AI推論框架SGLang被揭露存在RCE漏洞,攻擊者可在惡意GGUF模型檔植入Jinja2酬載,待服務載入模型並觸發/v1/rerank端點後執行任意程式碼,且截至4月20日公告仍無官方修補程式
新聞 | Axios | 供應鏈攻擊 | 社交工程攻擊 | Slack | Microsoft Teams
Axios供應鏈攻擊事故調查出現新進展,北韓駭客透過Slack、Teams竊得憑證而得逞
針對3月底爆發的Axios供應鏈攻擊事故,NPM憑證遭到挾持的套件維護者Jason Saayman透露事故發生的過程,駭客先冒充一家真實公司的創辦人,邀請他加入特定的Slack工作空間(Workspace)建立信任,然後再安排假的Teams視訊會議,要求必須安裝缺少的元件為由,在Saayman的電腦植入惡意程式
2026-04-07
新聞 | Microsoft | Agent Framework 1.0 | 代理 | Semantic Kernel | AutoGen | MCP
微軟發布AI代理框架Agent Framework 1.0,支援多代理調度與MCP
微軟正式發布代理調度框架Microsoft Agent Framework 1.0 SDK,支援.NET與Python,提供多代理調度、MCP互通、記憶體模組與搬遷工具
2026-04-07
新聞 | CVE-2025-55182 | React2Shell | UAT-10608
駭客濫用React2Shell從事自動化攻擊,企圖從網頁應用程式搜刮各式憑證
思科揭露最新一波React2Shell攻擊行動,駭客組織UAT-10608藉由自動化工具,於全球逾700臺應用程式伺服器搜刮各式憑證、API金鑰、SSH密鑰,以及雲端環境的中繼資料等
2026-04-07
新聞 | Shell Injection | 繞過驗證 | 權限提升
OpenSSH發布10.3版修補指令注入漏洞,未更新可能導致執行任意指令攻擊
新版本修補指令注入、檔案存取權限與憑證驗證等漏洞,用戶須盡速修補
2026-04-07
新聞 | Fortinet | FortiClient EMS | CVE-2026-35616
Fortinet緊急修補已遭利用的FortiClient EMS零時差漏洞
Fortinet旗下端點管理平臺FortiClient EMS傳出有新的零時差漏洞,而且已被用於實際攻擊的情況,再加上現在有公開的概念驗證程式碼(PoC),恐加劇利用漏洞的態勢
2026-04-07
