2025.09 Note#35

更新 發佈閱讀 15 分鐘

資安動態

  1. 馬斯克證實 xAI 原始碼遭竊,涉案工程師跳槽 OpenAI,雙方尚未公開回應 : 李學宸被控涉嫌偷走整個 xAI 的原始碼,包括所有與 Grok 相關的技術。亞馬遜雲科技(AWS)與 Google 前高層 Bindu Reddy 在 X(原 Twitter)發文表示:「他偷走了 Grok 的整個程式碼」,馬斯克隨即回應:「不只是 Grok,是整個 xAI 的。
  2. Sony坦承有 FeliCa 漏洞!日本交通卡存在被破解風險
    - 交通票卡系統,核心技術來自 Sony 開發的 FeliCa 晶片,應用場景有日本Suica(俗稱西瓜卡)PasmoIcoca 等交通票卡,以及香港的八達通卡,還被廣泛部署於門禁系統與電子識別證
    - 2017 年以前用於交通票卡、電子支付等基礎設施的 FeliCa 通訊技術存在漏洞,FeliCa 晶片在交通卡與電子貨幣等系統間會共享加密金鑰,用於改寫資料,一旦金鑰被取出,攻擊者便可能取得卡片資料,甚至進一步竄改,Sony 強調本次風險主要集中在實體卡片上
  3. 企業網站「聯絡我們」表單引狼入室成駭客跳脫網釣制式流程的管道 :透過目標公司網站上公開的「聯絡我們(Contact Us)」表單,以此跳脫一般釣魚攻擊的制式流程,先由目標企業組織對攻擊者主動寄送電子郵件,進而建立信任。攻擊者在經營數週的信任關係之後,才會假借AI轉型等商業發展議題為幌子,向受害企業寄送惡意ZIP壓縮檔,從而在受害組織植入惡意程式MixShell的有效酬載。此有效酬載通常以ZIP檔型式散布,其二進位資料當中嵌入了PowerShell指令碼,隨後攻擊者透過載入工具,於記憶體內解開指令碼並執行
  4. 遭疑中企曝資安風險?Plaud:台灣用戶資料不會外洩: 智慧筆記裝置 PLAUD NotePin,錄音功能常用於會議(開會神器)
  5. 從IP攝影機到雲端AI,捷克資安主管機關把對中資料傳輸與遠端維運列高風險
  6. South Korea deploys hologram police officer to fight crime – and it’s working : 首爾公園啟用 Hologram 3D projection 投影警察,犯罪率下降 20%
    (有點透明,有點像鬼,散步的人會嚇到吧? )
  7. Cloudflare 的 Web Bot Auth : 世界最大的 CDN,如果要爬取它託管的網站,必須要先註冊公鑰並 sign http request. Web Bot Auth is an authentication method that leverages cryptographic signatures in HTTP messages to verify that a request comes from an automated bot. Web Bot Auth is used as a verification method for verified bots and signed agents.

RFC/規範

  1. CISA 更新《2025 Minimum Elements for a Software Bill of Materials (SBOM) 2025 年軟體物料清單(SBOM)最低要素》 :
    - 意見回饋截止日期為 2025 年 10 月 3 日
    - 資料欄位 : 原有資料欄位加入新的最低要素,例如 : 元件雜湊值(component hash)、授權資訊(license)、用於產生 SBOM 的工具名稱,以及生成背景(generation context)時間戳記 -> (現在能明確識別每個元素,並與原始創建者的記錄進行驗證)
    - 支援新技術 : 雲端服務和人工智慧(AI)軟體等新興技術
    - 提升實踐標準: CISA 鼓勵採用廣泛使用的、具備互通性和機器可讀性的 SBOM 格式,並建議用戶不應接受任何已過時版本的格式

資安事件

  1. 奈米醫材子公司遭遇商業郵件詐騙,預估損失高達140萬美元 遭詐騙股利 : 原本應收到的 142.5萬美元現金股利,因收到偽造的電子郵件,誤匯至虛假銀行帳號。該筆款項已遭提領,目前銀行與美國聯邦調查局(FBI)正在追查資金流向
    ( 被詐騙機率極低 : 母子公司之間的股利撥款,應該是固定約定帳號吧 ?! 且是例行化作業,怎麼會因為一封 email 就臨時更換收款帳號變成 email詐欺? 有沒有不小的可能性是 : 不是詐欺,是子公司本來就有不當交易只是不小心被抓包了才報案?

工具

  1. DocumentDB加入Linux基金會,推動以PostgreSQL為基礎的開放NoSQL標準 :DocumentDB MIT 授權,以PostgreSQL為核心的技術路線,定位是要在NoSQL領域建立開放、可互通的文件資料庫標準,該專案同時支援相容MongoDB的熱門驅動程式,方便開發者在既有應用程式基礎上導
  2. Microsoft Azure CTO: Rust is ready, we should just be switching (半年前講的最近在網路上突然被討論了起來)
    • Windows graphics driver being ported to Rust
    • Azure infrastructure mandate: Rust only
    • 350k lines of Rust in data platforms
    • Hypervisors and crypto libraries all switching
    • AI tools to auto-translate C++ to Rust(開發 AI 工具,把 C++ 自動翻譯成 Rust
  3. winapps: 在 linux 上執行 Windows apps such as Office/ Adobe : Run Windows applications (including Microsoft 365 and Adobe Creative Cloud) on GNU/Linux with KDE PlasmaGNOME or XFCE, integrated seamlessly as if they were native to the OS.

漏洞

  1. pgadmin4 affected by a Cross-Origin Opener Policy (COOP) vulnerability
    CVE-2025-9636, 7.9 High,pgAdmin <= 9.7 is affected,an attacker to manipulate the OAuth flow, potentially leading to unauthorised account access, account takeover, data breaches, and privilege escalation
    FIXED : v9.8
  2. Changing|TSA - Missing Authentication
    CVE-2025-8861 9.8 (Critical) TSA developed by Changing has a Missing Authentication vulnerability, allowing unauthenticated remote attackers to read, modify, and delete database contents. 時戳伺服器(TSA),
    2025/2/6之前購買才會受到影響
  3. Microsoft SQL Server Elevation of Privilege Vulnerability
    CVE-2025-55227 8.8 High Improper neutralization of special elements used in a command ('command injection') in SQL Server allows an authorized attacker to elevate privileges over a network.
    FIXED: SQL Server 2017, 2019, 2022
  4. Adobe Acrobat and Reader
    CVE-2025-54257, 7.8 High: affected by a Use After Free vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must open a malicious file, and scope is unchanged.
    FIXED : Security update available Sep 9, 2025
  5. npm debug and chalk packages compromised : 在至少18個熱門套件中植入惡意程式, NPM package 開發者們點擊到了釣魚信件看起來就像是NPM 通知要進行 2FA update,導致NPM 帳號被竄改了。駭客竄改了數個套件的程式碼並發布了新的版本
    上版前務必 npm audit
    backslash 0.2.1
    chalk-template 1.1.1
    supports-hyperlinks 4.1.1
    has-ansi 6.0.1
    simple-swizzle 0.2.3
    color-string 2.1.1
    error-ex 1.3.3
    color-name 2.0.1
    is-arrayish 0.3.3
    slice-ansi 7.1.1
    color-convert 3.1.1
    wrap-ansi 9.0.1
    ansi-regex 6.2.1
    supports-color 10.2.1
    strip-ansi 7.1.1
    chalk 5.6.1
    debug 4.4.2
    ansi-styles 6.2.2
    Remediation Advice
    - Check the versions you are using
    -Clean your npm cache
    -Reinstall all packages in your repository
    - Make sure you use a package lock file, and use pinned versions

AI

  1. OpenAI收購新創Statsig 砸11億美元瞄準產品測試 (AI 應用會加速迭代)
    - Statsig 是一家成立於 2021 年,專注於:A/B 測試:幫助公司快速驗證新功能是否有效,Feature Flags:允許團隊在不同版本間快速切換。數據驅動決策:提供即時實驗分析,讓產品迭代更快
  2. 每天只學兩小時 AI主導的「Alpha學校」即將席捲美國 :
    - 學生每天只要上課 2 小時,而且不是由老師上課,是由 AI 針對每個學生的興趣和能力,客製化設計進度和內容。那裡的老師被稱作嚮導 (guide),他們不負責上課,而是提供情緒價值、陪伴、激勵
    - 上完 2 個小時的課,其他時間就是各種工作坊、團體活動、探索自己興趣的活動
    - 學生在 MAP 和 SAT 成績都在全美前 1-2%。去年首屆高中畢業生畢業,就讀大學包括史丹佛、哈佛、范德堡大學、UT 等
  3. 行政院通過AI基本法草案,將不設立AI專責機關 : 目前通過的行政院版AI基本法考慮到AI涉及各個部會,因此不需訂立主管機關,否則會限縮範圍。基本法為AI的上位根本法案,因此不需設立的主管機關,未來作為上位的基本法通過後,將促成各部會進一步訂定各自作用法
  4. 為 AI 內容建立「數位身分」!中國「AI 標註令」新規正式生效,社群平台全面迎戰
  5. Anthropic 擴大 AI 使用限制 封殺中國控股公司及組織 :不只中國境內不能用 Claude,中國持股的海外子公司也被禁止。
  6. Why language models hallucinate(AI為什麼會胡說八道?) : 有些資訊無法從訓練資料中學到會強迫模型亂猜,當模型面對不確定問題時,回答「我不知道」得零分,猜對會有獎勵,太重視「猜對」,所以可能要改成
    - 承認不知道也能得分,猜錯要扣更多分,不鼓勵亂猜
  7. 獨居阿嬤的新孫女!韓國發 AI 娃娃全天陪伴還能報警救命 : Hyodol 開發的智慧玩偶,內建類似 ChatGPT 的語音對話系統,能與長輩用愉快語氣聊天,並提醒他們吃飯、服藥;若偵測到異常,還會即時通知照護人員與家屬

科技動態

  1. The Cornervery A 90-Degree Stapler : 90 度的訂書機,可以訂直角,紙箱紙盒等蠻好用的耶~ 怎麼現在才發明.
  2. 韓國全面禁止學生上課用手機,明年 3 月開始施行 :韓國朝野共同推動這項法案,希望能控制青少年智慧手機成癮的問題
  3. Bringing BASIC back: Microsoft’s 6502 BASIC is now Open Source
  4. 4萬臺永久授權的舊版vSphere主機無法升級,英國連鎖超市Tesco控告博通違約求償1億英鎊
    - 博通在2023年11月正式以610億美元的現金及股票收購了VMware隔月即宣布不再提供永久授權版,全面轉型為訂閱制
    - VMware支撐了Tesco約4萬個伺服器的工作負載,連接收銀及物流系統,若系統失效便可能影響食品供應。取消永久授權替博通帶來許多合約糾紛,而且範圍涉及全球市場
留言
avatar-img
留言分享你的想法!
avatar-img
subzero
4會員
43內容數
資安, 科技, AI, 醫療, 產業的筆記本
subzero的其他內容
2025/08/27
資安/AI/科技/漏洞/ 工具動態
2025/08/27
資安/AI/科技/漏洞/ 工具動態
2025/08/13
資安 AI 動態 漏洞 工具
2025/08/13
資安 AI 動態 漏洞 工具
2025/07/30
資安/AI/科技/漏洞動態 Hundreds of thousands of Russian schoolkids are building drones that kill Ukrainians : 中文 (從國民教育中訓練戰爭人才) - 俄羅斯高中生在玩一個遊戲 熊穴 (Berloga)
2025/07/30
資安/AI/科技/漏洞動態 Hundreds of thousands of Russian schoolkids are building drones that kill Ukrainians : 中文 (從國民教育中訓練戰爭人才) - 俄羅斯高中生在玩一個遊戲 熊穴 (Berloga)
看更多