AI推論框架SGLang曝RCE漏洞,惡意GGUF模型可觸發任意程式碼執行

AI推論框架SGLang被揭露存在RCE漏洞,攻擊者可在惡意GGUF模型檔植入Jinja2酬載,待服務載入模型並觸發/v1/rerank端點後執行任意程式碼,且截至4月20日公告仍無官方修補程式

新聞 | google | 美國航空 | AI | 氣候變遷 | 航空產業 | 減碳 | 永續

Google與美國航空用AI調整航線,減少飛機凝結尾帶來的暖化影響

透過預測高風險區域並調整飛行高度與路徑,部分航班的凝結尾生成率降低達6成

2026-04-09

新聞 | Anthropic | Claude | AI治理 | 供應鏈風險 | 國防部 | AI政策 | 科技法規

美上訴法院挺國防部,Anthropic兩案出現判決分歧

美國法院對Anthropic連續兩案出現不同裁定!一邊暫停政府全面禁用Claude模型,另一邊卻允許國防部將其列為供應鏈風險(SCR),使其仍無法進入軍事採購體系

2026-04-09

新聞 | 資安日報

【資安日報】4月9日,Anthropic全新模型漏洞挖掘能力超群,直逼人類頂尖駭客

Anthropic發表全新通用語言模型Claude Mythos預覽版本受到全球高度關注,該公司聲稱此模型已找出數千個存在於作業系統、瀏覽器,以及開源軟體的資安漏洞。由於能力過於強大,Anthropic並未直接開放給一般用戶使用,而是召集科技龍頭、金融公司,以及關鍵基礎設施,利用該模型加速找出漏洞及修補

2026-04-09

新聞 | 資安 | 供應鏈攻擊 | GitLab | CICD | DevSecOps | 憑證外洩 | 軟體安全

3月多起供應鏈攻擊揭露CI/CD管線風險,GitLab提出防護建議

3月一連串供應鏈攻擊凸顯CI/CD管線風險。GitLab指出,單一憑證外洩恐波及整個開發流程,並建議強化權限控管與監控機制

2026-04-09

新聞 | 俄羅斯駭客 | APT28 | Sofacy Group | Forest Blizzard | Fancy Bear

APT28綁架路由器從事DNS挾持,目的是AiTM網釣與情報收集

英國國家網路安全中心(NCSC)針對俄羅斯駭客APT28綁架路由器設備的活動進行解析,駭客除將其用於對手中間人攻擊(AiTM),也有鎖定位於烏克蘭的設備從事情報收集的情形

2026-04-09

新聞 | 希臘 | 社群媒體 | 青少年 | 網路監管 | 歐盟

希臘宣布2027年起禁止15歲以下使用社群媒體,盼推動歐盟統一規範

繼澳洲、印尼與奧地利之後,希臘也宣布2027年起將禁止15歲以下使用社群媒體

2026-04-09

新聞 | 臺灣 | NGO | UAT-10362 | LucidPawn | LucidRook | LucidKnight | DISM | Worry-Free

臺灣非政府組織、大學遭到Lua惡意軟體LucidRook攻擊

思科揭露鎖定臺灣非政府組織(NGO)與大學的惡意軟體活動,駭客組織UAT-10362透過網路釣魚手法,部署以Lua語言打造的惡意程式LucidRook,意圖在受害電腦進行後續活動

2026-04-09

新聞 | 微軟 | SQL MCP Server | Data API builder | MCP | NL2SQL | 資料庫

微軟以DAB打造SQL MCP Server,捨棄NL2SQL改走確定性查詢路線

微軟發布SQL MCP Server,讓AI代理可透過MCP安全存取企業資料庫,該方案以Data API Builder(DAB)產生可預測的T-SQL,並提供RBAC、多資料源與監控能力

2026-04-09

新聞 | Docker | AuthZ plugin | Authentication Bypass

Docker修補重大漏洞,未更新可能導致攻擊者繞過授權機制

Docker授權外掛程式存在缺陷,攻擊者可利用API請求繞過檢查,影響容器應用環境,用戶須盡速修補

2026-04-09

新聞 | Meta | MuseSpark | MetaAI

Meta發表由超級智慧實驗室開發的首款模型Muse Spark,將直接應用在產品上

Muse Spark具備多模態推理與多代理協作能力,已導入Meta AI應用並將擴展至Instagram、WhatsApp等平臺

2026-04-09

新聞 | Adobe Commerce | Magento | PolyShell | Magecart | svg | Skimmer

電商平臺Magento遭鎖定,駭客利用SVG圖檔挾帶交易資料側錄工具

鎖定電商平臺Adobe Commerce與Magento的攻擊活動再度出現,有人對近100個電商網站植入雙連擊(Double-tap)交易資料側錄工具,將其埋入SVG圖檔並注入電商網站的HTML程式碼,藉此迴避資安掃描工具的偵測機制

2026-04-09

新聞 | Ivanti EPMM | Code Injection | rce

CISA警告Ivanti EPMM重大漏洞已被用於攻擊,要求盡速修補

EPMM行動裝置管理平臺存在程式碼注入漏洞,可觸發遠端程式碼執行,用戶須立即修補

2026-04-09