引言 2025年12月,Koi Security團隊發現一個名為 lotusbail 的 npm 套件正透過偽裝為「WhatsApp API」的方式,竊取使用者的認證資訊、聊天記錄以及聯絡人…
分類: 資安工具
-
程式設計師必讀:從 Salesforce 供應鏈攻擊看資訊安全的最新警鐘
本文以 Salesforce 供應鏈攻擊與 CrowdStrike 內部威脅為例,說明程式設計師在開發時應評估第三方套件安全、持續更新、運用…
-
Grafana危機:滿分漏洞讓攻擊者,可提升至管理員權限風險
Grafana 最近發現一個 CVSS 10 的嚴重漏洞。該漏洞源於驗證機制錯誤,攻擊者可透過構造請求以管理員身份登入。成功入侵後,可竊取敏…
-
Gainsight 供應鏈遭駭:零信任時代企業安全的三大新課題
近年資安趨勢為多點防護與零信任。Gainsight 供應鏈攻擊以惡意 DLL 於更新包植入,取得 Administrator 權限並橫向擴散…
-
2025 年大事件曝光:系統漏洞深度剖析與實戰修補策略
本文評估2025年資訊安全新風險,聚焦供應鏈攻擊與AI決策失誤。以Gainsight供應鏈入侵案例說明漏洞掃描、CVSS評估、回滾及可信簽章…
-
OpenAI API 安全攻略:開發者必讀的資安防護指南
本文針對 OpenAI API 在開發使用時的資安風險進行說明,涵蓋 API 金鑰洩露、輸入驗證不足、權限控制失當、速率限制缺失及日誌不足等…
-
BadAudio APT24:臺灣數位行銷企業遭遇供應鏈攻擊,破解後門與資訊竊取的防禦要訣
2025/11/21中國APT24(BadAudio)以供應鏈攻擊進入台灣數位行銷企業,利用社工、後門植入及橫向擴散取得機密資料。本文剖析攻…
-
AI 如何守護資安?趨勢、挑戰與實務全解
本文討論 AI 在資安領域的最新趨勢與實務應用,聚焦硬體漏洞自動偵測、韌體自動修補、量子資料中心安全架構,以及相關挑戰與案例,呈現其專業價值…
-
系統漏洞全景剖析:APT攻擊、供應鏈安全與 AI 防護的修復策略
本文探討系統漏洞分析與修補策略,著重於應對APT攻擊和供應鏈安全風險。透過APT24入侵台灣案例,強調強化供應商安全評估、實施零信任架構、定…
-
NPM蠕蟲:JavaScript 供應鏈威脅與防禦策略
近期 NPM 生態系統出現蠕蟲套件,對軟體供應鏈構成威脅。攻擊者透過惡意依賴、名稱混淆、社群工程等方式傳播,將惡意程式碼注入專案。蠕蟲會掃描…
-
AI 模型的安全與防濫用:語言模型攻擊全景與實務防禦策略
本文探討大型語言模型與生成式 AI 在實務部署中的安全與防濫用問題,引述華碩路由器網路綁架與 NPM 蠕蟲事件說明攻擊面向不斷擴張。重點說明…
中國可重複使用火箭再飛衝天:航天新紀元曙光乍現
中國可重複使用火箭發射第二次嘗試及其對未來航天的影響 中國的可重複使用火箭發射技術近年來取得了顯著的進展,特別是在2025年12月24日之前的近期內,中國成功進行了多次可重複使用火箭發射試驗。這些試驗不僅展示了中國在…
AI網紅煉金術大公開:駭客揭密廣告公司手機農場漏洞!
一家AI廣告公司近期遭受駭客攻擊,導致其AI網紅推廣手法及手機農場安全漏洞曝光。駭客利用API漏洞取得未經授權存取權,控制AI網紅及手機農場進行惡意活動,涉及MITRE ATT&CK框架中的初始存取(T1190)及執行(T1204)戰術。事件凸顯AI技術在廣告應用中的安全風險,建議企業加強API安全測試、存取控制、身份…
> ServiceNow 77.5 億美元收購 Armis:雲端資安態勢管理新局
ServiceNow 以 77.5 億美元收購 Armis,強化雲端資安態勢管理 (CSPM) 能力。Armis 提供零接觸設備可見性與即時威脅情境,專注於 IoT、OT 等非傳統設備管理。併購後,ServiceNow ITSM 生態系將整合 Armis 技術,實現設備「發現 – 評估 – 回應」全流程自動化,擴展 C…
EtherHide:區塊鏈C2惡意程式來襲,顛覆傳統防禦思維
區C2架構「EtherHide」威:新型態意程式攻擊手法與防建議 近期,資訊安全界發現了一種新型態的意程式攻擊手法,名為「EtherHide」,它利用區技術建立了一個C2(Command and Control)架構…
Ubuntu環境下Traveler時區問題:TZ設定與跨平台影響分析
Ubuntu環境下使用Traveler可能因TZ設定差異導致時區問題,尤其在跨平台環境下。系統的TZ設定與Traveler設定不同步會造成時間日期不一致。解決方案包括檢查並同步系統與Traveler的TZ設定,確保各平台TZ設定一致,或使用第三方工具同步。了解TZ設定對解決此問題至關重要。…
AI自主客戶服務
若有任何需求可以直接詢問專業AI客服
