| iThome

工作流程自動化平臺n8n存在重大沙箱繞過漏洞，通過身分驗證的攻擊者有機會接管系統

資安公司JFrog公布工作流程自動化平臺n8n的資安漏洞，編號為CVE-2026-1470與CVE-2026-0863，這些漏洞能繞過檢查機制或進行沙箱逃逸，其中又以評為重大層級的CVE-2026-1470特別值得留意，因為攻擊者只要通過身分驗證，就有機會接管n8n執行個體（instance）

新聞 | 釣魚網站 | Lumma | StealC | 竊資軟體

駭客架設多個冒充不同廠牌防毒軟體的網站，針對Windows、安卓裝置散布惡意程式

資安業者Trellix發現，駭客架設多個廠牌防毒軟體的冒牌網站，目的是對Windows電腦、安卓裝置植入惡意程式，並對受害裝置挖掘機敏資料

2024-05-28

新聞 | Replicate | AI | AI-as-a-Service | Cog | rce | 漏洞揭露

人工智慧服務供應商Replicate平臺存在重大漏洞，恐導致用戶自用的AI模型外流

繼上個月公布AI模型共享平臺Hugging Face的跨租戶攻擊弱點，資安業者Wiz近期公布開源AI模型的集合平臺Replicate的弱點，並指出一旦漏洞遭到利用，攻擊者就有機會操縱AI模型輸出的結果

2024-05-28

Rockwell Automation針對工業控制系統攻擊行動升溫提出警告，呼籲管理員勿將設備連接網際網路以策安全

工業控制自動化設備業者Rockwell Automation罕見針對特定已知漏洞發布公告，呼籲用戶應儘速將工控設備切斷與網際網路之間的連線

2024-05-28

新聞 | 中國 | 半導體 | 晶片

中國設立475億美元的國家半導體基金

為了擴大半導體產業規模，除了美國通過晶片與科學法案以金援英特爾、台積等業者擴廠，中國也成立國家半導體基金，準備對當地半導體供應鏈業者注資475億美元

2024-05-28

新聞 | Kubernetes | 雲端供應商 | kubelet

Kubernetes專案為維持平臺中立性，移除內建雲端供應商原生支援

Kubernetes移除內建雲端供應商支援，由4個子系統取而代之，以提升平臺的中立性並簡化維護複雜度，官方還預告，內建雲端供應商支援從Kubernetes 1.31開始永久停用

2024-05-28

新聞 | 蘋果 | OpenAI

傳聞蘋果將與OpenAI合作

外界推測目前的蘋果尚無能力自行打造聊天機器人，因此很有可能選擇與OpenAI合作，相關消息可望在下個月舉行的WWDC開發者大會上宣布

2024-05-28

新聞 | Check Point | VPN

Check Point證實旗下的VPN系統遭到鎖定，駭客用來入侵企業網路環境

本週資安業者Check Point證實，有客戶在次世代防火牆上啟用的VPN服務出現異常存取的現象，其共通點是駭客皆透過本機帳號進行，而這類帳號缺乏密碼以外的保護措施

2024-05-28

新聞 | Elon Musk | XAI | 增資

xAI完成60億美元的B輪增資

打造大型語言模型Grok與X平臺專用聊天機器人的新創公司xAI，獲得新一波資金挹注，以加速產品推向市場與技術研發腳步

2024-05-28

新聞 | 微軟 | 資安 | 供應鏈攻擊 | 系統託管身分識別 | 事件 | 安全文化

從午夜暴雪和XZ Utils兩大資安事件中，微軟揭露學到這三件事

微軟在Build 2024大會上，揭露他們實行未來安全計畫（Security Future Initiative）半年來的經驗，特別是如何從午夜暴雪（Midnight Blizzard）、XZ Utils等資安事件中學習和觀察到的重要做法，如使用系統託管身分識別工具、刪除70多萬個未使用的應用程式和加深跨部門資安文化等。

2024-05-28