【資安週報】0223~0226，AI自動化漏洞掃描將趨於普及，Anthropic推出Claude Code Security

【資安新聞編輯室報告】農曆春節過後，資安領域最受矚目的進展莫過於Anthropic推出Claude Code Security，該工具能自動掃描漏洞並提供修補建議，目前已開放預覽，這是繼半年前美國DARPA公布AIxCC競賽成果、4個月前Google DeepMind公開CodeMender進展，以及OpenAI揭露Aardvark後的又一重大突破。而為了防範AI技術遭駭客濫用，Anthropic亦規定該功能嚴禁用於掃描第三方授權程式碼，用戶僅限掃描自有程式碼。但此事件還有不同影響，軟體股近期表現本就疲軟，Claude Code Security發布當日，美國財經媒體更是指出多檔資安股跌勢驚人。

其他重要資安防禦進展，包括英國政府近期宣布與微軟合作開發深偽（Deepfake）偵測系統，美國NIST啟動AI代理標準倡議，以建立跨系統互通與安全運作的基礎，以及真實世界密碼學研討會RWC 2026即將於3月在臺舉行，聚焦PQC建構、隱私強化、安全通訊等12大主題。

資安事故方面，國內有3起事件備受關注，涵蓋上市公司南光、圓山大飯店、酷澎臺灣：
（一）南光化學製藥在大年初三（2月19日）緊急發布重訊，說明接獲其合作廠商通知，發現公司網路系統遭不明人士入侵，目前調查顯示部分內部文件簽呈資料等相關資訊疑似遭竊取，並於暗網流傳，也特別提及因應措施包含關閉VPN連線。根據上述公告判斷，我們認為這次事故發生的關鍵，可能與VPN漏洞未及時修補，或是VPN帳號權限管理不當有關。
（二）圓山大飯店於大年初四（2月20日）發布公告說明初一發現資訊系統異常，後續證實遭網路攻擊，指出部分系統遭非法存取，部分客戶的資料可能遭竊或外流，影響範圍尚待確認，由於圓山大飯店是國內接待外賓的重要場所，後續狀況值得留意。
（三）酷澎韓國先前發生資料外洩事故，當時酷澎臺灣表示不受影響，但數位發展部數位產業署在2月24日指出，已確認臺灣有20多萬名用戶受影響，並要求對此辦理行政檢查。同日酷澎臺灣指出涉案前員工接觸了約20萬名酷澎臺灣用戶的資料，不過，該員工僅儲存其中1名用戶的個資。

國際間亦發生多起重大事故，多數與勒索軟體攻擊有關，包括：法國公共財政總署（DGFiP）旗下銀行帳戶中央登記系統FICOBA發現1月底有未經授權存取情形，估計120萬個帳戶受影響；日本半導體設備商愛德萬測試（Advantest）、日本華盛頓飯店WHG Hotels遭勒索軟體竊取資料；勒索軟體ShinyHunters宣稱入侵永利度假村飯店（Wynn Resorts）並竊取80萬筆員工資料。

精品集團LVMH的三個品牌LV、Dior、Tiffany去年發生資料外洩事故，近期有後續的消息：韓國個資保護委員會對3家業者開罰2,500萬美元。

在資安威脅態勢方面，臺灣企業組織首要關注在於，中國駭客Silver Fox正假借稅務及電子發票名義，對臺發動針對性網釣並散布惡意軟體Winos 4.0，其攻擊手法結合DLL側載與BYOVD，並透過頻繁輪替網域與雲端服務來規避偵測，Fortinet示警時表示，企業若僅採取封鎖特定網域的防禦手段，將難以有效因應此類動態攻擊。

關於駭客持續濫用AI的情形，同樣備受關注，近日兩項重要報告突顯態勢更加嚴峻。
●Google發布2025年第4季的AI威脅報告，指出北韓、中國、伊朗及俄羅斯濫用AI的態勢加劇，以中國駭客組織為例，APT31賦予Gemini專家人設以進行自動化漏洞分析；UNC795於攻擊生命週期的全程當中，高度依賴AI研發與稽核；APT41利用AI加速惡意工具開發；Temp.HEX則利用AI彙整巴基斯坦特定目標的詳細資訊。
●Amazon Threat Intelligence揭露俄羅斯駭客近一個月針對Fortinet防火牆發動攻勢，主要鎖定暴露網際網路、使用弱密碼且未啟用MFA的系統，共入侵55國的600多臺FortiGate設備，且攻擊過程亦濫用多個生成式AI服務。

整理本期週報時，我們另發現OpenAI也在2月下旬公布分析報告《Disrupting malicious uses of our models》，內容是封鎖中國執法機關人員的ChatGPT帳號，因為該帳號嘗試利用其模型，規畫一項針對日本首相高市早苗及臺灣議題的影響力行動（influence operations，即認知作戰）。

至於漏洞利用威脅方面，有3起重大威脅都是駭客濫用零時差漏洞的攻擊行動，分別涉及思科、Dell產品與Chrome瀏覽器。
●思科緊急修補SD-WAN系統漏洞CVE-2026-20127，通報此事的澳洲網路安全中心（ACSC）指出，該漏洞疑似在3年前就被利用。此外，已知漏洞CVE-2022-20775也被視為同樣遭利用的情況。
●Dell緊急修補虛擬機器資料復原軟體漏洞CVE-2026-22769，Google TIG與Mandiant指出，研判攻擊者與中國駭客組織UNC6201有關，並且潛伏利用超過一年。
●Google修補Chrome桌面版漏洞CVE-2026-2441，說明有研究人員於2月11日回報後，已掌握遭實際利用情形，攻擊者身分未知。

還有攻擊者鎖定未修補已知漏洞的情況依然嚴峻，例如，2月初BeyondTrust修補重大漏洞CVE-2026-1731，資安公司Palo Alto Networks警告，已有駭客鎖定未及時修補用戶攻擊，部署VShell、SparkRAT，以及Web Shell型式的後門程式，至少5國企業組織出現災情。

其他已知漏洞首度確認遭駭客利用情形，包括：RoundCube Webmail的漏洞CVE-2025-68461、CVE-2025-49113，GitLab的漏洞CVE-2021-22175，ZCS的漏洞CVE-2020-7796，微軟Windows的老舊漏洞CVE-2008-0015，以及臺廠杜浦數位安全的ThreatSonar Anti-Ransomware的漏洞CVE-2024-7694。

【2月23日】駭客濫用AI對Fortinet防火牆發動大規模攻擊

Amazon揭露專門鎖定Fortinet防火牆的大規模攻擊活動，這起事故特別的地方在於，駭客透過AI製作的工具從事攻擊，入侵採用弱密碼、未啟用多因素驗證機制的防火牆，在一個多月的時間裡成功入侵超過600臺設備

【2月24日】NPM蠕蟲SANDWORM_MODE企圖竊取加密貨幣金鑰與開發相關機密

去年下半年蠕蟲程式Sha1-Hulud橫行NPM套件儲存庫，近期破壞威力更加強大的蠕蟲程式現身，揭露此事的供應鏈資安公司Socket指出，這次駭客不只竊取加密貨幣金鑰與CI/CD機密，還特別針對時下熱門的AI開發工具下手

【2月25日】中國APT駭客以稅務與雲端發票為誘餌，在臺灣散布惡意軟體

假借稅務問題散布惡意軟體Winos 4.0（ValleyRAT）的攻擊行動再度出現，中國駭客Silver Fox使用的誘餌雖然與去年的活動相似，不過手法變得更加複雜、隱密，若是單純仰賴特定的入侵指標進行封鎖，恐難以防範相關威脅

【2月26日】中國駭客UNC2814對全球超過60個國家的電信公司及政府機關從事網攻

Google揭露在全球超過60個國家的電信公司、政府機關從事大規模網路間諜活動的中國駭客UNC2814，這些駭客使用後門程式Gridtide，並濫用Google Sheets作為C2通訊基礎設施。值得留意的是，根據Google公布的UNC2814影響地區分布圖，攻擊範圍明顯涵蓋臺灣