美國與加拿大針對中國駭客利用後門程式Brickstorm從事網路間諜活動提出警告，指出這些駭客將其用於攻擊VMware虛擬化平臺，複製虛擬機器（VM）的快照，然後從中挖掘憑證資料，以便從事後續活動

2025-12-05

小紅書成詐騙高風險平臺且不配合國內偵查，內政部祭出網路停止解析及限制接取一年處分

根據165統計，小紅書App平臺上涉及的詐騙案件，2024年至今年11月為止，超過1,700件，造成損失約2.4億元，行政院行文給小紅書在中國上海的母公司，未獲得回應，基於涉詐風險高及無法配合國內檢警偵辦，依詐斯犯罪危害條例予以網際網路停止解析、限制接取，暫定一年。

2025-12-04

新聞資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 產品資安

【資安週報】1117~1121，電信業提供「小烏龜」已屆EoL，卻未主動幫用戶更換，邊緣裝置產品資安風險成焦點

在2025年11月第三星期資安新聞中，邊緣裝置的產品安全成為焦點，最受矚目是臺灣資安研究人員揭露「小烏龜」漏洞引發的安全疑慮，還有兩起攻擊活動的揭露，包括中國駭客鎖定華碩路由器攻擊以架設ORB網路匿蹤，以及中國駭客PlushDaemon入侵路由器竄改DNS的攻擊行動

2025-11-24

新聞 Microsoft 365

微軟將在2026年7月提高Office 365/Microsoft 365商用訂閱費率

微軟預告半年之後將調高Microsoft 365商用版價格，以反映其生產力應用程式新增的AI、安全與管理功能成本

2025-12-05

新聞 OpenAI, ChatGPT Enterprise, 資料落地, GDPR

OpenAI開放多國資料落地存放，支援ChatGPT Enterprise、Edu與API企業用戶

OpenAI擴充ChatGPT Enterprise、ChatGPT Edu與API的資料落地選項，企業可指定區域儲存對話與檔案，以因應各地監管與合規需求

2025-12-01

新聞資料外洩, 供應鏈攻擊, 華碩, 勒索軟體, Everest

華碩的一家供應商遭駭，駭客可能竊取包含相機原始碼在內的1 TB內部資料

勒索軟體Everest聲稱竊得華碩內部資料，內容為相機的原始碼，外界根據駭客公布的螢幕截圖，推測主要與華碩智慧型手機的相機韌體與應用程式有關。對此，華碩發出簡短聲明，僅提及是供應商遭到攻擊，未影響華碩產品、公司內部系統與用戶隱私

2025-12-04

新聞臺北市資訊局, 趙式隆, 零信任, 身分鑑別, 城市治理, AI, 資安治理

AI時代下的北市府資安治理實務

臺北市資訊局局長趙式隆表示，當AI已經成為駭客攻擊的新利器時，臺北市政府學會利用AI來對付AI，用魔法對付魔法；目前零信任架構的推動則專注於「身分鑑別」的落地，最晚於2026年完成第一階段

2025-12-02

新聞 Battering RAM, 機密運算, Intel SGX, AMD SEV-SNP, 雲端資安

Battering RAM硬體攻擊可繞過Intel與AMD機密運算，威脅公有雲資料安全

研究示範Battering RAM攻擊只需一塊約50美元中介板，就能在Intel Scalable SGX與AMD SEV-SNP上繞過記憶體加密與啟動驗證，讀寫受保護資料並破壞驗證機制

2025-12-05

新聞 React, Next.js, CVE-2025-55182, React2Shell, 中國駭客, Earth Lamia, Jackpot Panda

多組中國駭客從事React伺服器元件滿分漏洞利用活動

針對本週三React開發團隊公布的滿分漏洞CVE-2025-55182（React2Shell），AWS警告已有多個中國國家級駭客積極利用，呼籲IT人員要儘速套用新版軟體修補

2025-12-05

新聞 GitLab, 憑證外洩, TruffleHog, 秘密掃描

560萬個GitLab公開儲存庫掃描結果，超過1.7萬組雲端憑證仍有效

資安工程師Luke Marshall掃描560萬個GitLab公開儲存庫，找到超過1.7萬組仍可使用的雲端與平臺憑證，最早甚至可追溯至2009年

2025-12-03

新聞 google, Workspace Studio, AI代理, 辦公自動化, 無程式碼工具, Gmail

Google推Workspace Studio，無程式碼開發AI代理自動化企業工作流程

Google正式開放Workspace Studio，讓員工不用寫程式就能開發AI代理，串接Gmail、Drive與Chat，自動判斷郵件、整理待辦與發票資訊，並可延伸到Asana與Salesforce等雲端服務

2025-12-05

新聞 Nvidia, AI超級電腦, DGX Spark, CVE-2025-33187, CVE-2025-33188

Nvidia修補DGX Spark重大漏洞，可能導致AI系統遭接管

Nvidia在11月21日發布安全更新，修補DGX Spark韌體安全漏洞

2025-12-05

新聞鴻海, 鴻騰精密, 勒索軟體, INC Ransom

鴻海旗下連接器製造商鴻騰精密傳出遭勒索軟體INC Ransom攻擊

11月底勒索軟體集團INC Ransom於暗網網站上，將鴻海集團旗下的香港上市公司鴻騰精密科技（Foxconn Interconnect Technology，FIT）列為受害者，由於鴻海近年積極發展電動車，鴻騰精密是關鍵角色，此事格外引人矚目

2025-12-03

新聞惡意LLM, WormGPT, WormGPT 4, KawaiiGPT

惡意AI工具WormGPT 4與KawaiiGPT在地下論壇與Telegram頻道出現，被用於自動化網路犯罪

今年下半網路犯罪圈出現惡意AI模型WormGPT 4與KawaiiGPT，駭客犯案門檻再度降低，他們只需支付訂閱費用，或是從GitHub下載相關的檔案建置，就能使用無防護機制的模型，快速打造所需工具

2025-12-02

新聞資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

【資安週報】1110~1114，零時差漏洞攻擊再升溫，2個多月前揭露的Citrix與思科漏洞在公布前即遭國家級駭客利用

回顧2025年11月第二星期的資安新聞，零時差漏洞攻擊是最大焦點，不僅有微軟、Gladinet產品成為鎖定目標，還有先前三星、Cisco與Citrix修補的漏洞，如今也證實是零時差漏洞攻擊事件；在最新威脅態勢方面，Anthropic示警，中國駭客組織GTG-1002濫用Claude Code完成逾八成攻擊任務，顯現攻擊自動化威脅

2025-11-17