這一星期臺灣資安大會CYBERSEC 2026舉行是主要焦點,逾二萬名產官學代表齊聚,不僅象徵資安已晉升為國家戰略與全社會韌性的核心,也突顯各界重視AI時代下的防禦轉型與治理。
全球重大威脅事件方面,零時差漏洞攻擊持續焦點,被針對目標包括:Linux核心LPE漏洞CVE-2026-31431(Copy Fail)、cPanel漏洞CVE-2026-41940,以及Palo Alto Networks的PAN-OS漏洞CVE-2026-0300。在此當中,前兩者的影響相當廣泛,也引發各界呼籲企業應儘速落實更新與修補。
政策法規
本週資安界首要動態,莫過於亞洲指標性盛事「臺灣資安大會CYBERSEC 2026」於5月5日至7日連續進行三天,匯聚數十國、逾二萬名產官學代表,並由四百家國內外品牌共同參展。透過兩百餘場專業論壇,大會不僅揭示AI時代的攻防趨勢,更成為政府、企業交流資安治理與法規方針的關鍵平臺。
CYBERSEC 2026揭示臺灣邁向全球資安戰略核心,總統府副秘書長何志偉代表總統賴清德致詞重申「資安就是國安」
臺灣資安大會CYBERSEC 2026於5月5日舉辦開幕典禮,總統府副秘書長何志偉代表總統賴清德致詞,重申「資安就是國安」的戰略地位。美國在臺協會(AIT)代理處長梁凱雯觀察到現場多位內閣首長連袂出席,對此表示高度肯定,並指出這反映出臺灣政府落實「全政府」資安防禦的重視。針對AI帶來的威脅,大會主席、iThome總編輯吳其勳更呼籲,資安必須從技術層面擴散至社會各界,發展為「全社會」的防禦意識。
看不見的國土保衛戰,調查局長陳白立揭開臺灣「第五領域」的資安攻防全貌
數位空間已經成國家繼陸、海、空和太空以外的第五領域,是沒有圍牆的數位國土,法務部調查局長陳白立在臺灣資安大會主題演說指出,調查局正從傳統執法機關,轉型成為國家數位國土防衛的重要支柱,解析關於「第五領域戰爭」的國安報告,從APT長期滲透、AI驅動的勒索攻擊、供應鏈滲透、關鍵基礎設施威脅,到認知作戰與假訊息操作,強調結合科技、情報、政治與心理戰的複合型對抗。
數發部揭露AI風險分類框架草案最新進展,採分類而非分級管理設計
發展AI風險治理框架,臺灣《人工智慧基本法》新進展公布,數發部政務次長侯宜秀指出,臺灣對於AI風險的管理,採取分類概念,而不是分級的概念。這是與歐盟AI法案的差異之一。對於臺灣AI專法立法過程,侯宜秀指出最新進展是畫分出三大類風險:「AI系統本身之技術設計缺陷」,「部署、操作和人機互動問題」,以及「廣泛社會結構與環境衝擊」,這三大類別之下並細分18項子類別。
模擬戰時大規模網攻應對,由北約合作網路防禦卓越中心舉辦的Locked Shields 2026演習於4月24日落幕。這項活動自2010年即展開,本屆集結41國、4000多人參與,特別的是,不只NATO成員國參與,而且除了技術對抗,更涵蓋戰略溝通、國際法及國家決策等複雜挑戰。今年表現最出色的隊伍分別為:拉脫維亞與新加坡聯隊、德奧盧瑞四國聯隊,以及法國瑞典聯隊。
反詐欺版ATT&CK發布!隨著金融詐欺風險程度已不亞於傳統網路攻擊,MITRE指出更嚴峻問題在於,詐欺者常常將傳統網路技術與特定領域的詐欺策略結合,但是,負責阻詐的調查員與資安分析師往往獨立運作,雙方在工具使用、術語定義,以及對攻擊展開方式的理解上,都缺乏統一的標準。如今我們看到MITRE發布MITRE Fight Fraud Framework(F3)框架矩陣,試圖打破這樣的隔閡。
面對代理式AI系統導入浪潮,安全議題備受關注,美、英、加、澳、紐這5國網路安全機構於5月1日聯合發布《謹慎採用代理式AI服務》指引。其幫助在於,將風險歸納為五大類:權限風險、行為風險、結構風險、問責風險,以及設計與配置風險。針對防禦策略,該指引強調漸進式部署、最小權限原則,以及Human-in-the-Loop,同時亦將Secure by Design的概念貫穿AI生命週期。
歐盟網路韌性法(CRA)進入實施倒數,企業的產品資安正從法遵議題轉變為供應鏈存亡關鍵。合勤投控資安長游政卿強調,CRA規範產品要有全生命週期的安全治理,不僅歐盟CE標章制度是一大關注重點,他更想提醒臺灣企業的是,不只企業本身要合規,供應鏈也要合規,即使未直接銷售至歐洲市場,上游供應商同樣需符合要求,因此許多臺灣中小企業也無法置身事外。
推動導入SBOM(軟體物料清單)機制,衛福部也將展開行動,這是繼金管會、數發部之後,另一個對供應鏈透明度展現高度重視的單位。在臺灣資安大會醫療資安論壇上,衛福部資訊處處長李建璋闡釋最新資安推動方針,不只點名醫療AI的資安風險,將在10家醫院營運負責任AI中心,另指出美國FDA已將SBOM納入醫療軟體治理,由於法規往往跟不上科技演進,因此臺灣決定從實務治理著手。
美軍持續加速轉型,強調AI優先作戰力量,美國戰爭部在5月1日宣布,已與全球8家頂尖AI企業簽署合作協議,並將整合至最高機密等級的IL6與IL7網路環境,以應對未來各種新興威脅。特別的是,在這次協議中刻意納入多家不同廠商,主要目的是避免對單一AI供應商形成依賴,強化聯合部隊的彈性。
AI資安
面對AI代理時代的到來,微軟倡議企業應轉向「環境式與自主式」防禦新架構;趨勢科技則示警臺灣74%企業雖積極導入AI,卻有半數難辨新型威脅,須警惕惡意提示詞與大規模身分偽造;台新新光金控分享如何透過AI治理委員會落實金融韌性。這些課題顯示,建立完善治理體系已是企業當務之急。新模型進展也讓資安能力更進一步,特別是GPT-5.5-Cyber與Claude Security的發布備受重視。
Agentic AI時代,微軟強調企業資安走向「環境式、自主式」防禦
面對Agentic AI時代的新挑戰,微軟全球資深副總裁Vasu Jakkal在2026臺灣資安大會提出因應之道,強調企業資安架構須轉向「環境式(Ambient)」與「自主式(Autonomous)」防禦模式。她並針對AI代理治理提出五大解析,包括落實可觀測性、將代理人視為治理主體、導入具適應力的持續性威脅防護、重視資料安全態勢,並將零信任架構延伸至AI領域。她同時勉勵資安從業人員,未來分析師的角色將轉型為代理人的管理者。
4月30日OpenAI執行長Sam Altman宣布,最新的GPT-5.5-Cyber模型將在未來幾天內開放給「關鍵安全夥伴」存取。為防新模型遭惡意濫用,新模型不開放給大眾使用。欲使用的組織必須在網站輸入資訊申請以待審核。關於GPT-5.5-Cyber模型的新特性,提供包括二進位檔逆向工程,強化資安專家分析惡意軟體的能力,或是在不需存取原始碼情況下了解系統軟體漏洞。
Anthropic公布Claude Security供企業掃描漏洞
不久前Anthropic發表Claude Mythos,到了4月底,Anthropic宣布推出Claude Security,可供企業掃描易被AI濫用的軟體漏洞,並且生成建議修補程式,或是由內建Claude模型的第三方安全工具修補。Claude Security原名為Claude Code Security,起初在今年2月提供少數企業試用,並於上週擴大推出並改名Claude Security,現在以公開Beta版提供Claude Enterprise用戶試用。
AI應用當道,許多企業使用從Hugging Face上下載的第三方AI模型,經微調後用於開發AI應用。這些模型往往缺乏變更紀錄,無從追蹤模型開發過程做了哪些修改。為了防範第三方AI模型帶來的供應鏈安全問題,思科近日開源模型溯源工具組(Model Provenance Kit),供企業辨識模型來源,以避免模型身分不明,引發版權或其他安全及合規疑慮。
多數企業應用AI卻缺乏資安管控,引起趨勢科技示警,該公司引用最新TrendAI 2026 global AI study報告數據,臺灣有74%的企業迫於高層或市場壓力,核准了可能帶來資安風險的AI方案,這是一大警訊,不過,該公司也觀察到,企業正加速因應這項挑戰,已有超過半數臺灣企業正著手起草AI治理框架。
預測今年底9成資訊都是AI撰寫?趨勢科技揭示AI演進下的4大風險
從AI漏洞在七年間暴增10倍,到預測今年底將有90%的線上內容由AI生成,網路威脅正以前所未有的速度規模化。在2026臺灣資安大會上,趨勢科技威脅研究總監Ryan Flores示警,不僅內容生成氾濫程度超乎想像,身分偽造也面臨可大規模複製的局面,還要注意攻擊手段已從傳統惡意程式,擴展至更難防範的惡意提示詞。
面對AI風險治理的挑戰,台新新光金控資安長陳詰昌闡釋了金融業如何運用AI創新,同時分享台新新光的具體做法:由AI治理委員會負責策略制定與風險承受度設定,並透過風險管理、模型開發與維運等團隊的分工協作,強調Human-in-the-loop的重要性。此外,他指出AI管理須涵蓋完整生命週期,建議實務上應善用威脅建模工具,並參考NIST AI RMF、ISO 42001與ISO 23894等國際標準。
Gartner預測,生成式AI與AI代理將持續影響企業資料與分析應用的發展,AI能力將影響人才策略,並帶動決策流程與工具轉型,語意層重要性提升,將成為關鍵基礎設施之一,AI工程也將進入內容風險管理應用。
讓世界再次看見臺灣AI資安實力,奧義兩款產品列入OWASP AI安全地圖
臺灣資安新創廠商當中,屢屢引領產業風潮的奧義,繼今年2月正式於台灣證券交易所創新板掛牌交易,本週又有好消息!他們在AI資安產品領域獲得新突破,因為旗下有兩款資安產品列入OWASP最新版AI安全解決方案地圖,而讓全球資安看見臺灣資安創新能力。
Palo Alto Networks收購Portkey,強化AI代理人安全布局
AI代理安全技術的發展,持續受到產業重視,資安業者Palo Alto Networks宣布併購專門開發AI閘道的資安新創Portkey,目的是強化自家Prisma AIRS能力,藉由其執行階段的流量檢查、安全政策強制執行與最小權限的身分控制,補強在AI代理流量與行為的集中治理。在此之前,該公司還併購了資安新創廠商Koi,以強化AI代理時代的端點防護。
近期推出的先進AI模型能力大暴增,迫使企業必須加緊腳步強化資安防禦,既有資安廠商同樣需設法善用AI,強化自家解決方案的功能,去年由Mandiant創辦人Kevin Mandia成立的AI資安新創公司Armadin,也把握這個重要機會,拉攏全球兩大資安廠商CrowdStrike、Palo Alto Networks與其合作,這次報導揭露了他們各自的盤算。
資安研究機構LayerX指出,AI程式碼開發平臺Cursor存在「CursorJacking」設計缺陷,攻擊者可透過擴充套件未授權存取本機API金鑰與Session Token,問題源自未對擴充套件建立存取隔離,恐導致憑證外洩並波及第三方服務,但原廠尚未修補此問題,呼籲用戶謹慎安裝擴充套件。
中國駭客濫用OpenClaw自動化串接攻擊流程,後端記錄逾4.5萬次漏洞利用嘗試
中國駭客借助AI代理發動自動化漏洞攻擊的消息不斷,近期資安業者SOCRadar發現,中國駭客濫用OpenClaw與代號paperclip的集中式後端發起自動化攻擊,主要鎖定受React2Shell與Log4Shell影響的Web應用程式。
北韓駭客Famous Chollima透過AI生成惡意NPM套件,洗劫開發者加密貨幣資產
北韓駭客Famous Chollima近期發動新一波攻擊,上架惡意NPM套件、使LLM採用,然後執行惡意程式,資安公司ReversingLabs將此攻擊活動命名為PromptMink,並指出被汙染的套件於2月28日引入。該公司指出這是對某個加密貨幣交易專案的調查,發現AI程式碼助理將惡意的@validate-sdk/v2視為相依套件,但實際上,該套件是駭客偽造的常見資料驗證工具,會從受害電腦抽取敏感資料。
惡意OpenClaw技能套件被用於散布Remcos與GhostLoader
資安廠商Zscaler發現,有人從3月開始透過惡意技能套件DeepSeek-Claw,針對Windows、macOS、Linux用戶散布惡意程式,藉此竊取憑證、瀏覽器Cookie、加密貨幣錢包,以及API金鑰等機敏資料。而且,根據作業系統的不同,此套件會有不同部署模式。
資料安全
這一星期的資料安全威脅事件,從國內電源設備大廠碩天遭勒索軟體攻擊,到國際資安大廠Trellix傳出原始碼儲存庫遭非法存取,顯示即便具備專業防禦能力的機構也難以完全免疫。此外,UK Biobank發生內部人員導致的重大資料外洩,加上駭客組織ShinyHunters持續鎖定Instructure與Nvidia夥伴發動大規模攻勢,均顯示駭客組織正持續鎖定具備大量個資與核心技術的目標。
電源設備製造商碩天遭勒索軟體攻擊【上市公司資安重訊】
專注於電源解決方案的科技公司碩天(3617)於5月7日下午在股市公開觀測站發布資安重訊,指出有不明人士入侵主機並將部分伺服器加密的情況,他們察覺此事後隨即啟動資安防禦機制並進行復原,對於這起事故可能會造成的影響,該公司經初步評估,表示對財務、業務,以及營運皆無重大影響。
對資安廠商而言,發生資安事故不僅尷尬,更挑戰其專業信譽,但資安本是場沒有終點的對壘,沒有任何廠商能完全免疫。資安公司Trellix近日在網站上發布公告,表示他們部分原始碼的儲存庫遭到未經授權存取,該公司察覺此事後隨即尋求資安鑑識專家協助,並通報執法部門。根據初步調查結果,目前發布流程尚無受到影響,原始碼亦無遭到利用的跡象。
英國生物樣本庫經內部研究人員外洩,50萬筆記錄流入阿里巴巴兜售
根據英國媒體報導,4月20日全球最大生物樣本資料庫UK Biobank近日發生重大資安事件,50萬筆所有參與者的生物資料外洩,並放上中國電商平臺阿里巴巴兜售。UK Biobank發現有三批資料集被不同賣家放上阿里巴巴持有的消費者電商平臺出售,其中至少有一筆是來自UK Biobank所有50萬自願參與者的資料。
ShinyHunters宣稱竊得Canvas開發商、Nvidia GeForce NOW數百萬個人資料
又有廠商遭到勒索軟體ShinyHunters的攻擊!該組織上週宣稱駭入Canvas開發商Instructure及Nvidia GeForce NOW遊戲平臺,分別取得2.8億及數百萬筆用戶資料。Instructure坦承遭到網路攻擊,Nvidia表示該事件只影響該公司在亞美尼亞營運GeForce NOW網站的合作夥伴,並非本身系統被駭。
端點安全
Linux核心LPE出現零時差漏洞攻擊事件,針對目標為CVE-2026-31431(Copy Fail),由於修補前已有漏洞利用跡象,加上該弱點影響範圍極廣,涵蓋全球雲端工作負載與Kubernetes叢集,各界強烈要求企業儘速落實修補。另一引發關注的消息是,英國NCSC針對HDMI與DP連線推出硬體防護技術,強調端點螢幕連線亦存在遭駭風險。
Linux核心漏洞Copy Fail已遭利用,影響多個主流Linux版本【CVE-2026-31431】【Copy Fail】
Linux核心高風險漏洞Copy Fail(CVE-2026-31431)揭露,震撼全球IT!微軟警告將對雲端環境帶來重大衝擊,大量雲端Linux工作負載及數百萬個Kubernetes叢集,也同樣受到Copy Fail影響,呼籲用戶應立即採取行動因應;資安業者Palo Alto Networks也指出,還無法安裝更新的用戶,應採停用受影響的algif_aead模組等措施來緩解因應。Linux核心維護團隊也發布資安公告,說明緩解Copy Fail的有關細節。美國CISA已將此漏洞列入已遭利用漏洞KEV清單。
通報此漏洞的是資安廠商Theori的韓國研究人員,指出這項漏洞存在Linux系統核心長達9年,並特別設立專屬網站說明問題的成因與影響範圍,同時提供概念驗證程式,促使大家盡快因應迫切的危機。這個問題影響的範圍非常廣泛,涵蓋2017年以後發行的所有Linux版本,多個Linux版本均已發布相關資安公告,包括:Amazon Linux、Arch Linux、CloudLinux、Debian、Gentoo、Red Hat Enterprise Linux、SUSE、Ubuntu。
螢幕連線也可能被駭?英國NCSC授權新型HDMI/DP硬體防護技術
螢幕與電腦間的顯示連線也存在資安風險!英國國家網路安全中心(NCSC)對此公布技術對策,宣布推出全球首款針對顯示連線、也是首款掛名NCSC品牌的硬體防護產品SilentGlass。這類設備已於英國政府部署與驗證一段時間,其特殊性在於,標榜在HDMI與DisplayPort顯示連線上,主動阻擋非預期或惡意行為,將「筆電與螢幕之間的連線」重新納入企業能夠治理的安全邊界。
FreeBSD修補DHCP用戶端重大漏洞,未更新可能導致遠端執行程式碼攻擊
FreeBSD修補DHCP用戶端元件dhclient重大漏洞(CVE-2026-42511),攻擊者可透過偽造DHCP伺服器傳送惡意回應,利用dhclient處理BOOTP欄位的缺陷注入指令,並於系統重啟或重新解析lease檔案時觸發,最終可能取得root權限並執行遠端程式碼,建議用戶儘速更新至已修補版本。
微軟Phone Link應用程式被濫用,惡意軟體CloudZ竊取手機簡訊與OTP
思科威脅情報團隊Talos揭露惡意程式CloudZ RAT的攻擊行動,駭客1月開始使用CloudZ RAT及其外掛程式Pheno,企圖竊取受害者的憑證與動態密碼(OTP)。此惡意程式特別之處在於,濫用Phone Link應用程式的功能,挾持電腦與手機之間的同步機制,從而在無須於手機植入惡意程式的情況下,攔截手機上的簡訊或動態密碼等敏感資料。
Android惡意程式NGate新變種,偽裝行動支付工具竊取信用卡資料
Android惡意程式NGate出現新變種,資安業者ESET指出,攻擊者透過偽造HandyPay NFC支付App,誘導用戶安裝並竊取信用卡資料與PIN碼,該惡意程式可利用NFC技術獲取與傳輸用戶信用卡資訊,進而盜刷甚至用於ATM提款。這一波攻擊目前鎖定巴西用戶,但用戶仍應避免安裝不明來源App,並在不使用時關閉NFC功能,以降低風險。
Android本月份例行更新出爐,這次僅修補一項重大層級的資安弱點CVE-2026-0073。此漏洞出現在該作業系統的系統元件Android Debug Bridge Daemon(adbd), Google已為Android 14以上版本進行修補。
網路安全
鎖定企業網路邊緣的零時差漏洞攻擊仍是本週焦點,Palo Alto Networks修補已遭國家級駭客利用的PAN-OS漏洞CVE-2026-0300,攻擊者可藉此取得root權限執行任意程式碼:此外,DDoS攻擊出現新態勢,駭客竟採取慢速且低調的長時攻擊模式,成功規避傳統流量偵測機制。
Palo Alto Networks修補已遭利用零時差漏洞【CVE-2026-0300】
資安公司Palo Alto Networks揭露防火牆作業系統PAN-OS資安漏洞CVE-2026-0300,此弱點存在於User-ID身分驗證入口網站,屬於記憶體緩衝區溢位類型的漏洞,未經身分驗證的攻擊者透過特製封包,就能在防火牆以root權限執行任意程式碼,CVSS v4.0風險評為9.3分。值得留意的是,該漏洞已出現遭到利用的情況,相關修補程式最快一週之內提供,但部分版本可能要等到5月30日提供。
該公司威脅情報團隊Unit 42指出,從4月9日起觀察到利用CVE-2026-0300的活動,一週後駭客於防火牆發動遠端程式碼執行(RCE)攻擊,並注入Shellcode,幾天後駭客部署多個具有root權限的工具,並利用防火牆服務帳號對AD進行偵察。到了4月29日,這些駭客發動SAML洪水攻擊,並對另一臺防火牆發動攻擊,然後下載網路隧道工具EarthWorm與ReverseSocks5。
DDoS 不只有短時大流量衝擊,也存在慢速、隱蔽且長期的攻擊模式。DataDome的Galileo團隊在2026年4月緩解一波網頁機器人(bot)DDoS流量攻擊,對方以時間換取空間,在5小時內發出24.5億次請求,並且未曾觸發傳統防護方案流量限制的機制。研究人員發現,這波攻擊的殭屍網路橫跨16,402個自主系統,遍及120萬個不重複IP位址。
Ubuntu與Canonical網站疑似遭遇DDoS攻擊而停擺
維護Ubuntu Linux作業系統的廠商Canonical,旗下有多個網站面臨DDoS攻擊,發動這波行動的是親伊朗的駭客組織,自稱「伊拉克伊斯蘭網路抵抗組織—313團隊」。根據Canonical與Ubuntu服務狀態網站的公告,以及其社群網站X最新貼文,他們表示,網站基礎架構正面臨持續且跨越多國的網路攻擊,Canonical正在處理這起事故。然而,他們至今尚未發布DDoS攻擊導致網站服務中斷的正式聲明。
思科網路管理平臺存在阻斷服務漏洞,IT人員需手動重開機才能恢復運作
思科發布資安公告,說明網路自動化與控制平臺Crosswork Network Controller(CNC),以及網路服務編排平臺Network Services Orchestrator(NSO)存在資安漏洞CVE-2026-20188。此漏洞的CVSS風險評為7.5分,其風險在於,一旦遭到利用,攻擊者可在未經身分驗證的情況下,造成CNC與NSO出現服務中斷(DoS)的現象,IT人員必須手動重新啟動系統,才能從此狀態中恢復。
DDI與DNS安全解決方案廠商Infoblox宣布完成併購Axur,此次併購將結合該公司的DNS防護能力,以及Axur的外部威脅偵測能力,強化在攻擊早期階段進行偵測與阻擋。Infoblox將基於Axur的AI技術,推出數位風險防護服務(DRPS),這項服務每日掃描4千萬個網址,可偵測釣魚攻擊、品牌濫用與憑證外洩等風險,並將偵測結果與Infoblox威脅防護平臺整合,即時阻擋對於惡意目標的存取。
應用程式安全
cPanel零時差漏洞攻擊帶來的重大危害備受關注,攻擊者鎖定的漏洞是CVE-2026-41940,由於cPanel與WHM廣泛用於Linux主機環境,影響範圍廣大,相關新聞消息也不斷傳出,甚至也有不少臺灣網站遭Sorry勒索軟體侵襲,網站頁面上方出現攻擊者置入勒索說明;供應鏈安全同樣嚴峻,不論是駭客組織TeamPCP發動Mini Shai-Hulud攻擊,還有SAP、Intercom與PyTorch Lightning等熱門套件遭鎖定的消息,持續突顯開發組件防禦已是不容忽視的課題。
cPanel修補已遭利用零時差漏洞,臺灣亦有組織網站亦受影響【CVE-2026-41940】
cPanel在4月28日發布緊急更新,修補影響cPanel與WHM管理平臺的重大身分驗證繞過漏洞CVE-2026-41940,由於cPanel與WHM廣泛用於Linux主機環境,影響範圍廣大,該漏洞不僅被美國CISA列入已知漏洞利用(KEV)清單,主機代管服務業者KnownHost執行長更表示曾在2月23日就已察覺這類嘗試行為。
到了5月1日出現cPanel重大漏洞出現濫用的概念驗證框架,這是由資安研究員Yunus Emre Öztaş發布於GitHub,其簡介對於CVE-2026-41940屬於身分驗證繞過類型漏洞,提供更清楚的說明。同日Shadowserver基金會於社群網站X發文,警示濫用CVE-2026-41940的攻擊持續發生,他們發現4.4萬個IP位址疑似遭駭,而且針對他們設置的蜜罐誘捕陷阱進行掃描、漏洞濫用或暴力破解攻擊。
同日各界亦發現針對cPanel重大漏洞的全球攻擊活動迅速升溫,有3則消息顯示其嚴重性,例如資安研究機構Censys發現的新增惡意主機中,近8成與cPanel有關,Mirai變種惡意程式與Sorry勒索軟體是目前兩種主要攻擊手段。國外資安媒體亦收到許多消息來源指出,Sorry勒索軟體藉此部署可加密大量檔案的惡意程式,已有不少網站遭殃,網頁頂端直接被攻擊者置入勒索說明,我們也發現有臺灣網站出現此狀況,包括監督執政聯盟、阿洲工作室、台炘公司、台灣要健康環境永續協會,但截稿前未得到回應。還有資安研究機構Ctrl-Alt-Intel揭露,已有攻擊者藉此漏洞鎖定東南亞政府與軍事機構。
中國內容管理系統MetInfo重大漏洞已被積極利用【CVE-2026-29014】
米拓(MetInfo)是中國網站管理公司米拓信息旗下CMS內容管理平臺,4月初,該公司揭露與修補漏洞CVE-2026-29014,後續有資安公司揭露出現實際攻擊活動。威脅情報公司VulnCheck指出自4月25日察覺漏洞利用活動,攻擊者針對少量美國與新加坡主機下手;5月1日則發現位於新加坡的蜜罐陷阱出現漏洞利用活動大幅增加的現象,攻擊來源大多位於中國與香港。
因應AI加速漏洞的態勢,Oracle有意調整發布例行更新週期
多年以來,Oracle均維持每季發布Critical Patch Update(CPU)例行更新,4月29日Oracle宣布,在每季推出的Critical Patch Update(CPU)例行更新之外,將於其他月份發布當月更新Critical Security Patch Update(CSPU)。CSPU套件更小使用戶修補變得更加容易,並針對重要的資安問題進行精準修補,使得該公司客戶在下一次CPU更新發布之前,能夠處理高風險層級的漏洞。
最新一波NPM套件供應鏈攻擊活動鎖定商用軟體大廠SAP,該公司多個套件受到影響。根據多家資安公司的研判,發起這波Mini Shai-Hulud行動的攻擊者,很有可能就是3月發動大規模攻擊的駭客團體TeamPCP。
熱門PyPI套件PyTorch Lightning遭遇供應鏈攻擊
資安公司Aikido、OX Security、Socket、StepSecurity提出警告,熱門PyPI套件PyTorch Lightning遭遇供應鏈攻擊,駭客於4月30日上架惡意版本2.6.2與2.6.3。值得留意的是,這些資安公司不約而同指出,這起事故是Mini Shai-Hulud的延伸。對此,PyTorch Lightning開發團隊證實此事,並表示他們的帳號疑似遭到蠕蟲程式完全入侵,後續發布完整的資安公告。
Intercom遭到供應鏈攻擊Mini Shai-Hulud波及
NPM套件intercom-client近期發布的7.0.4版遭到滲透,此為Intercom用戶端訊息平臺的Node.js軟體開發套件(SDK),一旦開發人員不慎安裝,就會從GitHub下載未經驗證的Bun二進位檔案;另一個駭客使用的檔案為高度混淆處理的JavaScript檔案,用途是從環境變數與本機檔案收集Kubernetes與Vault的憑證,然後經加密處理並經由GitHub API外流資料。
Wireshark修補逾40項漏洞,AI輔助通報加速風險揭露與修補
開源封包分析工具Wireshark釋出4.6.5版,修補逾40項安全漏洞,涵蓋多種協定解析與編碼元件,部分缺陷可能導致當機、阻斷服務,甚至在特定條件下執行任意程式碼。Wireshark表示新版本修補漏洞數量增加,與AI輔助通報的應用趨勢有關,建議使用者儘速更新,以降低潛在攻擊風險。
Oracle釋出2026年4月關鍵修補更新,共修補241項漏洞
Oracle在2026年4月關鍵修補更新(Critical Patch Update,CPU)中共修補241項漏洞,涵蓋資料庫與中介軟體等28個產品家族,其中包括22項重大漏洞,建議用戶儘速更新,以降低遭攻擊風險。
Wazuh是提供威脅防禦、偵測和回應的免費及開源平臺,近期揭露並修補CVSS風險值9.9的重大漏洞CVE-2026-30893,其風險在於可讓攻擊者在受害者網路上橫向移動、覆寫系統檔案,及執行任意程式碼。Wazuh專案已釋出4.14.4版解決本漏洞。
Apache基金會本週發布2.4.67版網頁伺服器軟體HTTP Server,總共修補11個資安漏洞,其中被列為重要(Important)等級的CVE-2026-23918最值得留意,CVSS風險為8.8分。該漏洞不只能被用於執行任意程式碼,還有可能導致網頁伺服器服務中斷(DoS)。
Node.js沙箱函式庫vm2被發現存在重大沙箱逃逸漏洞CVE-2026-26956。GitHub安全公告顯示,此重大漏洞的CVSS v3.1分數為9.8,攻擊者若能將經過特殊設計的程式碼交由VM.run()執行,就可能跳出沙箱,並在主機端執行命令。PoC片段與poc.js檔案現已於GitHub公開,建議使用者升級至vm2 3.10.5或更新版本。
Java網路應用程式框架Apache MINA修補兩項重大漏洞
Apache MINA修補兩項重大漏洞(CVE-2026-42778、CVE-2026-42779),問題源自Java反序列化驗證與過濾機制缺陷,攻擊者可繞過類別名稱允許清單(classname allowlist)與安全檢查,發送惡意序列化資料觸發遠端執行程式碼漏洞。這兩項漏洞會影響2.1.x與2.2.x版本,建議立即升級至已修補版本。
NemoClaw是Nvidia三月公布的自主AI代理人開源開發平臺NemoClaw,強調比OpenClaw具備企業需要的穩定、安全及隱私性。近期Nvidia發布NemoClaw軟體安全更新,修補高風險漏洞CVE-2026-24222與中度嚴重性漏洞CVE-2026-24231,Nvidia呼籲用戶升級到NemoClaw 0.0.18版來緩解兩個漏洞。
企業檔案傳輸自動化工具MOVEit Automation存在重大漏洞
Progress Software修補MOVEit Automation兩項漏洞,其中CVE-2026-4670是認證繞過的重大漏洞,呼籲用戶儘速修補,並提醒要透過完整安裝程式升級到已修補版本。
WhatsApp修補觸發惡意連結漏洞,未修補恐使短影音被利用為攻擊入口
WhatsApp修補兩項資安漏洞,其中一項與Instagram Reels訊息處理驗證不足有關,恐被利用觸發惡意連結;另一項則影響Windows版附件顯示機制,可能讓惡意程式偽裝為一般文件,目前尚未發現實際攻擊案例,建議用戶儘速更新至最新版本以降低風險。
Google發布Chrome 147穩定版更新,修補30個漏洞,其中包含4個涉及記憶體釋放後再存取使用(Use After Free)問題的重大漏洞,影響Canvas、Accessibility等瀏覽器元件,建議用戶儘速更新,以降低被攻擊風險。
Google針對電腦版與Android版用戶推出148版Chrome更新,總共修補127個資安漏洞,數量比前一次Chrome 147安全更新修補的30個漏洞多出不少。其中最值得注意是存在於排版引擎Blink的漏洞CVE-2026-7896,CVSS風險值為8.8,Google並頒發4.3萬美元獎金給通報此漏洞的研究人員。
北韓駭客ScarCruft利用安卓惡意軟體BirdCall攻擊中國境內脫北者
資安廠商ESET揭露ScarCruft鎖定中國延邊地區的攻擊行動,他們透過供應鏈攻擊滲透當地的遊戲平臺,於Windows與Android版遊戲植入後門程式BirdCall。ESET指出,以往BirdCall只針對Windows用戶,近期首度發現Android版本,駭客實作Windows版的部分指令與功能,蒐集聯絡人、簡訊、通話記錄、檔案與金鑰。除此之外,還能進行螢幕截圖,並錄製週遭的聲音。
蘋果App Store驚見假錢包,FakeWallet攻擊竊取助記詞
假冒知名App的網釣、詐騙與惡意威脅不斷,近來有駭客上架假官方數位錢包App,鎖定多數官方錢包無法在中國區App Store上架的現況作為切入點,透過取名與圖片偽冒相似的假App作為入口,誘導使用者轉往其他管道下載惡意程式。資安業者Kaspersky指出,至少26款偽裝成主流加密貨幣錢包的應用程式遭用於相關攻擊。
中國AI公司深度求索(DeepSeek)4月24日發布新一代語言模型DeepSeek V4,推出數個小時之後,微軟威脅情報團隊發現有人假冒此模型的名義設置GitHub儲存庫,導致有使用者下載了竊資軟體Vidar與惡意代理伺服器程式GhostSocks。對此,GitHub已關閉惡意儲存庫、封鎖惡意帳號。
身分安全
身分安全存在不同層面議題,近期數位憑證機構DigiCert遭駭事件即同時展現兩大挑戰:一是攻擊者假冒客戶利用社交工程手段入侵客服端點,二是其行動直接針對身分信任源頭發動攻勢。此外,機器身分安全議題持續成焦點,近期資安大廠併購非人類身分(NHI)安全新創的消息,也顯示這類技術與需求的戰略地位提升。
數位憑證機構DigiCert客服系統遭受社交工程攻擊,EV程式碼簽章憑證外洩遭撤銷
數位憑證機構DigiCert提交事故報告指出,該公司客服支援系統遭遇社交工程攻擊,攻擊者假冒客戶聯繫客服系統,透過偽裝.scr檔案入侵客服系統端點設備,取得EV程式碼簽章憑證初始化資訊,進一步濫用憑證散播惡意軟體。事件發生後,DigiCert已撤銷約60張受影響憑證,同時強化存取與驗證機制。
思科將買下聚焦於非人類身分安全的Astrix Security
近期機器身分安全當紅,有許多專家或組織強調是2026年的資安重頭戲,最近科技大廠亦有這方面的策略佈局展開。例如思科宣布收購非人類身分(NHI)安全新創Astrix Security,展現對此趨勢的重視。Astrix Security專注於保護API金鑰、服務帳號、OAuth權杖及AI代理人等非真人操作的身分節點。思科計畫將其整合至Identity Intelligence、Duo與Splunk,搶攻新興身分安全市場。
新網釣攻擊手法ConsentFix v3能自動化攻擊Azure環境
經營瀏覽器防護的資安公司Push Security近期在網路犯罪論壇XSS,看到疑為俄羅斯國家級駭客介紹的第三代ConsentFix(ConsentFix v3),駭客使用類似資安廠商部落格文章的形式,介紹該手法使用的重要技術,包括:OAuth授權、同意網路釣魚、刷新權杖(Token),以及Family of Client IDs(FOCI)。並介紹ClickFix與ConsentFix的關聯。
BEC郵件詐騙手法採用AI深偽技術,讓商業詐騙進入「真假難辨」新階段
商業電子郵件詐騙(BEC)的威脅演進值得重視,曾任職於KPMG、鴻海集團的遠東新世紀資安處資安長易換棣,在今年臺灣資安大會中分享他的觀察及經驗,指出BEC手法已由早期1.0假冒身分寄送偽冒的付款郵件,到2.0接管合法帳號,到3.0開始假借知名網路平臺、運用AI深偽技術的4.0。他認為防禦重點應從技術轉向治理,企業必須強化信任機制並優化商業流程管理才能有效應對。
駭客冒充IT與客服人員,透過跨租戶Teams通訊進行社交工程攻擊
駭客冒充IT人員或客服人員發動服務供應鏈攻擊的狀況日益頻繁,除了電子郵件,整合通訊平臺也成為攻擊者利用的管道之一。微軟近日提出警告,他們發現駭客冒充IT人員或客服人員建立跨租戶的Teams通訊,並透過社交工程手法誘騙員工授予遠端桌面存取權限,得逞後他們透過快速助手(Quick Assist)或其他遠端監控與管理(RMM)工具建立存取管道,並執行經受信任廠商簽章的應用程式,搭配攻擊者自己的模組執行惡意程式碼。
Tycoon 2FA遭打擊後失去釣魚工具主導地位,但威脅仍增加
釣魚即服務平臺Tycoon 2FA在遭多國打擊後影響力下降,資安廠商Barracuda Networks卻發現駭客轉向EvilProxy等替代工具,整體攻擊不減反增,攻擊次數已由約2,000萬次增至2,300萬次,駭客還透過重複使用既有技術,使釣魚攻擊工具生態趨於分散且更難防範。
資安業者Kaspersky指出,駭客正濫用Amazon SES雲端郵件服務發動釣魚攻擊,透過外洩的AWS IAM金鑰控制合法帳戶寄送郵件,由於這類郵件可通過SPF、DKIM等驗證機制,較以往釣魚郵件更難以辨識與防禦。Kaspersky提醒,企業應強化金鑰管理與多重驗證,避免帳戶遭到濫用。
ChatGPT與Codex用戶能以實體金鑰登入,關閉以Email、SMS恢復帳號
OpenAI推出進階帳號安全機制(Advanced Account Security),其特色在於為ChatGPT及Codex用戶提供實體金鑰支援,關閉以電子郵件和SMS恢復帳號、自動將用戶退出模型訓練等確保帳號安全性。特別的是,OpenAI並和Yubico聯名推出YubiKey金鑰,包含筆電用的YubiKey C Nano及行動裝置用的C NFC,售價68美元。
IoT/OT安全
關鍵CI與OT安全持續是多國防禦重心,近期兩大消息受關注,一是美國CISA啟動CI Fortify計畫,強化能源與國防設施的隔離與復原韌性,以因應中、俄、伊等國資安威脅,另一是針對中國駭客組織經常利用路由器等IoT設備建構隱蔽網路,英國NCSC聯合15國發布防禦指引。相關消息突顯這類防護已從單一設施安全提升至全球協作的戰略層級。
美國CISA推動CI Fortify計畫強化美國基礎設施韌性
美國CISA啟動關鍵基礎設施強化(CI Fortify)計畫,要求能源、國防等基礎設施機構增加投資,以強化隔離作業及回復運作的能力,因應地緣政治中的網路安全威脅。主要是為了因應美國能源或軍事設施傳遭到中國、伊朗、俄羅斯等國家駭客發動攻擊事件,其重點在於防範關鍵能源、電信等OT運作遭入侵與破壞。
15國網路安全機構聯合發布防範「中國相關隱蔽網路」的防禦指引
隱蔽網路與殭屍裝置成為跨國防禦焦點,英國NCSC聯合15國網路安全機構發布防範「中國相關隱蔽網路」的防禦指引,該指引主要聚焦中國駭客組織Volt Typhoon、Flax Typhoon等的攻擊行動而來,指出攻擊者利用相對容易入侵的網路設備,包括家用路由器等各式智慧電子設備成為破口,建構秘密活動網路,目的是隱藏網路攻擊的實際來源,提高究責的難度,這份指引針對此類威脅提出警示,並提供相應的防禦指引。
資安維運
資安維運面臨AI加速威脅的新挑戰,英國NCSC警告AI將加快技術債中弱點的發現與利用,預期引發弱點修補潮,呼籲組織提升修補頻率並將供應鏈納入考量;在從威脅活動揭露消息來看,近期中國駭客組織Shadow-Earth-053與UAT-8302的攻擊活動揭露,亦突顯落實基礎已知漏洞修補與管理技術債,仍是維運防禦的核心。
過去累積的技術債問題,正隨AI技術進步而成為攻擊者鎖定的肥美目標,英國國家網路安全中心(NCSC)呼籲大家重視此問題。就像之前臺灣資安專家所談及:「過去很多系統不是因為真的安全,僅是駭客覺得不值得花時間研究」。如今英國NCSC也強調,AI可能加快新弱點被發現與利用的速度,預期軟體生態系將出現一波被迫修正技術債的壓力,形成NCSC所稱的弱點修補潮,因此該組織建議企業應調整弱點管理流程,準備更快速、頻繁且大規模地部署安全更新,並把供應鏈納入考量。
為了推動Agentic SOC等投資,資安公司Arctic Wolf傳出要裁員250人
資安公司Arctic Wolf近期裁員250人,約占員工總數的7%,目的是強化威脅情報平臺與代理型資安營運中心(Agentic SOC),投入更多與AI相關的資金,涵蓋銷售、產品開發、行銷多個部門,其中部分員工在職超過4年。該公司發言人證實此事,表示該公司確實在進行組織再造,使公司架構及投資方向更符合長期經營策略。
Fortinet資安平臺邁入8.0,擴增AI控管與量子安全防護特色
在4月底Fortinet的主要資安系統平臺FortiOS正式推出8.0版,主要特色涵蓋AI驅動的安全防護、次世代SASE、量子安全防護。以AI防護而言,Fortinet提供企業掌握AI攻擊面與影子AI的能力,能監控MCP與代理對代理等活動;同時也將OCR整合至DLP,另也擴大量子安全的防護範圍,包括可將ML-DSA演算法用於身分認證與金鑰建立,以及支援TLS 1.3與FIPS 204/205混合金鑰交換等。
惡意軟體Quasar Linux結合後門與Rootkit功能,鎖定開發人員而來
趨勢科技揭露功能非常複雜的Linux惡意軟體Quasar Linux(QLNX),甚至能夠動態編譯Rootkit的共用物件與PAM後門模組,相當少見。特別的是,此惡意程式也鎖定軟體供應鏈的開發者與DevOps相關憑證,並擷取機密資料,接著再能以受害者的名義,於NPM或PyPI上架惡意套件發動供應鏈攻擊,存取雲端基礎設施,或是透過CI/CD管線尋找其他目標。
中國駭客鎖定亞洲政府機關與北約國家,利用Exchange與IIS主機弱點進行滲透
趨勢科技近日揭露新的中國駭客組織Shadow-Earth-053,利用可透過網際網路存取的Exchange伺服器,或是IIS網頁伺服器的已知漏洞,企圖植入稱做Godzilla的Webshell,以建立長期存取的管道,然後使用DLL側載手法,載入具有合法簽章的惡意程式ShadowPad。值得留意的是,駭客入侵受害組織最常使用的資安漏洞是ProxyLogon,這代表已公布並修補多年的資安漏洞,有些企業仍未修補。
中國駭客Shadow-Earth-053傳利用React2Shell滲透Linux主機
趨勢科技在4月底揭露中國駭客組織Shadow-Earth-053的攻擊活動,特徵在於主要透過ProxyLogon等已知漏洞,將Exchange郵件伺服器或IIS網頁伺服器作為初期的入侵管道,偵察AD環境,最終在Windows電腦植入惡意程式ShadowPad,不過,在該公司的調查過程中,也發現該組織攻擊Linux伺服器的情況,其滲透方法是利用React2Shell投放變種後門程式Noodle RAT。
中國駭客UAT-8302對南美洲、東南歐政府機關發動大規模APT攻擊
思科威脅情報團隊Talos揭露中國駭客組織UAT-8302,指出相關活動至少可追溯到2024年底,當時他們針對南美洲政府機關發動攻擊,但從2025年開始,這些駭客將目標轉移到東南歐國家。這些駭客在成功入侵受害組織後,他們就會使用自製的惡意程式,其中一個是以.NET打造的後門程式NetDraft(NosyDoor),駭客以C#後門FinalDraft(SquidDoor)為基礎進行改良而成。
勒索軟體Gentlemen透過代理伺服器工具SystemBC滲透企業組織
資安公司Check Point上週揭露勒索軟體即服務平臺業者Gentlemen,透過租用模式(RaaS)號召打手,並廣泛提供不同型態的檔案加密工具,可運作在Windows、Linux、BSD等作業系統、NAS,以及虛擬化平臺VMware ESXi,宣稱已導致320多個企業或組織受害。根據Check Point的調查,Gentlemen曾在一起事故部署代理伺服器工具SystemBC,可能有1,570家企業組織遭到感染。
勒索軟體VECT 2.0加密檔案出錯,受害者付錢也無法完全復原檔案
勒索軟體VECT威脅升溫,主因是該威脅組織近期發布的2.0大改版,不過資安公司Check Point發現,其威脅更嚴峻的是──遭綁架的資料無法恢復,原因在於,新款勒索軟體對於容量超過128 KB檔案的加密處理機制實作存在弱點,導致用於解密的nonce資料每4組就有3組會被清除,因此這代表攻擊者也無法將檔案還原,遭受攻擊的企業即便付了贖金也無法復原檔案。
資安公司ESET揭露中國駭客GopherWhisper攻擊蒙古某個政府機構,這些駭客使用多種以Go語言撰寫而成的工具,目的是部署並執行各種後門程式,同時,攻擊者也濫用Discord、Slack、Microsoft 365 Outlook,以及雲端檔案共享服務file.io等合法服務,進行C2通訊與資料外洩。
