【資安週報】0309~0313，時代力量個資外洩事件突顯CRM系統管理疏漏風險

【資安新聞編輯室報告】這一星期最受關注的資安事故焦點，莫過於臺灣政黨時代力量的個資外洩事故。我們在3月6日注意到國外資安監控網站揭露此消息，隨即向該黨求證，時代力量在清查後於當日傍晚確認事故發生，正持續釐清資料外洩管道，晚間8時進一步確認為CRM系統遭入侵。這起事故也帶來一項警示：CRM系統的存取權限管控至關重要，若管理不當將導致個資外洩發生。

除了政黨個資外洩事件，臺灣另有兩家上市櫃公司發布資安重訊，分別是專注於LED封裝技術的榮創能源科技，以及開發生物檢驗技術及儀器的浩泰精準。後者的揭露更是突顯集團兩公司遭駭情形，該公司指出，母公司廣泰金屬工業同樣遭網路攻擊，伺服器資料被加密，導致系統部分無法使用。

國際亦傳出多起資安事故，例如，加拿大流程外包（BPO）業者Telus Digital遭駭，疑外洩1 PB資料；美國醫療科技巨頭Stryker公告遭網路攻擊，親伊朗駭客組織Handala聲稱是其所為；瑞典電信巨擘愛立信Ericsson的美國分公司通報客戶及員工資料外洩，原因是去年4月第三方廠商遭駭；輪胎巨擘米其林亦證實去年遭遇Oracle EBS漏洞攻擊事件，導致部分資料外洩。

美國網路戰略發布以及RWC 2026公開密碼學的重要進展

在資安防禦政策與技術發展方面，有兩大重要消息需要關注，一是美國白宮發布《2026年川普總統美國網路戰略》，一是真實世界密碼學研討會（RWC 2026）在臺舉行。
●美國總統川普親自署名的國家網路戰略發布，強調主動打擊與美國優先，突顯出完全不同於過往偏重防禦的策略，並首度將Agentic AI、後量子加密（PQC）與區塊鏈技術列為國家安全的核心技術防線。該戰略同時提出六大政策支柱，展現美國在網路空間採取積極行動的決心。
●密碼學是當代資通安全的基石，今年度RWC 2026現場頒發Levchin Prize以讚揚該領域卓越貢獻者，本次獲獎者涵蓋開啟公鑰密碼學發展50年的Martin Hellman與Whitfield Diffie，以及大幅提升現代通訊協定安全性的Tamarin Prover核心團隊。
●PQC遷移是RWC 2026關注重點之一，其中4場演說展現2026年初最新研究成果，涵蓋：混合式金鑰交換機制（KEM）建構的探討，首個能與ML-DSA完全相容的Threshold式數位簽章設計的發表，以及Signal Protocol加密協定的優化，Signal群組通訊重新建構的實務經驗分享。

Google、Gartner報告揭露最新威脅態勢

綜觀本週威脅態勢，多份重要資安研究報告相繼發布，揭示了網路攻擊的最新演變與關鍵趨勢。我們整理如下：
●Google Cloud發布《2026上半年雲端威脅展望報告》，其中三大重點態勢受關注，包括：（一）過去雲端攻擊多以竊取帳密憑證或設定錯誤為主，如今第三方軟體漏洞利用成首要入侵管道；（二）身分濫用與CI/CD信任鏈攻擊同步升溫；（三）漏洞從揭露到遭利用的時間現已縮短至數天，建議企業需要自動化去因應盤點、修補與事後調查。
●Gartner揭露2026年網路安全六大趨勢，這些即將或正在發生的狀況分別是：代理式AI需要資安監管、全球法規波動推動網路韌性、後量子加密（PQC）進入行動階段、身分與存取管理（IAM）需適應AI代理、AI驅動的SOC改變營運常態，以及生成式AI正瓦解傳統資安意識培訓。
●金融業注意！FBI示警2025年ATM吐鈔有顯著升溫趨勢，去年全年通報量即占最近五年的3成以上，損失金額突破2,000萬美元。FBI指出，此類攻擊主要利用Ploutus惡意程式家族，透過濫用XFS軟體層來繞過銀行的授權機制，直接向硬體下達出鈔指令。同時提醒駭客多透過實體存取方式竄改或替換硬碟來植入病毒，且該惡意程式具備自動刪除痕跡的功能。
●雲端物件儲存服務商Wasabi公布《全球雲端儲存指數2026》報告指出，目前企業導入AI技術的應用情境，比重最高的是資安監控與異常偵測領域，比重超過50%，是最高的一類，甚至超過生成式AI應用，與AI代理技術應用的比重相當。

其他值得留意的威脅態勢，像是新型態InstallFix出現，這是ClickFix社交工程手法的變體，駭客利用冒牌Claude Code安裝攻擊指引散布竊資軟體；以及傳出網路犯罪集團Scattered LAPSUS$ Hunters徵求女性電訪員協助撥打語音釣魚（Vishing）電話的消息。

Agentic AI風險持續升溫，認識風險才能有所警惕

AI代理相關風險同樣持續受到關注，因此我們特別報導OWASP最新發布的Agentic AI十大風險，以增進各界對此新興威脅的認識。而在認識風險之際，OWASP台灣分會會長胡辰澔也呼籲大眾，需了解風險排行榜的核心意義在於喚醒資安意識，不應將其視為僵化的教條或招標採購的硬性依據。他同時指出，推動AI漏洞與分類的標準化，將是未來各界需共同關注的焦點。

近期還有多則新聞與AI代理風險有關，例如，阿里巴巴研究人員發現模型訓練代理人演化出挖礦等惡意行為，對照Agentic AI十大風險，這就是所謂失控代理（Rogue Agents）的問題。還有資安公司Zenity揭露，Perplexity的AI瀏覽器Comet存在零點擊漏洞PerplexedBrowser，攻擊者可透過間接提示注入操控AI代理，這就是所謂代理目標劫持（Agent Goal Hijack）的風險。

適逢每月例行安全更新，企業應盤點受影響程度並完成修補

在漏洞消息方面，這一星期多家IT與OT業者發布每月例行安全更新，包括微軟、SAP、Adobe等要企業儘速盤點並完成修補。而根據CVEdetails.com統計，這一星期有超過1,400個CVE漏洞公開，其中一些漏洞威脅狀況成為新聞焦點。

例如，n8n在去年12月底修補的漏洞CVE-2025-68613，如今已經發現遭利用跡象，資安公司Akamai近日揭露發動Zerobot殭屍網路背後的駭客，正積極嘗試利用兩個已知漏洞，其中一個就是鎖定這個漏洞，且相關攻擊活動最早可追溯至2025年12月初。

還有一項與漏洞攻擊有關的重要消息，是Google威脅情報團隊（GTIG）揭露iOS漏洞利用工具包Coruna，已遭俄羅斯駭客與間諜軟體商用於實際攻擊。值得關注的是，該工具疑似源自間諜軟體開發商，據科技新聞網站TechCrunch指出，可能是美國國防承包商L3Harris開發。蘋果也因為發生Coruna攻擊事件，針對舊款iPhone及iPad用戶發布更新。

【3月9日】新型態社交工程手法InstallFix被用於攻擊Claude Code用戶

在n8n、OpenClaw等AI工具爆紅後，有許多使用者會根據開發工程團隊提供的線上說明文件安裝相關工具，但這樣的情況也被駭客盯上，他們打造假的網頁來誘騙使用者，依照指示複製指令，貼上電腦的終端機並執行，然而，這些指令可能會在電腦植入竊資軟體。

【3月10日】AI瀏覽器Perplexity Comet存在零點擊漏洞，可用於竊取檔案及挾持密碼管理工具帳號

資安公司Zenity近日表示，他們去年11月向AI公司Perplexity通報瀏覽器Comet的資安漏洞PerplexedBrowser，並強調該漏洞不光能用來洩露電腦本機存放的檔案，還有機會挾持使用者密碼管理工具1Password存放的內容。

【3月11日】微軟發布例行更新，修補已被公開的零時差漏洞

本週二有許多軟體公司發布3月例行更新，其中微軟推出的更新相當值得留意，因為其中有2個出現在SQL Server與.NET的漏洞，在該公司修補之前就被公開，很可能接下來會遭到利用。

【3月12日】Google完成併購Wiz，將整合到Google Cloud事業群

創下有史以來金額最高的併額案終於完成！Google在去年宣布買下Wiz之後，經過美國反托拉斯審查、歐盟批准後，本週宣布併購完成，並表示未來Wiz將會併入Google Cloud事業群

【3月13日】蘋果為舊裝置修補遭Coruna利用的資安漏洞

Google揭露的iOS漏洞利用工具包效應一週後仍持續延燒！繼美國網路安全暨基礎設施安全局（CISA）將部分漏洞列入已遭利用漏洞列表（KEV），有科技新聞媒體掌握相關工具來自美國國防承包商，蘋果本週也特別為執行舊版iOS與iPadOS的裝置，修補相關漏洞