【資安新聞編輯室報告】這一星期最受產業矚目的消息之一,莫過於LLM模型在資安攻防兩端展現的深遠影響力,繼Anthropic Claude Mythos預覽版發布,OpenAI亦擴大GPT-5.4-Cyber的申請範圍,由於Mythos已展現強大的跨系統分析能力,此態勢已引起美、英、加三國監理機關的高度警戒,憂心這類先進模型若早一步被攻擊方利用,將用於金融業者。
此外,這星期我們也看到因應簡訊OTP難題的最新探討與推動,包括電話號碼認證(PNV)與基於eSIM去電話號碼識別的方案,這些進展均顯示:若要解決這類問題科技業,需與電信業者合作來應對。
政策法規、技術趨勢、產業脈動
OpenAI擴大提供GPT-5.4-Cyber
繼Anthropic於本月初公布Claude Mythos預覽版後,OpenAI則宣布擴大其GPT-5.4-Cyber專用模型的申請使用範圍。這款專為網路安全分析優化的模型,現在將開放給更多資安人員申請使用,同時加入進階防護工作的新功能,支援惡意程式分析與逆向工程,協助理解軟體漏洞。
Claude Mythos能力引發多國監理機關關注風險
隨著Claude Mythos預覽版發布,美國、英國與加拿大主管機關近期已與銀行高層討論相關風險,主因是Claude Mythos這類先進模型能跨系統分析複雜架構,對於企業內部長期累積的舊系統環境而言,過去未被發現的弱點與系統複雜性,現在都可能轉化為可被利用的攻擊面。此外,銀行業大量採用相似的KYC與交易軟體,一旦出現規模化AI攻擊,高度連結的金融體系受到的影響可能迅速擴散。
數發部資安署發布中小企業基本資安指引
繼金管會於2021年底發布「上市上櫃公司資通安全管控指引」後,為進一步帶動全臺企業重視資安,去年資通安全研究院(資安院)建立實地資安健檢服務,引進美國加州柏克萊大學Cybersecurity Clinic課程課綱,就是聚焦輔導中小企業而來,近期數發部資安署再發布「中小企業基本資安防護指引」及自我檢核表,將專業資安要求轉化為易懂清單,涵蓋帳號管理、設備管理、落實資料備份等實務建議。
解決簡訊OTP難題需與電信業者整合
前陣子大量LINE帳號遭盜用的事件受到廣泛關注,更深層問題是OTP認證碼(一次性密碼)仍普遍應用,目前相關對策仍在持續發展中,但焦點就是要探討如何與電信業者深度結合,目前已有兩大技術趨勢備受矚目,一是仰賴電話號碼的電話號碼驗證(Phone Number Verification,PNV)機制,另一則是去電話號碼識別,基於eSIM Passkey的技術方案。
OpenSSL 4.0發布
作為全球應用最廣泛的開源加密函式庫,OpenSSL發布4.0重大版本更新。本次改版聚焦於架構現代化與清理技術債,包括正式移除SSLv3協定與SSLv2 Client Hello支援,並全面廢除Engine機制;此外,部分資料結構與X509相關公開API也調整得更為嚴謹。在安全性強化方面,則新增支援ECH(Encrypted Client Hello)技術及後量子密碼學(PQC)相關功能。
最新漏洞威脅
在漏洞利用消息方面,多家IT大廠發布每月例行安全更新的公告,揭露與修補近期掌握的弱點,其中微軟本月例行安全更新就修補自家產品165個漏洞(包含兩個零時差漏洞,其中一個已遭利用),並修補第三方元件漏洞82個。進一步從整體來看,本星期有5項漏洞發現遭駭客鎖定利用,須優先關注!
微軟 CVE-2026-32201
●零時差漏洞攻擊事件發生,目標是微軟SharePoint Server的漏洞CVE-2026-32201,微軟發現有鎖定利用情形後於每月例行更新修補,攻擊者身分尚未揭露。已被美國CISA列入KEV。
Apache CVE-2026-34197
●Apache基金會4月初修補ActiveMQ的漏洞CVE-2026-34197,美國CISA在漏洞公開後一星期將之列入KEV,目前尚未有更多攻擊狀況揭露的消息。
Marimo CVE-2026-39987
●Python資料分析工具Marimo揭露CVE-2026-39987的漏洞,資安公司Sysdig指出在Marimo發布公告約10小時後,已經發現漏洞利用嘗試的跡象。截稿前尚未被美國CISA列入KEV。
Nginx UI CVE-2026-33032
●網頁伺服器Nginx的第三方網頁管理介面Nginx UI在3月底揭露的漏洞CVE-2026-33032,資安公司Recorded Future於兩週後示警,指出Nginx UI團隊已於3月中釋出修補程式,但後續亦在3月發現漏洞利用情形。截稿前尚未被美國CISA列入KEV。
ShowDoc CVE-2025-0520
●中國技術文件協作平臺ShowDoc在去年4月修補的漏洞CVE-2025-0520,資安公司VulnCheck揭露有鎖定利用的攻擊活動,近期於蜜罐陷阱看到有攻擊者試圖部署Webshell的情形。中國將此漏洞登記為CNVD-2020-26585列管。截稿前尚未被美國CISA列入KEV。
RedSun
●有研究人員提前揭露Microsoft Defender存在名為RedSun的零時差漏洞,已有攻擊概念驗證(PoC)公開,突顯該漏洞的可利用性。目前微軟尚未揭露相關CVE編號。
其他重要修補動向:
包括Apache Tomcat、開源監控平臺Grafana、DNS伺服器軟體BIND 9、SSL通訊函式庫wolfSSL、OpenSSH、PHP套件管理器Composer的漏洞修補消息。特別的是,工控軟體大廠PTC揭露旗下產品生命週期管理系統滿分重大漏洞,目前尚無修補程式,用戶須立即採取緩解措施
重要威脅態勢
CPUID網頁遭入侵
提供硬體監控工具CPU-Z、HWMonitor的CPUID網頁遭入侵,駭客用來散布惡意軟體STX RAT,經營CPUID的Doc TB表示,初步判斷是網站的某個API工具遭駭,攻擊者約從4月9日至10日入侵約6個小時,導致網站隨機顯示惡意連結。
瑞典供熱廠去年遭親俄駭客試圖攻擊
瑞典民防部長Carl-Oskar Bohlin在當地一場記者會上指出,該國一座供熱廠於2025年春天遭親俄駭客組織攻擊,試圖破壞OT系統營運,由於廠內的資安防護啟動,阻止了該次入侵。瑞典安全部門調查確認,攻擊者可能與俄羅斯情報機構有聯繫。
中國駭客以ELF後門大肆搜刮雲端憑證
資安公司Breakglass發現中國駭客APT41近期打造的ELF後門程式,鎖定建置在AWS、GCP、Azure、阿里雲的Linux雲端工作負載,該後門程式使用郵件通訊協定SMTP常用的25埠建立C2通訊,收集雲端服務供應商的憑證與中繼資料,然後將竊得資料傳送到3個冒充阿里巴巴的網域,這些主機架設於阿里雲新加坡的基礎設施。值得留意的是,VirusTotal納入的防毒引擎均未偵測出惡意程式,再加上駭客導入的C2交握驗證機制,使得Shodan、Censys等物聯網搜尋引擎難以識別受害的工作負載。
中國駭客網釣範圍擴大至南亞多國
之前針對臺灣企業以稅務稽核、雲端電子發票為誘餌從事攻擊的中國駭客組織Silver Fox(亦稱Void Arachne),攻擊範圍已擴散至南亞多國。資安公司Sekoia指出,該組織自2024年起從早期的經濟利益驅動,轉型為APT偵察活動。在工具使用上,Silver Fox去年放棄慣用的Winos 4.0,改採合法的遠端監控管理工具(RMM)以規避偵測,後續更進一步換裝自研的Python竊資軟體。
Axios供應鏈攻擊事故影響持續擴大
Open AI表示經調查確認受Axios供應鏈攻擊影響,已輪換macOS App簽章憑證、並以新憑證更新App再上架到蘋果App Store,呼籲macOS用戶更新到最新版。
數字情報
60%組織認技能落差更勝人力不足,AI重塑74%資安團隊結構
.jpg)
專門研究與教育的SANS Institute組織發布《2026 Cybersecurity Workforce Research Report》,指出資安人力危機已從人數不足(Headcount Gap)轉為技能落差(Skills Gap),今年有60%組織認為「技能落差」是更大挑戰,比例比去年52%更提升。此外,AI正重塑團隊結構:74%資安團隊因AI調整人員規模與角色。更值得關注的是,雖然39%的組織表示職位並未減少,但以SOC與資安分析師的職位縮減幅度比例最高(32%),其次為威脅情資分析師(26%)、事件應變人員(22%)及開發人員或 DevSecOps(19%)。這些職位的共通點在於,其工作內容包含大量重複性分析與模式識別。但同時新增AI安全專家(34%)、AI安全工程師(32%)等新職位。
Claude Mythos預覽版在CTF專家級任務的成功率達73%
英國AI安全研究所(AISI)公布Claude Mythos預覽版最新評測結果,指出該模型在資安搶旗賽(CTF)測試中,專家級任務的成功率達73%;而在企業攻擊模擬部分,10次測試中有3次能完成從初始偵察到全面控制系統的32個攻擊流程步驟;至於在OT環境測試中,則未能成功完成攻擊流程。
AI暗中違規行為數量暴增,半年出現近700起事件,暴增近5倍
英國非營利研究機構長期韌性中心最新研究指出,AI系統在真實環境中違反指示、規避限制的「scheming」行為正快速增加。研究統計,自2025年10月起的5個月內,共辨識出698起相關事件,單月案例數激增4.9倍,報告指出這是AI系統失控風險的早期徵兆。
專家觀點
研究人員揭露用Claude模型找出存在13年漏洞的實際經驗
Apache在4月初修補ActiveMQ的漏洞CVE-2026-34197,在一星期後被攻擊者鎖定利用。於3月下旬通報此漏洞的Horizon3.ai研究人員指出,該弱點其實已存在長達13年,這次成功找出漏洞的關鍵在於Claude模型的進步。他表示,這陣子都會先用Claude來掃描原始碼找漏洞,但大多數時候僅能發現一些有趣的線索,但這一次他只用幾個基本提示就有出色的表現,整體大約有80%是Claude貢獻,僅有20%是人工來綜整。這還是在尚未使用Mythos模型的情況下。
Fortinet談AI與資安如何打造低碳、可信任的數位轉型
面對AI、資安、ESG交會的時代,Fortinet工控資安產業發展總監陳心怡在2026數位永續高峰會分享實踐經驗,指出「沒有資安就沒有真正的轉型」。她強調推動平台化資安架構的重要性,將不同安全功能整合於單一平臺,此模式也是契合ESG潮流,能有效減少設備與人力成本、降低整體能耗與碳排,進而提升管理效率與營運韌性。
AI輔助攻擊最快只要25分鐘,這半年新模型推出將更顯嚴峻
在Mythos模型還沒公布之際,Palo Alto Networks執行長Nikesh Arora執行長已示警,指出傳統企業偵測入侵可能需要數天,但AI輔助攻擊從進入系統到竊取資料,最快僅需25分鐘。他強調Anthropic、OpenAI等公司即將推出的模型,具備大規模自動化尋找系統漏洞的能力,預期半年內,發動複雜攻擊的門檻將持續降低。他並認為感測器、AI驅動數據湖(AI-enabled data lakes)與消除零散化(Consolidation)將是防禦體系的重要關鍵。
重大資安事件
上市櫃資安重訊:
興櫃 餐飲業Q Burger響樂餐飲實業指出部分內部資訊系統發生異常,初步研判為網路攻擊事件。
興櫃 半導體檢測與量測設備商政美應用指出,公司資訊系統遭受勒索病毒攻擊。
上櫃 散熱模組廠力致表示部分資訊系統遭受駭客網路攻擊
上櫃 旅遊業五福因違反個資法被交通部裁罰100萬元,原因是今年1月遭駭事故導致客戶資料外洩
國際重要資安事件
線上旅遊訂房平臺Booking.com部分訂房資料遭未授權存取,導致用戶個資外洩
資安活動快訊
4月23日 【Observability Day可觀察性技術日】
4月21~23日 【SEMI E187半導體設備資安合規實踐研討會】4/21台中場、4/22高雄廠、4/23新竹場
4月25日 【資安防護實戰-CTF 資安人才培育課程(台南場)】
