文/羅正漢|2026-02-02發表

2026年1月底有兩大威脅態勢備受關注,涵蓋波蘭電網攻擊事件,以及爆紅的Clawdbot / Moltbot / OpenClaw因組態設置不當而產生資安風險爭議。

首要關注焦點是,波蘭電力系統在去年12月29日遭大規模網路攻擊,近日有兩家資安業者揭露最新調查結果,指出與過往攻擊模式不同的是,駭客主要鎖定分散式能源(DER)設施,而非大型發電廠。
(一)資安公司ESET指出攻擊者可能是俄羅斯駭客Sandworm,作案工具是名為DynoWiper的資料破壞軟體,其動機很可能與Sandworm鎖定能源設施發動攻擊正好滿10週年有關。
(二)工控資安公司Dragos指出,攻擊者成功入侵了至少12個設施,受害環境包括熱電共生(CHP)設施、風力發電場,以及太陽能發電場。

這一星期,開源AI代理專案Clawdbot(現更名為OpenClaw)在開發者社群迅速竄紅,但相關資安風險消息也接連爆出,尤其是許多Clawdbot用戶積極投入使用,卻完全忽略配置不當問題,恐讓外人隨意存取機敏資料。
(一)在公開網路上,突然出現大量採用不當配置的Clawdbot Control管理介面,恐被用來接管AI代理、竊取API金鑰,甚至取得root權限。
(二)有駭客趁Clawdbot當紅之際,資安公司Aikido發現有攻擊者在VS Code延伸套件市集假冒其名號散布惡意軟體。

還有一起研究人員揭露資料庫暴露在公開網路的消息,由於影響層面廣泛,該資料庫存有iCloud、Gmail、Netflix等近1.5億筆憑證曝險,成為本周最熱門的新聞。我們整理本期周報時,發現這起揭露與往常事件最大不同之處在於,研究人員推斷這可能是駭客建立的資料庫,當中儲存了鍵盤側錄與竊資軟體所蒐集的相關資料。

在資安事件方面,臺灣有3家上市櫃公司發布資安重訊,涵蓋上櫃觀光餐旅業五福、上櫃建材營造業德昌、上市的產品外觀鍍膜處理廠商柏騰。

●五福旅行社1月26日傳出旅客個資外洩事件,媒體報導有駭客宣稱竊取23GB資料;隔日公司發布重訊,說明部分資訊系統遭駭,其新聞稿指出,初步清查影像圖庫系統,確認受影響資料包含旅客姓名、護照及行程內容。
●德昌營造在1月26日代子公司公告發生網路資安事件,說明重要子公司經典公司資訊系統遭受駭客網路攻擊。
●真空濺鍍薄膜大廠柏騰科技在1月27日發布重訊,說明公司資訊系統遭受駭客網路攻擊。

國際間亦有兩起資安事故引發關注,包括知名運動品牌Nike傳出資料外洩,駭客組織WorldLeaks宣稱竊得18.8萬份檔案、共1.4 TB資料,Nike表示已著手調查中;音樂串流平臺SoundCloud公告遭遇資安事故,發現周邊服務儀表板出現未授權活動,資料外洩追蹤網站HIBP則指出受影響帳號約2,980萬筆。

至於漏洞消息方面,這一星期約有838個CVE漏洞揭露,其中有3起零時差漏洞攻擊因影響重大而備受關注,相關漏洞分別涉及微軟Office、Fortinet防火牆與Ivanti端點管理平臺。
●有攻擊者利用Office漏洞繞過OLE防護機制進而執行RCE,微軟緊急修補漏洞CVE-2026-21509。
●1月中Fortinet用戶通報修補最新漏洞的防火牆裝置再次被駭,該公司表示修補不完全,新修補SSO漏洞CVE-2026-24858。
●有攻擊者鎖定Ivanti EPMM平臺攻擊,該公司緊急修補已遭利用漏洞CVE-2026-1281。

此外,也出現鎖定已知漏洞的攻擊事件,包括:GNU Inetutils套件上星期修補的漏洞CVE-2026-24061,資安廠商GreyNoise指出兩天後即出現企圖濫用該漏洞的攻擊行動。還有SmarterTools近一個月修補SmarterMail的漏洞CVE-2025-52691、CVE-2026-23760 ,以及老舊漏洞Linux Kernel的漏洞CVE-2018-14634,均被美國CISA列入KEV清單。

此外,漏洞挖掘競賽Pwn2Own Automotive 2026結果公布,本屆設置6個競賽項目,涵蓋Tesla、車載資訊娛樂系統(IVI)、Level 2與Level 3電動車充電設備,以及開放充電聯盟、作業系統,所有參賽隊伍共協助找出76個零時差漏洞。

還有一則安全更新消息值得留意,微軟Windows 11近期安全更新引發部分電腦無法開機的問題。微軟表示已接獲用戶通報,並強調此情況不影響伺服器與虛擬機器,目前正持續調查原因。

在資安防禦動向上,臺灣政府今年將針對金融資安監理提出6大新重點,這不僅成為金融業必須關注的方向,也可作為其他產業推動資安工作的參考,包括:明訂資安長權責、建立軟體供應鏈安全機制(如SBOM),以及零信任架構的落地推動。同時還有:新金融資安基準將發布(API安全基準、容器服務監控基準)、新興技術資安指引將發布(AI系統安全防護及檢測參考指引、PQC遷移資安指引),以及新金融IT委外措施(供應商分級、委外資安責任參考範本)。

另外,在微軟數位防禦報告的最新態勢揭露當中,指出21種傳統攻擊手法因AI加持而更顯嚴峻,並強調網域冒充(Domain Impersonation)情形恐更加普遍,因此提出4大主動防範建議。

 

【1月26日】ShinyHunters鎖定Okta、Google、微軟單一登入從事語音網釣

去年犯案連連的駭客組織ShinyHunters,傳出近期再度鎖定多個廠牌的單一登入(SSO)平臺用戶,從事語音網釣(Vishing)攻擊的情況,這起事故最初的揭露,是上週身分驗證業者Okta的一則資安公告

【1月27日】金管會資安監理政策2026年六大新重點

去年底金管會發表了未來四年金融資安監理的新政策框架「金融資安韌性發展藍圖」,其中最值得留意的地方,是有部分政策就在2026年正式發布,亦有部分即將在2027年實施,企業必須現在就著手準備,屆時才能因應

【1月28日】竄紅的開源AI平臺Clawdbot出現部分系統配置不當

開源AI平臺Clawdbot(現已更名為Moltbot)正式發表後竄紅,在社群引起大量使用者架設,不過有研究人員提出警告,有數百個設置不當的Clawdbot Control管理介面曝露在網際網路,任何人都可能任意存取機敏資料,甚至接管AI代理系統

【1月29日】波蘭電力基礎設施遭遇攻擊,傳出是俄羅斯駭客所為

資安公司ESET與Dragos針對12月底發生於波蘭的電力基礎設施攻擊事故,揭露相關調查結果,指出攻擊者應該就是俄羅斯駭客,主要的標的為分散式能源資源(Distributed Energy Resources,DER)設備,並透過資料破壞軟體從事破壞行為

【1月30日】駭客要求AI根據開發流程打造功能複雜的惡意程式

資安公司Check Point針對雲端惡意軟體框架VoidLink進一步調查,發現駭客不僅採用AI編寫程式碼,還要求AI根據規格取向的開發方法(Spec-Driven Development,SDD),根據需求及時程打造惡意程式。該公司指出,這是他們第一個看到採用SDD模式打造的惡意軟體

 

iThome Security

熱門新聞

Advertisement