【資安日報】1月28日,竄紅的開源AI平臺Clawdbot出現部分系統配置不當

開源AI平臺Clawdbot(現已更名為Moltbot)正式發表後竄紅,在社群引起大量使用者架設,不過有研究人員提出警告,有數百個設置不當的Clawdbot Control管理介面曝露在網際網路,任何人都可能任意存取機敏資料,甚至接管AI代理系統

新聞 | LKQ | Oracle E-Business Suite | EBS

汽車零件大廠LKQ通報Oracle EBS資料外洩 影響近萬人

美國汽車零件大廠LKQ向主管機關通報Oracle E-Business Suite(EBS)遭駭,外洩將近一萬人個資

2025-12-18

新聞 | SonicWALL | SMA1000 | 零時差漏洞 | CVE-2025-40602 | CVE-2025-23006

SonicWall旗下VPN設備的管理主控臺存在零時差漏洞,已被用於攻擊行動

SonicWall本週針對旗下VPN設備SMA1000發布資安公告,修補設備管理主控臺(Appliance Management Console,AMC)中度風險漏洞CVE-2025-40602,並指出該漏洞已被用於實際攻擊,IT人員應儘速採取行動

2025-12-18

新聞 | Windows 10 | KB5071546

微軟12月安全更新造成Windows 10 PC、舊版Server IIS、MQ功能無法運作

KB5071546導致部分用戶安裝於Windows機器後,MSMQ無法運作,運作中的叢集MSMQ環境也受影響

2025-12-18

新聞 | 勒索軟體 | Weaxor | Mallox | React | RCS | CVE-2025-55182

勒索軟體Weaxor加入利用React滿分漏洞的行列

有勒索軟體加入利用滿分資安漏洞CVE-2025-55182(React2Shell)的行列!揭露此事的資安公司S-RM指出,使用Weaxor勒索軟體的駭客,利用此漏洞取得初始入侵管道,停用內建防毒並部署勒索軟體、加密檔案,過程僅有一分鐘不到

2025-12-18

新聞 | Gemini 3 Flash

Google發表Gemini 3 Flash模型 比2.5 Pro還強大、更有效率

Google強調Gemini 3 Flash在多項測試中,效率與表現皆優於Gemini 2.5 Pro

2025-12-18

新聞 | SAM Audio | Meta | 音訊分離 | Segment

Meta發表SAM Audio模型以多模態提示分離指定聲源

Meta推出SAM Audio音訊分離模型,能以文字、畫面點選與時間區段提示,從混合音訊抽離指定聲源,官方提供模型下載,用戶可先在Segment Anything Playground試用

2025-12-18

新聞 | Askul | 勒索軟體 | 資料外洩 | RansomHouse | 多因素認證

日本電商Askul公布勒索軟體攻擊調查報告,物流與備份系統遭加密外洩約74萬筆資料

日本電商Askul公布勒索軟體調查,物流與內部系統遭加密停擺,確認外洩74萬筆客戶與合作夥伴資料,另含員工2,700筆,已通報並逐一通知受影響人,承諾補強存取控制、紀錄與監控

2025-12-18

新聞 | 數位憑證皮夾 | 數位身分 | 數發部

數位憑證皮夾試營運上路,免帶實體證件憑手機就能在超商領包裏、進出企業辦公室、旅館

數位憑證皮夾今起試營運,將蒐間各界使用意見,後續再進入正式服務。數位憑證皮夾明年將開放駕照、工商憑證、畢業證書等身分證明資料下載,並開放更多使用場域。

2025-12-17

新聞 | 資安日報

【資安日報】12月17日,MITRE公布最危險的漏洞類型,XSS居冠

近日MITRE揭露最危險的25種型態的資安漏洞,延續去年態勢,跨網站指令碼(XSS)、SQL注入,以及跨網站請求偽造(CSRF)仍是前3大威脅,然而值得留意的是,多種記憶體緩衝區溢位類型的弱點,今年也入榜

2025-12-17

新聞 | WinRAR | CVE-2025-6218 | Paper Werewolf | Goffee | Bitter | APT-C-08 | 俄羅斯駭客 | Gamaredon

WinRAR路徑遍歷漏洞出現實際攻擊,3組人馬發起網釣活動

上週美國網路安全暨基礎設施安全局(CISA)將WinRAR路徑遍歷漏洞CVE-2025-6218列入已遭利用的漏洞名單(KEV),有多家資安公司發現,有3個駭客組織先後加入利用行列

2025-12-17

新聞 | STOC 2026 | google | 推論運算擴展

STOC 2026學術會議試辦投稿前AI先幫論文抓錯,改過再送審

STOC 2026學術會議投稿前提供AI回饋,並用推論運算擴展先檢查證明與數學一致性,指出錯誤與潤稿建議,調查120位參與作者回覆,97%認為有幫助

2025-12-17

新聞 | 俄羅斯駭客 | Sandworm | APT44 | Seashell Blizzard | 邊緣裝置 | 配置不當

俄駭客Sandworm鎖定西方國家能源與雲端基礎設施,透過邊緣設備配置不當發動攻擊

俄羅斯駭客組織Sandworm(APT44、Seashell Blizzard)長年攻擊西方國家的關鍵基礎設施的手法,於今年出現重大變化,他們大幅減少利用已知或未知的漏洞,而是針對邊緣裝置配置不當的情況下手,使得攻擊活動變得更加隱密

2025-12-17