| iThome

【資安日報】2月9日，AI社群平臺Moltbook配置不當，攻擊者恐冒名AI代理寫入資料

主打讓AI代理（AI Agents）進行互動的社群平臺Moltbook，被資安公司與研究人員發現資料庫配置不當的問題，有別於其他資料庫不設防的事故，通常是曝露的資料會遭到濫用，本次攻擊者可任意讀寫Moltbook的內容，直接竄改社群網站上的發文及回應，甚至進一步動用數千個AI代理以操縱內容

新聞 | Operation PCPcat | CVE-2025-55182 | React2Shell | RSC

攻擊行動Operation PCPcat鎖定Next.js應用程式而來，近6萬臺伺服器被入侵

惡意軟體活動Operation PCPcat針對可從網際網路存取的Next.js應用程式而來，試圖透過CVE-2025-55182（React2Shell）入侵，滲透5.9萬臺應用程式伺服器，估計至少偷走30萬組憑證

2025-12-30

新聞 | Bixby | 三星 | Perplexity

三星手機Bixby助理可能將整合Perplexity AI

三星近年已經用Gemini取代自己的手機助理Bixby，不過最近釋出的軟體測試版顯示，三星可能引進Perplexity AI來強化Bixby

2025-12-30

新聞 | Airoha | 藍牙耳機 | RACE協定 | 韌體

Airoha藍牙音訊晶片曝三漏洞，可能讓攻擊者控制耳機並冒充連上手機

Airoha藍牙耳機三漏洞，讓攻擊者在藍牙距離內免配對建立連線，可能竊聽或偷取連結金鑰，並偽裝耳機連回手機，Airoha已更新SDK，使用者也可清理舊配對紀錄，高風險情境改用有線耳機

2025-12-30

文字編輯器EmEditor官網安裝檔遭動手腳，第三方指以瀏覽器擴充套件建立持久化

文字編輯器EmEditor官網下載連結疑遭改寫，12/20至12/23期間部分使用者可能下載到遭置換的Windows安裝套件，官方呼籲用戶比對數位簽章與雜湊值，不符者勿執行並立即移除

2025-12-29

新聞 | 資安日報

【資安日報】12月29日，MongoBleed傳出被用於實際攻擊，遊戲伺服器遭到入侵

一個多禮拜前MongoDB開發工程團隊揭露的高風險漏洞CVE-2025-14847（MongoBleed），最近幾天陸續有資安公司與研究人員公布相關細節，並指出已有攻擊行動出現，其中，首個傳出遭駭的是遊戲公司，疑似因此造成遊戲伺服器異常

2025-12-29

電玩遊戲虹彩六號傳出被滲透，駭客大撒幣與隨機封帳，疑利用資安漏洞MongoBleed得逞

在聖誕節假期期間，Ubisoft公司旗下的電玩大作《虹彩六號：圍攻行動（Tom Clancy's Rainbow Six Siege）》驚傳遭到滲透，駭客對玩家送出大量遊戲代幣，並封鎖官方帳號在內的許多用戶，資安研究機構VX-Underground指出，這起事故攻擊者疑似使用了MongoDB高風險漏洞CVE-2025-14847（MongoBleed）而得逞

2025-12-29