資安院首屆漏洞獵補活動發現20個硬體產品漏洞，今年第二屆活動開放AI工具挖掘軟體漏洞

資安院長林盈達表示，資安院在資安署支持下舉辦首屆漏洞獵補活動，原本擔心研究人員找不到漏洞，另一方面又擔心找到太多漏洞，但是首屆漏洞獵補活動在今年1月結束，共發現約20個漏洞，其中9個為比較嚴重的等級，一方面證實國內的資安研究社群的實力，國內駭客的能力參加全球的資安競賽，國內資安好手的實力也是全球有目共睹；另方面首屆漏洞獵補活動的成果顯示國內硬體業者在嵌入式軟體的測試能力愈來愈好，11家業者也是國內資通訊廠商中的佼佼者，有信心敢於參加漏洞獵補活動。

林盈達表示，在首屆活動結束後，今年第四季將會再舉辦第二屆獵補活動，鼓勵研究人員使用AI工具輔助找出漏洞，以增加找到漏洞的機會，針對的產品也從首屆活動以硬體、網通產品為主，第二屆活動將以純軟體產品為主，並以國內公務機關使用最多的軟體產品為對象，這些軟體複雜度比嵌入式系統更高，攻擊面更大，理論上漏洞可能更多，希望透過活動進行驗證。

資安院檢測防禦中心總監劉建良指出，一般產品在上市前會按標準檢測，例如合規性、被動防禦、照圖檢查，如同照著設計圖作檢測，但是產品上市後，駭客攻擊通常不會照著設計圖，因此需要持續性的漏洞獵補活動，如同由經驗老道的師傅找出設計圖上看不到的縫隙或瑕疵。

鼓勵企業建置專門的PSIRT團隊

劉建良表示，從標準檢測到主動持續性的漏洞挖掘，重點在於導入專門的PSIRT產品安全事件應變小組，由該團隊專門負責產品漏洞的修補，持續改善產品安全。

去年12月舉辦的首屆漏洞獵補，紅隊方面共有179位來自資安社群的本地資安研究人員參加，藍隊方面有11家廠商、20組產品參加，在獎勵機制共53.9萬元。透過漏洞獵補試圖建立資安研究人員挖掘漏洞，由企業修補，資安院擔任第三方驗證。

漏洞獵補活動共發現20個漏洞，包括3個嚴重風險活動，6個高風險，10個中風險，1個低風險，這些被發現的漏洞來自20組產品中的8組產品(6組工業網通產品、2組網通設備)，20個漏洞目前均已修補。

嚴重者可被存取任意檔案

劉建良指出，綜觀20個通報的漏洞，可以發現以下三點，首先是具有攻擊價值，部分的漏洞是使用預設密碼或弱密碼，攻擊者可以輕易取得設備的初始存取權限；其次是攻擊者透過這些漏洞可以進行連鎖攻擊，再引發其他的漏洞，例如參數檢查不足導致命令注入，可被存取任意檔案。最後是，工業網通設備的資安成熟度不均，顯示仍有成長空間。

資安院首屆漏洞獵補活動共募集720萬元獎金，資安研究人員通報發現的產品漏洞，經資安院認定及廠商認定漏洞的可行性及風險高低，首屆活動共發出53.9萬元的獎金(如認定為嚴重等級漏洞可獲10萬元獎金)，鼓勵資安研究人員通報產品漏洞，並且將貢獻者列入產品資安名人堂，同時鼓勵業者取得國際的CVE漏洞編號，讓通報漏洞的研究人員也能獲得發掘漏洞的榮耀。

劉建良強調，漏洞獵補活動補足弱點掃描的盲點，主動發現漏洞，對業者而言，也能提升其資安能力，特別是產品安全設計能力，同時也建立產品漏洞的應變能力。最後是透過活動串連資安研究社群和產業。

今年將舉辦的第二屆漏洞獵補活動，首先會從場域走向場景，從首屆的單一產品在實驗場域檢測到應用場景，以政府機關採購的實務為場景；其次是從硬體走向軟體，聚焦於高風險供應鏈；未來將活動引導為建立機制，持續舉辦活動建立機制。

第二屆漏洞獵補活動預計會在9月到10月之間先開放報名，預計募集800萬元總獎金池，對象鎖定軟體供應鏈安全，特別是政府機關常用的軟體，包括高使用率、高風險或是關鍵的資安軟體。第二屆預計邀請20家廠商加入，並且開放其他廠商報名參加。