資安動態
- The Slow Death of OCSP:在講 OCSP 連瀏覽器逐漸捨棄會漸漸消失
- Announcing Six Day and IP Address Certificate Options in 2025 - Let's Encrypt: Our six-day certificates will not include OCSP or CRL URLs. 因為有效期短,所以直接拿掉 revoke 。
- Gov. Moore Launches $1 Billion "Capital of Quantum" Initiative Anchored by UMD 馬里蘭州長宣布10億鎂量子之都計畫
- 150家企業組織遭到鎖定,駭客藉由AD聯合身分驗證服務繞過多因素驗證,從而挾持帳號
- Stargate Project 是一家新公司,計劃在未來四年內投資 5,000 億美元,在美國為 OpenAI 建造新的人工智慧基礎設施。我們將立即開始部署 1000 億美元。Stargate 的初始股權資助者是軟銀、OpenAI、甲骨文和 MGX。軟銀和 OpenAI 是 Stargate 的主要合作夥伴,軟銀承擔財務責任,OpenAI 承擔營運責任。孫正義將擔任董事長。
- Synology ActiveProtect : 群暉有兩大備份加值軟體:Hyper Backup、Active Backup,備份一體機ActiveProtect,提供備份與還原、儲存防寫隔離等資料保護機制,可涵蓋個人電腦、伺服器(Windows、macOS、Linux)、虛擬機器(VMware、Hyper-V)、檔案伺服器、資料庫(SQL Server、Oracle DB)、Microsoft 365雲端服務。
- Payment Passkey成線上安全支付新焦點,兩大發卡組織齊推動 : 使用信用卡或簽帳卡的民眾,能以更快速且更安全的方式,透過臉部辨識或指紋辨識就能直接完成線上支付(避免持卡人過度依賴OTP) 通行密鑰(Payment Passkey)
- Office365大漲價 : 因為加了AI 功能,SaaS軟體這兩年都不約而同漲價
工具/程式
- Microsoft sbom-tool Release v3.1.0
- Go 1.24 Release: 產生更小的二進位檔
GC 收集效率提升:降低延遲並減少停頓時間,對需大量記憶體分配的應用尤其有幫助
輸出格式優化:go test輸出(包括 JSON 格式)有助於自動化工具及持續整合流程
新函數與優化:net/http、crypto、errors等)引入新函數或進行優化,增強安全性與便利性 - OSV-SCALIBR: A library for Software Composition Analysis
- 開源軟體漏洞檢測和安全分析
- 執行安裝套件、程式碼及容器映像檔的掃描
- SBOM 生成功能,並支援SPDX和CycloneDX
- 未來將其功能整合到OSV-Scanner中,預計於數月內推出 (可能是 scannerV2)
- Tailwind CSS 4.0 Release : 效能提升 5x
- Bun 1.2大更新強化Node.js相容性,原生支援S3與PostgreSQL
公司受駭
- 馬偕醫院傳出遭CrazyHunter勒索軟體持續攻擊,衛福部與資安署已成立快速應變小組協助因應 : 500台電腦瞬間當機 掛號系統遭到癱瘓 勒索軟體名稱為CrazyHunter 目前已知攻擊路徑為AD主機並派送惡意程式,惡意程式名稱如下 bb.exe crazyhunter.exe , crazyhunter.sys , zam64.sys , go3.exe , go.exe
漏洞
- WinZip 7Z 檔案解析越界寫入 RCE : CVE-2025-1240 (CVSS 7.8) 允許遠端攻擊者在安裝了WinZip的受影響系統上執行任意程式碼。Fixed in WinZip 29.0 (2/11/2025)
- 微軟發布1月例行更新,修補8項零時差漏洞 :總共修補了159個漏洞,有40個涉及權限提升、14個涉及安全功能繞過、58個可被用於遠端執行任意程式碼(RCE)、24個資訊洩漏漏洞、20個阻斷服務(DoS)漏洞,以及5個能用於欺騙的漏洞。從漏洞的危險程度來看,有11個被列為重大層級,其餘148個評為高風險層級
權限提升: CVE-2025-21333、CVE-2025-21334、CVE-2025-21335(CVSS 7.8)
Access RCE: 漏洞CVE-2025-21186、CVE-2025-21366、CVE-2025-21395
- Microsoft 帳戶權限提高弱點 CVE-2025-21396
- Windows應用程式套件安裝工具權限提升漏洞CVE-2025-21275
- 嚴重 UEFI 漏洞歷經七個月終於修復( CVE-2024-7344) - Visual Studio Code 權限提高弱點 : CVE-2025-24039 , CVSS 7.3
- Windows 輕量型目錄存取通訊協定 (LDAP) RCE : CVE-2025-21376,CVSS 8.1
- Azure AI臉部辨識服務與微軟帳號系統修補重大層級漏洞 :CVE-2025-21415,通過身分驗證的攻擊者可藉由欺騙Azure AI臉部辨識服務,從而達到繞過身分驗證的目的(CVSS 9.9)
- Oracle WebLogic Server
- https://nvd.nist.gov/vuln/detail/CVE-2025-21549 (CVSS, 7.5)
- https://nvd.nist.gov/vuln/detail/CVE-2025-21535 (CVSS, 9.8)
- Subaru車聯網爆重大漏洞,攻擊者可遠端控制車輛、追蹤位置: Subaru車聯網系統STARLINK(非SpaceX星鏈服務Starlink)管理面板存在一項重大安全漏洞,此漏洞允許攻擊者利用車主個人基本資訊對車輛進行遠端控制,包括啟動引擎、解鎖車門,以及查詢精確到5公尺內的車輛歷史位置記錄
AI 動態
- 歐盟EU 發布《人工智慧法案》(Brussels, 4.2.2025. 884 final, AI Act) 列出禁止的各類AI應用行為,違規者將面臨鉅額罰
- 有害操縱、欺騙和剝削
- 社會評分評估或分類
- 個人犯罪風險評估和預測
- 無針對性的面部圖像抓取 : Facial recognition databasese (from a digital image or video frame) 避免人們失去匿名性
- 情感識別: 例如員工情緒或教育機構使用相關系統監測學生情緒
- 生物特徵分類
- 實時遠程生物識別
- EU 發布了AI系統定義(Brussels, 6.2.2025,924 final AI Act) : (有別於去年微軟的定義)
- Machine Based System(機器為基礎的系統)
- Autonomy(自治)
- Adaptiveness(具可適應性)
- AI system objective : Implicit / Explicit Objective
- Inferencing(具備推理能力, 有4類推理能力)
- Outputs that can influence physical or virtual environments(產生可影響實體或虛擬環境的輸出)
- Interaction with Environment(與環境互動)
- 吳恩達全新物體偵測技術:Agentic Object Detection 只需輸入文字提示、圖片,就能深度推理,精準偵測指定目標。傳統方法缺點:需要在圖片上畫很多框來標記資料,再用這些標記訓練神經網路,流程費時繁瑣。不需要訓練標記:只需要用文字描述你想找的東西,例如:「未成熟的草莓」就能深度推理,精準偵測指定目標。
- OpenAI 推出 Operator : 模擬人類操作(點擊、打字…)能夠自動操作你的瀏覽器,幫你填表單、買東西、訂機票..
- Open AI 推出 Deep Research : 替你主動「做研究」的 AI 助手,研究能力直逼專業分析師 (Plus = 20 美金/月、Pro = 200 美金/月),產生報告大約需要 5~30 分鐘,而且目前 Pro 用戶每月最多能執行 100 次
(靠北的是Hugging Face 團隊在 24 小時內就打造出開源版本,open-Deep-Research) - Perplexity Assistant :可以幫你預訂餐廳、找歌、叫車、撰寫郵件、設定提醒等
- DeepSeek
- 公部門禁用DeepSeek 數發部:屬「危害國家資安產品」台灣(政府部門)、義大利(全境)、美國(部分政府部門)韓國政府之後,澳洲也宣布,基於國家安全風險的理由,澳洲政府部門禁用DeepSeek的App/Web
- Hugging Face 的 Open R1 專案完全開放復刻版 DeepSeek-R1,補齊 DeepSeek 所有未公開的技術細節(OpenR1-Math-220k)
- 法國AI獨角獸Mistral 正式推出「Le Chat」,搭載全球最快推理引擎
- 馬斯克的 DOGE 團隊用 AI 查 USAID : 找出了不少異常資金流向,這個團隊19 到 24 歲,許多人還沒大學畢業靠 AI 做到傳統審計師、稽核師需要幾個月才能完成的工作。(看起來AI影響查帳員、稽核師會比工程師來得更快)
- Apple 把「檯燈」變成 AI 機器人:設計多種細緻動作,來表達情感,燈頭會隨語音內容自然轉動,像是在談論天氣時「看向窗外」透過機械臂彎曲、燈頭方向及燈光強弱來表達其情緒與意圖如凝視、忽視,或坐下、點頭、扭屁股等動作,燈光照亮特定物體或空間可引導使用者目光 (家用伴侶機器人的開發框架ELEGNT)
