google | Chrome | Gemini代理 | 間接提示注入

Google Chrome強化Gemini代理式AI上網安全防護

Google在Chrome中加入多層次安全防護,防止Gemini代理上網時遭到間接提示注入攻擊

2025-12-09

PromptPwnd | GitHub Actions | CI/CD | 提示注入

PromptPwnd提示詞注入攻擊濫用AI代理,竊取金鑰並改寫CI/CD流程

資安廠商Aikido揭露PromptPwnd漏洞,指Gemini CLI等AI代理在GitHub Actions與GitLab CI/CD處理議題(Issue)時,握有高權限金鑰恐遭提示注入竊取憑證並改寫CI流程

2025-12-08

AI | IDC | 機器身分管理 | 資安

企業上雲、導入代理AI加速轉型,IDC預期機器身分安全風險增加,帶動IAM市場成長

隨著企業上雲、加速導入AI,特別是代理AI的導入,各種應用服務帳號增加,這些帳號為非人類、機器身分,具有高權限,高頻且自動運行的特色,但因為分散管理不易,容易成為駭客攻擊的目標,因此IDC預期涵蓋人與機器的身分安全管理需求將會快速增加,帶動IAM相關產品的資安市場占比跟著水漲船高。

2025-12-08

資安日報

【資安日報】12月8日,殭屍網路及中國駭客傳出已實際利用滿分資安漏洞React2Shell

繼上週AWS警告多組中國駭客開始利用React滿分漏洞CVE-2025-55182(React2Shell),威脅情報業者GreyNoise、資安業者Palo Alto Networks,以及Shadowserver基金會都針對相關威脅態勢提出警告;再者,雲端服務業者Cloudflare出現服務異常,傳出也是與緩解此漏洞有關

2025-12-08

Palo Alto GlobalProtect | GlobalProtect | SonicWALL | SonicOS

Palo Alto Networks旗下SSL VPN的入口網站出現新一波大規模掃描

威脅情報業者GreyNoise警告有人大規模掃描及剌探的活動,他們先後針對Palo Alto Networks旗下的SSL VPN平臺GlobalProtect,以及SonicWall防火牆作業系統SonicOS的API,疑似預備進行後續攻擊

2025-12-08

React | CVE-2025-55182 | React2Shell | 殭屍網路 | UNC5174 | CL-STA-1015 | 中國駭客 | KEV

多家資安業者與機構警告React2Shell已遭積極利用,全球恐有數萬臺React主機尚未修補

繼AWS警告React滿分漏洞CVE-2025-55182(React2Shell)已遭多組中國國家級駭客用於實際攻擊,威脅情報業者GreyNoise與資安業者Palo Alto Networks也發現相關漏洞利用活動

2025-12-08

Slack | Salesforce | 阿里巴巴

Slack在臺服務將移轉至中國? Salesforce:臺灣用戶使用全球基礎設施,與阿里巴巴無關

針對外傳臺灣被畫分為中國區,並要求Slack用戶向阿里雲購買服務,才能繼續使用Slack一事,Salesforce澄清並非事實,臺灣Slack用戶使用全球基礎設施,並未涵蓋於中國區。

2025-12-08

ChatGPT Atlas | 惡意網站

冒牌ChatGPT Atlas瀏覽器網站鎖定macOS用戶而來,意圖竊取帳密資料

研究人員發現惡意網站冒充OpenAI ChatGPT Atlas瀏覽器網站,能夠繞過端點安全防護軟體,騙取使用者密碼和憑證

2025-12-08

資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 勒索軟體攻擊 | 供應鏈攻擊

【資安週報】1201~1205,臺灣有6家業者分別傳出遭勒索軟體攻擊的消息

在2025年12月第一星期資安新聞中,最多人關注的是勒索軟體針對臺灣產業攻擊的狀況,有6家業者遭入侵;韓國金融業前陣子亦遭受勒索軟體Qilin襲擊,如今指出是當地MSP業者GJTec遭駭成為入侵管道,此供應鏈攻擊導致超過20家資產管理公司的資料遭竊,研判是北韓國家級駭客發動

2025-12-08

CloudFlare | 斷線 | 服務異常

Cloudflare實施React漏洞防護引發近期第二次斷線

繼11月18日發生大規模故障後,Cloudflare服務再次出現異常,官方說明起因是針對React漏洞實施防護措施,在部份代理伺服器引發錯誤

2025-12-08

Chrome | 高風險漏洞

Google發布Chrome 143,修補V8引擎高風險漏洞

Google於12月2日釋出Chrome 143穩定版,修補13項資安漏洞,其中包括存在於V8引擎等核心元件的4項高風險漏洞

2025-12-08

微軟 | Windows | 捷徑 | CVE-2025-9491

微軟無公告調整遭攻擊者多年濫用的Windows捷徑UI漏洞

Windows捷徑屬性僅顯示前260字元,攻擊者得以將惡意指令藏於後段,長期未被介面正確呈現,微軟已在今年調整顯示行為,讓完整目標字串可被查看

2025-12-08

FortiOS | FortiGate | FortiAI-Protect | Fortinet ASICs

Fortinet新一代中高階NGFW登場,提供26 Gbps威脅防護效能

Fortinet上半年發表多款次世代網路防火牆,其中的FortiGate 700G可提供競爭產品4倍的威脅防護效能

2025-12-07

Battering RAM | 機密運算 | Intel SGX | AMD SEV-SNP | 雲端資安

Battering RAM硬體攻擊可繞過Intel與AMD機密運算,威脅公有雲資料安全

研究示範Battering RAM攻擊只需一塊約50美元中介板,就能在Intel Scalable SGX與AMD SEV-SNP上繞過記憶體加密與啟動驗證,讀寫受保護資料並破壞驗證機制

2025-12-05

資安日報

【資安日報】12月5日,React滿分資安漏洞已有多組中國駭客加入利用行列

本週React公布的滿分漏洞CVE-2025-55182(React2Shell),AWS提出警告,已出現多組中國駭客積極利用的情況,其中兩組人馬是Earth Lamia、Jackpot Panda

2025-12-05