型的弱點66個最多,數量超過本次修補漏洞的三分之一。
WordPress惡意軟體感染近2,000個網站,駭客濫用Steam平臺建立C2通訊管道
網站代管平臺GoDaddy資安團隊上週公布鎖定WordPress網站的惡意軟體活動,駭客利用Steam社群的profile留言區嵌入C2資料,將惡意基礎設施隱藏在Valve合法的平臺之中。該公司最早於2025年7月偵測到相關活動,迄今約有1,980個WordPress網站被植入惡意軟體。 此惡意程式具備兩個主要功能,其中一個是透過 Steam留言擷取加密 URL並注入JavaScript,另一是擷取POST請求中的驗證Cookie建立後門,進而讓攻擊者能藉由外掛程式與佈景主題竄改PHP檔案。
電商平臺Magento的快取外掛程式存在重大漏洞,攻擊者可用於遠端程式碼執行攻擊
電商平臺Magento的漏洞先前受到很大關注,隨著漏洞修補的腳步趨於積極,其外掛程式的漏洞可能也將成為攻擊者利用的目標,最近揭露的網頁快取外掛程式Mirasvit Cache Warmer漏洞CVE-2026-45247,受到關注。通報此漏洞的資安公司Sansec指出,Mirasvit開發團隊於5月25日發布1.11.12版進行修補,該漏洞屬於未經身分驗證的PHP物件注入,攻擊者只要發送特製的cookie進行storefront請求就能利用,CVSS風險評為9.8分,另也提醒該套件常與其他Mirasvit模組捆綁,許多電商平臺可能在不知情下啟用。Sansec初步統計約有6,000個電商平臺採用此套件,實際受影響規模恐更驚人。
身分安全
在身分安全方面,面對使用者登入之後所獲得的Cookie或Access Token,仍可能被惡意軟體竊取的挑戰,Google正將DBSC技術擴展提供給所有Chrome用戶,而濫用微軟Entra ID密碼重設接管雲端的消息也值得關切,微軟也預告將在9月強化自助式密碼重設機制。
Google將裝置綁定連線階段憑證防護措施提供給所有Chrome用戶
Google宣布擴大部署裝置綁定連線階段憑證(DBSC)技術,將該技術全面提供給所有Chrome用戶,包括Windows版及下一版macOS版Chrome。具體而言,Google將DBSC防護整合於Chrome的原理,是利用Windows TPM或macOS的Secure Enclave的硬體安全模組,產生一對無法從電腦匯出的獨特公/私鑰,公鑰儲存在服務伺服器,只認用戶機器,而私鑰以加密儲存在用戶硬體。Chrome在登入服務伺服器時,必須以私鑰和伺服器完成驗證,確認用戶裝置是當初登入的那臺裝置。
近年PQC強化多半先著重加密與金鑰交換,不過TLS中的身分驗證也需要提早準備,免費憑證簽發機構Let's Encrypt宣布新行動,將規畫以MTC作為Web PKI後量子身分驗證方案,時程預計是2026年稍晚建置測試環境,明年才會建立可供生產使用的環境。特別的是,Let's Encrypt並非單純把既有X.509憑證改用PQC數位簽章,因為這類簽章體積明顯較大,這將導致TLS交握需要傳送的驗證資料會大幅增加,因此,MTC的作法是將憑證批次放進雜湊樹(Merkle Tree),由單一簽章涵蓋整批憑證,進而降低憑證驗證資料對TLS交握的負擔。
駭客Storm-2949接管雲端帳號,濫用Azure權限滲透正式環境竊取資料
微軟威脅情報團隊近期揭露駭客組織Storm-2949針對雲端環境的攻擊活動,發現攻擊者透過接管Microsoft Entra ID帳號,再利用受害帳號既有Azure存取權限,存取Microsoft 365與Azure資料,並讀取Key Vault中的密碼與憑證。微軟調查發現,此活動的初始入侵手法應該是濫用自助密碼重設流程,與多因素驗證提示。由於受害者包含IT人員與高階主管,顯示攻擊者刻意鎖定具備重要系統存取權的高價值身分。
微軟9月強化Entra ID自助式密碼重設,僅允許已註冊驗證方法
微軟預告,身分識別與存取管理服務Microsoft Entra ID的自助式密碼重設(Self-Service Password Reset,SSPR)流程,將自2026年9月7日起調整。企業使用者透過SSPR重設密碼並驗證身分時,僅能使用事先完成註冊的驗證方法。若手機號碼、公司電話或備用電子郵件僅存在於目錄屬性中,至於未正式註冊為驗證方法,在政策生效後將無法再用於密碼重設。
網路資安廠商Palo Alto Networks旗下威脅情報團隊Unit 42指出,原本用於紅隊演練與資安研究的開源工具組ROADtools,已被攻擊者整合至雲端攻擊行動,用於列舉Microsoft Entra ID、註冊Entra ID裝置,以及取得、交換與操控Microsoft Entra ID權杖。
有攻擊者濫用MetaAI客服支援機制,非法取得他人Instagram(IG)帳號控制權,突顯AI自動化客服在權限控管與身分驗證上的嚴重安全缺失。Meta於2025年12月推出全新的Facebook及Instagram客服支援中心,並在2026年3月全面導入AI支援助理,原意是協助用戶處理密碼重設或修改個人資料等功能。然而,該機制卻遭駭客利用,攻擊者謊稱帳號遭竊並啟動復原程序,成功竊取他人帳號權限並透過Telegram兜售。Meta已向媒體證實此事,表示漏洞已被解決,但未透露受影響的帳號規模與細節。目前已知受害帳號包括美國前總統歐巴馬任內的白宮IG帳號等。
美國律師事務所遭鎖定,FBI呼籲提高警覺,因駭客不僅假冒IT人員甚至派人上門偷資料
美國FBI警告律師事務所提高警覺,網路犯罪集團Silent Ransom Group(SRG)正鎖定法律業者發動新型混合攻擊。攻擊者除透過電話、郵件假冒IT人員誘導安裝遠端工具外,甚至可能派人冒充IT人員親自前往公司,以接觸電腦設備與竊取資料,提醒業者注意這類結合社交工程、合法工具濫用與實體滲透的攻擊風險。
IoT/OT安全
本週IoT/OT焦點在老舊系統與硬體信任,近期一項最新調查顯示歐洲逾半工業事故涉及舊版Windows,突顯老舊系統風險加劇,另一重要消息是信驊科技於Computex 2026宣布擴大基於Caliptra安全架構的採用,展現強化硬體資安與支援PQC後量子密碼學的重要布局。
老舊系統威脅持續惡化,歐洲逾半數工業組織的資安事件涉及舊版Windows系統
工業環境中的老舊系統(Legacy Systems)風險持續成焦點,TXOne Networks近期針對歐洲揭露其2026年度OT資安報告研究細節,指出去年逾半數(51%)歐洲工業組織曾發生涉及舊版Windows的資安事故,這項數據相較於2025年的43%有明顯增長,突顯長年被視為維運難題的老舊系統風險加劇。該報告另也強調,目前已有6成工業組織正積極計畫投資專門的老舊系統防護方案,突顯討論重點正從「何時更換」轉向「今日如何保護」。
導入Caliptra 2.x安全架構,信驊於Computex 2026積極展現晶片級資安布局,PQC支援亦成焦點
硬體安全持續成焦點,以伺服器管理晶片BMC產品聞名全球的臺股股王信驊科技,在Computex 2026展示以Caliptra安全架構為核心的產品布局,在其展示的3款新一代產品中,無論是AST1040、AST1840、AST1080,它們都內建Caliptra 2.x版本的安全架構,透過硬體層級安全機制提供韌體保護與實體防篡改能力,同時支援PQC演算法ML-KEM與ML-DSA。該公司並預期,未來有更多廠商也會跟進導入,進一步加速硬體安全的演進。
工控資安廠商Dragos收購xOT安全業者Phosphorus
OT資安業者Dragos本週宣布收購xOT安全方案供應商Phosphorus,以擴大防護關鍵基礎設施及其他網路中的嵌入式連網裝置。Phosphorus主要提供延伸營運科技(Extended Operational Technology,xOT)的安全方案,可涵蓋IoT、OT、IIoT與IoMT等各種網路連線設備,其技術特點在於,可因應大部分IoT與OT資安產品只做到看見問題,卻無法真正修復的需求,並提供自動化工作流程。Dragos表示,Phosphorus的收購可使該公司聯網裝置防護能力擴大到整個xOT環境,提供客戶更深層資產可視度、自動化修補及持續降低風險。
資安維運
本週資安維運焦點呈現出從開發源頭到危機應變的全方位治理趨勢,涵蓋自動化攻擊模擬工具、網路安全技能框架、營運持續管理與危機管理(BCM& CM)、開源軟體供應鏈安全服務,以及SBOM相依性掃描等面向,這些最新產業脈動值得資安管理與維運團隊留意。
MITRE將自動化攻擊模擬平臺Caldera移交Apache基金會
開源自動化攻擊模擬工具Caldera自多年前即備受資安人員關注,因該平臺緊密結合MITRE ATT&CK框架,已廣泛應用於紅隊演練、紫隊演練及各類資安驗證研究,其專案在GitHub上也已累積逾7,000星的高人氣,值得注意的是,開發該平臺的美國非營利組織MITRE宣布,將這項發展近十年的平臺正式捐贈給Apache軟體基金會,希望能擴大全球資安與開源社群的協作、提升平臺普及率,並透過「廠商中立」的治理模式,確保Caldera能持續成長為全球性的資安資源。
Linux基金會與OpenSSF發布網路安全技能框架,協助企業盤點IT職務資安能力
Linux基金會與開放原始碼安全基金會(OpenSSF)共同發布網路安全技能框架(Cybersecurity Skills Framework),提供企業可依組織需求調整的全球參考指南,協助管理者將網路安全能力對應到不同IT職務角色,進一步盤點組織內部技能缺口,並指出這類框架的意義不只是建立職務清單,而是讓不同IT角色能更清楚理解自身在安全設計、法遵、漏洞管理與事件回應等面向的責任,讓安全責任更明確地落實到不同技術職務。
台積電營運韌性再進化,2025年報揭BCM與危機管理整合框架
營運韌性強化持續受看重,台積電在最新發布的2025年報中,揭露該公司在韌性治理的重大演進,其最大亮點在於,公布「營運持續管理與危機管理(BCM& CM)」整合框架,將危機管理政策納入營運持續體系,此舉不僅彰顯其對韌性經營的重視,也成為國內產業可借鏡的營運韌性發展方向。更進一步來看,在此框架所涵蓋的核心能力當中,除了緊急應變、災難復原,還進一步定義出6大韌性維度,除涵蓋原有的科技、網路與供應鏈韌性外,更納入了數據韌性、實體安全韌性、勞動力韌性。
IBM與Red Hat推出企業開源軟體供應鏈安全服務Project Lightwell,標榜AI輔助第三方套件漏洞修補
IBM與Red Hat(紅帽)合作推出企業開放原始碼軟體供應鏈安全服務Project Lightwell,標榜結合AI輔助漏洞分析,協助企業處理第三方開放原始碼套件漏洞,並將已驗證的修補整合至既有軟體供應鏈。Project Lightwell將透過商業訂閱方式提供相關能力,讓企業能將這類套件漏洞修補納入既有的軟體供應鏈管理流程。
GitLab 19.0推出SBOM相依性掃描,鎖定間接相依套件的漏洞風險
針對第三方套件與AI產生的程式碼大量進入企業專案,所帶來的供應鏈風險,DevSecOps平臺業者GitLab發布GitLab 19.0的新功能,正式推出以軟體物料清單(SBOM)為基礎的相依性掃描(dependency scanning),協助企業盤點直接與間接相依套件,追蹤有漏洞套件如何進入專案,並依照程式碼的實際使用情況排定修補優先順序。
中國相關駭客鎖定捷克與臺灣發動Dragon Weave間諜行動
捷克參議院議長韋德齊(Miloš Vystrčil)率團訪臺前夕,資安業者Seqrite旗下Seqrite Labs於5月29日揭露一波鎖定捷克與臺灣的官員與民眾的攻擊活動,並將命名為Operation Dragon Weave的網路間諜攻擊活動。Seqrite Labs指出,這波攻擊鎖定政府、研究、學術、科技與金融服務等領域,主要透過魚叉式網釣郵件散布Adaptix C2代理程式,攻擊者會寄送內含ZIP附件的電子郵件,壓縮檔解開後包含多個看似正常的檔案,但實際上是感染鏈的一部分。
新興勒索軟體The Gentlemen濫用Windows排程工作提升權限,具備自我擴散能力加速大規模感染
微軟揭露新興勒索軟體The Gentlemen,指出這款以Go語言開發的勒索軟體,不僅能加密資料,還具備強大的自我擴散與橫向移動能力。The Gentlemen會建立SYSTEM權限排程工作提高權限,並透過WMI、PsExec與PowerShell等多種方式散播,對每臺主機甚至可嘗試多達21次遠端執行操作,藉此提高感染成功率。
Minecraft玩家遭惡意軟體WeedHack鎖定,逾11萬臺設備被感染
資安公司McAfee揭露新的惡意軟體租用服務WeedHack,該平臺從今年1月開始出現,專門針對Minecraft玩家,迄今已確認有116,464臺電腦受害,而且遭感染的電腦數量每天會增加2千至3千臺。一旦遭到感染,攻擊者可竊取帳密資料並挾持Discord與Minecraft帳號,洗劫加密貨幣資產,甚至進一步即時存取受害者的視訊鏡頭、螢幕畫面,以及電腦存放的檔案。
微軟譴責Chaotic Eclipse未經協調逕自公開多項零時差漏洞
近期研究人員Chaotic Eclipse疑似因不滿微軟的漏洞通報流程,揭露微軟產品存在多個零時差漏洞,引發軒然大波,這也讓攻擊者有機可乘,搶先一步利用漏洞攻擊企業。後續,微軟MSRC在5月27日發文指控這些漏洞被不負責任地公開,已帶來不必要的資安風險,並可能提出訴訟。而該研究人員先後在5月20日、23日透過部落格文章回應,並揚言將在7月14日採取行動,威脅要讓微軟難看。
雙方各執一詞,但有多名研究人員接受媒體採訪,表示對微軟的說法抱持懷疑,紛紛在網路上透露他們向微軟通報漏洞時遇到的挫折經驗,有人表示,通報5個月後,才收到微軟回覆表示「不符合服務水準」的拒絕處理通知,也有人表示,微軟起初不承認他們通報的漏洞,卻在一個月後完成修補。
後續微軟MSRC在6月1日於X發布推文表示,他們在這幾天關注資安研究員與供應商之間的關係,以及漏洞協調揭露的討論。他們表示,當有人違法從事惡意活動,並對微軟客戶造成實際傷害時,微軟將適時與執法部門合作,但對於從事資安研究,或是發表研究成果的人士,無意採取任何行動。微軟也坦承處理漏洞通報的有些互動未能達到標準,正努力從中學習。
資安教育與研究機構SANS Institute於5月發布調查報告指出,企業已普遍將網路威脅情資(Cyber Threat Intelligence,CTI)納入資安計畫,91%資安長認同CTI具備價值,但僅26%表示CTI會明顯影響高層決策。這反映企業接下來的挑戰,許多組織仍未把情資分析結果,轉化為預算分配、風險排序與高層決策依據。
HPE將AI對話式互動帶進災難復原管理,Zerto新增AI助理與第3方AI平臺整合
HPE旗下資料保護與災難復原平臺Zerto推出10.9版,新增內建AI助理與Zerto Context Protocol兩項AI功能。除了可透過自然語言查詢系統狀態、文件與資料保護資訊,也能讓Claude Desktop、VS Code Copilot等外部AI用戶端,與Zerto的管理環境整合,將對話式互動導入資料保護與災難復原流程。
Veeam 13.0.2解決備份伺服器高可用性與跨平臺支援問題,修正檔案層級資料復原流程設定
Veeam推出Backup& Replication 13.0.2版,修正先前版本中備份基礎設施高可用性功能,與跨平臺支援問題,改善HA Cluster、Hyper-V、Veeam Agent與檔案層級還原流程,提升不同環境下的備份與復原可靠性。
Google Cloud TPU VM導入Canonical認證Ubuntu環境
Ubuntu發行商Canonical於5月28日宣布,與Google Cloud合作推出通過認證的Ubuntu映像檔,供Google Cloud的Cloud TPU虛擬機器(Cloud TPU VM)使用,並成為使用者建立TPU VM時的預設選項,以因應AI與機器學習工作負載的部署需求。
思科推出Cloud Control,打造AI代理時代IT營運平臺
思科(Cisco)推出統一營運平臺Cisco Cloud Control,將旗下網路、資安、AI基礎架構、可觀測性與協作等產品能力,整合到單一操作介面。這項平臺也透過Cloud Control Studio串接第三方工具與既有IT環境,讓企業可在同一套介面中管理跨產品組合的維運工作。
MedTech醫療科技雙周報第49期:衛福部發布醫療GenAI指引,聚焦6大風險與供應鏈透明度
衛福部發布醫療GenAI指引;明尼蘇達兒童醫院CIO:AI對醫療的影響將超越電子病歷;AZ、羅氏將在臺推廣AI病理分析工具;日本打造國產醫療AI平臺,瞄準6,000萬用戶和4,000家醫療院所;亞洲大型醫療集團:醫療AI規模化關鍵在於共通資料平臺和治理
www.ithome.com.tw
Comments (0)