【資安週報】0126~0130,開源AI代理Clawdbot竄紅,不當配置的風險引發高度關注

回顧2026年1月最後一星期的資安新聞,最大焦點是波蘭電網去年底遭大規模攻擊事件的調查揭露,駭客主要鎖定分散式能源設施(DER)而來;開源AI代理專案Clawdbot(現更名為OpenClaw)竄紅,相關不當配置與供應鏈風險的消息也引發關注。此外,臺灣有3家上市櫃公司發布資安重訊,分別是:五福、德昌、柏騰

新聞 | 波蘭 | 能源產業 | 再生態源 | 俄羅斯駭客 | Sandworm | Electrum

針對波蘭電網遭到攻擊有新的調查結果,駭客鎖定分散式能源下手

工控資安公司Dragos針對波蘭電網去年遭到網路攻擊的事故發布調查結果,指出這起事故與過往最大的不同,就是駭客鎖定分散式能源(DER)下手,而非大型發電廠

2026-01-29

新聞 | ClickFix | 竊資軟體 | Amatera Stealer | APP-V

竊資軟體Amatera Stealer透過ClickFix網釣散布,濫用App-V元件迴避偵測

為了躲過防毒軟體及EDR系統對於惡意指令的攔截,有資安公司發現,駭客在ClickFix網釣當中結合了Windows內建的功能Microsoft Application Virtualization(App‑V),從而在受害電腦部署竊資軟體Amatera Stealer

2026-01-29

新聞 | Meta | WhatsApp | 嚴格帳戶設定 | Strict Account Settings | 間諜軟體

WhatsApp新增安全設定 防範高風險個人遭植入監聽軟體

Meta宣布WhatsApp新增嚴格帳戶設定(Strict Account Settings),可防止高風險用戶帳號遭到進階攻擊者入侵

2026-01-29

新聞 | SoundCloud | 資料外洩 | Have I Been Pwned | Dos攻擊 | 網路釣魚

SoundCloud後臺輔助儀表板遭未授權存取,HIBP指約2,980萬帳號資料外流

音樂串流平臺SoundCloud儀表板出現未授權活動,HIBP估計受影響帳號約2,980萬筆,外洩約3,000萬個唯一電子郵件地址,目前未發現涉及密碼或財務資料

2026-01-29

新聞 | Clawdbot | VS Code | ScreenConnect | RMM

惡意VS Code延伸套件偽裝成Clawdbot,開發者電腦恐遭遠端完全控制

爆紅的開源AI代理專案Clawdbot(現已更名為Moltbot)也成為駭客發動攻擊的幌子,最近有人以此在延伸套件市集Visual Studio Code Marketplace上架惡意套件,意圖部署遠端管理工具,藉此控制受害者的開發環境

2026-01-29

新聞 | Meta | 營收 | 財報

Meta Q4營收成長24%,今年將加速部署AI

Meta公布2025年第四季財報,營收達599億美元、年增24%,表現優於預期。執行長祖克柏表示,今年將全面加速AI部署,重心轉向新模型、AI代理與超級智慧,並持續擴大運算與基礎設施投資

2026-01-29

新聞 | AI搜尋引擎 | Yahoo | Yahoo Scout | Claude

Yahoo公布AI搜尋引擎Yahoo Scout 先在美國上線

Yahoo正式切入AI搜尋引擎市場,在美國推出整合Claude模型與Bing搜尋技術的Yahoo Scout

2026-01-29

新聞 | Anthropic

Anthropic完成新一輪融資,估值上看3,500億美元

根據外電報導,AI新創Anthropic完成新一輪融資,身價上看3,500億美元

2026-01-29

新聞 | 衛福部 | AI | 算力 | 高算力中心 | 聯邦學習 | Federated Learning

衛福部正式啟動高算力中心暨跨國聯邦學習平臺,要解決公雲的合規局限

衛福部今日正式啟動高算力中心暨跨國聯邦學習平臺,要解決醫療體系在使用商用公雲時面臨的合規與治理局限。這個算力中心早在2024年就開始規畫,當時衛福部已先建置LS40等級系統,去年再導入H200等級系統,未來還將進一步引進GB200等級系統。

2026-01-28

新聞 | 資安日報 | 五福 | 柏騰

【資安日報】1月28日,竄紅的開源AI平臺Clawdbot出現部分系統配置不當

開源AI平臺Clawdbot(現已更名為Moltbot)正式發表後竄紅,在社群引起大量使用者架設,不過有研究人員提出警告,有數百個設置不當的Clawdbot Control管理介面曝露在網際網路,任何人都可能任意存取機敏資料,甚至接管AI代理系統

2026-01-28

新聞 | AI2 | SERA | 程式開發代理 | SWE-Bench | 後訓練

Ai2推出SERA程式開發代理,公開可重現的低成本後訓練流程

Ai2發表Open Coding Agents計畫並釋出SERA模型,公開後訓練配方與整合工具,主打支援私有程式碼庫的模型調整,官方估算,重現先前最佳開放成果只需400美元算力

2026-01-28

新聞 | OpenSSL | CVE-2025-15467 | CMS | S/MIME | AES-GCM

OpenSSL修補高風險CMS解析堆疊溢位漏洞,恐致DoS甚至引發RCE

OpenSSL修補CVE-2025-15467漏洞,解析CMS的AuthEnvelopedData時要是初始化向量過長,可能觸發堆疊緩衝區溢位導致DoS,且在部分防護不足的平臺不排除被用於遠端程式碼執行

2026-01-28