OpenClaw預設值釀災,全球逾4萬AI代理系統曝露攻擊風險

資安團隊STRIKE指出,約4.29萬個OpenClaw代理型AI實例直接曝露在網際網路,其中約三分之一存在遠端程式碼執行等漏洞風險。問題主因為預設允許任何人從網路連線進來,加上代理型AI常握有API金鑰與系統權限,一旦遭入侵恐擴大為長期攻擊節點

新聞 | 資安日報

【資安日報】8月29日,刑事局運用AI從源頭阻斷詐騙人頭帳戶

內政部警政署刑事局近日在「2025內政黑客松AI應用競賽」的電梯簡報活動當中,提出一項運用AI技術的創新方案,希望以此找出可疑的預警資料,以便銀行執行進階的客戶忠誠計畫(KYC),而能從源頭阻斷詐騙金流

2025-08-29

新聞 | Grok Code Fast 1 | grok-code-fast-1 | XAI | 程式碼開發 | AI代理

xAI發表程式代理人模型Grok Code Fast 1

xAI強調grok‑code‑fast‑1支援TypeScript、Python、Java、Rust、C++及Go等常見語言,能幫助使用者完成從零開發專案、程式碼註解、到精準除錯等多樣任務

2025-08-29

新聞 | 美國商務部 | 區塊鏈

美國政府開始將GDP等數據上鏈

美國商務部宣布將GDP數據發布到9條公開區塊鏈上,藉此確保資料不可竄改並提升透明度

2025-08-29

新聞 | IT周報 | 生成式AI | 零點擊 | GEO | SEO | 直播行銷 | 社群媒體行銷 | 行銷自動化

Martech雙周報第80期:零點擊潮流勢不可擋,IAB將制定相關技術標準,還有搜尋引擎假裝成一般使用者偷偷搜刮網站主內容

生成式AI帶來的零點擊現象仍在發酵,不只生成式AI工具成為Google搜尋以外最重要的網站流量來源,IAB也開始跳下來制定讓出版商可以繼續用網站內容營利的技術框架。同時,Cloudflare還抓到Perplexity用匿名爬蟲機器人,搜刮網站主不願被爬蟲的內容。

2025-08-29

| IT維運 | 資安管理 | 可觀測性 | Observability

強化環境衛生大作戰

對抗傳染病的公共衛生守則同樣可作為企業IT維運與資安管理的借鏡,需持續檢視、清理與修補,才能有效防堵風險

2025-08-29

新聞 | ClickFix | WordPress | ShadowCaptcha | LOLbins | Rhadamanthys | Lumma | 勒索軟體 | Epsilon Red

大規模惡意軟體攻擊行動ShadowCaptcha濫用WordPress網站,對使用者散布竊資軟體、勒索軟體、挖礦軟體

以色列國家數位局(Israel National Digital Agency)揭露大規模網釣攻擊ShadowCaptcha,這波行動至少進行一年以上,粗估全球可能有數千家企業組織受害。攻擊者先入侵合法的WordPress網站,然後將用戶重新導向並要求進行「圖靈驗證」,最終於受害電腦植入惡意軟體

2025-08-29

新聞 | MathWorks | MATLAB | Simulink | 資料外洩 | 勒索軟體 | 資安事故 | 網路攻擊

MATLAB軟體開發商證實勒索軟體攻擊外洩萬名用戶資料

MATLAB開發商MathWorks五月間公告遭到勒索軟體攻擊,影響IT系統運作,該公司後續調查顯示有一萬多名用戶個資因此外洩

2025-08-29

新聞 | MariaDB | SkySQL | DBaaS | 雲端資料庫 | 無伺服器

MariaDB買回SkySQL,強化多雲DBaaS與代理式AI能力

MariaDB宣布收購SkySQL,將DBaaS服務重新整合進MariaDB Cloud,提供自管、全託管與無伺服器部署,並強化人工智慧、向量搜尋及高可用技術

2025-08-29

新聞 | 2025內政黑客松AI應用競賽 | AI驅動的詐騙集團人頭帳戶識別及警示解決方案

刑事局參加內政部黑客松:善用AI技術從源頭阻斷詐騙人頭帳戶,初估斬斷70%金流

警政署刑事局面對詐騙案件的偵辦,突顯傳統偵查模式的困境與事後追查的無力,不過,有了新型態的AI技術輔助,彙整詐騙人頭戶特徵的AI模型,可以做到在金融機構開戶的當下就進行風險預判,達到事前預警、阻斷人頭帳戶生成,預估可以有效降低高達70%的詐騙金流損失

2025-08-28

新聞 | 資安日報

【資安日報】8月28日,會用AI的勒索軟體PromptLock現身

資安業者ESET全球第一款導入生成式AI的勒索軟體,並將其命名為PromptLock,雖然進一步分析之後發現,開發者主要的目的應為進行概念驗證(PoC),但這也凸顯將AI用於惡意軟體攻擊行動,不再只是假設

2025-08-28

新聞 | Nx | npm | 供應鏈攻擊 | GitHub Actions | Nx Console

知名開源建置工具Nx遭植入惡意程式上架NPM,開發者憑證恐外洩

開源建置工具Nx惡意版本遭發布NPM,安裝即竊取憑證並上傳至GitHub儲存庫,還改寫終端機啟動檔,官方已下架並建議用戶檢查與清理環境

2025-08-28

新聞 | Storm-0501 | 勒索軟體 | Azure | Entra ID | Evil-WinRM | DCSync | AzureHound

駭客組織Storm-0501將目標延伸到關係企業,進行跨租戶資料竊取、檔案加密及勒索

微軟針對駭客組織Storm-0501從事雲端環境的勒索軟體攻擊行動提出警告,指出這些駭客不僅透過企業內部的AD環境挖掘雲端環境資源,更進一步將魔掌伸向同集團其他子公司的雲端環境

2025-08-28