這一星期資安焦點首推全球漏洞管理的巨大挑戰。美國NIST坦言,現行漏洞分析速度已難以負荷暴增的通報數量,未來將優先處理已被利用或涉及關鍵系統的風險;這似乎也反映即便AI技術進步,在自動化漏洞審核分析上仍存在瓶頸。
在網路威脅態勢方面,本週陸續傳出Checkmarx與Bitwarden遭受供應鏈攻擊,以及邊緣裝置遭攻擊者鎖定並發動零時差漏洞攻擊,這些攻勢迫使防守方必須更緊密地關注威脅情報與開發鏈的安全。
至於技術趨勢方面,本週報導呈現出多項關鍵演進。例如,針對AI Agent時代應運而生的KYA(Know Your Agent)概念,正成為KYC之後的新探討焦點;與此同時,eBPF技術、AI可觀測性技術,以及韌體分析平臺的發展,如今正有許多業者積極投入,展現出強大的技術潛力或市場需求。另一方面,面對如今竊資軟體橫行,造成日益嚴峻的Session Cookie竊取風險,產業面現在也有W3C協會正在推動DBSC、以及OpenID基金會推行DPoP,突顯過去缺乏防護的三不管地帶,終於有新的防護機制來應對此類風險。
政策法規
應對資安威脅需要公部門、私部門協力,例如美國主動排除在美受駭設備成為攻擊跳板的風險,是透過法院授權並結合民間技術力量來執行;而韓國為了修補金融漏洞,首度啟動安全漏洞清理服務計畫,是攜手4家資安業者主動偵測用戶電腦,並引導使用者同意修補舊版軟體,以縮短用戶未修補的風險空窗期。
美國因應俄羅斯軍方駭客入侵網路設備的威脅,成功阻斷駭客存取管道
美國數千臺路由器設備遭俄羅斯軍方駭客組織APT28入侵,被用於發動DNS劫持攻擊,該怎麼應對?美國採取更主動方式應對,FBI在資安公司Lumen、微軟、MIT林肯實驗室的技術協助下,依據法院授權,針對美國境內遭駭路由器進行反入侵,清除惡意設定並重設DNS。
韓國因應WGear網銀RCE漏洞,KISA首度啟動安全漏洞清理服務計畫
韓國軟體廠商Inswave Systems開發、用於企業網銀Excel大量資料處理的輔助程式WGear,被確認存在RCE漏洞,特別的是,韓國網路安全振興院(KISA)有全新應對方式,首度啟動安全漏洞清理服務(보안취약점 클리닝 서비스),協同4家資安業者防毒產品,在使用者電腦偵測到是舊版本時,引導使用者同意移除軟體。
2025年CVE漏洞數量再創新高,近五年數量已暴增263%,美國NIST將改採「風險優先」策略。該單位坦言漏洞分析已無法跟上漏洞新增速度,之後將不再分析所有漏洞,而是優先處理已被利用與關鍵系統漏洞,其餘將列為未排程(Not Scheduled)。
鑑於公部門常因對開源授權條款(如GPL、MIT等)理解不足的問題,數發部資安署推出《公部門開源軟體應用參考手冊》,針對常見的授權、管理與資安議題,提供系統化指引,作為各級機關落實開源策略的重要依據,當中內容的結構主要涵蓋認識開源、應用評估分析、導入方法,以及維護與營運。
高德地圖在臺正式發布紅綠燈倒數秒數功能,資料來源與跨境資料處理受關注
高德地圖在臺圖資紅綠燈倒數秒數精準惹爭議,業者表示並未與國內地方政府合作,而是依據用戶的定位及行車數據推估而來,但由於高德地圖背後業者屬於阿里巴巴集團所有,引發國內進一步對資料處理與跨境傳輸機制的關注。數發部資安署表示已啟動檢測機制,評估是否對公部門甚至整體使用進行限制。
英國推動當地消費者數位服務的帳戶登入應以Passkey作為首選方式
英國國家網路安全中心(NCSC)宣布,現行面向消費者的數位服務應將Passkey(通行密鑰)列為首選登入方式,而在英國政府旗艦資安盛會CYBERUK上,NCSC同步發布相關技術報告,不僅列出傳統MFA與FIDO2在實際攻擊中的脆弱性比較表,並深入分析各類驗證機制在抵禦不同威脅時的技術特性與表現差異。
AI資安
自Mythos預覽版問世後,用AI發現漏洞的成果已然浮現,最近就有一例是Mythos發現Firefox存在271個漏洞,因此Mozilla基金會在Firefox 150版修補。這顯然只是開始,未來可望出現更多用AI協助偵測漏洞的案例。新趨勢的到來,反映過去受限於人力與資源,有大量潛在風險未被找出,如今,AI的能力日益強大,有機會補足資安研究人員的處理速度與分析能力。
AI推論框架SGLang曝RCE漏洞【CVE-2026-5760】
值得關注的是,這項漏洞CVE-2026-5760截至4月20日公告仍無官方修補程式。其風險在於,攻擊者可在惡意GGUF模型檔植入Jinja2酬載,待服務載入模型並觸發/v1/rerank端點後執行任意程式碼,至於緩解方式,CERT/CC已有兩項建議作法。
Firefox 150修補Claude Mythos找到的271個漏洞
Claude Mythos再度立功,Mozilla基金會指出,他們這次於大改版Firefox 150當中,一口氣修補了此語言模型找到的271個漏洞。Mozilla認為,長遠而言,這對防守方有利,過去駭客花大量人力與時間挖掘漏洞,當AI找漏洞的能力與人力大幅拉近,原本屬於攻擊方的優勢將不復存在。
Claude Opus 4.7資安能力刻意低於Mythos模型
新版模型推出速度極快,這次Opus 4.7版有哪些新重點?除了提升軟體工程執行、指令遵循與視覺處理的能力,特別的是,由於之前Mythos預覽版在資安攻防上表現過於強大,這次Opus 4.7發布中則同時測試一項新資安防護措施:能自動偵測並攔截那些可能被用於非法或高風險網路攻擊的狀況。不過,研究人員需加入Cyber Verification Program計畫方可使用。
投資詐騙已是連續三年超越BEC而成為傷害最大的犯罪型態,2025年這類損失金額更是達到86億美元,特別的是,今年報告新增網路犯罪使用AI的統計資料,進一步公布接獲逾2.2萬件與AI相關的投訴,帶來的損失金額超過8.93億美元。
由Anthropic主導開發的開放標準MCP,被揭露其設計邏輯為先執行而後驗證,存在架構層級的系統性風險,並歸納出四大類攻擊手法,恐波及超過200個專案與20萬個實例,揭露的OX Security研究人員表示,通報Anthropic後得到的回應是:相關行為視為預期設計,因此未修改協定架構。
AI可觀測性技術成市場焦點,思科宣布併購專注此技術的新創公司Galileo Technologies,目標是提升其在AI代理監控與管理領域的能力,包括提升Splunk Observability Cloud服務,並聚焦整個AI代理開發生命週期(ADLC),從早期開發階段的提示最佳化與模型選擇、後續的評估、最終上線使用階段,提供監控、可觀測性與安全防護措施。
資料安全
資料防護正面臨嚴峻挑戰,從法國國家憑證機構千萬筆資外洩,到Vercel因第三方AI工具漏洞引發的連鎖風險,突顯資料治理困境。另一方面,隨著數位錢包成為全球潮流,如何在身分驗證時也兼顧隱私已成關鍵課題,如今歐盟也有成果。
法國負責發布身分證和護照的國家安全憑證機構(ANTS)遭駭,可能導致ants.gouv.fr入口網站上的個人和專業帳號被竊取,初步調查顯示,包括登入ID、姓名、出生日期、帳戶識別碼等,至於電子郵件、出生地與電話號碼也可能外洩。另要注意的是,隨後網路犯罪論壇有人兜售聲稱來自ANTS的資料庫,內含近1900萬筆的紀錄。
兩個月前AI公司Context遭竊資軟體攻擊,疑為雲端開發平臺Vercel資料外洩事故的導火線
雲端開發平臺Vercel表示內部環境遭到入侵,指出這起事故是員工使用的第三方AI工具Context.ai被入侵造成,後續再有威脅情報公司HudsonRock指出,該事故的源頭可追溯到今年2月Context遭遇竊資軟體Lumma Stealer攻擊。而Context表示影響僅限於AI Office Suite等消費型產品,企業級產品不受影響,Bedrock用戶不受影響。
歐盟宣布其年齡驗證應用程式已開發完成,能讓用戶在不洩漏個資的前提下證明年齡,有效阻隔未成年人接觸色情、賭博及酒精等不適宜內容。該App的推行主要遵循歐盟《數位服務法》(Digital Services Act,DSA),並根據歐洲數位身分錢包(European Digital Identity Wallet)框架為基礎開發,要求線上平臺嚴格限制違規內容的存取。
端點安全
微軟零時差漏洞被研究人員接連揭露引發外界重視,最新揭露是名為UnDefend的漏洞,同於前兩次漏洞提前揭露的狀況,修補前皆被攻擊者搶先利用於攻擊活動,突顯駭客鎖定防禦空窗期積極攻擊的態勢。
又有第三個Microsoft Defender零時差漏洞被揭露!連同前面兩個皆已傳出用於攻擊活動【BlueHammer、RedSun、UnDefend】
繼BlueHammer(CVE-2026-33825)、RedSun之後,資安研究員又再公開另一名為UnDefend的零時差漏洞,更嚴峻的是,威脅情報公司Huntress指出,他們發現該名研究員公布的這3項資安漏洞都已遭到利用。由於後兩個漏洞尚未有修補釋出,需要留意相關攻擊活動。
蘋果修補iOS通知服務漏洞,試圖弭平已刪訊息仍保留於裝置內的爭議
蘋果修補通知服務(Notification Services)的漏洞CVE-2026-28950,此弱點的存在,可能導致原本已標記為刪除的通知訊息內容,仍保留於用戶裝置,進而產生隱私疑慮,如今該公司則透過改進資料遮蔽機制,以及修正日誌紀錄從而解決問題。
● Quest在2025年6月修補資產管理產品KACE Systems Management Appliance (SMA) 的漏洞被美國CISA列入KEV清單【CVE-2025-32975】
網路安全
近年時常有國家級駭客透過利用網路設備的漏洞入侵企業的消息,這星期又有思科新漏洞遭鎖定利用。由於網路邊界設備往往缺乏端點偵測軟體的覆蓋,顯示攻擊者仍將此視為相當有效的攻擊方式。
CISA警告思科SD-WAN資安漏洞遭到積極利用【CVE-2026-20122、CVE-2026-20128、CVE-2026-20133】
SD-WAN網路管理平臺的憑證管理與API存取等漏洞,可能導致權限提升、敏感資料外洩、覆寫檔案等問題,用戶需立即修補。其中CVE-2026-20128已被美國CISA列入KEV清單。
思科修補無線基地臺儲存空間異常占用缺陷,用戶須儘速修補確保系統正常更新
儲存空間耗盡,導致無法下載與執行更新程式,是智慧型手機或個人裝置無法更新系統的常見原因之一,在企業級網路設備上則相對罕見。不過近日思科的無線基地臺產品就發生此情形,由於IOS XE軟體的缺陷,日誌檔案占用容量持續異常增長,恐導致系統無法下載或安裝後續韌體更新,該公司為此發布重大(Critical)產品公告,提醒用戶儘速修補。
還在使用FTP的企業注意!資安業者Censys最新一項研究發現,全球至今仍有近600萬臺連網主機是使用FTP,但其中約有245萬臺未觀測到TLS交握,原因可能是這些伺服器未更新系統、不支援或尚未完成TLS設定。
應對Session劫持終於有方法,W3C推DBSC、OpenID基金會推DPoP
雖然現行FIDO技術防禦了登入階段時的密碼遭網釣威脅,但驗證後的其他環節仍有風險,也就是,使用者登入後獲得的Cookie或Access Token,仍可能被惡意軟體竊取,如今W3C正推動的DBSC(Device Bound Session Credentials)標準,以及OpenID基金會推動的DPoP(Demonstrating Proof-of-Possession)標準,有望解決相關威脅。
●思科修補網路存取控制平臺ISE重大漏洞CVE-2026-20147
應用程式安全
供應鏈攻擊層出不窮,自從開源弱點掃描工具Trivy遭滲透後,越來越多資安業者成為攻擊者下手對象,最新消息是Checkmarx與密碼管理解決方案公司Bitwarden遭供應鏈攻擊。
Marimo重大漏洞遭利用,駭客透過Hugging Face散布惡意軟體NKAbuse【CVE-2026-39987】
Python資料分析工具Marimo重大漏洞CVE-2026-39987在開發團隊公布近半個月後,已出現攻擊行動,資安公司Sysdig警告,已有多組人馬加入利用的行列,其中一個是散布DDoS惡意軟體NKAbuse。
AI面試新創平臺Mercor遭供應鏈攻擊,傳言有臺灣企業受影響,已被否認
3月底Python套件LiteLLM遭遇供應鏈攻擊,不久後AI新創Mercor傳出資料外洩,該公司後續透露,發生的原因就與LiteLLM有關,此事後續引起國內關注,因為有網路傳言指出,臺灣有多家企業採用Mercor而受到影響,對此,104與PChome表示,未有資料庫串接或導入使用,他們並未受到影響。
Checkmarx遭供應鏈攻擊,KICS與VS Code延伸套件遭入侵
資安公司Checkmarx成駭客發動供應鏈攻擊的媒介目標,該公司表示影響範圍涵蓋上架於Docker Hub的KICS映像檔、公開GitHub儲存庫ast-github-action,以及兩款VS Code延伸套件Checkmarx與Checkmarx Developer Assist,用戶需留意是否受此事件而下載有問題的版本。
Checkmarx供應鏈攻擊事故影響同樣擴大,密碼管理軟體開發公司Bitwarden推出的NPM套件Bitwarden CLI遭遇供應鏈攻擊,駭客發布了惡意版本2026.4.0,目的是竊取開發環境的機密資料,其特徵與Checkmarx事故一致,疑似該起攻擊活動的延伸。
修補Web應用框架ASP.NET Core DataProtection套件漏洞,用戶須升級並輪換金鑰
現代化Web應用框架ASP.NET Core的DataProtection套件存在漏洞CVE-2026-40372,微軟指出,受影響環境除須升級套件外,若漏洞期間曾對外提供服務,還需輪換DataProtection金鑰,否則攻擊者在此期間取得的合法權杖(Token)仍可能持續有效。
用AI發現漏洞再有新成果,資安研究機構Calif Global與OpenAI合作,揭露macOS終端機工具iTerm2漏洞CVE-2026-41253。iTerm2開發團隊已發布新版修補,呼籲用戶儘速更新。
工作流程自動化平臺n8n遭到濫用,駭客從事網釣活動散布有效酬載
以合法平臺掩護網路犯罪的狀況不斷,近期工作流程自動化平臺n8n竄紅,駭客也濫用此平臺來發動網路攻擊,但令人意外的是,這類攻擊活動近半年已增加近7倍。思科Talos指出,近半年來,駭客濫用n8n寄送的惡意郵件數量成長686%
● JetBrains TeamCity在2024年修補的漏洞被美國CISA列入KEV清單【CVE-2024-27199】
●微軟針對終止支援的舊版Exchange與Skype for Business發布第二階段ESU
身分安全
管理機器身分的挑戰,隨著Agent時代到來再顯擴大,如何應對仍在發展,但有一類議題大家可以優先關注,那就是KYA(Know Your Agent),也就是「認識你的代理人」的概念。
隨著Agentic AI發展,新興技術也帶來新的挑戰,近期FIDO聯盟正積極探討KYA(Know Your Agent),據與會參與討論的FIDO成員指出,過去我們驗證的是「人是否為本人」,但在AI Agent時代,誰來解決「Agent是不是那個Agent」的問題?還有如何持續監控Agent的挑戰需要各界共同設想對應之道。
帳號復原仍用簡訊OTP驗證身分問題可望有解!PNV與eSIM Passkey成焦點
現行雲端服務在帳號復原流程中,仍普遍依賴簡訊OTP驗證用戶身分,為了補強這塊安全缺口,據FIDO聯盟成員指出,目前FIDO生態系正聚焦於與電信業者合作,以強化身分驗證的安全性,在2026年有兩大發展動向受關注,一是電話號碼驗證(PNV)的發展,一是基於eSIM的去電話號碼識別技術。
Apple帳號變更通知遭濫用,有攻擊者將其用於發送釣魚信件,原廠通知機制反成為攻擊管道
Apple帳號變更通知被濫用於發送釣魚信件,在看似正常的原廠通知訊息挾帶釣魚詐騙訊息,攻擊者試圖藉此提高信件可信度,增加通過郵件驗證與過濾機制的機率。
殭屍網路PowMix鎖定捷克企業與求職者發動攻擊,採用隨機C2通訊匿蹤
有駭客鎖定捷克企業的人資與法務部門,以及求職者從事網釣攻擊活動,意圖散布殭屍網路PowMix,此惡意軟體的特別之處,在於C2連線導入隨機通訊機制,光是防堵已知的C2伺服器IP位址,恐難以因應相關攻擊
IoT/OT安全
近年我們多次報導廠商或非營利組織強調eBPF技術的重要性,如今再有業者強調其解決方案同樣是基於eBPF;韌體分析的資安與合規需求同樣受矚目,過去我們報導韌體分析業者揭露臺廠產品的漏洞,如今再有業者看中臺灣在地供應鏈的防護需求。
看好eBPF執行期防護與韌體分析市場,義大利商Exein登臺設立亞太營運中心
歐盟CRA上路在即,全球裝置端資安合規壓力同步升高,義大利物聯網資安業者Exein看重臺灣在供應鏈安全的關鍵角色,宣布在臺成立亞太營運中心暨臺北辦公室。同時,Exein公布聯發科與信驊科技導入其資安技術的最新進展,並表示看好IoT與嵌入式設備對執行期防護、韌體分析市場需求的增長。
Mirai殭屍網路變種Nexcorium綁架TBK DVR設備
出現新的Mirai殭屍網路變種Nexcorium,Fortinet指出這是Mirai的變種,駭客團體Nexus Team試圖操弄mdb與mdc功能參數,藉由觸發老舊CVE-2024-3721漏洞,而能下載指令碼,然後根據目標裝置的系統架構,啟動殭屍網路病毒的有效酬載。
惡意軟體ZionSiphon企圖滲透以色列水利設施,恐影響水資源處理與海水淡化
以色列水處理及海水淡化系統遭攻擊,資安公司Darktrace指出駭客打造專為OT環境設計的惡意軟體ZionSiphon,主要的目的是破壞氯氣和壓力控制的能力,並解析惡意樣本指出此惡意軟體結合了權限升級、透過USB裝置散播、掃描ICS設備等功能。
資安維運
在新竹物流的資安事故中,國內民眾的體感最為強烈,因為上週五即有許多民眾無法存取新竹物流網站,隔日仍是看到系統緊急修復的公告,由於斷網情況持續較久,且官網功能與物流配送息息相關,使得不少民眾紛紛上網反映此事。
新竹物流部分資訊系統遭網攻,服務停擺兩天【公開發行公司資安重訊】
新竹物流從4月17日(週五)多項服務中斷,該公司起初透露是系統當機所致,隔日(週六)該公司則透過證交所公開資訊觀測站發布重大訊息,揭露部分資訊系統遭受駭客攻擊。值得留意的是,新竹物流僅公開發行股票,並未上市或上櫃,不過,他們還是發布股市重大訊息來證實此事。
資安公司Sophos警告濫用虛擬化平臺QEMU迴避偵測的活動有所增加,並指出駭客組織STAC4713用於從事勒索軟體攻擊,藉由惡意程式PayoutsKing加密受害電腦檔案。
中國駭客Mustang Panda針對印度金融機構、韓國外交政策圈,散布後門程式LotusLite
中國駭客散布後門程式LotusLite的情形不斷,繼上個月資安公司Zscaler揭露這方面攻擊活動後,Acronis也發現不同的攻擊活動,指出中國駭客Mustang Panda組織持續從事網路間諜活動,但攻擊目標從政府機關,轉向金融機構與外交政策相關組織。
汽車產業在2025年遭遇勒索軟體攻擊活動暴增,資安公司Halcyon近日發布調查報告指出,2025年汽車產業的資安事故數量較2024年多出近50%,其中勒索軟體是竄升速度最快的資安威脅,占比達44%,而且2025年的攻擊行動數量是2024年的兩倍,英國Jaguar Land Rover(JLR)車廠被迫停止生產1個月就是一例。
Mandiant團隊推免費資安教學平臺FLARE Learning Hub
AI時代仍要基本功,Mandiant新推出FLARE Learning Hub,採實作導向設計,透過Google Docs提供課程教材,目前平臺提供3個教學模組,涵蓋惡意程式分析入門課程、Go可執行檔逆向工程參考資料,以及時間回溯除錯入門教學,協助學習者逐步建立從基礎到進階的分析能力。
●連接線供應商維熹科技發布資安重訊,揭露資訊系統遭受駭客網路攻擊【上市公司資安重訊】
