8月底臺北市政府打算引進中國宇樹科技(Unitree)製造的巡檢機器狗,引發許多資安爭議,由於這種具備感知、決策、行動能力的具身AI機器人及機器狗,在全球已有許多國家導入使用的情況,相關資安議題隨之浮出檯面,我們也以此製作封面故事(上、下)進行探討。9月下旬有研究人員公布該廠牌AI機器人的資安漏洞UniPwn,由於該廠牌機器人曾被揭露存在未被公開的後門,此事受到許多大眾媒體的關注。
另一項資安漏洞ForcedLeak的揭露,也引起許多目光,原因是這項漏洞出現在CRM系統Salesforce的AI代理平臺Agentforce上,一旦遭到利用,就有可能將CRM系統存放的機敏資料外流,由於日前有許多知名企業資料外洩事故與此CRM系統有關,因此相關弱點的揭露,格外受到矚目。
【漏洞與修補】
中國宇樹AI機器人存在資安漏洞UniPwn,攻擊者不僅能完全存取,還能透過藍牙進行自動感染
8月底臺北市副市長李四川在社群媒體臉書發布貼文向臺北市民介紹,北市府新工處引進「智能機器狗」巡視人行道,傳出此機器狗為中國宇樹科技(Unitree)的產品惹議,使得AI機器人的資安議題受到臺灣民眾高度關注。近期有資安研究員指出,該廠牌的機器人存在資安漏洞UniPwn,不僅能用於完整存取機器人,甚至能透過藍牙進行無線橫向感染,在沒有使用者干預的情況下形成機器人殭屍網路。
根據科技與工程新聞網站IEEE Spectrum的報導,資安研究員Andreas Makris與Kevin Finisterre在調查宇樹的機器人平臺時,發現低功耗藍牙(BLE)與Wi-Fi無線組態介面有重大漏洞,影響該廠牌Go2、G1、H1、B2等系列的機器人,雖然他們在今年5月首度向宇樹通報此事,但截至9月20日,最新版的韌體仍存在相同問題。兩名研究員指出,這應該是首度公開的人形機器人漏洞。
Andreas Makris指出,這項漏洞結合了多種弱點,包括:寫死的加密金鑰、身分驗證繞過,以及未適當清理可被用於命令注入。更可怕的是,他強調這項漏洞不僅能讓攻擊者完全控制受害機器人,還能自我擴散(Wormable),只要其他曝險的機器人在藍牙能夠存取的範圍,就能自動利用漏洞來入侵。
Salesforce修補AI代理平臺重大漏洞ForcedLeak
最近幾個月許多知名科技業者、精品業者、金融業者、資安業者傳出雲端CRM系統Salesfroce資料外洩的情況,因此一旦有這套系統相關的消息,便格外引人注目。
例如,最近資安業者Noma Security公布的資安漏洞ForcedLeak,就是這種類型的例子。這項漏洞出現在Salesforce的AI代理平臺Agentforce,雖然目前沒有登記CVE編號,然而其CVSS風險值高達9.4(滿分10分),攻擊者有機會透過間接提示注入攻擊,竊取存放於CRM的敏感資料,相當危險。該公司於7月底向Salesforce通報此事並得到確認,Salesforce於9月上旬對Agentforce及Einstein AI用戶宣布,他們實作「受信任的URL」功能,並強制執行,來緩解這項資安漏洞。
對此,我們也向Salesforce臺灣分公司進一步了解,該公司表示已發布修補程式因應,防範Agentforce代理輸出資料到不受信任的URL。針對提示注入的領域,該公司將投資強大的安全控制,並與資安研究社群密切合作,以便在發現類似問題的時候能夠保護客戶。
【攻擊與威脅】
生產知名Asahi啤酒的朝日集團控股公司(Asahi Group Holdings)昨(29)日公告遭到網路攻擊,影響該公司日本包含出貨等作業被迫暫停。
朝日集團指出,災情僅限日本境內。目前未發現有個資或客戶資料流向外部人士。但數項作業因系統無法運作而暫停,包括集團內公司的訂單和出貨,以及電話客服系統,包括客服前臺作業。
朝日集團正在調查原因並致力回復作業,不過,他們無法預估回復時間。雖然此類災情可能出於勒索軟體,但朝日集團並未說明。迄今也沒有駭客組織宣稱犯案。
英國精品百貨哈洛德(Harrods)上周因第三方IT系統被駭所累,遭駭客竊取客戶個資43萬筆。
這起事故的揭露,最早是BBC報導,哈洛德百貨上周五發信,通知受影響的客戶資料外洩,此事獲得這家老牌百貨公司證實。哈洛德百貨也向BBC及The Register等媒體證實駭客已經聯繫贖款一事,但說他們拒絕和駭客交易。
哈洛德發言人說,這波資料外洩並非出於公司系統被駭,而是使用的一家IT系統供應商遭入侵所連累。哈洛德拒絕透露被駭的IT供應商身分,但強調該供應商向他們說明,這次與5月發生的資安事故不同。
為協助Jaguar Land Rover供應鏈恢復運作,英國政府打算提供15億英鎊的貸款擔保
9月初英國汽車大廠Jaguar Land Rover(JLR)遭遇資安事件停工將逾一個月,英國政府計畫提供15億英鎊貸款擔保,以協助這家英國車廠供應鏈恢復運作及支持員工生計。
JLR於9月2日發生資安事件,導致英國境內兩座工廠暫停運作。雖然JLR力圖回復運作,但迄今仍未成功,並於上周通知客戶、供應商及合作夥伴,停產至少要到10月1日。JLR希望最快本周能確定復工的時程。
英國政府打算透過英國出口融資署的出口發展擔保(Export Development Guarantee)計畫,提供5年15億英鎊貸款擔保。這類方案是降低借貸方無法償還貸款的風險,提升銀行或其他借貸者的意願。英國政府希望藉由協助JLR支付供應商、合作夥伴及員工的能力,避免眾多仰賴JLR的供應商破產,以及JLR與上游廠商可能的裁員風險。
人資廠商Miljödata遭勒索攻擊,Volvo集團北美員工個資遭外流
Volvo集團北美對員工發出資安通知,說明旗下第三方人資系統供應商Miljödata,在2025年8月遭遇勒索軟體攻擊,攻擊者隨後在暗網公開資料,導致包含Volvo員工在內的大量個資外流。
根據個人資料洩漏查詢平臺Have I Been Pwned的記錄,本次事件涉及約87萬筆獨立電子郵件地址,外洩內容包含姓名、電話、住址、生日以及政府核發的個人識別碼等敏感資訊。瑞典媒體進一步指出,實際受影響人數可能超過百萬,範圍涵蓋市政單位與教育機構。
依據Volvo在美國提交的員工通知文件,Miljödata的事件發生於8月20日,並於8月23日確認為勒索軟體事件,Volvo在9月2日接獲通知並展開後續處置。該文件強調,Volvo自有系統未受到直接入侵,但因透過Miljödata的服務處理人事資料,部分員工的姓名及美國社會安全碼(SSN)等資訊可能受到影響。
其他攻擊與威脅
◆駭客組織Vane Viper產生1兆次DNS查詢,掩蓋惡意軟體及廣告詐欺活動
◆思科ASA防火牆遭零時差漏洞攻擊,駭客以此部署惡意程式RayInitiator、Line Viper
◆中國駭客利用惡意程式PlugX、Bookworm,攻擊亞洲電信業者
◆惡意MCP伺服器被打包成NPM套件,歹徒意圖藉此竊取電子郵件
◆勒索軟體駭客傳出企圖重金收買記者,做為攻擊知名媒體BBC的內應
【資安產業動態】
從2025年7月發生易飛網和海華科技遭供應鏈攻擊及資料竊取,到惡名昭彰的Ivanti VPN零時差漏洞被用於網路間諜活動,再到一般民眾頻繁遭遇的詐騙風險等,面對層出不窮的資安威脅,社會各界提升資安防禦與意識的需求,日益迫切。在這樣的背景下,國家資通安全研究院(資安院)日前宣布正式發行《資安週報》,這份週報不僅是單純的資訊彙整,更被視為構築國家級資安情資視野、推動資料驅動治理(Data-Driven Governance)的關鍵工具。
數位發展部資通安全署署長蔡福隆強調情報共享的重要性,他表示,資安相關的訊息,其實,要互通才能做相關聯防,這也是提升政府機關資安防禦的關鍵。他對於資安院從今年7月開始發行《資安週報》試刊號表示肯定,並指出,週報內容已逐步滿足讀者需求,涵蓋國內外資安趨勢、高風險漏洞、攻擊手法,乃至於民眾關切的打詐資訊。
近期資安日報
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
