新聞

攻擊者利用公開ChatGPT與Grok對話，偽裝成macOS清理教學並透過Google搜尋廣告導流，誘使使用者複製貼上惡意指令下載並執行AMOS竊資程式，鎖定密碼、鑰匙圈與加密貨幣錢包等高價值資料

回顧2025年12月第二星期資安新聞，React2Shell漏洞攻擊態勢擴大成為主要新聞焦點，另需特別關注的是，Git伺服器Gogs有零時差漏洞被利用，且目前尚未釋出修補；在資安事件方面，國內有傳出4家企業遇害，其中炎洲及其子公司炎洲流通的揭露格外引人關注，因為這又是集團兩家公司同遭資安事件的情況

DroidLock鎖定講西班牙文的Android用戶，透過取得無障礙服務（Accessibility）權限，接管受害者手機並進行勒索

在12月9日，西門子、洛克威爾自動化以及施耐德電機，皆各自針對旗下產品發布一系列安全修補，提醒用戶部署更新與防護措施，美國CISA也在同一天，發布3則與工控系統（ICS）設備有關的漏洞修補資訊

研究人員發現，公開於網上的Docker Hub中的容器映像檔，內含AI模型、API金鑰及多種憑證，可能造成軟體供應鏈攻擊

彭博報導指出，英特爾準備和AI推論晶片及平臺業者SambaNova達成收購協議

除了引進新版Gemini 2.5 Flash Native Audio模型來提升文字翻譯品質，Google也同步在Android版翻譯功能測試適用於所有耳機的即時語音翻譯功能

上週五蘋果發布行動裝置、電腦，以及穿戴裝置發布大型更新，其中最值得留意的部分，是已有兩個已遭利用的WebKit零時差漏洞，用戶應儘速套用更新