資安業者Cydome揭露新型態殭屍網路Broadside,專門針對海上物流船隻常見的TBK DVR系統下手,利用CVE-2024-3721作為初始入侵管道,由於這些企業與船隻往往缺乏資安防護,攻擊者可能已長期活動達數個月
2025-12-09
IDEsaster攻擊鏈濫用AI IDE與程式助理,恐致資料外洩與遠端程式碼執行
主流AI IDE與程式助理普遍曝露於IDEsaster攻擊鏈,超過30個漏洞可在開發者未察覺下偷走資料,甚至誘導IDE執行惡意程式碼
2025-12-09
華納兄弟探索(WBD)準備將旗下串流業務出售給Netflix,讓之前與WBD商討合併未果的派拉蒙(Paramount),決定對WBD發動惡意收購
2025-12-09
FBI警告虛擬綁架(virtual kidnapping)事件,歹徒利用AI深偽技術偽造受害者影像或聲音,假稱挾持受害者威脅親友支付贖金
2025-12-09
PromptPwnd提示詞注入攻擊濫用AI代理,竊取金鑰並改寫CI/CD流程
資安廠商Aikido揭露PromptPwnd漏洞,指Gemini CLI等AI代理在GitHub Actions與GitLab CI/CD處理議題(Issue)時,握有高權限金鑰恐遭提示注入竊取憑證並改寫CI流程
2025-12-08
企業上雲、導入代理AI加速轉型,IDC預期機器身分安全風險增加,帶動IAM市場成長
隨著企業上雲、加速導入AI,特別是代理AI的導入,各種應用服務帳號增加,這些帳號為非人類、機器身分,具有高權限,高頻且自動運行的特色,但因為分散管理不易,容易成為駭客攻擊的目標,因此IDC預期涵蓋人與機器的身分安全管理需求將會快速增加,帶動IAM相關產品的資安市場占比跟著水漲船高。
2025-12-08
【資安日報】12月8日,殭屍網路及中國駭客傳出已實際利用滿分資安漏洞React2Shell
繼上週AWS警告多組中國駭客開始利用React滿分漏洞CVE-2025-55182(React2Shell),威脅情報業者GreyNoise、資安業者Palo Alto Networks,以及Shadowserver基金會都針對相關威脅態勢提出警告;再者,雲端服務業者Cloudflare出現服務異常,傳出也是與緩解此漏洞有關
2025-12-08