PromptPwnd提示詞注入攻擊濫用AI代理,竊取金鑰並改寫CI/CD流程

資安廠商Aikido揭露PromptPwnd漏洞,指Gemini CLI等AI代理在GitHub Actions與GitLab CI/CD處理議題(Issue)時,握有高權限金鑰恐遭提示注入竊取憑證並改寫CI流程

新聞 | SitusAMC | 供應鏈攻擊 | 金融產業 | 資料外洩

美國房地產融資暨IT服務供應商SitusAMC遭駭,主要銀行客戶資料恐外流

上週末美國房地產融資暨科技服務業者SitusAMC發布公告,指出他們遭到網路攻擊,導致部分資料外洩,其中可能包含他們用戶的客戶資料,紐約時報取得銀行業界人士的說法,並透露美國聯邦調查局(FBI)已介入調查

2025-11-25

新聞 | 中國駭客 | WSUS | CVE-2025-59287 | ShadowPad | Powercat

中國駭客加入利用WSUS重大漏洞的行列,以此散布ShadowPad

一個月前發布緊急更新的Windows Server Update Services(WSUS)重大漏洞再傳攻擊行動,有中國APT駭客搭配公用程式curl及certutil,於Windows Server植入惡意程式ShadowPad

2025-11-25

新聞 | Swift 6.3 | Embedded Swift | Swift MMIO | 嵌入式開發 | C語言

Swift 6.3大幅強化Embedded Swift,提升微控制器開發與除錯體驗

Swift 6.3將強化Embedded Swift,補上浮點輸出、加入語言診斷,更新MMIO與SVD工具,提升硬體存取與除錯體驗,並改進C語言互通與連結模型,讓微控制器開發更順暢

2025-11-25

新聞 | Olmo3 | AI2 | 開源AI | 推理模型 | LLM

Ai2釋出真開源思考模型Olmo 3,支援可回溯推理與長上下文

Ai2發布新的Olmo3模型家族,提供7B與32B兩種尺寸,涵蓋思考、對話與強化學習模型,支援長上下文並在多項數學與程式評測中取得良好成績,並從訓練資料到推理回溯工具全開源

2025-11-25

新聞 | 資安日報

【資安日報】11月24日,Salesforce用戶再傳遭供應鏈攻擊,駭客鎖定外掛Gainsight而來

上週末傳出Salesforce用戶再度被鎖定,有人滲透名為Gainsight的應用程式而來,傳出至少有200家企業組織受害

2025-11-24

為了證明從CrowdStrike內部員工取得翻拍的內部資料,ShinyHunters向資安新聞網站HackRead提供照片,聲稱是身分驗證管理平臺Okta的單一簽入(SSO)主控臺畫面,他們可能以此掌握CrowdStrike提供員工的應用程式名單,從而尋找可利用的弱點。值得一提的是,駭客在浮水印文字寫上了「scattered lapsussy hunters CROWDSTRIKER #crowdsp1d3r」,其中的CROWDSTRIKER很可能就是指該公司的內部員工。

新聞 | Salesforce | Salesloft | Gainsight | CrowdStrike | Scattered LAPSUS$ Hunters | ShinyHunters | 內部威脅

CrowdStrike驚傳員工遭駭客收買,企圖外流身分驗證Cookie與內部螢幕畫面

資安新聞網站Bleeping Computer與HackRead的報導指出,駭客組織Scattered Lapsus$ Hunters在Telegram頻道公布來自CrowdStrike內部環境的圖片,疑為遭收買的員工拍攝提供。CrowdStrike坦承,的確察覺有可疑的員工翻拍電腦畫面外流,已遭到解僱

2025-11-24

新聞 | 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 勒索軟體攻擊 | 產品資安

【資安週報】1117~1121,電信業提供「小烏龜」已屆EoL,卻未主動幫用戶更換,邊緣裝置產品資安風險成焦點

在2025年11月第三星期資安新聞中,邊緣裝置的產品安全成為焦點,最受矚目是臺灣資安研究人員揭露「小烏龜」漏洞引發的安全疑慮,還有兩起攻擊活動的揭露,包括中國駭客鎖定華碩路由器攻擊以架設ORB網路匿蹤,以及中國駭客PlushDaemon入侵路由器竄改DNS的攻擊行動

2025-11-24

新聞 | Grafana | SCIM | CVE-2025-41115

資料分析系統Grafana存在滿分漏洞,攻擊者有機會以此冒充管理員及提權

圖表資料呈現系統Grafana修補滿分漏洞CVE-2025-41115,此漏洞涉及12版導入的跨網域身分識別管理系統(System for Cross-domain Identity Management,SCIM)功能,影響企業版與雲端版本用戶,企業版用戶應儘速套用新版程式因應

2025-11-24

新聞 | 勒索軟體 | CI0p | 博通 | Broadcom | Oracle EBS

勒索軟體Cl0p駭客聲稱透過Oracle零時差漏洞攻擊,得手博通內部資料

CI0p宣稱竊得博通(Broadcom)公司資料,研究人員認為,這樁事件可能是濫用Oracle EBS漏洞攻擊的後果

2025-11-24

新聞 | Top500 | 超級電腦 | 國網中心 | Nano 4 | Nvidia

臺灣有10臺超級電腦進入五百大,排名全球第九

臺灣有3臺超級電腦擠身TOP500名單前一百名,依序是排名29、位於國網中心的Nano 4;排名49、位於友崴AI運算服務中心的Ubilink;以及排名80、Nvidia的TAIPEI-1

2025-11-24

新聞 | Gmail

Google否認以用戶Gmail內容訓練AI模型

近日Google更新智慧功能的設定(setting)文字,讓部分使用者以及資安公司MalwareBytes Labs誤解為,使用者的Gmail內容可能被Google用來訓練AI模型,但Google澄清並無此事

2025-11-24

新聞 | SonicWALL | 防火牆 | CVE-2025-40601

SonicWall修補防火牆、電子郵件閘道漏洞

SonicWall上周發布安全更新,分別修補導致防火牆崩潰的漏洞,以及在電子郵件閘道執行惡意程式碼、存取資訊的漏洞

2025-11-24