2026.01 Notes #44

資安動態

1. 張文的電競筆電硬碟破解了！原來是華碩聯手三星專家協助? (誰的說法?)
   - 三星原廠工程師，從韓國飛來台灣協助破解⋯⋯ ???
   - 華碩聲明稿：根本沒有加密，媒體所稱「破解」或「繞過」BitLocker 的說法皆屬誤解，並非事實?
   - 傳聞利用一部購買日期、型號、生產批號完全一致的 ROG Strix SCAR 18 G834 電競筆電透過原廠特有技術管道「繞過」 BitLocker 登入介面 ????
   - 「同型號、同規格」的 ROG 筆電給檢警，將張文的 SSD 移裝至相同硬體環境中，確保能正確讀取關鍵資料
   - 如果「可以一般本機帳號登入，並無任何加密設定。」那為什麼需要國外專家特地飛過來協助 ?
   - iPAD 警方體進行「格放」影片，將影像拆解為每秒 30 張，逐一分析張文手指滑動的軌跡，最終成功猜中 6 位數密碼 ？？
   - 微軟傳曾提供BitLocker復原金鑰給FBI : 極少數案例會提供雲端備份
2. 白宮推動雲端身分安全強化，NIST與CISA發布身分權杖防護指引草案
   - 開放徵詢意見至 2026年1月30日
   - 即NIST IR 8587初版草案 協助聯邦機關與雲端服務供應商（CSP）防範身分權杖（token）與身分聲明（assertion）遭到偽造、竊取與誤用
   - IR 8587草案建立於既有的NIST SP 800-53 資安控制標準之上，將身分權杖與身分聲明視為高價值資產
3. Microsoft 證實 Windows 11 1 月更新 KB5074109 令部分電腦完全無法開機
   - 顯示「UNMOUNTABLE_BOOT_VOLUME」錯誤
   - 手動移除更新才能正常開機：需手動進入 Windows Recovery Environment（WinRE）移除 KB5074109 更新。用戶可開機時看到 Windows Logo 後立即按電源鍵強制關機，重複兩三次後系統會自動進入修復環境。進入 WinRE 後依次選擇「Troubleshoot」→「Advanced options」→「Uninstall Updates」→「Uninstall latest quality update」，輸入管理員帳戶密碼後點擊「Uninstall quality update」按鈕即可移除更新。
4. 惡意Chrome延伸套件鎖定人資及ERP系統用戶而來，企圖挾持憑證與帳號存取權限
   攻擊者針對使用企業人力資源（HR）與ERP系統的員工而來，駭客宣稱能藉此簡化多帳號管理或加速工作流程，吸引超過2,300名用戶安裝，不過實際上，攻擊者的最終目的，就是要挾持上述企業應用系統的帳號權限
5. 6-day and IP Address Certificates are Generally Available
   - In order to get a short-lived certificate subscribers simply need to select the ‘shortlived’ certificate profile in their ACME client
   - IP address certificates allow server operators to authenticate TLS connections to IP addresses rather than domain names. Let’s Encrypt supports both IPv4 and IPv6. IP address certificates must be short-lived certificates
   - We've Issued Our First IP Address Certificate

工具

1. OpenSSL Performance Still Under Scrutiny :
   - OpenSSL 3 比 OpenSSL 相對於舊版1.1.1 慢了不少
   - Provider 架構，增加了模組化彈性，卻產生了明顯的函數成本（Dispatch Overhead）
   - EVP_PKEY_CTX_new & EVP_CIPHER_CTX_new 頻繁建立和銷毀 Context 會產生巨大的COST
   - 目前只能微調寫法 .......
2. google osv-scanner : v2.3.2
   v2.3.2 performance improvements for local scanning, reducing memory usage and avoiding unnecessary advisory loading.
3. jQuery 4.0.0 release :
   - minified size (未壓縮前) 降到 78.8KB(超小)
   - 預期多數使用者只需做少量調整即可完成升級，官方也準備了升級指南與jQuery Migrate對應版本，協助既有專案在過渡期間找出不相容用法並逐步修正
   - 移除對IE 10與更舊版本的支援
4. Databases in 2025: A Year in Review 2025 年資料庫生態的發展與趨勢
   - PostgreSQL 吞噬數據庫。2025 年 11 月發佈的 v18 版本引入了兩個對開發者極其重要的功能：異步 I/O (Asynchronous I/O) 和 Skip Scan
5. OpenAI 發表《Scaling PostgreSQL to power 800 million ChatGPT users》:
   - 8 億個使用者，只有一個主資料庫負責所有寫入的請求，近 50 個複本執行read 的請求
   - Connection pooling: PgBouncer as a proxy layer to pool database connections
6. Stop using MySQL in 2026, it is not true open source ：最近幾個月的 commit 是0，也就是說 Oracle 可能不太放心力在 MySQL 上了

故事線

1. 歐洲技術主權與數位基礎設施的決議案（2025/2007(INI)） : 歐盟議會在2026年1月22日通過了一項決議( 471 票贊成、68 票反對 的壓倒性多數通過)，政府機關採購系統時，非美國的科技方案優先 + 開源優先，同時加速打造屬於歐洲自己的 Eurostack，目標就是拿回數位主權。
   - 核心計畫：Eurostack，打造一個基於「開放標準」，如多層次的歐洲公共數位基礎設施架構，擺脫
   - 歐洲雲端市場AWS、Azure、Google Cloud 約70–80%
   - 將耗時約 10 年，並需投入約 3,000 億歐元 
   - 《數位網路法案》（DNA) 2026 年 1 月 20 日），強制要求成員國於 2035 年前停止使用所有銅纜網絡，改用速度更快的光纖網絡
2. CyberArk 研究：亞太企業 PKI 老舊，系統中斷與合規風險攀升
   - 老舊 PKI 系統已成為全球安全憑證管理的主要阻礙，僅有 45% 的企業高度確信其 PKI 能滿足合規要求，全球企業中有 34% 將老舊 PKI 架構的成本與風險視為最大障礙
   - 老舊 PKI 與憑證暴增: 隱形成本推手，機器身分與工作負載身分快速成長，使憑證數量與管理複雜度達到前所未有的程度，平均而言，每家企業需管理超過 105,000 張內部憑證，但僅有 3 名全職人員負責 PKI 管理，60% 的企業表示，因資源與專業不足，已經或計畫將 PKI 管理委外給 MSSP（資安託管服務供應商）
   - 人工作業放大資安風險
   59% 的企業無法因應CA遭入侵的事件
   55% 因設定錯誤、49% 因憑證過期而發生非預期系統中斷
   50% 的企業因缺乏內部專業而出現錯誤與作業效率低落

AI

1. 全世界都在瘋的 Clawdbot (personal AI assistant) -> Moltbot
   https://github.com/clawdbot/clawdbot
   - 在矽谷爆紅的開源專案，7×24 小時運作的 AI 助手擁有無限記憶
   - 有別於ChatGPT、Claude、Gemini，這些本質上是被關在瀏覽器裡的對話筐 User要被動回應，Clawdbot 能直接操控電腦、能主動找你
   - 不需要打開特定 App，可在 Teams、WhatsApp、Telegram、Slack、Discord 上輸入訊息就能幫你清理收件匣、安排會議、研究公司、跟進潛在客戶、撰寫內容以及管理你的行事曆、填寫表格、發送郵件 (可Browser Control)
   - 資料自主：在個人local電腦上執行(Mac, Windows WSL2 , Linux)，所有設定、記憶、指令就是硬碟裡的資料夾和 Markdown 文件(只有呼叫使用選擇 LLM那一刻需要連網, 擁有存取電腦 Shell 和檔案系統極大的權限)
   - Sandbox : 權限管理與沙盒機制（Sandbox），確保 AI 在執行命令時不會誤刪檔案或執行危險操作
   - 安全嗎？ Clawdbot 預設值設定有嚴重風險 (預設會打開port 18789 開放)，請修改預設設定檔 Clawdbot.json，把它改成 bind loopback(127.0.0.1 ) + gateway.auth.mode: "token"
   - 1/27 Clawdbot 正式宣布更名為「Moltbot」起因Anthropic 公司發出了商標侵權警告(因為發音跟「Claude」太像+商標相似 , Anthropic 反對任何與「Claw-」相關的命名)
2. 台廠AI影像辨識「秒判刀或槍」　美警搶下萬台訂單
   - 應用場域 : 捷運、高鐵等大眾運輸系統
   - 台灣擷發科技，邊緣運算的方式，加上軟體優勢，利用軟硬體結合突破已能精準判斷是否為攻擊行為，並辨識手持物品究竟是刀或槍。以捷運場景為例，當車廂內突然爆發衝突，其他乘客可能尚未看清狀況，AI系統已能即時辨識出女子手持的是刀械，並立即通知警力支援
3. 中國AI進入「代理商務」戰場！阿里、字節跳動全面串聯支付
   - 串接電商、支付與服務平台，開創全自動化消費體驗
   - Google、Amazon、 OpenAI，在基礎模型上領先，但在整合支付與物流等「跨領域服務」時，則面臨更嚴格的隱私法規與數據碎片化的挑戰

科技動態 

1. 臺灣台語輸入法App上架 即日起行動裝置也能輸入臺灣台語
   教育部推出「臺灣台語輸入法」除了支援拼音輸入，也提供語音輸入功能，讓使用者能透過語音轉換成文字
2. Vietnam Bans Unskippable Ads, Requires Skip Button to Appear After 5 Seconds
   越南禁止不可以跳過的廣告，2026年2月15日起生效

資安事件

1. The Cute-Looking AI Extensions Leaking Code from 1.5 Million Developers
   - VSCode Marketplace 上簡中 AI 套件 (Wrapper)
   - VSCode 打開檔案-> 讀取內容 -> Base64 編碼 -> 傳回中國伺服器(不需要同意)
   - 只要有簡體字、破解等字眼就不要安裝
2. 駭客同步勒索3台企　和碩金雞永擎外洩資料
   - 永擎電子（ASRock Rack）遭竊取 509GB資料，內容直指伺服器最敏感的底層架構，包括 Firmware 、 BIOS 原始檔、BMC 韌體以及關鍵硬體驅動程式 (包含AMD檔案)
   - 吉興工程外洩65GB資料，電廠的完整生命週期文件、500kV GIS高壓設備配置圖以及電力負載計算表
   - 萬機鋼鐵外洩的56GB資料，包含了詳盡的工業製程與管線工程圖。這些文件真實反映了工廠「如何被實際運作」，可結合工業控制系統（OT）的漏洞
3. 五福旅行社公開道歉！證實旅客個資外洩
   23GB資料，同時提供連結供不特定人下載檔案，由於內容罕見包括旅客資料庫、機票與訂位紀錄、護照內頁，甚至涵蓋旅客照片、姓名、身分證字號、住址、手機號碼及航班資訊等敏感個資
4. EOL 的晶睿通訊網路攝影機存在重大漏洞
   數十款晶睿通訊（Vivotek）已終止支援的網路攝影機當中，發現未經授權的命令注入漏洞CVE-2026-22755，此漏洞允許未經身分驗證的攻擊者，遠端以root權限執行任意指令

漏洞

1. Oracle Java SE, GraalVM for JDK
   CVE-2026-21945, 7.5 HIGH
   FIXED : Oracle Critical Patch 2026/01
2. Oracle VM VirtualBox CWE-400
   CVE-2026-21955 8.2 HIGH
   CVE-2026-21956 8.2 HIGH
   CVE-2026-21987 8.2 HIGH
   CVE-2026-21988 8.2 HIGH
   CVE-2026-21990 8.2 HIGH
   CVE-2026-21989 8.1 HIGH
   CVE-2026-21957 7.5 HIGH
   CVE-2026-21982 7.5 HIGH
   CVE-2026-21983 7.5 HIGH
   CVE-2026-21984 7.5 HIGH
   FIXED : Oracle Critical Patch 2026/01
3. Hibernate CWE-89 ('SQL Injection')
   CVE-2026-0603 8.3 HIGH A remote attacker with low privileges could exploit a second-order SQL injection vulnerability by providing specially crafted, unsanitized non-alphanumeric characters in the ID column when the InlineIdsOrClauseBuilder is used. This could lead to sensitive information disclosure, such as reading system files, and allow for data manipulation or deletion within the application's database, resulting in an application level denial of service
   Affected : from 5.2.8 through 5.6.15 
   FIXED : Red Hat Customer Portal
4. GitLab
   CVE-2025-13927 7.5 High - Denial of Service issue in Jira Connect integration impacts GitLab CE/EE
   CVE-2025-13928 7.5 High - Incorrect Authorization issue in Releases API impacts GitLab CE/EE
   CVE-2026-0723 7.4 High - Unchecked Return Value issue in authentication services impacts GitLab CE/EE
   CVE-2025-11224 7.7 High allowed an authenticated user to execute stored cross-site scripting through improper input validation in the Kubernetes proxy functionality
   FIXED : GitLab Patch Release: 18.8.2, 18.7.2, 18.6.4
5. Moodle CWE-94
   CVE-2025-67847 8.8 HIGH attacker with access to the restore interface could trigger server-side execution of arbitrary code. This is due to insufficient validation of restore input, which leads to unintended interpretation by core restore routines. Successful exploitation could result in a full compromise of the Moodle application