微軟 | RAMPART | Clarity | 代理

微軟開源RAMPART,讓代理安全測試CI化

微軟開源RAMPART與Clarity專案,分別協助工程團隊把AI代理安全風險轉成可在CI反覆執行的測試,並在開發前釐清假設、失敗情境與設計決策,降低迴歸問題與重工風險

2026-05-21

端點安全 | CVE-2025-11159 | 第三方元件漏洞 | rce

Hitachi Vantara修補Pentaho資料整合與分析平臺重大漏洞,未更新可能導致遠端執行程式碼攻擊

Pentaho平臺內含第3方軟體元件存在漏洞,可能造成攻擊者執行外部腳本,進而存取敏感資料甚至執行任意程式碼,用戶需儘速更新

2026-05-21

資料安全 | CISA | GitHub

CISA暴露的GitHub儲存庫公開844 MB機密資料

針對上週美國網路安全暨基礎設施安全局(CISA)的GitHub公開暴露大量內部機密的事故,察覺此事的資安公司GitGuardian公布細節,並指出這批資料已在網路上公開約有半年

2026-05-21

政府機關資安長共識營 | 臺灣資安大會 | 數位發展部 | 資安署 | AI代理 | 資安治理 | 國家資安政策

資安署擴大資安長共識營規模,首度邀集五院建立資安治理共識

為強化國家數位韌性,資安署今年擴大舉辦資安長共識營,首度納入五院及國安體系,將聯防層級提升至全政府維度,本次活動除點名AI代理為新興資安破口,更重要的是縮小各機關治理端的認知落差,透過對齊各部會資安長觀點,避免決策與資源配置失衡,強化國家聯防體系的韌性

2026-05-21

Anthropic | Claude Code | 資安 | 漏洞揭露

Anthropic悄悄修補Claude Code 2個沙箱繞過漏洞,研究人員批評陷用戶於風險中

資安研究人員揭露Anthropic修補Claude Code沙箱漏洞爭議。官方收到通報後未發布資安公告,僅在版本說明中以內部修正帶過,不符合漏洞揭露原則,也可能提高用戶端風險

2026-05-21

CVE-2026-9082 | Drupal

Drupal修補重大SQL注入資安漏洞,並破例為已停止支援版本發布更新

Drupal開發團隊於兩天前預告即將修補重大漏洞,他們如期於20日發布相關更新,修補超重大等級(Highly Critical)漏洞CVE-2026-9082,並罕見對不再支援的分叉版本提供更新檔案

2026-05-21

端點安全 | 熱修補 | hotpatch | Windows Server 2025 | Azure Arc

為了推廣Azure Arc混合雲管理架構,微軟開放部分版本Windows Server 2025用戶使用熱修補功能

微軟藉由Azure Arc管理平臺,將免重開機更新功能從雲端擴展到地端環境,企業伺服器每季僅需重啟一次

2026-05-21

GitHub | 資料外洩 | 供應鏈攻擊

Mini Shai-Hulud供應鏈攻擊波及GitHub,近3800個內部儲存庫遭外洩

GitHub證實一名員工裝置因惡意VS Code擴充套件遭入侵,攻擊者宣稱竊得約3,800個內部儲存庫。外界推測,事件可能與TeamPCP近期針對TanStack、Nx Console等開發者工具鏈的Mini Shai-Hulud供應鏈攻擊有關,但GitHub尚未證實兩者關聯

2026-05-21

Chaotic Eclipse | Nightmare-Eclipse | BlueHammer | CVE-2026-33825 | RedSun | UnDefend | YellowKey | CVE-2026-45585 | GreenPlasma

資安公司警告研究員Chaotic Eclipse公布的零時差漏洞已能串成攻擊鏈

針對研究人員Chaotic Eclipse(Nightmare-Eclipse)這兩個月公布的5個零時差漏洞,資安公司LevelBlue警告已能串連成幾近完整的攻擊鏈,由於微軟只有發布其中一個漏洞的修補程式,他們呼籲用戶應採取行動因應

2026-05-21

微軟 | Windows 11 | 微軟帳號 | 帳號驗證 | 帳號安全 | 身分驗證

微軟個人帳號將開始停用簡訊傳送驗證碼

簡訊驗證碼正在加速退場。微軟宣布,將開始逐步停用個人Microsoft帳號以簡訊作為驗證與帳號復原方式,改引導使用者設定通行密鑰、已驗證電子郵件信箱等無密碼驗證機制

2026-05-21

AI | 資安 | 漏洞研究 | CVE | Mozilla | GitHub | Palo Alto Networks | Curl | Anthropic

AI開始進入漏洞研究與通報生態,Mozilla、微軟、GitHub與Curl案例受關注

Mozilla、微軟與Palo Alto Networks將AI導入漏洞研究與程式碼掃描,GitHub觀察到開源漏洞通報量攀升,Curl維護者提醒AI仍可能出現誤判,都顯示AI正逐步進入漏洞發掘、驗證與通報生態

2026-05-21

BitLocker | WinRE | YellowKey | CVE-2026-45585

微軟公布BitLocker零時差漏洞YellowKey緩解措施

對於一週前研究人員Chaotic Eclipse(Nightmare-Eclipse)公布的BitLocker零時差漏洞YellowKey,微軟本週發布公告說明,並提供緩解措施

2026-05-21

德國聯邦金融監理總署 | BaFin | 金融業 | 網路風險 | 數位營運韌性法規 | DORA | 資安衛生 | AI | 量子運算

德國聯邦金融監理總署示警AI與量子運算推升金融業網路風險,將對金融機構加強IT重點檢查

德國聯邦金融監理總署(BaFin)將網路空間風險列為金融業重要風險之一,金融機構未來必須更快修補弱點,並落實金融業數位營運韌性法規(DORA)與資安衛生,才能因應弱點發掘與利用速度加快的資安壓力

2026-05-21

Meta | 詐騙 | 社群平臺 | 行政院

Meta平臺占今年1至4月詐騙案件高達8成以上,政府要求強化演算法從源頭攔截詐騙訊息

根據官方統計,今年1至4月的詐騙事件中,高達8成涉詐案件與Meta旗下Facebook、Instagram與Threads等平臺有關,造成的財損超過13億元,打詐指揮中心要求Meta採取更積極作為,如修改演算法,建立重覆內容識別機制,第一時間攔截已知的詐騙內容。

2026-05-20

GitLab | 跨網站指令碼 | 拒絕服務 | CVE-2026-7481 | CVE-2026-5297 | CVE-2026-6073 | CVE-2026-7377

GitLab發布安全更新,修補可能導致執行任意JavaScript程式碼、拒絕服務攻擊的多項重大漏洞

GitLab修補25項漏洞,多數漏洞涉及跨網站指令碼、授權與存取控制問題,建議用戶儘速升級至已修補版本

2026-05-20