資安

兩款上架VS Code市集的主題與AI擴充套件被發現暗藏惡意程式，會截圖並讀取WiFi密碼與瀏覽器Cookie竊取帳號，目前已從市集下架

2025年CVE漏洞數量再創新高，全年逼近5萬個，超越2024年增加總數（40,303個）。ZDI計畫負責人Brian Gorenc指出，CVE數量增加不代表風險升高，反而象徵更多錯誤攤在陽光下，多數也會進入修補流程，這比漏洞長期存在卻沒被發現要安全

專注於工業自動化與通訊設備的四零四科技（Moxa），早年投入研究IEC 62443標準的安全性要求，到了3年前更進一步成立產品資安中心（PSC），以更完善的方式逐步推動落實與精進

一般人都會認為，CVE漏洞數量越多，代表越不安全，全球最大漏洞懸賞計畫ZDI計畫負責人則有不同看法

產品資安的發展成為全球科技產業關注焦點，許多原本只被視為最佳實務的資安作法，現已提升為法規強制要求，尤其是2024年12月歐盟網路韌性法（CRA）正式生效，將於2027年全面上路

.NET SOAP HTTP用戶端代理存在設計缺陷，透過WSDL匯入可將請求寫入伺服器檔案，在多款企業產品造成遠端程式碼執行與NTLM雜湊外洩風險

資安業者Huntress與Sysdig提出警告，他們看到有人不斷投入利用CVE-2025-55182（React2Shell）的情況，其中有人試圖綁架Linux主機來挖礦及建置殭屍網路，也有北韓駭客用於散布惡意程式EtherRAT

本週OWASP公布AI代理10大資安風險，其中又以竄改代理程式輸出目標、工具濫用及漏洞利用，以及身分與特殊權限的濫用，為前三大威脅而最值得留意