今日最新

歹徒過濾攻擊目標出現新手法，資安業者Socket揭露最新的NPM惡意套件攻擊活動，攻擊者透過名為Adspect的雲端服務，意圖區隔一般開發人員與資安研究人員，以防研究員介入調查

人工智慧推論框架出現名為ShadowMQ的遠端程式碼執行漏洞，源自ZeroMQ與pickle不安全反序列化，多個LLM推論服務或其底層框架受影響

微軟揭露Azure的DDoS防護系統在10月24日偵測緩解一起多向量DDoS攻擊，高峰流量為15.72 Tbps

羅技（Logitech）證實內部使用的Oracle EBS系統因零時差漏洞遭入侵，導致該公司員工、使用者個資、客戶及供應商資料洩露

從偵測百萬廣告連結檢舉釣魚網域、釣魚網站可疑IP辨識、海外帳號移轉申請的複雜化，到虛擬機器模擬用戶的管制，LINE臺灣與詐騙集團展開了多次的攻防。關鍵一步是要先繪製出授權釣魚詐騙運作流程，才能找出阻斷關鍵

資安業者Fortinet公布網頁應用程式防火牆（WAF）系統FortiWeb重大漏洞CVE-2025-64446受到高度關注，有多家資安業者指出，相關的漏洞利用攻擊，很可能在一個月前就出現

VS Code 1.106導入Agent HQ集中管理本機與雲端人工智慧代理，並整併Copilot擴充元件為單一Chat介面，同時強化工具核准、安全控管與MCP企業治理，讓人工智慧程式開發流程更清楚可控

國家安全局針對5款中國製的生成式AI模型進行檢測，警告所有模型不僅會收集過多用戶資訊並強迫同意不合理的隱私條款，並存在內容偏頗的現象，此外，他們也提及這些模型能極為輕易產生用來抹黑他人及散布謠言的內容，或是用於網路攻擊

回顧2025年11月第二星期的資安新聞，零時差漏洞攻擊是最大焦點，不僅有微軟、Gladinet產品成為鎖定目標，還有先前三星、Cisco與Citrix修補的漏洞，如今也證實是零時差漏洞攻擊事件；在最新威脅態勢方面，Anthropic示警，中國駭客組織GTG-1002濫用Claude Code完成逾八成攻擊任務，顯現攻擊自動化威脅

資安業者VulnCheck指出，11月上旬有多組人馬加入利用開源維基引擎XWiki重大漏洞CVE-2025-24893行列，其中最引起他們注意的部分，是殭屍網路RondoDox試圖用來綁架XWiki伺服器