【資安日報】12月15日,開發人員在Docker Hub曝露大量憑證,有人將其收集並在地下論兜售

有資安公司針對開發人員在Docker Hub曝露大量憑證的情況提出警告,他們在11月上傳的約1萬個映像檔裡,發現超過4成曝露5種以上的憑證,有可能讓攻擊者完整存取雲瑞環境、Git程式碼儲存庫、CI/CD系統,以及支付系統等

新聞 | 漏洞風險 | 法規遵循 | 產品資安 | 產品安全 | 威聯通科技 | QNAP | MITRE CNA | FIRST | SSDLC

【產品資安實務經驗:威聯通】主動公開與修補CVE弱點,再以漏洞懸賞與安全設計鞏固防線

主打專業NAS儲存設備的威聯通科技(QNAP),多年前加入MITRE CNA計畫與FIRST組織,重視研究人員通報與事件應變強化,近年更積極推動漏洞懸賞計畫,並聚焦安全開發的升級

2025-12-12

新聞 | 合勤 | 漏洞風險 | 法規遵循 | 產品資安 | 產品安全 | Secure by Design | 產品漏洞 | CSIRT | PSIRT

【產品資安實務經驗:合勤科技】不能只當漏洞救火隊,更要落實「設計即安全」

全球知名的網通設備大廠合勤科技(Zyxel),十年前曾面對一場產品資安重大危機,如今已將這項改善工程的推動從成本轉化為競爭力,去年底更簽署美國CISA推動的Secure by Design承諾,跟上國際產品安全發展潮流

2025-12-12

新聞 | 歐盟 | 網路韌性法 | 漏洞風險 | 法規遵循 | 產品資安 | Secure by Design | 產品漏洞 | 產品安全 | MITRE CNA

【當資安已成產品「內建」基本要求】漏洞風險與法規遵循壓力與日俱增,臺廠做好產品資安刻不容緩

產品資安的發展成為全球科技產業關注焦點,許多原本只被視為最佳實務的資安作法,現已提升為法規強制要求,尤其是2024年12月歐盟網路韌性法(CRA)正式生效,將於2027年全面上路

2025-12-12

新聞 | .NET Framework漏洞 | SOAPwn | WSDL | rce | 微軟

.NET Framework HTTP用戶端代理設計缺陷,結合WSDL匯入可構成RCE攻擊鏈

.NET SOAP HTTP用戶端代理存在設計缺陷,透過WSDL匯入可將請求寫入伺服器檔案,在多款企業產品造成遠端程式碼執行與NTLM雜湊外洩風險

2025-12-11

新聞 | AI Mode | google

因應AI時代資訊需求,Google推出首選來源與新聞合作計畫

Google調整AI Mode搜尋服務的呈現形式,試圖緩解出版商對流量遭AI排擠的疑慮

2025-12-11

新聞 | ClayRat | Android | 間諜軟體 | 無障礙服務

Android間諜軟體ClayRat再進化,新版可自動解鎖手機並遠端操控裝置

新版Android間諜軟體ClayRat強化鎖定畫面與螢幕攻擊,可自動解鎖手機、錄製畫面與偽造通知,攔截驗證簡訊與App操作內容

2025-12-11

新聞 | 資安日報

【資安日報】12月11日,React2Shell攻擊活動持續擴大,北韓駭客、挖礦軟體、殭屍網路加入行列

資安業者Huntress與Sysdig提出警告,他們看到有人不斷投入利用CVE-2025-55182(React2Shell)的情況,其中有人試圖綁架Linux主機來挖礦及建置殭屍網路,也有北韓駭客用於散布惡意程式EtherRAT

2025-12-11

新聞 | OWASP | Agent Goal Hijack | Agent | AI Agents

OWASP公布AI代理的10大資安威脅

本週OWASP公布AI代理10大資安風險,其中又以竄改代理程式輸出目標、工具濫用及漏洞利用,以及身分與特殊權限的濫用,為前三大威脅而最值得留意

2025-12-11

新聞 | google | Model Context Protocol | MCP | MCP伺服器 | Google雲端

Google全面支援MCP,讓AI代理人可直接操作雲端服務

Google將擴大推出官方的全託管遠端MCP伺服器,包括Google Maps、BigQuery、Google Compute Engine及Google Kubernetes Engine(GKE)

2025-12-11

新聞 | adobe | ChatGPT | OpenAI | MCP

ChatGPT用戶現已可呼叫Photoshop及Acrobat等Adobe工具來支援

Adobe透過代理式AI技術及模型脈絡協定(MCP),讓ChatGPT用戶可直接於聊天介面中呼叫使用Adob​​e應用程式

2025-12-11

新聞 | React | CVE-2025-55182 | React2Shell | RSC | PeerBlight

後門程式PeerBlight鎖定React2Shell而來,企圖綁架Linux主機從事挖礦及DDoS攻擊

繼中國、北韓國家級駭客將CVE-2025-55182(React2Shell)用於實際攻擊行動之後,有人利用自動化工具尋找存在漏洞的Linux主機,並部署後門程式PeerBlight等一系列作案工具,將其用於挖礦及DDoS攻擊

2025-12-11

新聞 | Perplexity | AI瀏覽器 | Comet | 零點擊漏洞 | AI資安

Perplexity AI瀏覽器零點擊漏洞可讓攻擊者抹除Google Drive資料

資安研究人員示警,只要把惡意提示包裝成商業書信常用的禮貌性要求措辭,就能操控網頁AI代理刪除雲端硬碟資料

2025-12-11