新聞 歐盟, 網路韌性法, 漏洞風險, 法規遵循, 產品資安, Secure by Design, 產品漏洞, 產品安全, MITRE CNA, PSIRT, FIRST, 漏洞修補, 資安漏洞, SSDLC, SBOM, 漏洞獎勵計畫, Secure by Default

【當資安已成產品「內建」基本要求】漏洞風險與法規遵循壓力與日俱增,臺廠做好產品資安刻不容緩

產品資安的發展成為全球科技產業關注焦點,許多原本只被視為最佳實務的資安作法,現已提升為法規強制要求,尤其是2024年12月歐盟網路韌性法(CRA)正式生效,將於2027年全面上路

2025-12-12

新聞 google, Model Context Protocol, MCP, MCP伺服器, Google雲端

Google全面支援MCP,讓AI代理人可直接操作雲端服務

Google將擴大推出官方的全託管遠端MCP伺服器,包括Google Maps、BigQuery、Google Compute Engine及Google Kubernetes Engine(GKE)

2025-12-11

新聞 數位憑證皮夾, 數位身分, 數發部

數位憑證皮夾試營運上路,免帶實體證件憑手機就能在超商領包裏、進出企業辦公室、旅館

數位憑證皮夾今起試營運,將蒐間各界使用意見,後續再進入正式服務。數位憑證皮夾明年將開放駕照、工商憑證、畢業證書等身分證明資料下載,並開放更多使用場域。

2025-12-17

新聞 供應鏈攻擊, Mixpanel, Pornhub, 資料外洩, ShinyHunters

成人網站PornHub合作的資料分析服務公司傳出遭ShinyHunters入侵,部分付費會員資料恐外流

資料分析服務廠商Mixpane遭到入侵的資安事故出現新的發展,上週成人影音平臺PornHub發出公告,他們有部分Pornhub Premium付費用戶的分析資料,因這起事故遭到流出;資安新聞網站Bleeping Computer指出,駭客組織ShinyHunters聲稱是他們所為,並開始向PornHub勒索

2025-12-17

新聞 CWE Top 25, MITRE, XSS, SQL注入, 緩衝區溢位

MITRE公布2025最危險軟體弱點前25名,XSS居冠、緩衝區溢位相關項目新入榜

MITRE發布2025年CWE Top 25危險軟體弱點清單,跨站腳本(XSS)仍排第1名,SQL注入與跨站請求偽造(CSRF)緊追在後,分居第2與第3名,缺少授權檢查升至第4,多個緩衝區溢位相關弱點入榜

2025-12-17

新聞 google, AI瀏覽器, Disco

Google公佈實驗性AI瀏覽器Disco、首項功能GenTabs

Google強調結合AI的Disco瀏覽器,可協助使用者提升學習和工作速度,首個測試的功能為GenTabs,是以最新LLM Gemini 3為底層開發

2025-12-12

新聞 英國資訊委員會辦公室, LastPass, 資料外洩

針對2022年密碼管理服務商LastPass資料外洩事故,英國開罰120萬英鎊

英國資訊委員會辦公室(ICO)基於160萬英國用戶個資外洩,判罰LastPass 120萬英鎊

2025-12-17

新聞 GitHub, PAT, GitHub Actions, 程式碼庫, 憑證外洩

駭客濫用GitHub個人存取權杖,竊取Actions機密憑證攻擊雲端控制平面

雲端資安業者Wiz示警駭客鎖定GitHub權杖PAT,透過Actions工作流程竊取雲端憑證,並橫向移動入侵企業雲端控制平面

2025-12-11

新聞 牙醫, AI, GEO, 生成式AI, 搜尋, SEO

如何在AI搜尋時代展露頭角?牙醫科技新創揭GEO心法

台灣牙e通揭露一套因應生成式AI搜尋的GEO實戰策略,包括善用QA形式、內容要機器可讀。他們還將內部用於GEO的工具打包成對外服務,要供牙科診所使用。

2025-12-14

新聞 NanoRemote, Ref7707, CL-STA-0049, Earth Alux, Jewelbug, 中國駭客, WMLoader

惡意軟體NanoRemote濫用Google Drive的API隱匿行蹤

中國駭客組織Ref7707(CL-STA-0049、Earth Alux,以及Jewelbug)近期傳出打造新後門程式NanoRemote,其特別之處在於,他們利用Google Drive的API進行C2通訊,使得相關活動難以偵測

2025-12-12

新聞 WinRAR, CVE-2025-6218, Paper Werewolf, Goffee, Bitter, APT-C-08, 俄羅斯駭客, Gamaredon

WinRAR路徑穿越漏洞出現實際攻擊,3組人馬發起網釣活動

上週美國網路安全暨基礎設施安全局(CISA)將WinRAR路徑遍歷漏洞CVE-2025-6218列入已遭利用的漏洞名單(KEV),有多家資安公司發現,有3個駭客組織先後加入利用行列

2025-12-17

新聞 CloudFlare, 斷線, 服務異常

Cloudflare實施React漏洞防護引發近期第二次斷線

繼11月18日發生大規模故障後,Cloudflare服務再次出現異常,官方說明起因是針對React漏洞實施防護措施,在部份代理伺服器引發錯誤

2025-12-08

新聞 資安日報

【資安日報】12月11日,React2Shell攻擊活動持續擴大,北韓駭客、挖礦軟體、殭屍網路加入行列

資安業者Huntress與Sysdig提出警告,他們看到有人不斷投入利用CVE-2025-55182(React2Shell)的情況,其中有人試圖綁架Linux主機來挖礦及建置殭屍網路,也有北韓駭客用於散布惡意程式EtherRAT

2025-12-11

新聞 OWASP, Agent Goal Hijack, Agent, AI Agents

OWASP公布AI代理的10大資安威脅

本週OWASP公布AI代理10大資安風險,其中又以竄改代理程式輸出目標、工具濫用及漏洞利用,以及身分與特殊權限的濫用,為前三大威脅而最值得留意

2025-12-11

新聞 AI代理

Google測試可匯報郵件、行事曆、文件內容的AI代理人

Google Labs開放特定用戶測試生產力AI代理CC,可為使用者整理Gmail、行事曆、網頁內容重點,匯報每日重點

2025-12-17

新聞 Fortinet, FortiCloud, SSO, FortiCare, FortiOS, FortiWeb, FortiProxy, FortiSwitchManager, CVE-2025-59718, CVE-2025-59719

Fortinet為多款系統修補FortiCloud SSO身分驗證繞過漏洞

Fortinet本週也為旗下產品進行修補,有兩個重大漏洞CVE-2025-59718與CVE-2025-59719特別引起關注,原因是只要裝置註冊了技術支援服務平臺FortiCare,就有可能開啟特定功能而曝險

2025-12-10

新聞 React 19 漏洞, React Server Components, Next.js, CVE-2025-55182, CVE-2025-66478

React 19伺服端元件出現RCE零驗證漏洞,波及Next.js等多個框架

React 19伺服器端元件爆發CVSS 10分RCE漏洞,攻擊者僅需特製HTTP請求即可在伺服器執行特權程式碼,Next.js等預設啟用RSC的框架全受影響,官方敦促立即更新

2025-12-04

新聞 WatchGuard, Firebox, 防火牆, Fireware OS, CVE-2025-13940, CVE-2025-12026, CVE-2025-12196, CVE-2025-12195

WatchGuard修補防火牆產品Firebox多項重大資安漏洞

WatchGuard公告其Firebox防火牆產品存在多項重大資安漏洞,部分弱點可能遭攻擊者利用以繞過系統完整性檢查、執行任意程式碼,甚至引發阻斷服務。該公司已發布更新修補,呼籲用戶立即升級受影響版本

2025-12-17