【資安週報】0126~0130,開源AI代理Clawdbot竄紅,不當配置的風險引發高度關注

回顧2026年1月最後一星期的資安新聞,最大焦點是波蘭電網去年底遭大規模攻擊事件的調查揭露,駭客主要鎖定分散式能源設施(DER)而來;開源AI代理專案Clawdbot(現更名為OpenClaw)竄紅,相關不當配置與供應鏈風險的消息也引發關注。此外,臺灣有3家上市櫃公司發布資安重訊,分別是:五福、德昌、柏騰

新聞 | PhaaS | OTP網釣 | OTP竊取 | 網釣 | 信用卡盜刷 | 盜刷網釣

【OTP盜刷網釣現況大公開2】2025中國信用卡盜刷網釣即服務百家爭鳴,甚至公然在即時通訊軟體頻道打廣告與教人盜刷

隨著網釣即服務(PhaaS)平臺的擴張,正助長信用卡盜刷網釣攻擊的犯罪規模,例如,中國信用卡黑市如今已有1百多個網路釣魚犯罪服務,數量較兩年前倍增,其功能上也日益強大,多數都已提供即時網釣的犯罪技術,也內建多種規避資安偵測的能力,而且這些不肖份子還在微信與Telegram頻道來宣傳網路犯罪服務

2025-06-12

新聞 | OTP網釣 | OTP竊取 | 網釣 | 信用卡盜刷 | 盜刷網釣 | AiTM | PhaaS

【OTP盜刷網釣現況大公開1】即時網釣手法已經氾濫,AiTM中間人攻擊技術助長此類威脅

信用卡盜刷的網釣攻擊手法不斷演進,今年上半一場資安攻擊型研討會,有企業藍隊專家特別剖析這類威脅背後的生態,指出攻擊早已轉變為能即時竊取OTP的「同步魚」手法,是支付與電商業者必需掌握的威脅態勢

2025-06-12

新聞 | Privy | 嵌入式錢包 | Stripe | 收購 | 加密貨幣 | 加密貨幣錢包

Stripe將買下嵌入式錢包供應商Privy

線上支付服務供應商Stripe積極布局加密產業,繼收購穩定幣基礎設施業者Bridge後,也準備將專注於嵌入式錢包技術的Privy納入旗下

2025-06-12

新聞 | UEFI | Insyde | NVRAM | CVE-2025-3052 | CVE-2025-4275

Insyde H2O UEFI韌體存在資安弱點,攻擊者可用於繞過安全開機

卡內基美隆大學電腦緊急回應團隊協調中心(CERT/CC)、資安業者Binarly不約而同揭露系微(Insyde)UEFI韌體的資安弱點CVE-2025-4275、CVE-2025-3052,並指出若不處理,攻擊者能用來繞過安全開機(Secure Boot)防護機制

2025-06-12

新聞 | Midjourney | 迪士尼 | 環球影業 | 圖像生成 | 侵權 | 著作權

迪士尼跟環球影業聯手控告AI新創Midjourney侵權

迪士尼集團及環球影業指控Midjourney未經同意利用其電影動畫角色來訓練模型,Midjourney圖像生成服務所生成的內容也侵害其著作權

2025-06-12

新聞 | Rust | Myth Stealer | 竊資軟體

惡意軟體Myth Stealer同時鎖定Chrome、Firefox用戶而來,藉由冒牌遊戲網站散布

資安業者Trellix揭露名為Myth Stealer的竊資軟體,駭客同時針對Chrome與Firefox兩大陣營的瀏覽器用戶而來,假借提供遊戲或作弊工具散布

2025-06-12

新聞 | AI漏洞 | Microsoft 365 | M365 | Copilot | 資安漏洞 | CVE‑2025‑32711 | 大型語言模型 | RAG

研究人員揭露Microsoft 365 Copilot的零點擊AI漏洞

資安業者Aim Security旗下的Aim Labs揭露零點擊AI漏洞CVE‑2025‑32711,允許駭客在無需使用者互動的情況下,竊取M365 Copilot脈絡中的機密資訊

2025-06-12

新聞 | Tomcat | Apache | 暴力破解 | DigitalOcean

Apache Tomcat遭到大規模攻擊,400個IP位址對其暴力破解、登入嘗試

威脅情報業者GreyNoise在上週偵測到專門針對網頁應用程式伺服器Apache Tomcat的攻擊活動,駭客利用400個IP位址,試圖對其管理介面嘗試登入或是進行暴力破解,很有可能是駭客要發動相關攻擊行動的前兆

2025-06-12

新聞 | Safari 26 | WebGPU | Apple | 3D網頁效能 | 前端開發

Safari 26原生支援WebGPU推進瀏覽器3D與AI算繪效能

Safari 26將於Apple多平臺預設啟用WebGPU,讓網頁可直接呼叫GPU,強化3D算繪與前端運算效能,推動新一代高效網頁應用與跨平臺開發

2025-06-12

新聞 | Dell | PowerScale | OneFS | CVE-2024-53298

Dell橫向擴展NAS儲存系統PowerScale存在重大漏洞,未經授權攻擊者可存取檔案系統

Dell修補網路儲存設備作業系統PowerScale OneFS,其中最受到注意的資安漏洞是重大層級的CVE-2024-53298,Dell指出此漏洞相當危險,若不處理攻擊者能藉此完全入侵NAS環境

2025-06-12

新聞 | OpenAI | 開源權重模型

OpenAI開源權重的模型要延到夏天

OpenAI執行長Sam Altman表示,之前對外界承諾的開源權重模型,推出時間點預計是今年夏天

2025-06-12

新聞 | Patch Tuesday | 微軟 | Windows 11 24H2 | KB5063060 | 例外更新

Patch Tuesday不相容部分Windows 11 24H2 PC,微軟罕見以例外更新部署

針對某些無法安裝6月例行安全更新的Windows 11 24H2裝置,微軟另外發布KB5063060例外更新

2025-06-12