AI推論框架SGLang曝RCE漏洞,惡意GGUF模型可觸發任意程式碼執行

AI推論框架SGLang被揭露存在RCE漏洞,攻擊者可在惡意GGUF模型檔植入Jinja2酬載,待服務載入模型並觸發/v1/rerank端點後執行任意程式碼,且截至4月20日公告仍無官方修補程式

新聞 | 資安 | 漏洞管理 | NIST | NVD | CVE | 資安風險 | 企業資安

漏洞數暴增263%,NIST縮減CVE分析範圍轉向風險優先

隨CVE數量5年暴增263%,美國國家標準暨技術研究院(NIST)坦言已無法全面分析漏洞,改採「風險優先」策略,僅優先處理已被利用與關鍵系統漏洞,其餘將列為Not Scheduled

2026-04-17

新聞 | 資安 | 資料外洩 | McGrawHill | ShinyHunters | Salesforce | 供應鏈攻擊 | 雲端安全

駭客公布McGraw-Hill逾100GB資料

外洩資料查詢網站Have I Been Pwned揭露麥格羅希爾逾100GB內部資料,包含1,350萬筆電子郵件與部分個資。官方表示事件源自Salesforce環境未授權存取,未涉及核心系統與敏感資訊

2026-04-17

新聞 | 思科 | Cisco Webex | 資安漏洞 | CVE-2026-20184

思科修補Webex重大非授權存取漏洞

思科針對視訊會議產品Webex發布安全更新,揭露CVE-2026-20184漏洞,CVSS風險分數高達9.8,攻擊者可偽造驗證憑證、冒充任意用戶並存取服務

2026-04-17

新聞 | 資安日報

【資安日報】4月17日,APT41鎖定4大雲端環境搜刮憑證與權杖

有資安公司針對中國駭客APT41的最新一波攻擊活動提出警告,這些駭客已發展出專門針對雲端環境的Linux惡意程式,能從AWS、GCP、Azure、阿里雲的Linux工作負載挖掘證與中繼資料

2026-04-17

新聞 | google | Chrome | AI Mode | AI搜尋

AI Mode進駐Chrome,瀏覽器AI競爭升溫

AI Mode讓Chrome用戶在閱讀網頁時可即時提問、比較資訊,甚至整合多分頁內容一次分析

2026-04-17

新聞 | OpenAI | Codex | AI代理

OpenAI Codex macOS版App加入電腦工具使用功能,能上網、打字、生成圖片

OpenAI更新Codex macOS版App,新增電腦工具使用能力,不只寫程式,還能上網、操作App、理解螢幕內容,甚至自動執行長期任務

2026-04-17

新聞 | Python | Marimo | CVE-2026-39987 | Hugging Face Spaces | NKAbuse

Marimo重大漏洞遭利用,駭客透過Hugging Face散布惡意軟體NKAbuse

Python資料分析工具Marimo重大漏洞CVE-2026-39987在開發團隊公布後,已出現攻擊行動,資安公司Sysdig警告,已有多組人馬加入利用的行列,其中一個是散布DDoS惡意軟體NKAbuse

2026-04-17

新聞 | adobe | Firefly AI Assistant | Adobe Firefly | Creative Cloud | Project Moonlight

Adobe發表Firefly AI Assistant,可跨Photoshop等多款應用執行多步驟創作流程

Adobe將於生成式AI創作平臺Firefly推出公開測試版AI Assistant,由代理協調Photoshop等多款應用程式執行多步驟創作流程,並保留原生可編輯檔案格式

2026-04-17

新聞 | Microsoft Defender | 零時差漏洞 | RedSun | Cloud Files APIEICAR | oplock | TieringEngineService.exe

研究人員對微軟回應BlueHammer感到失望,公布新的Microsoft Defender零時差漏洞RedSun

疑似對微軟處理BlueHammer(CVE-2026-33825)的過程感到失望,研究員Chaotic Eclipse再度公布另一個Microsoft Defender資安漏洞RedSun,號稱可藉由具備特定標籤屬性的檔案觸發,竄改系統檔案並取得管理員權限

2026-04-17

新聞 | 開源軟體 | 公部門 | 數發部

數發部釋出公部門開源軟體應用參考手冊,彌補公部門對開源軟體的授權、管理資訊不足缺口

公部門開源軟體應用參考手冊,內容涵蓋開源軟體的選用評估、授權合規、開發與維運管理,以及對外釋出的原則與流程,輔以實務案例與操作建議,有助於提升公部門對於開源軟體的認識。

2026-04-17

新聞 | google | Pixel 10 | Rust | 基頻韌體 | DNS解析器

降低基頻高風險攻擊面,Google在Pixel 10系列導入Rust改寫的DNS解析器

Google在Pixel 10系列基頻韌體中導入以Rust實作的DNS解析器,成為首款把記憶體安全語言整合進基頻的Pixel裝置,以降低DNS解析過程中的記憶體安全風險

2026-04-17

新聞 | FIDO | FIDO聯盟 | 數位憑證 | VDC | Passkey | FIDO臺灣分會 | DBSC | 裝置綁定 | Shared Signals Framework

FIDO結合DBSC等技術來應對Session劫持,並聚焦SSF框架拓展不同身分安全協作

近年FIDO的技術焦點持續演進,不僅FIDO2標準增加了多項新特性,跨協定合作也正積極進行,其中最受矚目的兩大焦點,一是因應Session劫持風險,探討結合W3C的DBSC與OpenID基金會的DPoP作為補充技術;另一則是結合OpenID基金會的SSF(Shared Signals Framework)共享訊號框架

2026-04-16