AI推論框架SGLang曝RCE漏洞,惡意GGUF模型可觸發任意程式碼執行

AI推論框架SGLang被揭露存在RCE漏洞,攻擊者可在惡意GGUF模型檔植入Jinja2酬載,待服務載入模型並觸發/v1/rerank端點後執行任意程式碼,且截至4月20日公告仍無官方修補程式

新聞 | NetScaler ADC | NetScaler Gateway | Out‑of‑Bounds Read | CitrixBleed

Citrix發布安全更新,修補可能導致NetScaler ADC與Gateway敏感資料外洩的重大漏洞

記憶體讀取漏洞可能導致系統敏感資料外洩,用戶須盡速修補

2026-03-24

新聞 | TeamPCP | Checkmarx | KICS | IaC | OpenVSX | Open VSX | GitHub Actions

TeamPCP再度發動供應鏈攻擊,Checkmarx的KICS掃描弱點掃描工具遭駭

又有資安公司打造的弱點掃描工具遭駭!資安公司Wiz發現TeamPCP染指Checkmarx打造的基礎設施即程式碼(Infrastructure as Code,IaC)掃描工具KICS,且有該公司的Open VSX延伸套件遭駭的跡象

2026-03-24

新聞 | UniFi Network Application | Path Traversal

Ubiquiti修補UniFi網管平臺滿分重大漏洞,未更新恐導致帳戶遭接管

Ubiquiti核心網管平臺存在可存取敏感檔案、劫持帳號的路徑遍歷漏洞,用戶需立即修補

2026-03-24

新聞 | TeamPCP | npm | 蠕蟲 | CanisterWorm | Wiper | ICP Canister | DaemonSet | kamikaze

蠕蟲活動CanisterWorm升級,TeamPCP針對伊朗進行資料破壞攻擊

橫行NPM儲存庫的蠕蟲程式CanisterWorm竟加入資料抹除的能力!資安公司Aikido看到最新的蠕蟲程式出現不尋常的新功態,一旦偵測到在伊朗的Kubernetes環境,就會運用特定的容器從事資料破壞活動

2026-03-24

新聞 | 蠕蟲 | CanisterWorm | npm | ICP Canister | Dead-drop | TeamPCP

蠕蟲程式CanisterWorm於NPM儲存庫自我複製

駭客組織TeamPCP滲透漏洞掃描工具Trivy之後,再度發動新一波攻擊!這次他們在NPM儲存庫散布能自我複製的蠕蟲程式CanisterWorm,並透過罕見的機制進行通訊

2026-03-24

新聞 | Bitrefill | 加密貨幣 | Lazarus | BlueNoroff

加密貨幣禮品卡商城Bitrefill疑遭北韓Lazarus攻擊,舊憑證與祕密快照成入侵跳板

Bitrefill公布3月遭駭報告,指攻擊起於員工筆電遭入侵,波及部分資料庫與加密貨幣錢包,約18,500筆購買紀錄遭存取,官方尚無法確認攻擊來源,但研判與北韓駭客組織過往手法有多處相似

2026-03-24

新聞 | Claude Code Channels | Anthropic

Anthropic公布Claude Code Channels,開發人員可用Telegram、Discord和Claude溝通

Claude Code Channels讓開發人員可透過Telegram與Discord直接下指令,即使不在電腦前,也能遠端操作部署流程與接收回報

2026-03-24

新聞 | computer use | Claude Cowork | Claude Code | Anthropic

Anthropic讓Claude接管滑鼠鍵盤,AI代理人正式進入桌面

在Claude Cowork與Claude Code中推出Computer Use功能,讓AI可直接透過滑鼠、鍵盤與螢幕操作電腦,完成開啟檔案、瀏覽網頁與執行開發工具等任務

2026-03-24

新聞 | 馬自達 | Mazda | 資安事件 | 資料外洩 | 供應鏈資安

馬自達倉儲資訊系統遭駭,外洩員工、合作夥伴資料

日本汽車大廠馬自達(Mazda)倉儲管理系統遭駭,692筆員工與合作夥伴資料外洩,恐成為釣魚攻擊目標

2026-03-24

新聞 | Langflow | CVE-2026-33017

Langflow重大漏洞甫公布就遭到利用

資安公司Sysdig發現,在Langflow開發工程團隊公布重大風險漏洞CVE-2026-33017之後,20個小時後就有人開始試圖尋找存在漏洞的伺服器,試圖從事挖掘環境變數與其他機敏資料

2026-03-24

新聞 | Langflow | CVE-2026-33017

大型語言模型開發工具Langflow存在重大漏洞,未經驗證的攻擊者可用於執行任意程式碼

圖像化大型語言模型(LLM)開發工具Langflow存在重大等級的資安漏洞CVE-2026-33017,攻擊者可在未經身分驗證的狀態下,建立公開的工作流程,從而執行任意的程式碼,甚至能進一步讀寫任何檔案、洩露環境變數、橫向移動

2026-03-24

新聞 | GoogleCloud | Gemini | 暗網 | 資安 | 威脅情報 | AI資安

Google將Gemini AI放到暗網蒐集情報

透過每日蒐集並分析數百萬則貼文,結合資安專家產出企業專屬報告,不只揭露外洩資料與攻擊討論,更可解析攻擊手法並提前預警

2026-03-24