| iThome

多家資安公司揭露n8n重大漏洞，攻擊者建立工作流程就能接管伺服器

資安公司Pillar Security、SecureLayer7，以及Endor Labs揭露一項新漏洞CVE-2026-25049，並指出該漏洞源自CVE-2025-68613修補不夠完整，而且相當容易利用，攻擊者只要能夠建立工作流程，就能藉著漏洞完全控制n8n伺服器

新聞 | Google Cloud | 生成式AI | GeminiGemma | GAI

Google雲端2024年生成式AI新布局，不只推出更強、超長文理解的多模態Gemini模型，還要讓GAI應用通吃雲和端

Google雲端年度Next大會將在美國時間4月9日登場。從去年底到今年3月間，這家公雲業者在生成式AI布局方面動作頻頻，也讓這次年度大會格外受囑目，對於Google將會展示的生成式AI新功能和產品相當期待。

2024-04-08

新聞 | 供應鏈 | Pickle | Safetensors | Hugging Face | Python | AI-as-a-Service | AI即服務 | 惡意模型 | 資安

資安業者Wiz揭露Hugging Face的跨租戶攻擊漏洞

Wiz研究人員發現Hugging Face的共享推論基礎設施以及共享CI/CD含有遭攻擊者接管的資安風險，對此Hugging Face已緩解相關漏洞，並訂定了於平臺上使用Pickle的新政策

2024-04-08

新聞 | 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 供應鏈攻擊 | 開源軟體安全

【資安週報】2024年4月1日到4月3日

這一星期適逢清明連假，而連假前夕最大條的資安消息，就是關於XZ Utils程式庫被植入後門與漏洞的事件，還有2個漏洞利用要注意，包括AI框架Ray與Android Pixel的漏洞；資安事件焦點方面，以CISA的Ivanti伺服器遭駭，及OWASP基金會資料外洩，最受矚目，臺灣也發生亞昕資訊校務行政系統遭駭、7高中受影響的事件

2024-04-08

新聞 | HTTP/2 | CONTINUATION Flood

新型態HTTP/2漏洞遭揭露，網頁伺服器可能因為單一連線而癱瘓

研究人員發現新型態的HTTP/2通訊協定漏洞CONTINUATION Flood，一旦攻擊者加以利用，就可能藉由單一連線，來對網頁伺服器發動DDoS攻擊

2024-04-08

新聞 | 勒索軟體 | Red CryptoApp | Maze

勒索軟體駭客組織Red CryptoApp竄起，疑為Maze成員東山再起

研究人員發現新的勒索軟體駭客組織Red CryptoApp（Red Ransomware Group），對方聲稱已成功入侵11個企業組織，並公布竊得資料

2024-04-08

新聞 | OpenAI | 微調 | AI模型 | 自訂模型 | Custom Model

OpenAI擴大AI模型微調功能、也提供輔助微調服務

OpenAI公布AI模型微調新功能，供企業或開發商自行微調模型以開發想要的AI應用

2024-04-08

新聞 | Grok | 聊天機器人 | XAI

X將Grok聊天機器人開放付費用戶使用

xAI公司打造的聊天機器人Grok正式開放給X Premium Plus用戶

2024-04-08

新聞 | OpenAI | google | Youtube | AI

紐時披露OpenAI與Google都利用YouTube內容來訓練AI模型

紐約時報揭露OpenAI與Google利用YouTube的影片內容來訓練AI模型，此舉可能違反YouTube服務條款

2024-04-08

新聞 | Google One VPN | 8.8.8.8 | DNS

Google VPN疑擅自綁定Windows 11 DNS設定

Google One用戶發現一旦開啟該方案提供的VPN服務，Windows及macOS裝置的DNS設定就會變更為Google DNS伺服器（8.8.8.8），而且無法變更

2024-04-05

新聞 | Opera | 大型語言模型 | LLM | Opera One

Opera讓用戶可下載並在本機執行、測試LLM

繼推出原生整合ChatGPT等AI功能的Opera One瀏覽器後，瀏覽器業者Opera宣布測試本機端大型語言模型（LLM）功能，允許用戶透過Opera One下載Meta Llama等150款本機端LLM

2024-04-05

新聞 | google | AI | 搜尋

傳Google可能推出AI搜尋收費方案

金融時報揭露Google有意更新Workspace等訂閱方案，加入AI搜尋付費服務

2024-04-05

新聞 | 軟體供應鏈攻擊 | XZ Utils | SSH | SSHD | CVE-2024-3094 | Debian | Linux | 開源軟體安全 | XZ/liblzma

震撼整個IT界的XZ程式庫遭植入後門事件，之所以浮上檯面純屬意外！快速了解這項危機的三大關鍵

關於日前XZ Utils程式庫被植入隱密後門的事件，儘管整起事件的調查還沒結束，但已有相當多個重要議題被探討，因此我們也特別聯繫了Linux軟體開發與資安方面的專家來解讀，幫助大家掌握3大重要關鍵，尤其是開發人員是如何幸運發現後門的過程，還有攻擊者竟是長期潛伏以取得信任，且引入後門的手法也非常隱密

2024-04-04