資安動態
- 國家資安韌性,國家資通安全戰略2025即將正式公布
- Alphabet再度開價欲以300億美元買下Wiz : Alphabet在去年打算以230億美元收購雲端資安新創Wiz未果之後,Alphabet再度對Wiz祭出收購提議,此次的價碼提高至300億美元,彭博社(Bloomberg)則說是330億美元
- 攻擊馬偕、彰基的CrazyHunter再度犯案,鎖定臺灣上市公司科定 : 聲稱他們加密了受害者所有的系統,包含Hyper-V、NAS、Vmware與Veeam的備份,並竊取了15 TB的資料,包含檔案伺服器資料、CRM、BPM、EIP、SAP、生產圖紙、客戶資料等其他敏感資料,要脅受害者與他們聯繫,否則將在24小時後揭露1 TB資料
- 更新- 醫院面對勒索軟體攻擊的應變指南v1.1版|衛生福利部 : 3/20 更改
- 陸資新加坡商承接國泰世華信用卡系統 經濟部開罰217萬 :經過調查確認「認和科技」陸資具有控制力,確實為陸資公司,將依照兩岸人民關係條例第93條之1規定處以217萬元罰鍰。
- 群暉公布去年Pwn2Own找到的NAS重大漏洞細節,並指出若不處理攻擊者有機會發動RCE攻擊 破例為EOL 的DSM 6.2版提供修補,存在於7.2版以上版本的DSM,以及BeeStation Manager(BSM)
- 駭客聲稱握有600萬筆Oracle雲端服務資料,該公司表示客戶資料並未外流 :
- 內容包含加密的SSO密碼、Java Keystore檔案(JKS)、金鑰檔案,以及企業管理者的JPS金鑰。他們聲稱在40天前取得Oracle Cloud的存取權限,並在偷到資料後,向Oracle勒索10萬門羅幣(XMR)
- 駭客很有可能是利用CVE-2021-35587而得逞,此漏洞存在於OpenSSO代理程式元件Oracle Access Manager,CVSS風險為9.8分
工具
- PGSync 4.0: syncing data from Postgres to Elasticsearch or OpenSearch
- google/osv-scanner : v2.0.0 :
- 整合了 OSV-SCALIBR 庫(Enhanced Dependency Extraction),包括 .NET、Python、JavaScript 和 Haskell
- Haskell:
cabal.project.freeze
,stack.yaml.lock
- .NET:
deps.json
- Python:
uv.lock
- Artifacts:
node_module
s, Python wheels, Java uber jars, Go binaries
- Haskell:
- 互動式 HTML 輸出:以更清晰、更易於操作的方式呈現漏洞掃描資訊
- Maven pom.xml 的引導式修復:透過智慧地建議優先順序、目標升級和提供靈活的策略,簡化漏洞管理
- 支援容器映像掃描
漏洞
- GitLab 修補9項漏洞 ; 針對社群版(CE)及企業版(EE)發布安全更新17.9.2、17.8.5、17.7.7版,修補9項漏洞,其中被列為重大層級的CVE-2025-25291、CVE-2025-25292. (CVSS: 8.8) 緩解措施 : 啟用 2FA
- Visual Studio 權限提高弱點 :CVE-2025-25003 CVSS: 7.3,Microsoft Visual Studio 2019 / 2022
- AIX遠端指令執行漏洞 : 二項漏洞影響AIX 7.2及7.3版
CVE-2024-56346 ,CVSS: 10
CVE-2024-56347,CVSS: 9.6 - Tomcat漏洞揭露30小時後出現PoC,已被用於實際攻擊 : 高風險資安漏洞CVE-2025-24813 (兩週前即揭露)
- VMware Tools authentication bypass vulnerability :CVE-2025-22230 CVSS : 7.8 allows a non-administrative user on a guest VM to perform high-privilege operations within the VM. VMware Tools for Windows contains an authentication bypass vulnerability due to improper access control.
Fixed Version 12.5.1 release - org.keycloak/keycloak-services : CVE-2025-2559,unbounded token caching ! JWT Token Cache Exhaustion Leading to Denial of Service (DoS) in Keycloak , CVSS: 4.9
- Kubernetes ingress-nginx 存在多個重大資安漏洞 影響版本 ingress-nginx 1.11.0 之前版本 , v1.11.0 - 1.11.4, v1.12.0. Fixed Versions v1.11.5 v1.12.1
- CVE-2025-24514,CVSS:8.8 auth-url的註解可注入至nginx,可能導致在ingress-nginx控制器的上下文中 arbitrary code execution
- CVE-2025-1974,CVSS:9.8 : 允許未經過身分驗證的攻擊者可存取Pod網路,在ingress-nginx控制器的上下文中arbitrary code execution
- CVE-2025-1097,CVSS:8.8 : auth-tls-match-cn的註解可注入至nginx,可能導致在ingress-nginx控制器的上下文中 arbitrary code execution
- CVE-2025-1098,CVSS:8.8: mirror-target和mirror-host的註解可注入至nginx,可能導致在ingress-nginx控制器的上下文中arbitrary code execution
科技動態
- TypeScript 跟 C# 的作者在影片表示為什麼要使用Go 重構 TSC 而不是 C# or Rust
- 在 v7 中採用此版本
- VS Code,Playwright, TypeORM, rxjs 等將有 10x 的提升
- Chrome改用Rust重寫字型處理函式庫Skrifa,取代FreeType提升安全性
- Microsoft 收費版的 Notepad and Paint:Windows 11 最新一次的更新,月费9.99美元( $99.99/year)
- AI rewriting of text selections.
- AI generation of alternative versions of text selections, with different formatting, tone, and more.
- AI shortening or lengthening of text selections.
AI 動態
- Measuring AI Ability to Complete Long Tasks : AI Agent 獨立完成的任務長度,大約每 7 個月就會翻倍一次

- 中國 - 人工智能生成合成內容標識辦法 : 中國要求標記由AI生成的內容,該辦法即將於今年9月1日實施,同一天實施的配套技術措施為《網路安全技術人工智能合成內容標識方法》。
- 完全由 AI 撰寫的科學論文通過審查 : Sakana AI Scientist-v2 完整生成「科學論文」,無人為修改,在國際頂級機器學習會議 ICLR 2025 Workshop 通過同行評審提交 3 篇由 AI 全生成的論文,所有論文從構思、實驗、程式碼、數據分析、圖表製作到全文撰寫均由 AI 自動完成
- Walk, Run, Crawl, RL Fun | Atlas 波士頓動力 : 這種機器人又更逼真了,攻擊它肝臟/下檔/喉嚨都沒有效。
- Figure 成立機器人製造機器人的工廠 : 機器人自動化製造工廠 BotQ,每年能生產 12,000 台人型機器人
- NVIDIA個人AI超級電腦「DGX Spark」,即日起開放預購,售價3,999美元,最快將於2025年5月開始出貨。約一個手掌大小 1.2公斤,是目前全球體積最小的AI超級電腦,高階版內建4TB儲存空間