【資安日報】6月18日,引領AI軟體開發安全,Anthropic發布指南示範以Claude建立威脅模型並修補漏洞
近期巴西外送龍頭iFood傳出個資外洩遭駭客兜售,該平臺表示去年12月其資料庫遭非法存取,導致120萬名用戶姓名、身分證號及地址外洩。資安媒體Hackread則指出,有駭客在BreachForums論壇上發文聲稱,竊取iFood平臺約4,380萬筆客戶記錄,並威脅若不支付贖金,將分批公開竊得的資料。雖然iFood否認外界傳言4千多萬筆資料外洩的說法,但相關問題仍有待後續進一步釐清。詳全文
勒索軟體組織ShinyHunters宣稱駭入系統竊取客戶及公司資料後,影像器材大廠柯達(Eastman Kodak)向Bleeping Computer證實被駭一事,表示近日發現一個未經授權的第三方人士非法存取了公司小部分資料一小段時間。該公司已立即和外部資安專家合作,調查遭存取與複製的資料範圍,並和執法機關合作。駭客宣稱竊得這家影像巨擘220萬筆記錄,包含客戶個資和其他公司資料,目前柯達並未公布影響規模。詳全文
Anthropic發布原始碼漏洞掃描參考實作,示範以Claude驗證與修補漏洞
AI模型業者Anthropic發布程式原始碼安全實務指南,說明企業與開放原始碼的軟體專案如何運用Claude建立威脅模型、找出漏洞,並進一步驗證、分級處理與修補,同時提供開放原始碼參考實作defending-code-reference-harness。詳全文
AWS推出PQC就緒度掃描工具,檢視TLS端點抗量子準備狀態
IT產業近期密切關注後量子密碼學(PQC)的導入與遷移議題,公有雲業者AWS在上個月宣布推出後量子密碼學就緒度掃描工具PQC Readiness Scanner,這是以AWS Config合規套件建置的解決方案,可協助企業盤點由AWS服務終止TLS連線的應用程式負載平衡器(ALB)、網路負載平衡器(NLB),以及API Gateway端點,持續檢查其TLS組態是否符合PQC就緒狀態,並依三級架構排定遷移優先順序。詳全文
CVE漏洞數量大增,FIRST進一步說明致災風險並未隨總量而增加的理由
FIRST國際資安應變組織發布2026年中漏洞預測報告,不僅將全年CVE漏洞預估數量上修至6.6萬個,同時提出一項重要觀察,並以「降雨與洪水」為喻指出:雖然漏洞總量(降雨)持續攀升,但真正被積極利用或具備高度威脅的漏洞(洪水),其增長速度並未同步上升。詳全文
開源資安平臺Wazuh修補重大漏洞,攻擊者可竄改警示並刪除日誌
開源XDR與SIEM平臺Wazuh修補Wazuh Manager一項重大風險漏洞,影響wazuh-manager 5.0.0-beta1與後續推出的5.x版本,CVSS分數達滿分10.0分;Wazuh 4.x分支則不受影響。Wazuh已在wazuh-manager 5.0.0-beta3修補此漏洞。詳全文
NCC發布新聞AI應用指引,要求全程標示AI內容並建立人工查核機制
今年1月《人工智慧基本法》上路,各目的事業主管機關針對各產業的指引也相繼出爐,繼衛福部後,NCC也針對媒體應用AI提出指引規範,呼籲業者應用AI技術製播新聞,應建立AI內容查證機制,落實人工審核,對於第三方素材或AI產生的素材,善盡事實查證責任,並要求業者保留AI使用與審核記錄,供事後的追蹤及查驗。詳全文
GitHub改善Copilot程式碼審查,組織可統一控管Runner與內容排除設定
GitHub更新Copilot程式碼審查(code review)功能,新增組織層級Runner控管、Copilot內容排除支援,並移除儲存庫自訂指示檔的字元限制。該更新讓組織管理員可更集中管理AI程式碼審查的執行環境,以及Copilot審查時可使用的儲存庫內容,也讓開發團隊能提供更完整的審查規範。詳全文
套件管理器Homebrew調整套件來源信任機制,6.0.0強化供應鏈安全與Linux沙箱
套件管理器Homebrew專案發布Homebrew 6.0.0,這次更新開發團隊把重點放在套件來源信任、安全隔離與更新效率。具體而言,新版增加第三方套件來源信任機制(tap trust),將內部JSON API設為預設,並在Linux導入Bubblewrap沙箱。Homebrew現在會在執行第三方tap程式碼前先確認信任狀態,並透過沙箱限制部分安裝流程,以降低惡意或遭入侵來源帶來的風險。詳全文
FIFA平臺後端漏洞能讓駭客免費播放賽事、置換影像、修改比分
一名研究人員發現國際足球協會(FIFA)後端平臺API漏洞,其問題出在FIFA後臺的身分與授權機制設計錯誤,使未經授權的人員得以登入內部系統,存取賽事串流影像管理介面,讀取每一場賽事的實況轉播影像,甚至攝影機角度,以及控制串流(如啟動/暫停/排程)或其他操作功能,或編輯賽事資訊。詳全文
資安業者Doctor Web揭露一款名為「Android.MagicAd.1」的Android廣告木馬,近期曾潛藏於小米及三星的官方應用程式商店。該木馬的隱匿手法相當特殊,攻擊者將其偽裝成遊戲或工具程式上架後,會在數週內主動下架,隨即以全新的應用程式取而代之,其主要目的很可能是為了規避行動應用商店的審核機制,並降低被資安防護軟體偵測的機率。詳全文
Apple以Swift改寫TrueType微調直譯器,降低記憶體安全風險
降低記憶體安全風險持續受關注。Apple公開以Swift改寫TrueType字型微調直譯器的實務案例,並釋出原始碼供社群借鏡。Apple指出,此舉目標是要降低字型解析的資安風險,而最大挑戰在於新版直譯器必須確保既有程式免修改無痛銜接,且字型顯示結果須與原C版本完全一致。詳全文
1Password推執行時憑證派發機制,減少工作負載長期持有權杖
1Password發表1Password Credential Broker私有測試版,把憑證管理從人員使用情境延伸到機器工作負載。初期支援GitHub Actions,讓自動建置、測試與部署流程在執行時,依照身分與政策取得所需憑證,減少長期權杖留在環境變數、設定檔或自動化流程中的情況,年底還將延伸到AI代理憑證管理。詳全文
德國聯邦資訊安全局(BSI)於6月15日宣布,核發首張針對5G核心網路組件的BSI NESAS網路設備安全保障計畫認證,此舉標誌著德國在確保5G行動通訊基礎設施安全方面邁入全新里程碑。首家獲證廠商為美國雲端原生網路軟體商 Mavenir,獲證產品為其5G匯流封包核心網路的核心組件——網路儲存功能(NRF,版本為CC 24.4.2 p4 SW)。詳全文
都柏林大學將主導歐盟6G安全專案,開發6G原生網路威脅情資平臺
愛爾蘭都柏林大學(University College Dublin,UCD)在6月11日宣布,將主導歐盟Horizon Europe架構下、智慧網路與服務聯合事業(SNS JU)支持的SHIELD-6G專案,總經費達800萬歐元。這項專案將集結19個國際合作夥伴,目標是開發面向6G網路的AI驅動威脅情資平臺。詳全文
如何用HIMSS框架衡量數位轉型?長庚揭大型醫療體系的成熟度治理戰略
長庚醫療體系今年受邀在HIMSS26大會發表全球首份大型醫療體系數位成熟度白皮書,不只反映過去10年數位轉型歷程,當中也說明用HIMSS成熟度框架衡量IT對醫療現況輔助成效,資安也是重點之一,例如,採行該成熟度框架中的INFRAM模型,以衡量IT基礎設施與資安成熟度,還有建置數據中臺強化資料治理,以及限縮生成式AI的決策風險等面向。詳全文
Google發布Chrome 149穩定版更新,修補33項安全問題
Google發布Chrome桌面版瀏覽器新版本,將Windows與Mac平臺穩定版更新至149.0.7827.155與149.0.7827.156,Linux版本更新至149.0.7827.155,此次改版共納入33項資安漏洞的修補,其中有7項重大漏洞最值得留意,涵蓋涉及網頁分享API元件WebShare,嵌入式瀏覽器元件WebView,數位身分憑證元件Digital Credentials、選擇本機檔案元件File Input、密碼管理元件Passwords,以及身分驗證元件Web Authentication等不同面向。詳全文
惡意瀏覽器擴充套件竊取AI對話內容再現新案例,近9萬名用戶受影響
AI對話內容持續成為攻擊者覬覦的資料來源,近日資安研究專案MalExt Sentry揭露另一起案例,是偽裝為廣告攔截工具的惡意瀏覽器擴充套件,會攔截與收集使用者與生成式AI服務的互動內容。MalExt Sentry將這起惡意資料收集活動命名為PromptSnatcher,指出發現兩款擴充套件Smart Adblocker與Adblock for Browser確實能提供攔截廣告功能,累積安裝量將近9萬次,但暗藏客製化攔截引擎,用於收集使用者與八種AI平臺的對話內容。詳全文
Android 17正式登上Pixel裝置,升級即時威脅偵測與進階保護模式
Google推出Android 17,內建安全能力強化亦是重點之一,新版本不僅升級即時威脅偵測與進階保護模式,也導入更多隱私微調,例如延長PIN碼連續輸入錯誤的等待時間以防範暴力破解。此外,用戶現在能更細緻地管理個資權限,像是僅暫時允許 App 取得精確位置,或只分享部分聯絡人。同時,系統也增強「標記為遺失」功能,讓使用者能用生物辨識鎖定遺失的手機,使竊賊即使知道PIN碼也無法存取資訊或關閉追蹤功能。詳全文
Google Vertex AI SDK模型上傳流程漏洞,恐遭攻擊者跨租戶執行任意程式碼
Google前兩個月修補Vertex AI SDK for Python的漏洞,通報的Palo Alto Networks旗下Unit 42團隊如今公開相關細節,指出該漏洞出現在模型註冊前的暫存流程。開發者透過Vertex AI SDK上傳模型時,若未指定自己的暫存儲存位置,舊版SDK會依據Google Cloud專案識別碼與區域,自動產生一個預設儲存桶(bucket)名稱。Unit 42指出,當時SDK只確認這個名稱是否已存在,卻沒有進一步檢查該儲存桶是否真的屬於呼叫者的專案。詳全文
Comments (0)