【資安日報】5月12日，駭客首度濫用AI挖掘零時差漏洞並生成攻擊工具

Google威脅情報團隊（GTIG）公布網路犯罪圈濫用AI的態勢的最新調查報告，其中最受到關注的是，他們近日察覺有駭客組織嘗試利用AI找出的零時差漏洞，從事大規模攻擊，但因GTIG及時發現而加以攔阻，攻擊並未成功。GTIG指出，這是首度發現有人利用AI挖掘零時差漏洞，並企圖用於實際攻擊。在其中一個漏洞利用嘗試活動裡，GTIG看到多個惡名昭彰的駭客團體聯手策畫大規模漏洞利用活動，他們製作能利用此漏洞的Python指令碼，藉此繞過熱門開源網路系統管理工具的雙因素驗證（2FA）流程，根據漏洞的結構與內容，GTIG研判駭客顯然正在利用AI模型找出漏洞，並製作相關攻擊工具。

資安公司Checkmarx再傳遭供應鏈攻擊，Jenkins AST外掛被竄改

5月9日Checkmarx指出，他們察覺發布於Jenkins延伸套件市集的Jenkins AST外掛程式出現遭到竄改的跡象，攻擊者上架了有問題的新版本，呼籲用戶要儘速檢查，確定使用的版本是2025年12月17日發布的2.0.13-829.vc72453fa_1c16，或之前的版本，而非有資安風險的2026.5.09版，才能避免CI/CD環境被滲透。雖然Checkmarx並未進一步說明細節，不過該公司認為此事與他們從3月開始遭遇的供應鏈攻擊事故有關，很可能是其中的一部分。

針對Checkmarx發布的Jenkins AST外掛遭駭，TeamPCP聲稱是他們所為

5月9日資安公司Checkmarx發出警告，該公司推出的Jenkins AST外掛程式遭供應鏈攻擊，駭客上架有問題的新版本，要用戶採取行動因應，有資安研究員公布更多細節。資安工程師Adnan Khan、資安公司SOCRadar指出，TeamPCP於Checkmarx的Jenkins AST外掛植入後門程式，但與過往的攻擊活動最大的不同，在於這些駭客這次還竄改了GitHub儲存庫的內容，竄改標題與說明資訊，聲稱他們完全滲透了Checkmarx，慫恿該公司客戶取消使用該公司的產品及服務，並嘲諷該公司憑證輪換不完全。

網頁應用程式框架TanStack的NPM套件遭Mini Shai-Hulud供應鏈攻擊

資安公司StepSecurity發現最新一波蠕蟲程式Mini Shai-Hulud攻擊，TeamPCP針對網頁應用程式框架TanStack的GitHub Actions發布流程，利用挾持的OIDC權杖（token），發布TanStack Router的惡意NPM套件。與先前攻擊的差異在於，這次被滲透的套件，竟然具有軟體供應鏈安全框架SLSA第3級來源見證，使得Mini Shai-Hulud成為第一個可產生有效見證的惡意軟體套件、又有文件記載的NPM蠕蟲。值得留意的是，Mini Shai-Hulud已從TanStack擴散，影響UiPath、DraftLab及其他維護者的套件。

cPanel身分驗證漏洞被用於散布RAT木馬Filemanager

中國資安公司奇安信指出，他們在5月4日發現有人利用CVE-2026-41940散布的新惡意程式，此酬載以Go語言撰寫，嵌入疑為AI生成的大量土耳其語事件記錄與訊息，主要功能是將SSH公鑰、惡意PHP與JavaScript程式碼植入cPanel系統，竊取登入憑證，並回傳攻擊者控制的Telegram頻道，最終部署RAT遠端存取木馬Filemanager。該公司進一步調查背後的攻擊者，發現該駭客組織的活動最早可追溯至2020年，他們將這組人馬命名為Mr_Rot13進行追蹤。

身分驗證管理供應商SailPoint的GitHub儲存庫遭駭

身分驗證管理供應商SailPoint於5月8日，向美國證券交易委員會（SEC）提交8-K表單，表示該公司於4月20日偵測到部分GitHub儲存庫出現未經授權存取的情況，事件回應團隊隨即阻止未經授權的行為，找出被入侵的原因並予以處置。該公司透露，攻擊者是透過第三方應用程式的弱點而獲得存取管道，目前該漏洞已經修復。根據初步的調查結果，SailPoint未發現客戶資料於生產或臨時環境遭到存取的跡象，亦未出現服務中斷，該公司已通知資料存放在上述儲存庫的客戶。

汽車大廠Skoda網路商店被駭，疑外洩客戶個資

捷克汽車大廠Skoda公告，其線上商店平臺遭駭，警告客戶姓名、電子郵件信箱等個資可能遭存取。Skoda的安全監控團隊發現異常活動。在發現後該公司立即將網站下線並修補漏洞。事後Skoda研判，駭客是濫用其運行線上商店的標準電商系統軟體的漏洞，可能存取線上商店平臺處理的資料。原則上攻擊者可以接觸儲存在系統中的資料，包括客戶姓名、地址、電子郵件信箱、電話、訂單細項及其他帳戶資訊。此外，以密碼雜湊形式儲存的密碼可能也遭存取。

駭客濫用遠端管理工具Tiflux於受害電腦建立存取管道

在今年2月，威脅情報公司Huntress開始觀察到駭客使用巴西遠端監控及管理工具Tiflux的活動，並從2月27日出現顯著增加的情形。駭客先透過網路釣魚活動與誘餌文件檔案建立初期存取管道，然後再將存取管道與其他遠端管理工具串連使用。駭客挑選Tiflux的原因，不光是該應用程式鮮為人知，其安裝程式亦存在過時且疑似有問題的元件，其中一個是驅動程式HwRwDrv.sys，此元件存在可被用於權限提升的弱點，而且簽章已經過期，因此，Huntress認為，駭客濫用Tiflux帶來的危險，已超越一般利用遠端監控及管理工具的活動。

駭客結合釣魚攻擊與遠端管理工具，影響逾80個機構

資安業者Securonix近日發布報告，揭露代號VENOMOUS#HELPER的釣魚攻擊行動，駭客自2025年4月起，利用兩款遠端監控與管理（RMM）工具：修改版的SimpleHelp與ScreenConnect，攻擊超過80個機構。駭客首先透過假冒美國社會安全局名義寄送釣魚郵件，誘騙受害者下載惡意檔案，一旦受害者執行惡意檔案，駭客便會藉此安裝擁有合法數位簽章的RMM工具，從而對受害裝置建立持久的遠端存取能力，並藉此規避傳統資安防護與惡意程式偵測。

逾5千個Vibe Coding應用程式可公開存取且毫不設防，可能導致企業資料外洩

資安業者RedAccess近日向媒體WIRED與Axios揭露，大量透過直覺式程式開發（Vibe Coding）方式建立的網路應用程式，缺乏身分驗證等基本的安全措施，導致企業敏感資料可能暴露於公開網路。這家以色列資安公司總共找到38萬個這類系統，他們有幾個認定條件：一、暴露在網路上、可公開存取的系統，二、使用整合AI工具的開發平臺，如Lovable、Replit、Base44與Netlify等而建立的系統，他們發現其中有5千個缺乏身分驗證、存取控制等基本防護措施，外界只要能找到正確網址，就能存取這些應用程式及其資料。

非關聯式資料庫Redis揭露5個漏洞，未修補可能導致遠端執行程式碼攻擊

開源記憶體型NoSQL資料庫系統Redis的資安團隊，近日發布公告，揭露5個漏洞，包括可能導致遠端執行任意程式碼（RCE）攻擊的高風險漏洞，建議用戶儘速更新至已修補版本。這次Redis公告的漏洞，被判定為高風險等級的就多達4個，CVSS嚴重性評分均為7.7分，同樣都可能導致攻擊者遠端執行任意程式碼，其中3個漏洞都涉及RESTORE指令的無效記憶體存取（Invalid Memory Access）問題。

美國警告LiteLLM重大SQL注入漏洞已被用於實際攻擊

4月24日LiteLLM開發團隊揭露SQL注入漏洞CVE-2026-42208，資安公司Sysdig也發現，在公告發布的36小時後，已有人將其用於實際攻擊，如今美國政府也證實該漏洞遭利用。5月8日美國網路安全暨基礎設施安全局（CISA）發布公告，將CVE-2026-42208列入已遭利用的漏洞名冊（KEV），要求聯邦機構必須在5月11日前完成修補，但對於此漏洞是否被用於勒索軟體攻擊，CISA目前無法確定。

OpenAI發表Daybreak資安防禦方案，整合GPT-5.5-Cyber與Codex Security

OpenAI於5月12日發表了Daybreak，宣稱這是專替資安防禦者打造的前沿AI，它結合了OpenAI的各種模型、Codex，以及資安合作夥伴，可協助企業掃描漏洞、建立威脅模型、驗證修補結果，以加速資安防禦並持續保護軟體安全。Daybreak的角色及定位是在將AI的能力變成一套可控的資安防禦方案，解決誰可以使用、可用於哪些授權環境、如何驗證修補結果，以及高風險資安能力如何分級開放與稽核等問題。

iPhone與Android互傳訊息更安全，iOS 26.5支援RCS端到端加密

5月11日蘋果與Google宣布，從iOS 26.5版開始，RCS（Rich Communication Services，豐富通訊服務）訊息將陸續支援端到端加密，讓iPhone與Android使用者之間的跨平臺訊息傳輸更安全。雙方合作於RCS標準中導入端到端加密，使得此替代傳統SMS的跨平臺訊息格式更加安全與私密。當RCS訊息採用端到端加密時，訊息在裝置之間傳送的過程中無法被讀取，可降低電信商、平臺或其他中間環節接觸訊息內容的風險。

紅帽新版RHEL強化後量子安全準備，導入抗量子簽章與AI輔助升級

Red Hat（紅帽）於5月6日宣布，Red Hat Enterprise Linux（RHEL）10.2與9.8即將正式推出。新版作業系統將後量子密碼學（PQC）納入系統基礎，並搭配機密運算與AI輔助自動化處理與系統升級，協助企業在混合雲環境兼顧安全性與維運一致性。在後量子準備（Post-Quantum Readiness）能力方面，紅帽指出，RHEL 10.2與9.8整合美國國家標準暨技術研究院（NIST）標準，讓企業系統能及早因應量子運算可能帶來的新興威脅。

Cloudflare廣域網路即服務開始支援PQC，強化企業WAN量子威脅防護

網路服務與資安業者Cloudflare宣布，Cloudflare IPsec後量子加密功能正式上線，這也是該公司加速後量子準備（Post-Quantum Readiness）布局的最新進展。該公司於4月30日把防護範圍擴大，涵蓋企業的站點對站點廣域網路（site-to-site WAN）連線。Cloudflare IPsec新增支援的後量子加密功能，採用混合的模組格基式金鑰封裝機制（Module-Lattice-Based Key-Encapsulation Mechanism，ML-KEM），結合傳統Diffie-Hellman金鑰交換與後量子演算法，降低未來量子電腦破解現行公開金鑰密碼學的風險。

【臺灣資安大會直擊】AI時代資安新風險，東元電機指出未來駭客攻擊的不只是系統，而是企業決策

生成式AI快速進入企業營運流程之際，企業面臨的資安風險也正從傳統IT安全問題，逐步轉變成更深層的治理與決策風險。東元電機數位發展處處長胡修武近日在一場演講中指出，AI並不只是新的工具，而是一種全新的資訊架構。當AI逐漸成為企業內部的「數位員工」，未來駭客攻擊的目標，也將不再只是系統本身，而是企業的決策能力。胡修武認為，企業不應把資安視為一次性的導入專案，而是一種需要長期累積的企業能力。

【臺灣資安大會直擊】金融資安治理、防護與韌性演練都必須持續升級

在臺灣資安大會金融資安論壇中，金管會副主委莊琇媛開場時也特別強調了AI對資安的影響，她指出，這對資安產業帶來很大的挑戰，攻擊者可以用AI發動攻擊，企業同樣也可以用AI來防禦。因此，金管會在去年底發布了金融資安韌性發展藍圖政策，莊琇媛特別提醒三件事，來因應越來越嚴峻的資安挑戰：資安治理必須持續升級，防護能力也必須升級，韌性更一定要能演練和驗證。

不鏽鋼管製造廠彰源資源系統遭網路攻擊

5月11日不鏽鋼管製造廠彰源企業（2030）於股市公開觀測站發布資安重訊，指出該公司內部網路環境出現有人企圖登入的跡象，經調查發現資訊系統遭受駭客攻擊。針對這起事故對公司帶來的影響，彰源根據初步評估的結果指出，目前沒有個資、機密或重要文件資料外洩情形，研判對公司營運無重大影響。

偉康科技遭網路攻擊

企業數位轉型公司偉康科技（6865）於5月11日晚間發布資安重訊，透露遭到駭客攻擊的情形。該公司透露事發後已啟動防禦機制因應，對於這起事故可能會造成的影響，該公司初步評估對公司營運無重大影響。罕見的是，偉康特別提及已投保了資安險，有可能會獲得理賠，但金額將根據最終鑑定結果及保單條款而定。

近期資安日報

【5月11日】逾半數密碼的MD5雜湊值一小時就能破解

【5月8日】Linux核心再傳本機提權漏洞Dirty Frag

【5月7日】駭客聲稱提供OpenClaw用戶擴充功能散布惡意軟體