【資安日報】2月9日,AI社群平臺Moltbook配置不當,攻擊者恐冒名AI代理寫入資料

主打讓AI代理(AI Agents)進行互動的社群平臺Moltbook,被資安公司與研究人員發現資料庫配置不當的問題,有別於其他資料庫不設防的事故,通常是曝露的資料會遭到濫用,本次攻擊者可任意讀寫Moltbook的內容,直接竄改社群網站上的發文及回應,甚至進一步動用數千個AI代理以操縱內容

新聞 | Mistral AI | LLM | 中東 | 印度 | 本地部署

Mistral推出高效能、小型化區域語言模型Saba,專為中東與南亞市場設計

Mistral AI推出具240億參數的Mistral Saba語言模型,專為中東與南亞市場設計,透過高品質資料集提升語言理解,經效能最佳化並支援本地部署,以兼顧推理速度與資料隱私

2025-02-19

新聞 | 資安日報

【資安日報】2月18日,Ivanti旗下SSL VPN系統零時差漏洞在日本傳出攻擊行動

日本電腦危機處理暨協調中心(JPCERT/CC)揭露去年12月下旬發生的資安事故,駭客利用CVE-2025-0282對Ivanti Connect Secure下手,散布名為SpawnChimera的惡意軟體

2025-02-18

新聞 | PHP | CVE-2022-31631

3年前列管的PHP重大漏洞突然浮上檯面,若不修補恐讓網站曝露於SQL注入風險

通用漏洞揭露(CVE)平臺、美國國家漏洞資料庫(NVD)近期針對3年前列管的PHP漏洞提出警告,並指出根據維護團隊的評估,這項漏洞相當危險,若是開發者尚未處理,應儘速採取行動

2025-02-18

新聞 | whoAMI | Amazon Machine Image | 名稱混淆

新型態名稱混淆攻擊手法染指AWS的映像檔!已有數千個AWS帳號淪陷

雲端服務監控業者Datadog揭露鎖定AWS用戶的攻擊手法whoAMI,攻擊者上架特定名稱的惡意Amazon Machine Image(AMI)映像檔,就有機會在受害者的EC2環境遠端執行任意程式碼

2025-02-18

新聞 | X | Signal | 封鎖

X封鎖通往Signal的連結,判定為有害

根據Disruptionist報導,馬斯克旗下的X開始封鎖加密通訊平臺Signal,禁止用戶傳送連向signal.me網域的訊息連結

2025-02-18

新聞 | MacOS | 惡意軟體 | XCSSET | Xcode

手法更高明,macOS惡意軟體XCSSET變種現身

在2020年左右現身的macOS惡意軟體XCSSET,微軟威脅情報研究人員發現新變種版本,發展出更高明的混淆與程式感染手法

2025-02-18

新聞 | Nvidia | JPEG2000 | nvJPEG2000 | CVE-2024-0142 | CVE-2024-0143 | CVE-2024-0144 | CVE-2024-0145

Nvidia修補圖像處理程式庫漏洞,若不處理攻擊者可藉由特製JPEG2000檔案觸發

Nivida近期針對JPEG2000圖片編碼程式庫nvJPEG2000修補一系列與越界寫入(OBW)與記憶體緩衝區溢位漏洞,值得留意的是,通報此事的思科指出,這些漏洞非常嚴重,而且相當容易利用

2025-02-18

新聞 | Ivanti | Ivanti Connect Secure | CVE-2025-0282 | SpawnChimera

Ivanti旗下SSL VPN系統零時差漏洞再傳遭到利用,駭客去年12月於日本散布惡意軟體SpawnChimera

日本電腦危機處理暨協調中心(JPCERT/CC)揭露去年12月下旬的零時差漏洞CVE-2025-0282攻擊行動,駭客鎖定當地企業組織的SSL VPN系統Ivanti Connect Secure下手,並植入名為SpawnChimera的惡意程式

2025-02-18

新聞 | AI | 聯發科 | 繁中 | 語言模型 | LLM | 語音合成 | App

聯發科一口氣開源2款繁中多模態小模型、符合臺灣口音的語音合成模型

聯發創新基地(MediaTek Research)開源2款繁中多模態模型Llama-Breeze2-3B和Llama-Breeze2-8B,分別能在手機和個人電腦上執行,還具備呼叫函式能力,可調用外部工具。他們還開源以3B為基礎的Android App,以及能生成臺灣口音的語音合成模型BreezyVoice。

2025-02-17

新聞 | Deep Research | Perplexity AI | AI代理

Perplexity AI也推出上網研究工具Deep Research,提供免費版

繼Google與OpenAI後,Perplexity AI也推出AI代理功能Deep Research,可代替用戶針對某項主題在網路上執行深入研究,並產出完整分析報告

2025-02-17

新聞 | 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 資料竊取 | 勒索軟體

【資安週報】0210~0214,馬偕醫院遭勒索軟體CrazyHunter攻擊,攻擊者滲透AD並使用BYOVD提權攻擊手法

在2025年2月第二星期資安新聞中,勒索軟體衝擊臺灣醫院與上市公司的消息是主要焦點;這一星期多家IT大廠發布安全性更新需趕緊因應,還有微軟、蘋果、PostgreSQL針對已遭利用零時差漏洞的修補,要特別重視

2025-02-17

新聞 | SAP Business Data Cloud | Databricks | SAP Databricks

SAP、Databricks合作推出整合SAP與第三方資料的雲端AI分析與開發工具

SAP公布Business Data Cloud,讓企業用戶得以整合SAP系統及第三方資料源進行AI分析及模型訓練,SAP並與Databricks技術合作建構SAP Datasphere作為新SaaS服務元件

2025-02-17