2025.05 Note #27

資安動態

1. SK Telecom says malware breach lasted 3 years, impacted 27 million numbers :
   調查結果：韓國SK電信自2022/6月份開始遭受 25 distinct malware types in 23 compromised servers(15台伺服器包含用戶的個人信息)，並指出最初的Web Shell感染發生在2022年6月15日開始，直到2025年4月才被檢測到 (中了3年，This means that malware went undetected in the company's systems for nearly three years, during which the attackers introduced several payloads across 23 servers.)
2. xAI 員工不慎於GitHub程式碼庫曝露 API 金鑰 :
   - 員工將 API 金鑰上傳至 GitHub，而且長達兩個月都沒有被撤銷
   - 駭客能夠直接存取Grok及其後端介面，便可發動提示注入攻擊以調整模型，或是嘗試於供應鏈上植入程式碼
   - 雇主似乎已對此事習以為常，低估其潛在嚴重性
3. 英國國家網路安全中心（NCSC）與科學創新科技部於 5 月 7 日聯合發布「軟體安全實務守則(Software Security Code of Practice)」
4. Google將自動把桌機、手機用戶密碼升級為通行密鑰 : Automatic Passkey Upgrade。啟用該功能後，當用戶以Google Password Manger儲存的密碼登入網站，該App就會將密碼升級為Passkey。Help users adopt passkeys more seamlessly: To help users adopt passkeys more conveniently, use a WebAuthn API feature called Conditional Create. Conditional Create lets your site request a passkey for the user without requiring any action from them

// To abort a WebAuthn call, instantiate an AbortController.
const controller = new AbortController();

const cred = await navigator.credentials.get({
  publicKey: options,
  signal: controller.signal,
  // Request conditional get
  mediation: 'conditional'
});

// Abort the call
controller.abort();

工具

1. OpenAI 發布 Codex : 一個能自動編寫程式碼、修復錯誤並處理 PR 的 AI 程式設計助理，可以同時處理多個任務需求用發 PR 的方式來 merge 個別任務的程式碼 (目前其他的 AI Editor 一次就是改一個任務需求)
   - 網頁版 : 整合在 ChatGPT 中 : 須是訂閱戶 Plus 以上 Pro、Enterprise
   - CLI版，可以在你的環境中執行，node v22 以上的PC上就可以使用
   (Google Jules)
2. VS Code: Open Source AI Editor : 未來將GitHub Copilot 大部分功能整併到 Visual Studio Code 中，變成 AI Editor
3. CodeAnt 用AI審核AI 生成的程式碼: AI Code Review Platform。AI產生的程式碼看似無誤、語法正確，但裡頭可能藏有尚未檢查的資安風險、使用了已淘汰的函式庫，甚至邏輯設計本身就有問題，只是乍看之下「能跑就好」(DevSecOps工具)
4. microsoft sbom-tool · Release v4.0.3 : enables SPDX 3.0 support in generation and validation
   - 漏洞 Specify the -mi:SPDX3.0 parameter on the command line
5. Docker要以安全映像檔防護企業生產環境容器 :
6. • patching and updates are continuous and automated
   • 「預設安全（Secure by default）」為核心的 。DHI強調與多家安全與DevOps平臺合作，包括微軟、NGINX、Sonatype、GitLab、Wiz、Sysdig等，確保映像檔能與現有的漏洞掃描工具、註冊庫及CI/CD流程順利整合，方便團隊導入並落實端到端的供應鏈安全控管。Docker也透過SLSA Build Level 3建置流程，確保映像檔來源可追蹤，並附有完整驗證機制
6. Waiting for Postgres 18: Accelerating Disk Reads with Asynchronous I/O :
   - Asynchronous I/O support in Postgres 18 introduces worker (as the default) and io_uring options under the new io_method setting.
   - Benchmarks show up to a 2-3x throughput improvement for read-heavy workloads in cloud environments.
   - For cold cache tests, both worker and io_uring delivered a consistent 2-3x improvement in read performance compared to the legacy sync method.(3種 method io_method = sync , worker or io_uring) (worker版比 sync 快, io_uring 版比worker版快 )

資安事件

1. NPM套件rand-user-agent遭供應鏈攻擊，植入遠端木馬監控用戶系統: rand-user-agent專案自7個月前版本2.0.82後便未再更新，但NPM註冊中心卻出現新的版本上架紀錄，這代表攻擊者可能已取得NPM帳號憑證，並藉此發布含惡意載荷的新版本
2. 打詐龍頭反被詐！詐防中心警遭騙千萬「6度親交車手」: 台灣警政署刑事局旗下的詐欺犯罪防制中心吳姓員警隸屬金融調閱小組，豈料卻被詐騙集團找上，6度提領現金給詐騙集團車手，直到帳戶幾乎清空，吳員才驚覺受騙，損失金額高達1095萬元。基層員警指出，刑事局高層對此案極為低調，擔憂此事影響政府打詐行動的公信力，特別要求內部人員避免討論
3. 台積電供應商拒付駭客贖金 萬潤5T資料恐外洩 : 駭客組織「BERT」突在暗網PO出12張萬潤內部檔案截圖，表示已取得逾5T資料(涵蓋萬潤科技產品設計藍圖、出貨單、廠商資料、匯款記錄)，並揚言近日將上傳更多檔案，顯示公司尚未支付贖金，資安危機也還沒解除；由於本案為BERT首次攻擊台灣企業

漏洞

部分漏洞的EUVD編號官方資料未即時同步

1. GNU C Library (glibc) : EUVD-2025-15553 - CVE-2025-4802(CVSS: 9.8, Critical)，Untrusted LD_LIBRARY_PATH environment variable vulnerability in the GNU C Library version 2.27 to 2.38 allows attacker controlled loading of dynamically shared library in statically compiled setuid binaries that call dlopen (including internal dlopen calls after setlocale or calls to NSS functions such as getaddrinfo)
   攻擊者可透過修改 LD_LIBRARY_PATH 變數，強制程式從受控路徑載入惡意共享函式庫，此漏洞繞過 setuid 程式原有的安全限制，導致權限提升或任意程式碼執行
   Patch available ： v2.39
2. Go Directory Traversal : CVE-2025-22873 (CVSS: 7.2, High) ,versions 1.24.3 and 1.23.9 Upgrade
3. Tomcat : upgrade Fixed v10.1.40 , v11.0.6
   - EUVD-2025-13626- CVE-2025-31651 (CVSS: 9.8, Critical) : a subset of unlikely rewrite rule configurations, it was possible for a specially crafted request to bypass some rewrite rules. If those rewrite rules effectively enforced security constraints, those constraints could be bypassed
   - EUVD-2025-13627- CVE-2025-31650 (CVSS: 7.5, High)  Improper Input Validation vulnerability A large number of such requests could trigger an OutOfMemoryException resulting in a Denial of Service.
4. Java WebDriverManager XML External Entity (XXE) vulnerability : loadXML() function
   EUVD-2025-14900 - CVE-2025-4641 : (CVSS: 9.8, Critical) patch to version 6.0.2 , or Disable XML external entity processing
   Windows, MacOS, and Linux
   src/main/java/io/github/bonigarcia/wdm/WebDriverManager.java(cross-browser API)
5. Apache LDAP: CVE-2025-48014 (CVSS: 7.5, High) Password guessing limits could be bypassed when using LDAP authentication ( Patch: 5/21 缺 type:unreviewed)
6. 微軟4月安全更新導致Server 2025驗證問題 : 4月安全更新為了解決Kerberos驗證中的安全漏洞（CVE-2025-26647: improper input validation in Windows Kerberos allows an unauthorized attacker to elevate privileges over a network.），微軟在更新中引入新的憑證驗證行為。Server 2025機器安裝今年4月安全更新的KB5055523後，其Active Directory網域控制器在處理使用憑證型憑證的Kerberos登入或委派時，可能會出現問題(Server 2016（KB5055521）、2019（KB5055519）、2022（KB5055526）也受到影響)

AI 動態

1. Absolute Zero: Reinforced Self-play Reasoning with Zero Data(arxiv): 北京清華大學、BIGAI 團隊提出一種新的 Absolute Zero 訓練法，讓 AI 自己解決問題、自己學習 ，透過不斷自我對弈（self-play）來提升能力，完全不需要外部數據集 超越傳統需要使用了數萬個專家標註範例的模型訓練方法
2. x402 Payment：建立在 HTTP 協定之上的開放標準，賦予 AI 代理人消費能力支付通道 (An open protocol for internet-native payments)
3. 1. 最大客戶是 AI Agent : 可自己付錢購買內容，投放廣告、雲端算力、API、資源
   2. 有別常見的 404 Not found，402 Payment Required 數十年來未被使用
   3. 把 HTTP/1.1 Status 402 Payment Required狀態碼，變成 AI 代理人、App、API 都能使用的標準支付流程 (without registration, emails, OAuth, or complex signatures)
   
3. UFO² (Desktop AgentOS) : It is designed to automate and orchestrate tasks across multiple applications, enabling users to seamlessly interact with their operating system using natural language commands beyond just UI automation
4. Tesla_Optimus 跳舞 : 動作細緻度和自由度超高，不出兩三年, 世界又會巨大的變化了
5. AlphaEvolve: A coding agent for scientific and algorithmic discovery :
   - AI 開始有創造新知識的發現
   - AlphaEvolve 使用 Gemini Flash 產生想法、Gemini Pro 分析，然後透過評估、修正不斷優化程式碼
   - 改進自 1969 年以來未被突破的 Strassen 演算法（矩陣乘法的基礎演算法)
   - 50 個數學問題中，有75%能夠達到現有最佳解，20% 發現全新、改進的做法
6. Medical AI trained on whopping 57 million health records : Foresight AI 模型 英國用5700萬人健康資料訓練，預測病情、分配資源 資料來源非常多元，包括：1. 醫院就診與住院紀錄 2. 疫苗接種紀錄 3. 家庭醫師（GP）看診紀錄4. 英國全國死亡登記資料 (所有用於訓練的數據都經過嚴格的去識別化
   - 約100億個醫療事件(event)
   (提到醫療，世界級別的台灣健保資料庫可以怎麼用? 是礙於法規嗎?)
7. 裁員: 職場從「人與人」轉為「人 vs 模型」之戰
   1) Microsoft Layoffs Highlight AI-Driven Hiring Pauses - Bloomberg:
   微軟裁掉約 6,000 名員工，其中包括軟體工程與產品管理部門
   2) IBM 已經用 AI 取代數百名「人資 HR」員工 : IBM 利用 AI Agent，取代了數百名「人資 HR」員工，可以自動完成分析試算表、進行研究、撰寫 Email 等任務